SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Beställningsadress: Fritzes kundtjänst 106 47 Stockholm Orderfax: 08-690 91 91 Ordertel: 08-690 91 90

E-post: order.fritzes@nj.se Internet: www.fritzes.se

Svara på remiss. Hur och varför. Statsrådsberedningen, 2003.

– En liten broschyr som underlättar arbetet för den som skall svara på remiss.

Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/

Tryckt av Edita Sverige AB

Stockholm 2007

ISBN 978-91-38-22845-6

ISSN 0284-6012

Innehåll

10H		Promemorians huvudsakliga innehåll.........................	134 H
21H		Författningsförslag ..................................................	1542H
2H	.1 Förslag till lag om behandling av personuppgifter i
		polisens brottsbekämpande verksamhet.............................	1543H
23H	.2	Förslag till lag om polisens allmänna spaningsregister......	421 H
24H	.3	Förslag till lag om ändring i rättegångsbalken ...................	491 5H
25H	.4	Förslag till lag om ändring i sekretesslagen (1980:100).....	51146H
26H	.5	Förslag till lag om ändring i säkerhetsskyddslagen
		(1996:627).............................................................................	59147H
27H	.6	Förslag till lag om ändring i lagen (1998:620) om
		belastningsregister ...............................................................	62148H
28H	.7	Förslag till lag om ändring i lagen (1998:621) om
		misstankeregister .................................................................	64149H
29H	.8	Förslag till lag om ändring i lagen (2000:344) om
		Schengens informationssystem...........................................	66150H
210H	.9	Förslag till lag om ändring i lagen (2007:000) om
		tillsyn över viss brottsbekämpande verksamhet ................	67151H

3

Ds 2007:43 Innehåll

631H	.3	Lagens tillämpningsområde.................................................	95172H
632H	.4	Skyddet för den personliga integriteten ...........................	10073H
633H	.5	Den nya lagen och personuppgiftslagen...........................	10674H
		634H .5.1 Förhållandet till personuppgiftslagen....................	10675H
		635H .5.2 Tillämpliga bestämmelser i personuppgifts-
		lagen.........................................................................	11076H
63 H	.6	Personuppgiftsansvar.........................................................	12477H
637H	.7	Tillgången till personuppgifter..........................................	12578H
738H		Tillåtna ändamål för behandlingen..........................	12779H
739H	.1	Tydliga och konkreta ändamål för behandling	av
		personuppgifter..................................................................	12780H
740H	.2	Förebygga, förhindra och upptäcka brottslig verk-
		samhet.................................................................................	1308 H
741H	.3	Utreda och beivra brott .....................................................	13682H
742H	.4	Internationellt samarbete ..................................................	13883H
743H	.5	Behandling av uppgifter för diarieföring m.m..................	14184H
744H	.6	Behandling av uppgifter för att tillhandahålla
		information till andra.........................................................	14385H
845H		Behandling av känsliga personuppgifter m.m. ..........	15186H
946H		Gemensamt tillgängliga uppgifter ...........................	15587H
947H	.1	Särskilda regler bör gälla för behandling av gemen-
		samt tillgängliga uppgifter.................................................	15588H
948H	.2	Förebygga, förhindra och upptäcka brottslig verk-
		samhet.................................................................................	16189H
			5

Ds 2007:43 Innehåll

		1264H .3.5 Direktåtkomst för övriga brottsbekämpande
		myndigheter ............................................................	21605H
		1265H .3.6 Direktåtkomst för utländska myndigheter ...........	22306H
1366H		Sekretess och uppgiftsskyldighet m.m.....................	22507H
1367H	.1	Allmänna utgångspunkter .................................................	22508H
1368H	.2	Sekretessgenombrott .........................................................	22909H
1369H	.3	Uppgiftslämnande till utlandet .........................................	24110H
1470H		Utlämnande av uppgifter på medium för
		automatiserad behandling......................................	25311H
157 H		Särskilt om uppgifter på Internet ............................	2571 H
1672H		Gallring av uppgifter..............................................	26113H
1673H	.1	Gallring av uppgifter som inte har gjorts gemensamt
		tillgängliga ..........................................................................	26114H
1674H	.2	Gallring av gemensamt tillgängliga uppgifter...................	26415H
1675H	.3	Särskilt om uppgifter i förundersökningar och
		liknande brottsutredningar................................................	26916H
1776H		Särskilda bestämmelser om vissa register ................	27917H
1777H	.1	Allmänna utgångspunkter .................................................	27918H
1778H	.2	Register med uppgifter om resultat av DNA-analyser....	28219H
1779H	.3	Fingeravtrycks- eller signalementsregister.......................	2840H
1780H	.4	Penningtvättsregister.........................................................	2881H

7

Ds 2007:43 Innehåll

2010 H	.3	Utformningen av regleringen............................................		34324 H
		20103H	.3.1 Förhållandet till annan lagstiftning om polis-	343244H
			register och till personuppgiftslagen .....................
		20104H	.3.2 Ändamålet med registret........................................	344245H
		20105H	.3.3 Innehållet i registret ...............................................	347246H
		20106H	.3.4 Behandling av känsliga personuppgifter................	353247H
		20107H	.3.5 Särskilda upplysningar och sökbegränsningar ......	355248H
		20108H	.3.6 Utlämnande av uppgifter ur registret....................	357249H
		20109H	.3.7 Gallring....................................................................	362250H
		20110H	.3.8 Övriga frågor...........................................................	364251H
21111H		Följdändringar ......................................................		367252H
2211 H		Kustbevakningens åtkomst till vissa register.............		37125 H
23113H		Ikraftträdande och övergångsbestämmelser..............		375254H
23114H	.1	Ikraftträdande.....................................................................		375255H
23115H	.2	Övergångsbestämmelser....................................................		376256H
24116H		Kustbevakningens personuppgiftsbehandling ...........		381257H
24117H	.1	Bakgrund ............................................................................		381258H
24118H	.2	Kustbevakningens verksamhet..........................................		381259H
		24119H	.2.1 Allmänt....................................................................	381260H
		241 0H	.2.2 Brottsbekämpande verksamhet..............................	383261H
241 1H	.3	Regleringen av Kustbevakningens personuppgifts-
		behandling ..........................................................................		385262H
241 H	.4	Samverkan och informationsutbyte med andra brotts-
		bekämpande myndigheter .................................................		38626 H

9

Ds 2007:43 Innehåll

Bilaga 2	Polisdatautredningens136H			lagförslag ...................	541277H
Bilaga 3	Förteckning137H	över de remissinstanser som
	yttrat sig över Polisdatautredningens
	betänkande	.................................................			589278H
Bilaga 4	Kustbevakningens138H		framställan om åtkomst
	till belastningsregistret och misstanke-
	registret ......................................................				591279H

Bilaga 5 Förteckning139H över de remissinstanser som yttrat sig över Kustbevakningens framställan...593280H

Bilaga 6 Polisens140H

register ..........................................

595281H

11

1Promemorians huvudsakliga innehåll

Promemorian innehåller förslag till en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Lagen ersätter polisdatalagen (1998:622). Det övergripande syftet med den nya lagen är att skydda människor mot att deras personliga integritet kränks vid polisens behandling av personuppgifter.

Den nya lagen har tagits fram för att komma till rätta med olika problem som den nuvarande regleringen har visat sig ge upphov till, bl.a. när det gäller möjligheten att behandla person- uppgifter för att förebygga, förhindra och upptäcka brottslig verksamhet. Den nya lagen skapar också förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom ändrade bestämmelser om utlämnande av uppgifter. Regleringen är teknikneutral.

Lagen är heltäckande och reglerar, med några få undantag, all polisens behandling av personuppgifter i den brottsbekämpande verksamheten vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgifter ska få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra de förpliktelser som följer av internationella åtaganden. Särskilda bestämmelser föreslås för sådan behandling som sker hos Säkerhetspolisen. För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till (gemensamt tillgängliga uppgifter) föreslås olika begränsande bestämmelser för att trygga

13

Promemorians huvudsakliga innehåll

Ds 2007:43

den personliga integriteten. Det föreslås också en särskild lag som reglerar polisens allmänna spaningsregister.

Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis den hjälpande verksamheten, omfattas inte av lagförslagen utan förutsätts, liksom i dag, regleras av personuppgiftslagen (1998:204).

Den föreslagna lagregleringen medför följdändringar i ett antal andra författningar.

I promemorian övervägs också vissa frågor om Kustbevakningens behandling av personuppgifter. Bedömningen görs att de grundläggande principer som föreslås gälla för polisens behandling av personuppgifter i den brottsbekämpande verksamheten i flera avseenden bör gälla i en kommande reglering för Kustbevakningens behandling av personuppgifter i sådan verksamhet.

Vidare föreslås att Kustbevakningen ska få tillgång till uppgifter ur misstankeregistret och belastningsregistret i sin brottsbekämpande verksamhet.

Lagförslagen föreslås träda i kraft den 1 januari 2009. Promemorian har tagits fram av en arbetsgrupp bestående av

tjänstemän i Justitiedepartementet. Promemorians överväganden är därför skrivna i vi-form.

14

2 Författningsförslag

2.1Förslag till

lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgif- ter i polisens brottsbekämpande verksamhet.

Lagens tillämpningsområde m.m.

2 § Denna lag gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyn- digheterna och Ekobrottsmyndigheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier.

Bestämmelserna i 2 kap. 4 § andra stycket och 10 § gäller även vid andra myndigheters behandling av uppgifter som har lämnats ut genom direktåtkomst med stöd av denna lag.

15

Författningsförslag

Ds 2007:43

Lagen gäller inte vid sådan behandling av personuppgifter som sker enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Scheng- ens informationssystem, lagen (2006:444) om passagerarregister eller lagen (2008:000) om polisens allmänna spaningsregister. Den gäller inte heller vid insamling av personuppgifter genom allmän kameraövervakning, hemlig teleavlyssning, hemlig tele- övervakning, hemlig kameraövervakning eller hemlig rumsav- lyssning.

3 § Följande bestämmelser gäller även vid behandling av upp- gifter om juridiska personer:

1.2 kap. 4 § om personuppgiftsansvar,

2.2 kap. 5–7 §§ om ändamålen för behandlingen,

3.2 kap. 11 § om gallring,

4.3 kap. 1–18 §§ om gemensamt tillgängliga uppgifter,

5.4 kap. 20–22 §§ om behandling av uppgifter i penning- tvättsregister,

6.5 kap. 2–4 §§ om ändamålen för behandlingen hos Säker- hetspolisen,

7.5 kap. 6 § om Säkerhetspolisens personuppgiftsansvar,

8.5 kap. 7 § om gallring hos Säkerhetspolisen, och

9.5 kap. 8–17 §§ om gemensamt tillgängliga uppgifter hos Säkerhetspolisen.

Vad som sägs i de angivna paragraferna om personuppgifter ska därvid avse uppgifter om juridiska personer.

4 § I 2 kap. finns allmänna bestämmelser om sådan behandling av personuppgifter som omfattas av lagen. För behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även bestämmelserna i 3 kap. För behandling i register med uppgifter om resultat av DNA-analyser, fingeravtrycksregister, signalementsregister eller penningtvättsregister, gäller dock sär- skilda bestämmelser i 4 kap. i stället för bestämmelserna i 3 kap.

Bestämmelserna i 5 kap. gäller för behandling av personupp- gifter i Säkerhetspolisens verksamhet. Vid sådan behandling ska

16

Ds 2007:43

Författningsförslag

bestämmelserna i 2–4 kap. tillämpas endast i den utsträckning som framgår av 5 kap.

2 kap. Allmänna bestämmelser om personuppgiftsbehandling i polisens brottsbekämpande verksamhet

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för per- sonuppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § första stycket a), b) och e)–h) om grundläggande krav på behandling,

4.22 § om behandling av personnummer,

5.23 § och 25–27 §§ om information till den registrerade,

6.28 § om rättelse,

7.30–32 §§ om säkerheten vid behandling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.36 § andra stycket och 38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behand-

lingar,

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyn- dighetens befogenheter,

12.48 § om skadestånd, och

13.51 § första stycket, 52 § första stycket och 53 § om över- klagande.

Var och en av de myndigheter som avses i 1 kap. 2 § ska utse ett eller flera personuppgiftsombud.

Information enligt 23 § personuppgiftslagen behöver inte lämnas om uppgifterna samlas in i samband med larm och det

17

Författningsförslag

Ds 2007:43

med hänsyn till omständigheterna inte finns tid att lämna infor- mationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte för- enas med vite.

Tillsyn

3 § Utöver de bestämmelser om tillsyn som avses i 2 § första stycket 11 finns bestämmelser om tillsyn i 1 § lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet.

Personuppgiftsansvar m.m.

4 § Rikspolisstyrelsen eller polismyndigheterna är personupp- giftsansvariga för den behandling av personuppgifter som myn- digheten utför eller som det åligger myndigheten att utföra.

En myndighet som har direktåtkomst till uppgifter enligt denna lag ansvarar för att åtkomsten begränsas enligt 10 §.

Ändamål med behandlingen av personuppgifter

5 § Personuppgifter får, om inte annat följer av 6 eller 7 §, be- handlas endast om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra brott, eller

3.fullgöra de förpliktelser som följer av internationella åta- ganden.

6 § Om personuppgifter behandlas enligt 5 §, får de även be- handlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Tullverket, Kust- bevakningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

18

Ds 2007:43

Författningsförslag

3.annan verksamhet som polisen ansvarar för, om det finns särskilda skäl att tillhandahålla informationen, eller

4.annan myndighets verksamhet, om det enligt lag eller för- ordning åligger polisen att bistå myndigheten med viss uppgift.

Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riks- dagen och regeringen samt, i den utsträckning uppgiftsskyldig- het följer av lag eller förordning, till andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 5 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla infor- mation till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas kon- kursförvaltare.

7 § Personuppgifter får alltid behandlas om

1.behandlingen är nödvändig för diarieföring, eller

2.uppgifterna har lämnats i en anmälan eller liknande och be- handlingen är nödvändig för handläggningen.

Behandling av känsliga personuppgifter

8 § Uppgifter om en person får inte behandlas på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Trots bestämmelsen i första stycket får uppgifter om en per- son som behandlas på annan grund kompletteras med uppgifter som avses i första stycket, om det är absolut nödvändigt för syf- tet med behandlingen. Uppgifter som avses i första stycket får också behandlas om

1.behandlingen är nödvändig för diarieföring, eller

2.uppgifterna har lämnats i en anmälan eller liknande och be- handlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska alltid ut- formas på ett objektivt sätt med respekt för människovärdet.

19

Författningsförslag

Ds 2007:43

Behandling av uppgifter om resultat av DNA-analyser

9 § Uppgifter om resultat av DNA-analyser får endast behandlas

1.i en förundersökning, eller

2.enligt bestämmelserna i 4 kap. om behandling i DNA- register, utredningsregister och spårregister.

Tillgången till personuppgifter

10 § Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Gallring

11 § Personuppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet avslutades. Person- uppgifter som inte kan hänföras till ett ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången.

Bestämmelserna i första stycket gäller inte

1.uppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken,

2.uppgifter som har gjorts gemensamt tillgängliga, och

3.uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

Utlämnande av uppgifter och uppgiftsskyldighet

12 § Personuppgifter som är nödvändiga för att framställa rätts- statistik ska lämnas till den myndighet som ansvarar för att fram- ställa sådan statistik.

13 § Personuppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en interna-

20

Ds 2007:43

Författningsförslag

tionell överenskommelse som Sverige efter riksdagens godkän- nande har tillträtt.

Om det är förenligt med svenska intressen, får uppgifter vida- re lämnas

1.till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till Interpol eller Europol, om det behövs för att myndigheten eller organisationen ska kunna före- bygga, upptäcka, utreda eller beivra brott, eller

2.till utländsk underrättelse- eller säkerhetstjänst.

Av 1 kap. 3 § tredje stycket sekretesslagen (1980:100) följer att uppgifter får lämnas till en utländsk myndighet eller en mel- lanfolklig organisation även i vissa andra fall.

14 § Utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 § sekretesslagen (1980:100) ska personuppgifter som har gjorts gemensamt tillgängliga hos polisen lämnas till Rikspolisstyrelsen, polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, om den motta- gande myndigheten har behov av uppgifterna i sin brottsbekäm- pande verksamhet.

Första stycket gäller inte uppgifter som behandlas i särskilda register med stöd av 4 kap.

15 § Uppgift om huruvida en person förekommer i register med uppgifter om resultat av DNA-analyser ska utan hinder av sek- retess enligt 7 kap. 1 a § och 9 kap. 17 § sekretesslagen (1980:100) lämnas till polismyndighet, Åklagarmyndigheten och Ekobrottsmyndigheten, om den mottagande myndigheten har behov av uppgiften i sin brottsbekämpande verksamhet.

16 § Personuppgifter som behandlas i fingeravtrycks- eller sig- nalementsregister med stöd av 4 kap. 14–19 §§ ska utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 § sekretesslagen (1980:100) lämnas till polismyndighet, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatte-

21

Författningsförslag

Ds 2007:43

verket, om den mottagande myndigheten har behov av uppgif- terna i sin brottsbekämpande verksamhet

17 § Regeringen meddelar föreskrifter om att personuppgifter får lämnas ut även i andra fall än som sägs i 12–16 §§.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behand- ling av personuppgifter som görs eller har gjorts gemensamt till- gängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal bestämda personer inom polisen har rätt att ta del av anses inte som gemensamt tillgängliga.

Personuppgifter som får göras gemensamt tillgängliga

2 § Endast följande personuppgifter får göras gemensamt till- gängliga.

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person, om han eller hon

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad eller kan antas vara farlig för annans personliga säkerhet.

3.Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4.Uppgifter som behövs för att fullgöra de förpliktelser som följer av internationella åtaganden.

5.Uppgifter som har rapporterats till polisens kommunika- tionscentraler.

22

Ds 2007:43

Författningsförslag

Uppgifter om resultat av DNA-analyser får inte göras gemen- samt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap.

Uppgifter som avses i första stycket 4 får göras gemensamt tillgängliga endast om det behövs för att fullgöra den aktuella förpliktelsen.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjäns- temän som har till uppgift att arbeta med övervakningen. Infor- mation om huruvida en person är föremål för övervakning får dock göras tillgänglig för flera.

Särskilda upplysningar

3 § Vid behandling enligt 1 § ska personuppgifterna förses med en särskild upplysning om det närmare ändamålet med behand- lingen. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska det också lämnas upplysning om detta. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha ut- övat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska uppgifterna förses med en särskild upp- lysning om att personen inte är misstänkt. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

23

Författningsförslag

Ds 2007:43

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Vad som sägs i första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning i gemensamt tillgängliga uppgifter på namn, firma, personnummer, samordningsnummer, organisations- nummer eller andra liknande identitetsbeteckningar får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är misstänkt för brott eller för brottslig verksamhet som avses i 2 § första stycket 1,

3.övervakas enligt 2 § första stycket 2,

4.har anmält ett brott eller är målsägande i ett ärende som rör ansvar för brott,

5.är vittne eller annars ska höras eller avge yttrande i ett ärende,

6.har gett in eller tillhandahållits en handling, eller

7.är anmäld försvunnen.

7 § Bestämmelsen i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att under- söka vissa preciserade slag av brottslighet eller vissa preciserade kriminella grupperingar och som enbart de som arbetar i under- sökningen eller som omfattas av andra stycket 2 har åtkomst till.

Bestämmelsen i 6 § gäller inte heller vid sökning som

1.sker för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse

ifyra år eller däröver eller för sådant ändamål som avses i 2 § för- sta stycket 2, och

24

Ds 2007:43

Författningsförslag

2. utförs av särskilt angivna tjänstemän med uppgift att undersöka den brottsliga verksamheten eller övervaka personer enligt 2 § första stycket 2.

Om det finns särskilda skäl får, trots bestämmelsen i 6 §, sök- ning även ske för att utreda brott för vilket är föreskrivet fäng- else i fyra år eller däröver, om sökningen utförs av särskilt angiv- na tjänstemän.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om och under vilka förutsätt- ningar sökning får äga rum med stöd av andra eller tredje stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

8 § Endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat före- skrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

9 § Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndig- heten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåt- komsten samt om behörighet och säkerhet.

10 § Regeringen meddelar föreskrifter om att utländsk myndig- het får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet i den utsträckning detta är nöd- vändigt för fullgörandet av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Direktåt-

25

Författningsförslag

Ds 2007:43

komsten får endast avse personuppgifter som har gjorts gemen- samt tillgängliga.

Behandling av uppgifter i brottsanmälningar

11 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i polisens brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får uppgifterna inte behand- las i polisens brottsbekämpande verksamhet efter det att det på- stådda brottet har preskriberats.

Behandling av uppgifter i avslutade förundersökningar

12 § Om en förundersökning har lett till åtal eller annan dom- stolsprövning, får uppgifterna i förundersökningen inte behand- las i polisens brottsbekämpande verksamhet när det har förflutit fem år sedan domen, eller det beslut som meddelades med an- ledning av talan, vann laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal får uppgifterna i förundersökningen inte be- handlas i polisens brottsbekämpande verksamhet när det har förflutit fem år efter åklagarens eller förundersökningsledarens beslut. Om det i samband med beslutet anges att brottet, trots nedläggningsbeslutet, kan komma att bli föremål för lagföring, får dock behandling ske även senare fram till dess att brottet har preskriberats.

Vad som sägs i första och andra styckena gäller även person- uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

13 § Trots bestämmelserna i 12 § får personuppgifter i en förun- dersökning eller annan utredning som handläggs enligt bestäm- melser i 23 kap. rättegångsbalken behandlas i polisens brottsbe- kämpande verksamhet, om det behövs för att återuppta förun-

26

Ds 2007:43

Författningsförslag

dersökningen eller utredningen eller för en prövning enligt 58 eller 59 kap. rättegångsbalken. Om det finns särskilda skäl, får uppgifterna även behandlas, om det behövs för en utredning som avser brott, för vilket är föreskrivet fängelse i fyra år eller där- över, eller för en undersökning av brottslig verksamhet som in- nefattar sådant brott.

14 § Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, om åtal har lagts ned eller om fri- kännande dom, som har vunnit laga kraft, har meddelats, får en uppgift om att personen är misstänkt för brott inte längre vara sökbar, om inte förundersökningsledaren har beslutat att åter- uppta förundersökningen eller fråga är om prövning enligt 58 eller 59 kap. rättegångsbalken.

Användning av arkiverade uppgifter m.m.

15 § Bestämmelserna i 11–14 §§ hindrar inte att personuppgifter i brottsanmälningar, förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken arkiveras och gallras enligt bestämmelserna i arkivlagen (1990:782). För användningen av arkiverade uppgifter i polisens brottsbekämpande verksamhet gäller dock de begränsningar som anges i 11–14 §§.

Gallring

16 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras enligt bestämmelserna i andra–sjätte styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Om den person som uppgiften avser inte är eller varit misstänkt, ska uppgiften gallras senast tre år efter det att den behandlades automatiserat första gången.

27

Författningsförslag

Ds 2007:43

Uppgifter som har behandlats i samband med sådan övervak- ning som avses i 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseen- de den övervakade personen gjordes. Om en uppgift inte avser den övervakade personen, ska uppgiften gallras senast tre år efter det att den behandlades automatiserat första gången.

Uppgifter som har behandlats med stöd av 2 § första stycket 4 ska gallras senast ett år efter det att ärendet i vilket uppgifterna behandlades avslutades.

Uppgifter som har behandlats med stöd av 2 § första stycket 5 ska gallras senast ett år efter det att de behandlades automatise- rat första gången.

Den tid under vilken en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräk- ningen av de frister som anges i andra och tredje styckena.

17 § Bestämmelserna i 16 § gäller inte

1.personuppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken, och

2.uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

I fråga om behandling av sådana personuppgifter som anges i första stycket 1 gäller vad som sägs i 11–15 §§.

18 § Vad som föreskrivs i 11–16 §§ hindrar inte att regeringen meddelar föreskrifter om att uppgifter i vissa särskilda fall får be- handlas och bevaras under längre tid än vad som anges där.

28

Ds 2007:43

Författningsförslag

4 kap. Register

Register med uppgifter om resultat av DNA-analyser

Ändamål m.m.

1 § Med DNA-analys förstås varje förfarande som kan användas för analys av deoxyribonukleinsyra.

2 § Rikspolisstyrelsen får föra register över uppgifter om resul- tat av DNA-analyser i enlighet med 3–13 §§ (DNA-register, ut- redningsregister och spårregister). Utöver för de ändamål som anges i 2 kap. får sådana register föras för att underlätta identifie- ring av avlidna personer.

DNA-register

3 § Ett DNA-register får innehålla uppgifter om resultatet av DNA-analyser som har gjorts med stöd av bestämmelserna i 28 kap. rättegångsbalken och som avser personer som

1.genom lagakraftvunnen dom har dömts till annan påföljd än böter, eller

2.har godkänt ett strafföreläggande som avser villkorlig dom.

4 § Registreringen av resultatet av en DNA-analys ska begränsas till uppgifter som ger information om den registrerades identitet. Analysresultat som kan ge upplysning om den registrerades per- sonliga egenskaper får inte registreras.

Utöver vad som sägs i första stycket får DNA-registret en- dast innehålla upplysningar som visar i vilket ärende analysen har gjorts och vem analysen avser.

Utredningsregister

5 § Ett utredningsregister får innehålla uppgifter om resultatet av DNA-analyser som har gjorts med stöd av bestämmelserna i

29

Författningsförslag

Ds 2007:43

28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket fängelse kan följa.

Vad som anges i 4 § gäller också vid registrering i utrednings- registret.

Spårregister

6 § Ett spårregister får innehålla uppgifter om resultatet av DNA-analyser som har gjorts under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver uppgifter om analysresultat får spårregistret endast innehålla upplysningar som visar i vilket ärende analysen har gjorts.

7 § Uppgifter i ett spårregister får endast jämföras med analysre- sultat

1.som inte kan hänföras till en identifierbar person,

2.som finns i DNA-registret, eller

3.som kan hänföras till en person som är skäligen misstänkt för brott.

Gallring

8 § Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter i utredningsregistret ska gallras senast när uppgif- terna om den registrerade får föras in i DNA-registret eller när förundersökning eller åtal läggs ned, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter i spårregistret ska gallras senast trettio år efter regi- streringen.

30

Ds 2007:43

Författningsförslag

Särskilda bestämmelser om prov för DNA-analys

9 § Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys, får provet inte användas för något annat ändamål än det för vilket det togs.

10 § Ett prov för DNA-analys som har tagits med stöd av be- stämmelserna i 28 kap. 12–12 b §§ rättegångsbalken ska förstöras senast sex månader efter det att provet togs.

Om uppgifterna i utredningsregistret ska gallras vid en tidi- gare tidpunkt enligt 8 §, ska även det prov som avser den regi- strerade förstöras senast vid samma tidpunkt.

Om provet har tagits från någon som inte är skäligen miss- tänkt för brott, ska provet förstöras så snart målet eller ärendet slutligt har avgjorts.

Utlämnande av uppgifter på medium för automatiserad behandling

11 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för utlämnan- de av uppgifter om resultat av DNA-analyser.

Direktåtkomst

12 § Statens kriminaltekniska laboratorium, polismyndigheter, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till register med uppgifter om resultat av DNA- analyser.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåt- komsten samt om behörighet och säkerhet.

13 § Regeringen meddelar föreskrifter om att utländsk myndig- het får medges direktåtkomst till register med uppgifter om re- sultat av DNA-analyser i den utsträckning detta är nödvändigt för fullgörandet av en internationell överenskommelse som Sve-

31

Författningsförslag

Ds 2007:43

rige efter riksdagens godkännande har tillträtt. Åtkomsten ska begränsas till uppgift om huruvida någon förekommer i registret.

Fingeravtrycks- eller signalementsregister

Ändamål

14 § Rikspolisstyrelsen får föra fingeravtrycks- eller signale- mentsregister i enlighet med 15–19 §§. Utöver för de ändamål som anges i 2 kap. får sådana register föras för att underlätta identifiering av okända personer.

Innehåll

15 § Ett fingeravtrycks- eller signalementsregister får endast innehålla uppgifter om den som är misstänkt eller dömd för brott eller som har fått lämna fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. I ett sådant register får endast antecknas uppgifter om

1.fingeravtryck,

2.signalement,

3.identifieringsuppgifter,

4.ärendenummer, och

5.brottskoder.

Fingeravtrycks- eller signalementsregister får inte innehålla uppgifter som har lämnats av en person under femton år enligt 36 § första stycket 2 lagen (1964:167) med särskilda bestämmel- ser om unga lagöverträdare.

Gallring

16 § Uppgifter i ett fingeravtrycks- eller signalementsregister om en misstänkt person ska gallras senast

1. tio år efter registreringen, om denna skett på grund av misstanke om brott för vilket det inte föreskrivs strängare straff än fängelse i två år,

32

Ds 2007:43

Författningsförslag

2.femton år efter registreringen, om denna skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än fängelse i två år men inte strängare straff än fängelse i åtta år,

3.tjugofem år efter registreringen, om denna skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än fängelse i åtta år,

4.tre månader efter det att åtal mot personen har lagts ned eller efter att personen genom lagakraftvunnen dom har frikänts, eller

5.tre månader efter det att en förundersökning mot personen har lagts ned.

Om en person blir misstänkt för ett nytt brott före utgången av den tid som anges i första stycket 1, 2 eller 3 får de uppgifter som finns registrerade om personen bevaras till dess att den se- nare registreringen avseende personen ska gallras enligt första stycket.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll ska gall- ras när uppgifterna inte längre behövs för ändamålet med be- handlingen eller enligt föreskrifter som regeringen meddelar.

Utlämnande av uppgifter på medium för automatiserad behandling

17 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för utläm- nande av uppgifter i ett fingeravtrycks- eller signalementsregis- ter.

Direktåtkomst

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i ett fingeravtrycks- eller signalementsregister.

33

Författningsförslag

Ds 2007:43

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåt- komsten samt om behörighet och säkerhet.

19 § Regeringen meddelar föreskrifter om att utländsk myndig- het får medges direktåtkomst till ett fingeravtrycks- eller signa- lementsregister i den utsträckning detta är nödvändigt för fullgö- randet av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Åtkomsten ska begränsas till uppgift om huruvida någon förekommer i registret.

Penningtvättsregister

Ändamål m.m.

20 § Rikspolisstyrelsen får behandla uppgifter i penningtvättsre- gister om det behövs för att förebygga, förhindra eller upptäcka

1.brottslig verksamhet där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2.brottslig verksamhet som innefattar brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brotts- lighet i vissa fall, m.m.

I ett sådant register får endast behandlas uppgifter som kan antas ha samband med sådan misstänkt brottslig verksamhet som avses i första stycket 1 och 2, uppgifter som har rapporterats till myndigheten med stöd av bestämmelser i lag eller annan författ- ning och uppgifter som har lämnats av en utländsk myndighet som ansvarar för arbetet med att förebygga, förhindra eller upp- täcka sådan brottslig verksamhet som avses i första stycket 1 och 2 i det landet.

Gallring

21 § Personuppgifter i ett penningtvättsregister ska gallras se- nast fem år efter utgången av det kalenderår då den senaste regi- streringen avseende personen gjordes.

34

Ds 2007:43

Författningsförslag

Första stycket gäller inte om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att uppgifter ska bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av uppgifter på medium för automatiserad behandling

22 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling gäller även för uppgifter i ett penningtvättsregister.

5 kap. Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

Allmänna bestämmelser

1 § Detta kapitel innehåller bestämmelser om behandling av per- sonuppgifter hos Säkerhetspolisen i dess brottsbekämpande verksamhet.

Ändamål

2 § I Säkerhetspolisens brottsbekämpande verksamhet får, om inte annat följer av 3 eller 4 §, personuppgifter behandlas endast om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot rikets säkerhet,

b) terroristbrott enligt 2 § lagen (2003:148) om straff för ter- roristbrott,

c) brott enligt 3 § lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, m.m., eller

d) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2.utreda eller beivra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

35

Författningsförslag

Ds 2007:43

3.fullgöra bevaknings- och säkerhetsarbete avseende person- skydd,

4.fullgöra de uppgifter som följer av säkerhetsskyddslagen (1996:627),

5.fullgöra de förpliktelser som följer av internationella åtaganden, eller

6.lämna tekniskt biträde till Rikspolisstyrelsen, polismyndig- heter, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tull- verket.

3 § Om personuppgifter behandlas enligt 2 §, får de även be- handlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Rikspolisstyrelsen, po- lismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2.Försvarsmaktens försvarsunderrättelseverksamhet och mi- litära säkerhetstjänst, om det finns särskilda skäl att tillhanda- hålla informationen, eller

3.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation.

Personuppgifter som behandlas enligt 2 § får även behandlas, om det är nödvändigt för att tillhandahålla information till riks- dagen och regeringen samt, i den utsträckning uppgiftsskyldig- het följer av lag eller förordning, andra.

Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 2 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla infor- mation till vissa särskilt angivna myndigheter.

4 § Bestämmelserna i 2 kap. 7 § om diarieföring av personupp- gifter m.m. gäller även för behandling av personuppgifter hos Säkerhetspolisen.

36

Ds 2007:43

Författningsförslag

Tillämpliga bestämmelser i 2 kap.

5 § Följande bestämmelser i 2 kap. ska tillämpas vid behandling av personuppgifter hos Säkerhetspolisen:

1.1 och 2 §§ om förhållandet till personuppgiftslagen,

2.3 § om tillsyn,

3.8 § om behandling av känsliga personuppgifter,

4.9 § om behandling av uppgifter om resultatet av DNA- analyser,

5.10 § om tillgången till uppgifter, och

6.12, 13 och 17 §§ om utlämnande av uppgifter.

Personuppgiftsansvar

6 § Säkerhetspolisen är personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

Gallring

7 § Personuppgifter som behandlas automatiserat i ett ärende hos Säkerhetspolisen ska gallras senast ett år efter det att ärendet avslutades. Personuppgifter som inte kan hänföras till ett ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången.

Bestämmelserna i första stycket gäller inte

1.uppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken,

2.uppgifter som har gjorts gemensamt tillgängliga, och

3.uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

37

Författningsförslag

Ds 2007:43

Gemensamt tillgängliga uppgifter

8 § Om det behövs för de ändamål som anges i 2 §, får person- uppgifter göras gemensamt tillgängliga i Säkerhetspolisens verk- samhet. Uppgifter om resultat av DNA-analyser får dock inte göras gemensamt tillgängliga. Uppgifter som endast ett fåtal be- stämda personer hos Säkerhetspolisen har rätt att ta del av anses inte som gemensamt tillgängliga.

Bestämmelserna i 9–17 §§ gäller för behandling av personupp- gifter som görs eller har gjorts gemensamt tillgängliga.

Särskilda upplysningar

9 § Vid behandling enligt 8 § ska personuppgifterna förses med en särskild upplysning om det närmare ändamålet med behand- lingen. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

10 § Om uppgifter, som behandlas enligt 8 §, direkt kan hänfö- ras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska de förses med en särskild upplysning om att personen inte är misstänkt. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständigheterna.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Upplysning behöver dock inte lämnas, om det på grund av sär- skilda omständigheter är onödigt. Upplysning behöver inte hel- ler lämnas om

1.uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till, och

2.bearbetningen och analysen befinner sig i ett inledande skede.

38

Ds 2007:43

Författningsförslag

Sökning

11 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för de ändamål som anges i 2 §.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

12 § Vid sökning i gemensamt tillgängliga uppgifter får endast följande uppgifter tas fram:

1.identifieringsuppgifter,

2.uppgifter om grunden för registreringen, och

3.hänvisning till de ärenden där uppgifter om personen be- handlas.

13 § Bestämmelsen i 12 § gäller inte vid sökning

1.i en viss handling eller i ett visst ärende, eller

2.i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänste- män har åtkomst till.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om och under vilka förutsätt- ningar sökning får ske enligt första stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

14 § Bestämmelsen i 3 kap. 8 § om utlämnande av uppgifter på medium för automatiserad behandling ska tillämpas även vid ut- lämnande av uppgifter som behandlas hos Säkerhetspolisen.

39

Författningsförslag

Ds 2007:43

Behandling av uppgifter i avslutade förundersökningar m.m.

15 § Bestämmelserna i 3 kap. 11–15 §§ om behandling av upp- gifter i avslutade förundersökningar m.m. ska tillämpas även vid behandling av personuppgifter hos Säkerhetspolisen.

Gallring

16 § Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den se- naste registreringen avseende personen gjordes.

Personuppgifter som behandlas i en sådan uppgiftssamling som avses i 10 § andra stycket 1 ska dock gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Säkerhetspolisen får besluta att personuppgifter får behandlas längre tid än vad som sägs i första och andra styckena, om upp- gifterna fortfarande behövs för det ändamål för vilket de be- handlas. Om uppgifter bevaras med stöd av ett sådant beslut, ska de gallras, eller frågan om bevarande prövas på nytt, senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i andra stycket, senast vid ut- gången av det tredje kalenderåret efter beslutet.

17 § Bestämmelserna i 16 § gäller inte

1.personuppgifter i en brottsanmälan, förundersökning eller annan utredning som handläggs enligt bestämmelser i 23 kap. rättegångsbalken, och

2.uppgifter som ska bevaras för historiska, statistiska eller vetenskapliga ändamål enligt föreskrifter som har meddelats av regeringen eller den myndighet som regeringen har bestämt.

I fråga om behandling av sådana personuppgifter som anges i första stycket 1 ska i stället 3 kap. 11–15 §§ tillämpas.

40

Ds 2007:43

Författningsförslag

1.Denna lag träder i kraft den 1 januari 2009, då polisdatala- gen (1998:622) upphör att gälla.

2.I fråga om behandling av personuppgifter i en särskild un- dersökning enligt 14 § första stycket 1 polisdatalagen (1998:622) som har beslutats före ikraftträdandet av denna lag gäller be- stämmelserna i polisdatalagen i stället för bestämmelserna i denna lag till utgången av år 2010.

3.För de personregister som har förts med stöd av punkten 2

iövergångsbestämmelserna till polisdatalagen (1998:622) gäller bestämmelserna i datalagen (1973:289) i stället för bestämmel-

serna i denna lag till utgången av år 2010. Bestämmelserna i 2 kap. 12, 13 och 17 §§ denna lag ska dock tillämpas på uppgif- terna i registren från lagens ikraftträdande.

Vad som sägs i första stycket gäller inte fingeravtrycksre- gistret, signalements- och känneteckensregistret och det allmän- na spaningsregistret.

4. Datainspektionens tillstånd att föra sådana register som av- ses i punkten 3 andra stycket upphör att gälla vid ikraftträdandet av denna lag.

Datainspektionens tillstånd att föra övriga register som avses i punkten 3 upphör att gälla vid utgången av år 2010 eller vid den tidigare tidpunkt då den personuppgiftsansvarige avanmäler re- gistret hos inspektionen.

5. Bestämmelserna om särskilda upplysningar i 3 kap. 3 och 4 §§ behöver inte tillämpas förrän den 1 januari 2011 i fråga om uppgifter som har samlats in före ikraftträdandet.

6. Bestämmelserna om gallring och om behandling av upp- gifter i brottsanmälningar och avslutade förundersökningar i 3 kap. 11–17 och 5 kap. 15 §§ ska inte tillämpas förrän den 1 januari 2011 i fråga om uppgifter som har samlats in före ikraft- trädandet. I stället ska motsvarande bestämmelser i polisdatala- gen (1998:622) tillämpas. För uppgifter i ett register som har avanmälts enligt punkten 4 gäller dock bestämmelserna i denna lag.

41

Författningsförslag

Ds 2007:43

2.2Förslag till

lag om polisens allmänna spaningsregister

Härigenom föreskrivs följande.

Allmänt spaningsregister

1 § Rikspolisstyrelsen får med hjälp av automatiserad behand- ling föra ett allmänt spaningsregister.

Rikspolisstyrelsen är personuppgiftsansvarig för behand- lingen av personuppgifter i registret. En myndighet som har direktåtkomst enligt denna lag ansvarar för att åtkomsten be- gränsas enligt 11 §.

Ändamål

2 § Det allmänna spaningsregistret ska ha till ändamål att underlätta tillgången till personuppgifter som behövs för spaning i polisens brottsbekämpande verksamhet.

Vilka personuppgifter som får behandlas

3 § I det allmänna spaningsregistret får behandlas uppgifter som kan hänföras till en enskild person, om

1.den som uppgiften avser kan misstänkas för att ha begått ett brott som inte enbart har böter i straffskalan, och

2.behandlingen är av särskild betydelse för brottsbekämp- ningen.

4 § I registret får behandlas uppgifter som kan hänföras till en enskild person som inte kan misstänkas för brott, om uppgiften

1.har samband med en person som har registrerats enligt 3 §,

och

2.är av särskild betydelse för polisens spaningsverksamhet.

42

Ds 2007:43

Författningsförslag

5 § Utöver de uppgifter som får behandlas enligt 3 och 4 §§ får uppgifter behandlas om en juridisk person, ett transportmedel eller annat föremål som kan hänföras till en enskild person, om

1.uppgiften kan antas ha samband med ett brott som inte en- bart har böter i straffskalan, och

2.behandlingen är av särskild betydelse för brottsbekämp- ningen.

Innehåll

6 § Det allmänna spaningsregistret ska innehålla uppgifter om

1.grunden för att en person registreras enligt 3 § eller att en juridisk person, ett transportmedel eller föremål enligt 5 § förs in

iregistret och omständigheterna i samband med registreringen,

2.de omständigheter och händelser som ger upphov till att andra uppgifter än sådana som avses i 1 tillförs registret,

3.den behandlade uppgiftens ursprung, och

4.uppgiftslämnarens trovärdighet och uppgifternas riktighet i

sak.

7 § Det allmänna spaningsregistret får, utöver vad som anges i 6 §, endast innehålla följande uppgifter om en person som har registrerats enligt 3 §:

1.uppgift som är ägnad att identifiera personen, dock inte uppgifter om resultat av DNA-analyser eller fingeravtryck,

2.uppgift om vistelseadress,

3.uppgift om verkställighet av påföljd för brott,

4.uppgift om att personen är eftersökt i samband med brott,

5.uppgift om att personen tidigare har varit beväpnad, våld- sam eller flyktbenägen,

6.uppgift om att personen är föremål för sådan övervakning som avses i 3 kap. 2 § första stycket 2 lagen (2008:000) om be- handling av personuppgifter i polisens brottsbekämpande verk- samhet,

7.uppgift om anknytning till juridisk person,

43

Författningsförslag

Ds 2007:43

8.uppgift om anknytning till andra personer som har regi- strerats enligt 3 § och som kan antas tillhöra samma gruppering som den registrerade,

9.uppgift om att personen har något speciellt tillvägagångs- sätt, och

10.ärendenummer.

8 § Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får registre- ras i det allmänna spaningsregistret och om förfarandet vid regi- streringen.

Särskilda upplysningar

9 § Uppgifter i det allmänna spaningsregistret som direkt kan hänföras till en person som inte misstänks för brott ska förses med en särskild upplysning om detta. Detsamma gäller uppgifter om en juridisk person eller ett transportmedel som indirekt kan hänföras till en sådan person. Upplysning behöver dock inte lämnas om förhållande som ändå framgår tydligt av omständig- heterna.

Registrering av känsliga personuppgifter

10 § Uppgifter om en person får inte registreras i det allmänna spaningsregistret på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Trots bestämmelsen i första stycket får uppgifter om en per- son som registreras på annan grund kompletteras med sådana uppgifter som avses i första stycket om det är absolut nödvän- digt för syftet med registreringen.

Uppgifter som beskriver en persons utseende ska alltid ut- formas på ett objektivt sätt med respekt för människovärdet.

44

Ds 2007:43

Författningsförslag

Tillgången till personuppgifter

11 § Tillgången till personuppgifter i det allmänna spaningsre- gistret ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Sökning

12 § Uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackfö- rening eller som rör hälsa eller sexualliv får inte användas som sökbegrepp vid sökning i det allmänna spaningsregistret. Detta hindrar inte att uppgifter som beskriver en persons utseende an- vänds som sökbegrepp.

13 § Uppgifter i det allmänna spaningsregistret som direkt kan hänföras till en person som inte är misstänkt för brott får inte vara sökbara.

Utlämnande av uppgifter och uppgiftsskyldighet

14 § Personuppgifter i det allmänna spaningsregistret som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

15 § Personuppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en interna- tionell överenskommelse som Sverige efter riksdagens godkän- nande har tillträtt.

Om det är förenligt med svenska intressen, får uppgifter vida- re lämnas till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller till Interpol eller Europol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, upptäcka, utreda eller beivra brott.

45

Författningsförslag

Ds 2007:43

Av 1 kap. 3 § tredje stycket sekretesslagen (1980:100) följer att uppgifter får lämnas till en utländsk myndighet eller en mel- lanfolklig organisation även i vissa andra fall.

16 § Utan hinder av sekretess enligt 7 kap. 1 a § och 9 kap. 17 § sekretesslagen (1980:100) ska personuppgifter i det allmänna spaningsregistret lämnas till

1.polismyndighet, Ekobrottsmyndigheten, Tullverket, Kust- bevakningen och Skatteverket, om myndigheten har behov av uppgifterna i sin brottsbekämpande verksamhet, eller

2.polismyndighet, om myndigheten har behov av uppgifterna

iannan verksamhet än den brottsbekämpande verksamheten och det finns särskilda skäl för att lämna ut dem.

Regeringen meddelar föreskrifter om att uppgifter får lämnas ut till andra myndigheter än de som anges i första stycket.

Utlämnande av uppgifter på medium för automatiserad behandling

17 § Endast enstaka personuppgifter i det allmänna spaningsre- gistret får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall har beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

18 § Polismyndigheter, Ekobrottsmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till det allmänna spa- ningsregistret.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåt- komsten samt om behörighet och säkerhet.

46

Ds 2007:43

Författningsförslag

Gallring

19 § Uppgifter i det allmänna spaningsregistret om en person som har registrerats enligt 3 § ska gallras senast tre år efter det att uppgiften om misstanke om brott registrerades. Om uppgif- ten avser misstanke om brott för vilket lindrigare straff än fäng- else i två år inte är föreskrivet, behöver dock uppgifterna inte gallras förrän fem år efter registreringen.

Om en ytterligare uppgift om personen förs in i registret, be- höver uppgifterna om den registrerade personen inte gallras för- rän

1.fem år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om brott för vilket inte är före- skrivet lindrigare straff än fängelse i två år,

2.tre år från det att den nya uppgiften fördes in i registret, om uppgiften avser misstanke om annat brott än i 1, eller

3.ett år från det att den nya uppgiften fördes in i registret, om uppgiften inte avser misstanke om brott.

Den tid under vilken en person som har registrerats enligt 3 § avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i första och andra styckena.

Uppgifter om en person som avses i 4 § ska gallras senast när uppgifterna om den person som har registrerats enligt 3 § och som uppgifterna har samband med gallras.

20 § Uppgifter om en juridisk person, ett transportmedel eller annat föremål som har registrerats enligt 5 § ska gallras senast tre år efter den senaste registreringen. Om den senast införda upp- giften avser ett brott för vilket lindrigare straff än fängelse i två år inte är föreskrivet, behöver dock uppgifterna inte gallras för- rän fem år efter det att den senaste uppgiften infördes.

21 § Vad som föreskrivs i 19 och 20 §§ hindrar inte att regering- en eller den myndighet som regeringen bestämmer

47

Författningsförslag

Ds 2007:43

1.meddelar föreskrifter om att uppgifter gallras vid en tidi- gare tidpunkt, eller bevaras för historiska, statistiska eller veten- skapliga ändamål, eller

2.i ett enskilt fall beslutar att en uppgift ska bevaras om det finns synnerliga skäl för det.

Ett beslut enligt första stycket 2 ska omprövas varje år.

Rättelse och skadestånd

22 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.

Denna lag träder i kraft den 1 januari 2009 och gäller till och med den 31 december 2014.

48

Ds 2007:43

Författningsförslag

2.3Förslag till

lag om ändring i rättegångsbalken

Härigenom föreskrivs att 28 kap. 12 a och 12 b §§ rättegångs- balken ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

28 kap.

12 a §0F1 Kroppsbesiktning genom

tagande av salivprov får ske på den som skäligen kan misstän- kas för ett brott på vilket fäng- else kan följa, om syftet är att göra en DNA-analys av provet och registrera uppgifter om resultatet av analysen i det DNA-register eller det utred- ningsregister som förs enligt polisdatalagen (1998:622).

1 Senaste lydelse 2005:878.

Författningsförslag									Ds 2007:43
					2
				12 b §1F
Kroppsbesiktning			genom		Kroppsbesiktning				genom
tagande av salivprov får ske på					tagande av salivprov får ske på
annan än den som skäligen kan					annan än den som skäligen kan
misstänkas för ett brott, om					misstänkas för ett brott, om
1. syftet är att genom en					1. syftet är att genom en
DNA-analys av provet under-					DNA-analys av provet under-
lätta identifiering vid utredning					lätta identifiering vid utredning
av ett brott på vilket fängelse					av ett brott på vilket fängelse
kan följa, och					kan följa, och
2. det finns synnerlig anled-					2. det finns synnerlig anled-
ning att anta att det är av bety-					ning att anta att det är av bety-
delse för utredningen av brot-					delse för utredningen av brot-
tet.					tet.
Analysresultatet			får	inte	Analysresultatet				får	inte
jämföras med de uppgifter som					jämföras med de uppgifter som
finns	registrerade	i	register		finns	registrerade		i	register
som	förs enligt polisdatalagen				som	förs	enligt			lagen
(1998:622) eller i övrigt an-					(2008:000) om		behandling av
vändas för annat ändamål än					personuppgifter i polisens brotts-
det för vilket provet har tagits.					bekämpande verksamhet eller i
Första stycket		gäller		inte	övrigt användas för annat än-
den som är under 15 år.					damål än det för vilket provet
					har tagits.
					Första stycket			gäller		inte
					den som är under 15 år.

Denna lag träder i kraft den 1 januari 2009.

2 Senaste lydelse 2005:878.

50

Författningsförslag

Ds 2007:43

kets säkerhet			eller	förebygga		enligt 5 kap. 2 §		1 samma lag
terroristbrott		enligt		2 §	lagen	gäller sekretess, om det inte
(2003:148) om straff för terro-						står klart att uppgiften kan rö-
ristbrott	gäller		sekretess,		om	jas utan att syftet med beslu-
det inte står klart att uppgiften						tade eller	förutsedda		åtgärder
kan röjas utan att syftet med						motverkas	eller	den	framtida
beslutade eller förutsedda åt-						verksamheten		skadas.		Det-
gärder	motverkas			eller	den	samma gäller		uppgift		som
framtida verksamheten skadas.						hänför sig till sådan underrät-
Detsamma gäller uppgift som						telseverksamhet som avses i 2 §
hänför sig till sådan underrät-						lagen (1999:90) om behandling
telseverksamhet som avses i 2 §						av personuppgifter vid Skatte-
lagen (1999:90) om behandling						verkets medverkan i brotts-
av personuppgifter vid Skat-						utredningar samt sådan verk-
teverkets medverkan i brotts-						samhet som avses i 7 § 1 lagen
utredningar samt sådan verk-						(2005:787)	om	behandling av
samhet som avses i 7 § 1 lagen						uppgifter i Tullverkets brotts-
(2005:787)		om	behandling av			bekämpande verksamhet.

uppgifter i Tullverkets brotts- bekämpande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verk- samhet hos myndighet för att biträda åklagarmyndighet, polis- myndighet, Skatteverket, Tullverket eller Kustbevakningen med att förebygga, uppdaga, utreda eller beivra brott samt hos till- synsmyndigheten i konkurs och hos Kronofogdemyndigheten för uppgift som angår misstanke om brott.

Utan hinder av sekretessen enligt andra stycket kan enskild få uppgift om huruvida han eller hon förekommer i Säkerhetspoli- sens register med anledning av den verksamhet som bedrevs med stöd av

1.personalkontrollkungörelsen (1969:446) och de tilläggsföreskrifter som utfärdats med stöd av den,

2.förordningen den 3 december 1981 med vissa bestämmelser om verksamheten vid Rikspolisstyrelsens säkerhetsavdelning, eller

3.motsvarande äldre bestämmelser.

52

Ds 2007:43

Författningsförslag

Sekretess gäller inte för uppgift som hänför sig till sådan verksamhet hos Säkerhetspolisen som avses i andra stycket om uppgiften har införts i en allmän handling före år 1949. I fråga om annan uppgift i allmän handling som hänför sig till sådan verksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om uppgift i allmän handling i övrigt gäller sek- retessen i högst fyrtio år.

7 §4F3

Sekretess gäller i verksamhet som avser rättsligt samarbete på begäran av annan stat eller mellanfolklig domstol för uppgift som hänför sig till

1.utredning enligt bestämmelserna om förundersökning i brottmål, eller

2.angelägenhet som angår tvångsmedel,

om det kan antas att det varit en förutsättning för den andra statens eller den mellanfolkliga domstolens begäran att uppgiften

inte skulle röjas.
Motsvarande sekretess gäll-						Motsvarande sekretess gäll-
er hos		polismyndighet			och	er	hos	polismyndighet			och
åklagarmyndighet				samt	hos	åklagarmyndighet			samt		hos
Rikspolisstyrelsen,				Tullverket		Rikspolisstyrelsen,			Tullverket
och	Kustbevakningen,				för	och	Kustbevakningen,				för
uppgift i en angelägenhet som						uppgift i en angelägenhet som
avses	i	3 §	1 och 6		lagen	avses i		3 § 1 och		6	lagen
(2000:344) om Schengens in-						(2000:344) om Schengens in-
formationssystem.				Utan	hin-	formationssystem.			Utan		hin-
der av sekretessen enligt detta						der av sekretessen enligt detta
stycke får uppgift lämnas ut						stycke får uppgift lämnas ut
enligt vad som föreskrivs i po-						enligt vad som föreskrivs i la-
lisdatalagen			(1998:622)		och	gen (2008:000) om behandling
lagen om Schengens informa-						av	personuppgifter		i	polisens
tionssystem.						brottsbekämpande			verksamhet

3 Senaste lydelse 2003:1161.

53

Författningsförslag

Ds 2007:43

och lagen om Schengens in- formationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år.

7 kap.

41 §5F4

Sekretess gäller hos polismyndighet och åklagarmyndighet, samt hos Rikspolisstyrelsen, Tullverket, Kustbevakningen och Migrationsverket, för uppgift om enskilds personliga förhållan- den i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem

1. om omhändertagande av en person som har efterlysts för

överlämnande eller utlämning,
2. om att en person skall	2. om att en person ska ne-
nekas tillträde till eller uppe-	kas tillträde till eller uppe-
hållstillstånd i Schengensta-	hållstillstånd i Schengensta-
terna (spärrlista),	terna (spärrlista),

3.om tillfälligt omhändertagande av en person med hänsyn till dennes eller någon annans säkerhet, samt

4.om dold övervakning eller särskilda kontrollåtgärder,

om det inte står klart att uppgiften kan lämnas ut utan att den enskilde eller någon honom närstående lider men.

Sekretess gäller hos myndighet som prövar ansökningar om visering och uppehållstillstånd för uppgift om enskilds person- liga förhållanden i en angelägenhet som avser en sådan framställ- ning som avses i första stycket 2 under samma förutsättningar

som anges i första stycket.
Utan hinder av sekretessen			Utan hinder av sekretessen
får uppgift lämnas ut enligt vad			får uppgift lämnas ut enligt vad
som föreskrivs i polisdatalagen			som	föreskrivs		i	lagen
(1998:622)	och	lagen	(2008:000)		om behandling av
(2000:344) om Schengens in-			personuppgifter i polisens brotts-
formationssystem.			bekämpande		verksamhet		och

4 Senaste lydelse 2003:1161.

54

Ds 2007:43

Författningsförslag

lagen (2000:344) om Scheng- ens informationssystem.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

9 kap.

17 §6F5

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1.i utredning enligt bestämmelserna om förundersökning i brottmål,

2.i angelägenhet som avser användning av tvångsmedel i så- dant mål eller i annan verksamhet för att förebygga brott,

3.i angelägenhet som avser registerkontroll och särskild per- sonutredning enligt säkerhetsskyddslagen (1996:627),

4.i åklagarmyndighets, polismyndighets, Skatteverkets, Sta- tens kriminaltekniska laboratoriums, Tullverkets eller Kustbe- vakningens verksamhet i övrigt för att förebygga, uppdaga, utre- da eller beivra brott,

5.i Statens biografbyrås verksamhet att biträda Justitiekans- lern, allmän åklagare eller polismyndighet i brottmål,

6. i register som förs av		6. i register som förs av
Rikspolisstyrelsen enligt	po-	Rikspolisstyrelsen enligt lagen
lisdatalagen (1998:622)	eller	(2008:000) om behandling av
som annars behandlas där med		personuppgifter i polisens brotts-
stöd av samma lag,		bekämpande verksamhet eller
		som annars behandlas där med
		stöd av samma lag,

7. i register som förs enligt lagen (1998:621) om misstankere- gister,

8. i det register som förs en- ligt lagen (2008:000) om poli- sens allmänna spaningsregister,

5 Senaste lydelse 2006:697.

55

Författningsförslag

Ds 2007:43

8. i register som förs av				9. i register som förs av
Skatteverket		enligt	lagen	Skatteverket	enligt	lagen
(1999:90) om behandling av				(1999:90) om behandling av
personuppgifter vid Skattever-				personuppgifter vid Skattever-
kets medverkan i brottsutred-				kets medverkan i brottsutred-
ningar eller som annars be-				ningar eller som annars be-
handlas där med stöd av				handlas där med stöd av
samma lag,				samma lag,
9.	i särskilt ärenderegister			10. i särskilt ärenderegister
över brottmål som förs av				över brottmål som förs av
åklagarmyndighet, om uppgif-				åklagarmyndighet, om uppgif-
ten inte hänför sig till registre-				ten inte hänför sig till registre-
ring som avses i 15 kap. 1 §,				ring som avses i 15 kap. 1 §,
10. i register som förs av				11. i register som förs av
Tullverket		enligt	lagen	Tullverket	enligt	lagen
(2005:787) om behandling av				(2005:787) om behandling av
uppgifter i Tullverkets brotts-				uppgifter i Tullverkets brotts-
bekämpande		verksamhet	eller	bekämpande	verksamhet	eller
som	annars	behandlas	med	som annars	behandlas	med
stöd av samma lag,				stöd av samma lag,

om det inte står klart att uppgiften kan röjas utan att den en- skilde eller någon närstående till den enskilde lider skada eller men.

Sekretess enligt första stycket 2 gäller hos domstol i dess rättsskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till den enskilde lider skada eller men om uppgiften röjs. Vid förhandling om an- vändning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs. Av 12 kap. 2 § andra stycket framgår att även sekretessen enligt första stycket 1 är begränsad hos domstol.

Sekretess enligt första stycket gäller hos tillsynsmyndigheten i konkurs för uppgift som angår misstanke om brott.

56

Författningsförslag

Ds 2007:43

ling av uppgifter i Tullverkets	brottsbekämpande verksamhet
brottsbekämpande verksamhet	och lagen (2008:000) om be-
samt i förordningar som har	handling	av	personuppgifter i
stöd i dessa lagar,	polisens brottsbekämpande verk-
	samhet	samt	i förordningar
	som har stöd i dessa lagar,

4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

Utan hinder av sekretessen får polisen på begäran av den som lidit person- eller sakskada vid en trafikolycka lämna uppgift om identiteten hos en trafikant som haft del i olyckan.

Utan hinder av sekretessen enligt första stycket 1 får uppgift lämnas till konkursförvaltare, om uppgiften kan antas ha bety- delse för konkursutredningen.

Sekretess gäller inte för uppgift som hänför sig till sådan verksamhet hos Säkerhetspolisen som avses i första stycket 1–4 eller 6 eller motsvarande verksamhet enligt äldre bestämmelser, om uppgiften har införts i en allmän handling före år 1949. I fråga om annan uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2009.

58

Författningsförslag

Ds 2007:43

2.5Förslag till

lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12, 21 och 22 §§ säkerhetsskyddsla- gen (1996:627) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1

Med

registerkontroll avses

12 §7F

Med

registerkontroll

avses

att uppgifter hämtas från ett re-

kontroll av om det förekommer

gister som omfattas av lagen

uppgifter om en person i register

(1998:620)

om

belastningsre-

som förs av polisen eller om så-

gister,

lagen

(1998:621)

om

dana uppgifter annars behandlas

misstankeregister

eller

polisda-

där

i

den

brottsbekämpande

talagen (1998:622). Med regis-

verksamheten.

terkontroll avses också att såda-

Vid

en registerkontroll ska

na personuppgifter hämtas

som

uppgifter

hämtas

från

register

Rikspolisstyrelsen

eller

Säker-

som

omfattas

av

lagen

hetspolisen behandlar utan

att

(1998:620)

om

belastningsre-

det ingår i ett sådant register

gister och lagen (1998:621) om

som avses i första stycket. Med

misstankeregister.

Vidare

ska

registerkontroll avses dock

inte

uppgifter hämtas som Säkerhets-

att uppgifter hämtas från en för-

polisen behandlar med stöd av

undersökning eller särskild un-

5 kap. lagen (2008:000) om be-

dersökning i

kriminalunderrät-

handling

av

personuppgifter i

telseverksamhet.

polisens

brottsbekämpande

verksamhet.

Uppgifter

får

också

hämtas

från

register

som

omfattas av

4 kap. lagen om behandling av personuppgifter i polisens brotts-

1 Senaste lydelse 1998:625.

59

Ds 2007:43

Författningsförslag

1. Riksdagens ombudsmän, Justitiekanslern eller Datainspek- tionen för deras tillsynsverksamhet,

2. polis-, skatte-, tull- eller

åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § första stycket 1–3,

3.förvaltningsdomstol för prövning enligt 2 § första stycket 4

eller

4.myndighet i övrigt i den utsträckning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger till- stånd till det.

Regeringen får föreskriva att en myndighet som avses i första stycket får ha direktåtkomst till registret.

Denna lag träder i kraft den 1 januari 2009.

63

Författningsförslag

Ds 2007:43

2.7Förslag till

lag om ändring i lagen (1998:621) om miss- tankeregister

Härigenom föreskrivs att 2 och 5 §§ lagen (1998:621) om misstankeregister ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1
	2 §12F
Misstankeregistret skall fö-	Misstankeregistret ska föras
ras för att underlätta tillgången	för att underlätta tillgången till
till sådana uppgifter om skälig	sådana uppgifter	om	skälig
misstanke om brott som be-	misstanke om brott som be-
hövs i verksamhet hos	hövs i verksamhet hos
1. polis-, skatte- och tull-	1. polismyndigheter,		Skatte-
myndigheter för att samordna	verket, Tullverket och Kustbe-
förundersökningar mot en per-	vakningen för att	samordna
son och för att förebygga,	förundersökningar mot en per-
upptäcka och utreda brott,	son och för att förebygga, upp-
	täcka och utreda brott,

2.åklagarmyndigheter för beslut om förundersökning och åtal och

3.polismyndigheter och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.

Registret får användas också för att till enskild lämna uppgif- ter som är av särskild betydelse i dennes verksamhet.

1 Senaste lydelse 1999:92.

64

Ds 2007:43	Författningsförslag
	2
	5 §13F
Uppgifter ur misstankere-	Uppgifter ur misstankere-
gistret skall lämnas ut om det	gistret ska lämnas ut om det
begärs av	begärs av
1. polis-, skatte-, tull- eller	1. polismyndighet, Skattever-
åklagarmyndighet eller allmän	ket, Tullverket, Kustbevakning-
domstol för verksamhet som	en, åklagarmyndighet eller all-
avses i 2 § första stycket 1–3,	män domstol för verksamhet
	som avses i 2 § första stycket
	1–3,

2. myndighet i övrigt i den utsträckning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger till- stånd till det.

Regeringen får föreskriva att en myndighet som avses i första stycket får ha direktåtkomst till registret.

Att uppgifter får lämnas ut i vissa andra fall framgår av 14 kap. sekretesslagen (1980:100).

Denna lag träder i kraft den 1 januari 2009.

2 Senaste lydelse 1999:92.

65

Ds 2007:43

Författningsförslag

2.9Förslag till

lag om ändring i lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1 § lagen (2007:000) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Lydelse	enligt		proposition	Föreslagen lydelse
2006/07:133
Säkerhets- och integritets-				1 §	Säkerhets- och integritets-
skyddsnämnden			(nämnden)	skyddsnämnden				(nämnden)
skall utöva tillsyn över brotts-				ska utöva tillsyn över brotts-
bekämpande myndigheters an-				bekämpande myndigheters an-
vändning av hemliga tvångs-				vändning av hemliga tvångs-
medel	och		kvalificerade	medel		och		kvalificerade
skyddsidentiteter			och därmed	skyddsidentiteter				och	därmed
sammanhängande verksamhet.				sammanhängande verksamhet.
Nämnden skall			även utöva		Nämnden		ska	även		utöva
tillsyn	över	Säkerhetspolisens		tillsyn över polisens behandling
behandling av		uppgifter enligt		av	uppgifter		enligt			lagen
polisdatalagen		(1998:622), sär-		(2008:000) om behandling							av
skilt med avseende på 5 § den				personuppgifter i polisens brotts-
lagen.				bekämpande			verksamhet			och
				lagen		(2008:000)		om	polisens
				allmänna			spaningsregister.
				Tillsynen ska särskilt avse be-
				handlingen av			sådana		känsliga
				personuppgifter			som		avses		i
				2 kap. 8 § lagen om behandling
				av	personuppgifter i				polisens
				brottsbekämpande				verksamhet
				och 10 § lagen om polisens all-
				männa spaningsregister.
											67

3 Bakgrund

Polisdatalagen (1998:622) innehåller bestämmelser om behand- ling av personuppgifter hos polisen. Den bygger på personupp- giftslagen (1998:204) och innehåller de särregler som har ansetts nödvändiga i polisens verksamhet. I övrigt gäller personupp- giftslagen. Polisdatalagen utgör bara en del av lagstiftningen om behandling av personuppgifter i polisens verksamhet. Övriga lagar som reglerar sådan behandling är lagen (1998:620) om be- lastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem och lagen (2006:444) om passagerarregister. En stor del av den behandling av personuppgifter som sker hos polisen är dock inte författ- ningsreglerad. Enligt övergångsbestämmelserna till polisdatala- gen gäller den upphävda datalagen (1973:289) fortfarande för de register som den 24 oktober 1998 fördes med Datainspektionens tillstånd. Detta gäller flera av de stora polisregistren. Övergångs- bestämmelserna har förlängts och gäller till utgången av år 2007. En ytterligare förlängning till utgången av år 2008 har föreslagits i propositionen Övergångsbestämmelserna till polisdatalagen (prop. 2007/08:6).

Den 9 december 1999 tillkallades en särskild utredare med uppdrag att följa genomförandet av den nya polisregisterlagstift- ningen och påtala eventuella brister. Utredaren skulle överväga om det behövde vidtas några åtgärder för att lagstiftningen skulle uppnå sitt syfte att ge en effektiv brottsbekämpning och samti- digt värna om den enskildes personliga integritet. Utredningen antog namnet Polisdatautredningen.

69

Bakgrund

Ds 2007:43

Den 19 december 2001 överlämnade utredningen betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). En sammanfattning av betänkandet finns i bilaga 1. Lagförslagen i betänkandet finns i bilaga 2. Betänkandet har re- missbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En remissammanställning finns tillgänglig i Justitiede- partementet (dnr Ju2001/8624/PO).

Remissinstanserna godtog i allmänhet Polisdatautredningens förslag att den nuvarande polisdatalagen ska ersättas med en helt ny reglering. I fråga om enskildheter i förslagen var dock remiss- synpunkterna mera blandade. Flera remissinstanser efterlyste närmare analys angående olika delar av förslaget. Under den fortsatta beredningen av ärendet har det framkommit att försla- get behöver ändras och kompletteras i så många olika avseenden att ett nytt underlag måste tas fram och remitteras. Denna pro- memoria utgör det underlaget.

Inom Regeringskansliet (Försvarsdepartementet) pågår även ett arbete med att ta fram ett förslag till lag om Kustbevakning- ens behandling av personuppgifter. Med anledning av detta över- vägs i vad mån de grundläggande principer som i denna prome- moria förslås gälla för polisens behandling av personuppgifter bör gälla även för Kustbevakningen.

Kustbevakningen har i en framställan till Justitiedepartemen- tet begärt att myndigheten i sin brottsbekämpande verksamhet ska få tillgång till uppgifter i belastningsregistret och misstanke- registret genom direktåtkomst (dnr Ju2005/319/PO), se bilaga 4. Kustbevakningens framställan har remitterats. En förteckning över remissinstanserna finns i bilaga 5. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2005/319/PO). Promemorian innehåller förslag till ändringar i lagen om belast- ningsregister och lagen om misstankeregister som syftar till att tillgodose Kustbevakningens behov av tillgång till uppgifter ur registren.

70

4 Gällande rätt m.m.

4.1Inledning

De grundläggande bestämmelserna om behandling av person- uppgifter finns i personuppgiftslagen (1998:204). Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Personuppgiftslagen är tillämplig generellt, om det inte i annan lag eller förordning har meddelats avvikande bestämmelser. Direktivet omfattar där- emot inte all personuppgiftsbehandling. Verksamhet som rör allmän säkerhet och statens verksamhet på straffrättens område omfattas t.ex. inte. Sedan slutet av 1990-talet har det utöver per- sonuppgiftslagen utarbetats en stor mängd författningar med be- stämmelser om behandling av personuppgifter, däribland polis- datalagen (1998:622). Syftet har varit att anpassa lagstiftningen till de särskilda behov som myndigheterna har haft i sina respek- tive verksamheter och göra avvägningar mellan behovet av effek- tivitet i berörd verksamhet och behovet av skydd för enskildas integritet.

Utöver en beskrivning av gällande rätt innehåller detta kapitel en redogörelse för aktuella internationella överenskommelser och rekommendationer på dataskyddsområdet. Dessa utgör en utgångspunkt för arbetet. Vidare redovisas bl.a. vissa initiativ inom Europeiska unionen (EU).

71

Gällande rätt m.m.

Ds 2007:43

4.2Internationella överenskommelser och personuppgiftslagen

4.2.1Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

Den europeiska konventionen om skydd för de mänskliga rät- tigheterna och de grundläggande friheterna (Europakonventio- nen) gäller som svensk lag. Det är framförallt artiklarna 8 och 13 i konventionen som har betydelse för myndigheters rätt att be- handla personuppgifter.

Enligt artikel 8 har var och en rätt till respekt bl.a. för sitt pri- vat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rät- tigheter.

I kriteriet ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet. En rättighetsin- skränkande tolkning av lagen ska kunna förutses och lagen ska vara allmänt tillgänglig. De syften för vilka intrång tillåts har tol- kats ganska extensivt av Europadomstolen, men domstolen av- gör vad som kan anses nödvändigt för att tillgodose ett i och för sig legitimt syfte. Det som genomsyrar hela konventionen är att åtgärder som innefattar intrång i en skyddad rättighet kan godtas endast om de är proportionerliga. Det innebär att intrånget måste svara mot ett mycket angeläget socialt behov och stå i rimlig proportion till det syfte som ska uppnås.

I artikel 13 föreskrivs att var och en, vars i konventionen an- givna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha till-

72

Ds 2007:43

Gällande rätt m.m.

gång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräcklig.

4.2.2Dataskyddskonventionen m.m.

Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av person- uppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för medlemsstaterna.

Dataskyddskonventionens innehåll kan ses som en precise- ring av skyddet för enskilda vid användning av automatisk data- behandling enligt artikel 8 i Europakonventionen. Dataskydds- konventionens syfte är att säkerställa den enskildes rätt till per- sonlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin natio- nella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa typer av personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana per- sonuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, hälsa, sexualliv samt upp- gifter om brott.

73

Gällande rätt m.m.

Ds 2007:43

För att skydda personuppgifter mot bl.a. oavsiktlig eller otil- låten förstörelse föreskriver konventionen att lämpliga skyddsåt- gärder ska vidtas. Vidare ska den registrerade ha möjlighet till insyn i register och till att få uppgifter rättade. I vissa fall får un- dantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att in- skränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning samt för att skydda enskildas fri- och rättig- heter.

Dataskyddskonventionens roll som riktmärke för automatise- rad behandling av personuppgifter inom Europeiska unionen har i princip övertagits av dataskyddsdirektivet. Direktivet omfattar dock inte behandling av personuppgifter inom områden som t.ex. allmän säkerhet, försvar och statens säkerhet. På dessa om- råden är dataskyddskonventionen således fortfarande av bety- delse.

Europarådets ministerkommitté har under år 2001 antagit ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av person- uppgifter till länder som inte är bundna av konventionen. Sverige undertecknade och ratificerade tilläggsprotokollet den 8 november 2001. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Även Organisationen för ekonomiskt samarbete och utveck- ling (OECD) har utarbetat internationella riktlinjer om integri- tetsskydd och persondataflöde över gränserna. Ett antal inter- nationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna mot- svarar i princip de bestämmelser som finns i dataskyddskonven- tionen.

74

Ds 2007:43

Gällande rätt m.m.

4.2.3Europarådets rekommendation No. R (87) 15

Utöver dataskyddskonventionen har Europarådet tagit fram re- kommendationer om dataskydd sektorsvis, bl.a. en rekommen- dation, No. R (87) 15, som reglerar användningen av personupp- gifter inom polissektorn. Rekommendationen innehåller speci- ella skyddsregler för personuppgifter som polisen samlar in, lag- rar, använder eller överför med hjälp av automatiserad behand- ling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Olika kategorier av lagrade upp- gifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (”the different categories of data stored should be distinguished in accordance with their degree of accuracy or reliability”). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

4.2.4Europeiska unionens stadga om de grundläggande rättigheterna

Den 7 december 2000 tillkännagavs Europeiska unionens stadga om de grundläggande rättigheterna av parlamentet, rådet och kommissionen. I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser samt i Fördraget om Europeiska unionen och gemenskapsfördragen. Stadgans syfte är att kodifi- era de grundläggande fri- och rättigheter som EU redan erkän- ner. För närvarande är stadgan inte mer än en viljeförklaring av- seende de redan existerande rättigheterna.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personupp- gifter ska behandlas lagenligt för bestämda ändamål och på

75

Gällande rätt m.m.

Ds 2007:43

grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Stadgan avser endast verksamhet som utförs av EU:s egna organ och institutioner och blir tillämplig för medlemssta- terna endast i de fall de tillämpar EG-rätten. Stadgan är följaktli- gen inte tillämplig avseende nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

Såvitt avser de garanterade rättigheternas räckvidd anförs i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga in- nehållet i fri- och rättigheterna. Hänvisning görs också till de grundläggande fördragen och Europakonventionen. De rättig- heter som skyddas i stadgan ska ha samma innebörd och räck- vidd som de som skyddas i konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

4.2.5Dataskyddsdirektivet och personuppgiftslagen

Dataskyddsdirektivet (se avsnitt 4.1) syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behand- ling av personuppgifter och att främja ett fritt flöde av person- uppgifter mellan medlemsstaterna. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preci- seringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte, som framgått, för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av person-

76

Ds 2007:43

Gällande rätt m.m.

uppgifter i brottsbekämpande verksamhet. Detta kommer att beröras närmare i avsnitt 6.5.1.

Personuppgiftslagen, genom vilken dataskyddsdirektivet in- förlivats i svensk rätt, har däremot gjorts generellt tillämplig och omfattar även sådan verksamhet som faller utanför direktivets tillämpningsområde (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180). Lagen innehåller de generella regler som följer av direktivet i fråga om vilka krav som ställs vid behandling av per- sonuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerheten vid behandlingen m.m. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritets- skydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författ- ningsgivning.

Tidigare fanns det grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehand- ling i datalagen (1973:289). I denna lag avsågs med personregis- ter ett register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll per- sonuppgift som kunde hänföras till den som avsågs med uppgif- ten. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. som regel för att inrätta och föra register med uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personupp- gifter som hämtats från något annat register. Om ett personre- gister hade beslutats av riksdagen eller regeringen, krävdes dock inget tillstånd.

Genom personuppgiftslagen avskaffades det tidigare licens- och tillståndsförfarandet. Utgångspunkten för personuppgiftsla- gen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.

77

Gällande rätt m.m.

Ds 2007:43

Personuppgiftslagen innehåller generella riktlinjer för all be- handling av personuppgifter. Begreppet behandling av person- uppgifter omfattar i stort sett allt man kan göra med sådana upp- gifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar i princip endast behandling av personuppgifter som är helt eller delvis automatiserad, dvs. i första hand datorise- rad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter be- handlas på ett korrekt sätt och i enlighet med god sed, att per- sonuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personupp- gifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hän- syn till ändamålen med behandlingen.

Vidare reglerar personuppgiftslagen, som nämnts, när be- handling av uppgifter är tillåten. Detta är i princip fallet när den registrerade har lämnat sitt samtycke eller när behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgifts- ansvarige ska kunna fullgöra en rättslig skyldighet och för att den personuppgiftsansvarige, eller tredje man till vilken person- uppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Personuppgiftslagen förbjuder andra än myndigheter att be- handla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administ- rativa frihetsberövanden. Det finns dock ett bemyndigande för regeringen, eller den myndighet som regeringen bestämmer, att

78

Ds 2007:43

Gällande rätt m.m.

meddela föreskrifter om undantag från förbudet. Datainspektio- nen har meddelat sådana föreskrifter i DIFS 1998:3, jfr 9 § per- sonuppgiftsförordningen (1998:1191).

Den 1 januari 2007 trädde vissa ändringar av personuppgifts- lagen i kraft, vilka innebär att lagen i viss utsträckning utformas enligt en missbruksmodell (SFS 2006:398). Regleringen tar där- med inte sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons per- sonliga integritet.

Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, undantas från de flesta av personuppgiftslagens detaljerade hanterings- regler. Sådan behandling tillåts utan andra restriktioner än att den registrerades personliga integritet inte får kränkas.

Bestämmelserna i personuppgiftslagen redovisas närmare i samband med de förslag som lämnas i avsnitt 6.5.2.

4.2.6Europol

Medlemsstaterna i EU har genom Europolkonventionen beslutat att upprätta en europeisk polisbyrå, Europol. Sverige har tillträtt konventionen (prop. 1996/97:164, bet. 1997/98:JuU02, rskr. 1997/98:22). Målsättningen med Europol är att förbättra effekti- viteten hos behöriga myndigheter i medlemsstaterna och deras samarbete när det gäller att förebygga och motverka viss definie- rad brottslighet, t.ex. grova narkotikabrott eller gränsöverskri- dande handel med barn som utnyttjas sexuellt.

För närvarande pågår det inom EU förhandlingar om att er- sätta den nuvarande konventionen med ett rådsbeslut, se kom- missionens förslag (KOM[2006]817 slutlig). Ambitionen är att förhandlingarna ska kunna avslutas vid halvårsskiftet 2008.

79

Gällande rätt m.m.

Ds 2007:43

4.3Den nuvarande polisregisterlagstiftningen

4.3.1Allmänt om polisregisterlagstiftningen

Polisdatalagen trädde i kraft den 1 april 1999. Lagen, som gäller utöver personuppgiftslagen, utgör en del av lagstiftningen om polisens register. Vid sidan av polisdatalagen finns också lagen (1998:620) om belastningsregister, lagen (1998:621) om miss- tankeregister, lagen (2000:344) om Schengens informationssy- stem, lagen (2000:343) om internationellt polisiärt samarbete och lagen (2006:444) om passagerarregister. Lagen om belast- ningsregister och lagen om misstankeregister trädde i kraft den 1 januari 2000 och lagen om Schengens informationssystem den 1 december 2000. Dessa lagar behandlas närmare i anslutning till beskrivningarna av registren i bilaga 6.

4.3.2Särskilt om polisdatalagen

Polisens möjligheter att föra kriminal- och polisregister reglera- des tidigare av lagen (1963:197) om allmänt kriminalregister och lagen (1965:94) om polisregister m.m. Dessa lagar skrevs med utgångspunkten att registren skulle föras manuellt. Det rättsliga stödet för att föra vissa datoriserade register, t.ex. person- och belastningsregistret, fanns i stället i förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Många polisregister fördes – och förs – i stor utsträckning fortfarande enligt övergångsbestämmelserna till polisdatalagen med stöd av Datainspektionens tillstånd enligt datalagen (1973:289).

Polisdatalagen utgår från personuppgiftslagen och innehåller endast de särbestämmelser som har ansetts nödvändiga för poli- sens verksamhet. Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och regler om vissa särskilda register. Behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om miss-

80

Ds 2007:43

Gällande rätt m.m.

tankeregister, lagen om Schengens informationssystem eller la- gen om passagerarregister faller utanför polisdatalagen.

Polisdatalagen gäller vid behandling av personuppgifter i poli- sens verksamhet och i polisverksamhet vid Ekobrottsmyndighe- ten för att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något så- dant inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Lagen innehåller bl.a. regler om behandling av uppgifter i kriminalunderrättelseverksamhet. Lagen innehåller särskilda bestämmelser om vissa register som förs med hjälp av automatiserad behandling. Dessa register är kriminalunderrättelseregister, register med uppgifter om DNA- analyser, fingeravtrycks- och signalementsregister samt SÄPO- registret. Registren behandlas närmare i bilaga 6.

4.4EU-initiativ m.m.

Inom ramen för EU-samarbetet förhandlas för närvarande flera rambeslut och andra rådsbeslut som kan komma att påverka lag- stiftningen om behandling av personuppgifter inom polisen. Inom Justitiedepartementet bereds också en departementspro- memoria om preskription vid allvarliga brott som bl.a. innefattar förslag till ändringar i polisdatalagen.

Förslag till rambeslut om skydd för personuppgifter

Inom EU:s råd förhandlas ett rambeslut om skydd av person- uppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (KOM[2005]475 slutlig). Förslaget pre- senterades av kommissionen i oktober 2005. Syftet är att åstad- komma ett sammanhållet instrument med dataskyddsbestäm- melser för EU:s brottsbekämpande och straffrättsliga samarbete (tredje pelaren). Rambeslutet innehåller bland annat bestämmel-

81

Gällande rätt m.m.

Ds 2007:43

ser om när och hur personuppgifter mottagna från en annan medlemsstat får behandlas, villkor för att få utbyta personupp- gifter mottagna från en annan medlemsstat med tredjeland och den registrerades rättigheter. Målsättningen är att rådet ska nå en politisk överenskommelse om rambeslutet före slutet av år 2007.

VIS

Kommissionen presenterade i november 2005 ett förslag till rådsbeslut som ska möjliggöra att brottsbekämpande myndig- heter i medlemsstaterna samt Europol efter förfrågan får tillgång till uppgifter i EU:s informationssystem för viseringar (VIS) i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott (9320/07 CATS 46 ENFOPOL 82 EUROPOL 56 VISA 154 COMIX 452). En politisk överenskommelse nåddes vid möte med ministerrådet för rättsliga och inrikes frågor den 12–13 juni 2007. Enligt den nuvarande lydelsen av beslutet ska en förfrågan från en brottsbekämpande myndighet vara ändamåls- enlig och syfta till att förebygga, upptäcka och utreda terrorist- brott samt andra grövre brott. Europol ska ha behörighet att söka i VIS för de brott som anges i Europolkonventionen. För- frågningar måste gälla enskilda ärenden och det måste finnas an- ledning att tro att en slagning i VIS väsentligen kan bidra till brottsbekämpning. De brottsbekämpande enheterna ska vända sig med en motiverad begäran till de i varje land utsedda centrala ”åtkomstpunkterna”. Dessa ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Om villkoren är uppfyllda, ska åtkomstpunkten söka i VIS och föra över de begärda uppgifterna till den enhet som begärt dem.

82

Ds 2007:43

Gällande rätt m.m.

Prüm

Den 27 maj 2005 ingick Belgien, Tyskland, Spanien, Frankrike, Luxemburg, Nederländerna och Österrike ett fördrag om för- djupat gränsöverskridande samarbete för bekämpning av terro- rism, gränsöverskridande brottslighet och olaglig migration. Fördraget undertecknades i den tyska staden Prüm. Medlems- staternas målsättning är att utveckla informationsutbytet inom hela EU, framför allt avseende DNA-uppgifter, fingeravtryck och bilregisteruppgifter. Fördraget är öppet för alla EU:s med- lemsstater att tillträda. Vid RIF-rådet den 15 februari 2007 nåd- des en politisk principöverenskommelse om att integrera stora delar av Prümfördragets tredjepelarfrågor i EU:s regelverk. Ordförandeskapet presenterade därefter ett förslag till rådsbe- slut, "Utkast till rådets beslut om ett fördjupat gränsöverskri- dande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet" (6566/2007 REV 1 CRIMORG 33 ENFOPOL 33). En politisk överenskommelse nåddes vid möte med ministerrådet för rättsliga och inrikes frågor den 12– 13 juni 2007.

Förslag till rambeslut om utbyte av uppgifter ur kriminalregister

Inom EU:s råd förhandlas vidare sedan år 2006 ett rambeslut om organisationen av medlemsstaternas utbyte av uppgifter ur kri- minalregistret och uppgifternas innehåll (KOM[2005]690 slut- lig/2 [5463/06 REV 1 COPEN 1]). Förslagets övergripande syfte är att förbättra utbytet av information från medlemsstater- nas kriminalregister. I dag sker detta utbyte med stöd av Europa- rådets konvention från 1959 om ömsesidig rättslig hjälp i brott- mål och dess första tilläggsprotokoll från 1978 samt rådets beslut från den 21 november 2005 om utbyte av uppgifter ur kriminal- register. Kommissionen föreslår i rambeslutet att varje medlems- stat, som meddelar en dom mot en annan medlemsstats medbor- gare, ska informera medborgarstaten om domen. Medborgarsta-

83

Gällande rätt m.m.

Ds 2007:43

ten ska därvid lagra informationen. Tanken är att varje medlems- stat ska ha information om alla de domar som har meddelats inom EU mot de egna medborgarna. Vidare syftar rambeslutet till att förkorta förfarandet när uppgifter ur kriminalregister be- gärs i ett enskilt ärende. Vid möte med ministerrådet för rättsliga och inrikes frågor den 12–13 juni 2007 nåddes en politisk över- enskommelse om innehållet i rambeslutet.

Förslag i departementspromemorian Preskription vid allvarliga brott

I departementspromemorian Preskription vid allvarliga brott (Ds 2007:1) har föreslagits att preskription avskaffas för vissa särskilt allvarliga brott. Som en följdändring har föreslagits att gallrings- fristerna förlängs för uppgifter om vissa brott i polisens spårre- gister (27 § polisdatalagen). Förslagen bereds för närvarande inom Justitiedepartementet.

84

5 Polisens register

5.1Register och ärendehanteringssystem

Genom datalagen (1973:289) introducerades begreppet person- register som ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs register, förteckning eller andra anteck- ningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som av- ses med uppgiften. Med personuppgift avsågs enligt den lagen upplysning avseende enskild person. Den allmänt använda ter- men för ADB-baserade uppgiftssamlingar blev därmed register. Ordet återfinns i många författningar som reglerar myndigheters användande av automatisk databehandling i verksamheten, t.ex. i polisdatalagen.

Det traditionella registerbegreppet har ibland kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt rättvisande sätt att se på samlingar av uppgifter i elektronisk form. Uppgif- ter kan t.ex. införas ostrukturerat och oorganiserat i olika filer i en dator utan att detta förhindrar en effektiv hantering av upp- gifterna för olika sammanställningar. Sökning i sådana filer görs inte efter särskilda bestämda sökord utan genom fritextsökning.

I personuppgiftslagen används inte begreppet register utan det talas i stället om behandling av personuppgifter. Det skulle i och för sig vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alter-

85

Polisens register

Ds 2007:43

nativ, dvs. att endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet, Integritet, Informationsteknik (SOU 1997:39 s. 343) att tillämp- ningsproblem inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades också vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet men framhöll att det inte helt bör undvi- kas, eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas särskilda bestämmelser rörande upp- rättandet och förandet av sådana register (prop. 1997/98:97 s. 102).

Det kan konstateras att flera av polisens samlingar av person- uppgifter i elektronisk form är register i ordets mer egentliga bemärkelse, dvs. uppgifter som förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Detta gäller i första hand de äldre system som fortfarande förs med stöd av Datainspektionens tillstånd. Nya system som också kan betraktas som register är misstankeregistret, belastningsre- gistret och den nationella enheten av Schengens informationssy- stem. Registerbegreppet har således fortfarande relevans i vissa fall.

Dagens system inom polisen byggs dock företrädesvis som ärendehanteringssystem och inte som traditionella register. I dessa ärendehanteringssystem registreras hela aktmaterial. Grundtanken vid utvecklingen av nya system inom polisen är att man i så stor utsträckning som möjligt bara ska anteckna en uppgift en gång samt att uppgiften, om det behövs, därefter ska vidarebefordras automatiserat till andra ärendehanteringssystem. Begreppet register blir då mindre träffande.

5.2Allmänt om polisens register

Registerstrukturen har sin bakgrund i tiden före den nuvarande polisdatalagen, när Datainspektionen gav tillstånd för polisen att

86

Ds 2007:43

Polisens register

föra olika enskilda register. Strukturen är således inte ett resultat av någon övergripande planering. Detta medför bl.a. att samma uppgifter förekommer i flera olika system.

Polisens register kan indelas i tre grupper beroende på vilka bestämmelser som styr behandlingen, nämligen

-register som förs med stöd av särskilda bestämmelser i polisdatalagen eller annan lagstiftning,

-register som förs med stöd av allmänna bestämmelser i polisdatalagen och personuppgiftslagen, och

-register som enligt övergångsbestämmelserna till polis- datalagen förs med stöd av datalagen och tillstånd från Datainspektionen.

En uppdelning kan också göras mellan centrala och lokala re- gister. De centrala registren förs av Rikspolisstyrelsen och inne- håller uppgifter från hela riket. De lokala registren förs av en po- lismyndighet och innehåller därmed bara uppgifter från ett po- lisdistrikt.

De register som regleras särskilt i polisdatalagen är kriminal- underrättelseregister, register med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregister samt SÄPO- registret. Kriminalunderrättelseregister kan föras både på lokal och central nivå, medan övriga register som regleras i polisdata- lagen är centrala. Det finns även särskilda bestämmelser om register i lagstiftning som gäller vid sidan av polisdatalagen, t.ex. i lagen om belastningsregister och lagen om misstankeregister. Därutöver finns centrala och lokala register som saknar särskild författningsreglering. Registren förs då med stöd av personupp- giftslagen och de allmänna bestämmelserna i polisdatalagen eller med stöd av datalagen och Datainspektionens tillstånd enligt övergångsbestämmelserna till polisdatalagen. Exempel på sådana centrala register är det allmänna spaningsregistret, det centrala brottsspaningsregistret samt beslags- och analysregistren. Ratio- nell anmälningsrutin (RAR) och datoriserad utredningsrutin- tvångsmedel (DurTvå) är exempel på register på lokal nivå.

Polisen utvecklar kontinuerligt nya system för att stödja verksamheten. En redovisning av polisens register kan därför

87

Polisens register

Ds 2007:43

aldrig bli helt fullständig. I bilaga 6 finns dock en redovisning som tar upp system av större betydelse i polisens verksamhet.

88

6En ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet

6.1Bestämmelserna om polisens användning av personuppgifter behöver reformeras

Promemorians bedömning: En reform av bestämmelserna om polisens behandling av personuppgifter är nödvändig.

Utredningens bedömning överensstämmer med promemori- ans bedömning.

Remissinstanserna har tillstyrkt eller inte haft några invänd- ningar mot detta.

Skälen för promemorians bedömning

Allmänna utgångspunkter

Information är en av polisens viktigaste resurser för att uppnå statsmakternas mål i det brottsbekämpande arbetet. Sedan många år är modern informationsteknik en naturlig del i polisens arbete och numera utförs praktiskt taget allt arbete till någon del med hjälp av sådan teknik. En väl utnyttjad informationsteknik är givetvis av största betydelse för polisens möjligheter att be- driva sin verksamhet på ett effektivt sätt. Samtidigt bör självfallet

89

En ny lag om behandling av personuppgifter…

Ds 2007:43

informationshanteringen ske med respekt för enskildas integri- tet. Det är mot den bakgrunden angeläget att polisdatalagstift- ningen är väl avvägd.

Oklarheter i den nuvarande lagstiftningen

Ett effektivt brottsbekämpande arbete förutsätter att de brotts- bekämpande myndigheterna har goda möjligheter att samla in och bearbeta information av olika slag. De uppgifter som behö- ver kunna samlas in och bearbetas är såväl uppgifter med an- knytning till konkreta brott (dvs. uppgifter i brottsutredningar) som uppgifter som avser förväntad eller pågående brottslig verk- samhet (dvs. uppgifter i kriminalunderrättelseverksamhet). Ut- formningen av polisdatalagen har emellertid gett upphov till problem i olika avseenden. Ett exempel är oklarheterna kring begreppet kriminalunderrättelseverksamhet. Enligt den nuva- rande lagstiftningen får uppgifter i sådan verksamhet behandlas endast under vissa förutsättningar. Behandling får ske dels om en särskild undersökning har inletts under ledning av Rikspolissty- relsen eller en polismyndighet och det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas, dels inom ramen för registrering i kriminalunderrättelseregister. Det har ifrågasatts om inte behandlingen av personuppgifter i vissa faktiskt existerande polisregister till viss del skulle kunna tolkas som kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än inom ramen för en särskild undersökning eller i kriminalunder- rättelseregister. Det är vidare osäkert i vilken utsträckning be- handling av underrättelseuppgifter får ske lokalt, dvs. av en en- skild tjänsteman genom användning av ordbehandling och e-post m.m. Ytterligare ett exempel på problem som polisdatalagens utformning har gett upphov till gäller polisens tänkta utbyggnad av ett dokument- och ärendehanteringssystem för att hantera informationsutbytet med Europol. Som redovisas närmare i bila- ga 6 har Datainspektionen ansett att den planerade behandlingen

90

Ds 2007:43

En ny lag om behandling av personuppgifter…

utgör behandling av personuppgifter i kriminalunderrättelse- verksamhet som inte överensstämmer med rekvisiten för behandling av sådana uppgifter i polisdatalagen.

Det finns alltså behov av en ny reglering som undanröjer dessa och andra oklarheter.

Det behövs en mera teknikneutral lagstiftning

Den elektroniska informationshanteringen inom polisens verk- samhet har utvecklats snabbt. I dag lagrar polisen personupp- gifter i ett stort antal olika databaser. Samma personuppgift kan lagras på flera olika ställen, i olika ”register”. Rikspolisstyrelsen har gjort bedömningen att detta sätt att hantera uppgifter kan leda till kvalitetsbrister (se promemoria om behandling av per- sonuppgifter i polisverksamheten, dnr Ju2007/478/PO). Styrel- sen planerar därför en modernisering av polisens datasystem. Tanken är att de uppgifter som behandlas i polisens verksamhet ska lagras gemensamt på en plats i stället för i separata register. Uppgifterna ska alltså i princip inte lagras mer än en gång. Åt- komsten till uppgifterna ska i de allra flesta fall inte – såsom i polisens nuvarande system – vara beroende av att en uppgift finns i ett särskilt register utan vara avhängigt andra kriterier, hänförliga till uppgifterna som sådana. Enligt Rikspolisstyrelsen kommer det planerade datasystemet att möjliggöra ett bättre integritetsskydd. Det blir bl.a. lättare att bygga upp behörighets- system som gör det möjligt att lättare avgränsa en enskild tjäns- temans åtkomst till de uppgifter som han eller hon behöver för att kunna utföra sina arbetsuppgifter. Tjänstemannens behov av information kan därigenom tillgodoses på ett rättssäkert sätt. En annan fördel är att det blir enklare att hålla lagrad information uppdaterad och tillförlitlig, eftersom utgångspunkten är att varje uppgift ska lagras endast en eller ett fåtal gånger. Risken att upp- gifter bevaras i systemet längre än nödvändigt minskar också. Enligt Rikspolisstyrelsen kommer det över huvud taget att bli

91

En ny lag om behandling av personuppgifter…

Ds 2007:43

lättare att avgränsa, kontrollera och övervaka all elektronisk åt- komst till uppgifter.

Rikspolisstyrelsens arbete med att förändra polisens system har redan inletts. För att styrelsen ska kunna slutföra det arbetet krävs det en ny lagstiftning som är mera teknikneutral och mindre knuten till registerbegreppet än polisdatalagen.

Polisdatalagen är varken heltäckande eller konsekvent

En svaghet i den nuvarande regleringen är bl.a. att den inte är heltäckande. Många register i polisens verksamhet förs således fortfarande med stöd av Datainspektionens tillstånd enligt den numera upphävda datalagen. Det behövs därför en ny reglering som, så långt detta är möjligt, omfattar all behandling av person- uppgifter i polisens brottsbekämpande verksamhet (med vissa särskilda undantag, se avsnitt 6.3).

Den nuvarande lagstiftningen innebär vidare ett hinder för polisen att använda digital utrustning vid bild- och ljudupptag- ningar, eftersom själva upptagningen av bilder och ljud med digi- tal utrustning innebär behandling av personuppgifter. Detta hin- der framstår inte som motiverat och bör därför undanröjas genom ändrad lagstiftning.

De brottsbekämpande myndigheterna måste ges goda förutsätt- ningar för att samverka i brottsbekämpningen

Det är från brottsbekämpningssynpunkt angeläget att samhällets samlade resurser används rationellt och effektivt. En utvecklad samverkan mellan de brottsbekämpande myndigheterna ger bättre förutsättningar att klara upp brott. En utgångspunkt måste vara att, med beaktande av befogade krav på skydd för en- skildas integritet, var och en av de brottsbekämpande myndig- heterna i den egna verksamheten har tillgång till uppgifter från andra brottsbekämpande myndigheter, i den mån uppgifterna

92

Ds 2007:43

En ny lag om behandling av personuppgifter…

behövs i verksamheten. Uppgifter måste också få behandlas om det behövs för att polisen ska kunna fullgöra sina internationella förpliktelser. De brottsbekämpande myndigheternas tillgång till information behöver effektiviseras. Som beskrivs närmare i av- snitt 12.1 är en utvecklad samverkan mellan de brottsbekäm- pande myndigheterna också en förutsättning för att genomföra det arbete som sedan mitten av 1990-talet bedrivs av Rådet för Rättsväsendets Informationsförsörjning (RIF).

Sammanfattning

Mot bakgrund av vad som nu har sagts bör den nuvarande lag- stiftningen reformeras. De brister i lagstiftningen som har nämnts ovan bör åtgärdas. Som vi återkommer till i avsnitt 6.4 måste dock den närmare utformningen av de nya bestämmel- serna föregås av en noggrann avvägning mellan å ena sidan in- tresset av en effektiv brottsbekämpning och å andra sidan intres- set av skyddet för den personliga integriteten.

6.2En ny lag införs

Promemorians förslag: Polisdatalagen ersätts av en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Utredningens förslag överensstämmer med promemorians förslag.

Remissinstanserna har tillstyrkt eller inte haft några invänd- ningar mot förslaget.

Skälen för promemorians förslag: Behandling av personupp- gifter regleras generellt i personuppgiftslagen. I den mån något annat inte föreskrivs gäller alltså den lagen för behandling av per- sonuppgifter även i polisens brottsbekämpande verksamhet. I

93

En ny lag om behandling av personuppgifter…

Ds 2007:43

det lagstiftningsärende som föregick personuppgiftslagen (prop. 1997/98:44 s. 40 f.) uttalade den dåvarande regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerför- fattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget ut- talade Konstitutionsutskottet att det saknades anledning att av- vika från den tidigare fastlagda målsättningen, att myndighets- register med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (bet. 1997/98:KU18 s. 43). För polisens del finns i dag sådana bestämmelser i bl.a. polisdatala- gen.

Vi anser inte att det finns skäl att nu göra någon annan be- dömning när det gäller behovet av en särlagstiftning för polisens behandling av personuppgifter. Det bör alltså även i fortsätt- ningen finnas en särskild lag för den behandling av personupp- gifter som sker hos polisen. De problem som den nuvarande lag- stiftningen har gett upphov till är av sådant slag och sådan om- fattning att den nuvarande lagen bör ersättas med en helt ny lag.

94

Ds 2007:43

En ny lag om behandling av personuppgifter…

6.3Lagens tillämpningsområde

Promemorians förslag: Den nya lagen ska gälla vid all be- handling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister, misstankeregister, Schengens informationssystem samt pas- sagerarregister ska dock inte omfattas av den nya lagen. Lagen ska inte heller reglera personuppgiftsbehandling inom ramen för polisens allmänna spaningsregister. Den ska inte heller gälla vid insamling av personuppgifter genom allmän kamera- övervakning, hemlig teleavlyssning, hemlig teleövervakning, hemlig kameraövervakning eller hemlig rumsavlyssning.

Lagen ska innehålla vissa bestämmelser om behandling av uppgifter om juridiska personer.

Utredningens förslag överensstämmer delvis med promemo- rians förslag. Utredningen har dock inte föreslagit att lagen ska omfatta polisverksamhet vid Ekobrottsmyndigheten. Den har inte heller föreslagit att lagen ska omfatta behandling av uppgif- ter om juridiska personer. Den har däremot föreslagit att lagen, liksom den nuvarande polisdatalagen, ska omfatta all den per- sonuppgiftsbehandling som faller in under 2 § 1–3 polislagen (1984:387).

Remissinstanserna har i huvudsak inte haft någon invänd- ning mot utredningens förslag i denna del. Rikspolisstyrelsen har dock ansett att den nya lagen ska omfatta all polisverksamhet enligt 2 § polislagen, dvs. även 2 § 4 och 5.

Skälen för promemorians förslag: Den nya lagen bör liksom i dag gälla vid behandling av personuppgifter i polisens brottsbe- kämpande verksamhet vid Rikspolisstyrelsen, polismyndighe- terna och Ekobrottsmyndigheten. Polisdatalagen gäller vid be- handling av personuppgifter i polisens verksamhet för att (1) förebygga brott och andra störningar av den allmänna ordningen

95

En ny lag om behandling av personuppgifter…

Ds 2007:43

och säkerheten, (2) övervaka den allmänna ordningen och säker- heten, hindra störningar därav samt ingripa när sådana inträffat, och (3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Detta motsvarar polisens uppgifter enligt 2 § 1–3 polislagen. Polisdatalagen omfattar alltså inte enbart person- uppgiftsbehandling inom den brottsbekämpande verksamheten utan även personuppgiftsbehandling inom viss annan polisiär verksamhet. Den omfattar dock inte personuppgiftsbehandling inom sådan polisverksamhet som faller in enbart under 2 § 4 och 5 polislagen, dvs. verksamhet som består i att lämna allmänheten skydd, upplysningar och annan hjälp och annan verksamhet som ankommer på polisen enligt särskilda bestämmelser. Sådan per- sonuppgiftsbehandling faller i stället in under personuppgiftsla- gen.

Frågan är då om den nya lagen, såsom utredningen har före- slagit, bör ha samma tillämpningsområde som 2 § 1–3 polislagen. Ett alternativ är att, såsom Rikspolisstyrelsen har förordat, låta lagen omfatta all personuppgiftsbehandling i polisens verksam- het. Ett annat alternativ är att begränsa lagens tillämpningsom- råde till personuppgiftsbehandling inom polisens brottsbekäm- pande verksamhet.

Vid valet mellan dessa alternativ är det naturligt att beakta vilka omständigheter som gör att personuppgiftslagens allmänna regler inte är helt ändamålsenliga vid personuppgiftsbehandling i polisiär verksamhet. Här finns det anledning att peka på flera olika förhållanden. För det första är det nödvändigt att i polisiär verksamhet behandla en stor mängd uppgifter som, typiskt sett, är känsliga till sin natur och inte bör ges en vidare spridning. För det andra gör sig särskilt starka samhällsintressen gällande inom delar av polisens verksamhet, vilket medför att sedvanliga avväg- ningar mellan berörda intressen i viss mån måste göras på ett sätt som tillåter större intrång i integriteten än vad som annars från proportionalitetssynpunkt hade kunnat tillåtas. Omständigheter av detta slag kan göra det befogat med särskilda – från person- uppgiftslagen avvikande – bestämmelser om personuppgiftsbe- handling. Det sagda gäller dock i varierande grad beträffande

96

Ds 2007:43

En ny lag om behandling av personuppgifter…

olika delar av polisens verksamhet. Behovet av en särreglering är tydligast på det brottsbekämpande området. I annan polisverk- samhet, t.ex. tillståndsgivning av olika slag, är behovet av särreg- ler i förhållande till personuppgiftslagen litet eller obefintligt.

Vidare måste beaktas att svensk lagstiftning måste vara fören- lig med dataskyddsdirektivet inom dess tillämpningsområde. I den utsträckning polisens verksamhet enligt 2 § polislagen om- fattas av gemenskapsrätten är det därför nödvändigt att säker- ställa att lagen uppfyller de krav som direktivet ställer upp. Lag- tekniskt görs detta säkrast genom att personuppgiftslagen görs tillämplig på verksamhet som inte är undantagen från direktivets tillämpningsområde, dvs. verksamhet som inte rör allmän säker- het, statens säkerhet eller verksamhen på straffrättens område (jfr artikel 3.2 dataskyddsdirektivet).

Vi anser därför att den nya lagen bör gälla endast behandling av personuppgifter som utförs i sådan polisiär verksamhet där det finns påtagliga skäl att reglera behandlingen på annat sätt än vad som följer av personuppgiftslagen.

Med denna utgångspunkt har man härefter att ta ställning till om det finns skäl att avvika från personuppgiftslagen för sådan verksamhet som avses i 2 § 4 och 5 polislagen. Till denna verk- samhet hör bl.a. hjälpåtgärder inom trafiken, medverkan vid ka- tastrofer och liknande händelser, bl.a. biträde enligt räddnings- tjänstlagen (punkten 4). Hit hör också åligganden av skilda slag inom området för offentlig förvaltning, t.ex. tillstånds- och till- synsärenden av olika slag (avseende exempelvis vapen, spräng- ämnen, offentliga tillställningar och nyttjande av allmän plats), passärenden och ärenden om delgivning eller annan handräck- ning (punkten 5). Hit hör också vissa verkställighetsåtgärder på kriminalvårdens och socialtjänstens område. Utredningen har ansett att dessa övriga verksamheter inte bör omfattas av en ny reglering. Enligt utredningen finns det i dessa fall inte något tyd- ligt behov av särregler i förhållande till personuppgiftslagen.

Vi delar utredningens uppfattning. Det skulle i och för sig ha ett visst praktiskt värde om all personuppgiftshantering reglera- des av en och samma lag, eftersom man därigenom skulle slippa

97

En ny lag om behandling av personuppgifter…

Ds 2007:43

en del gränsdragningssvårigheter. Något mer påtagligt behov av en sådan samlad reglering har dock inte framkommit. Det är inte heller säkert att de begränsningar i personuppgiftsbehandlingen som bör finnas i den nya lagen skulle vara ändamålsenliga utan- för den brottsbekämpande verksamheten. Som exempel kan nämnas att polisen när den biträder vid räddningsuppdrag bör ha samma möjligheter som övriga ansvariga myndigheter att be- handla personuppgifter. Till detta kommer, som utredningen har påpekat, att det är tveksamt om polisens icke-brottsbekämpande verksamhet kan anses undantagen från dataskyddsdirektivets tillämpningsområde.

Nästa fråga är om all den verksamhet som omfattas av polis- datalagen också bör omfattas av den nya lagen. Som ovan har konstaterats gäller polisdatalagen också för behandling av per- sonuppgifter i verksamhet som avser övervakning av allmän ord- ning och säkerhet (jfr 2 § 2 polislagen). Begreppet allmän ord- ning och säkerhet är vittomfattande. Det inrymmer större delen av den polisverksamhet som inte är inriktad på brottsbekämp- ning. Hit räknas bl.a. polisens allmänna övervakning i form av patrullering, trafikpolisverksamheten, utryckningsberedskapen, gränskontroll och skyldigheten att bedriva jakt- och fisketillsyn samt annan tillsyn över naturområden. Tillståndsgivning räknas inte hit, men däremot kan den kontroll som tillståndsgivande myndighet enligt vissa författningar ska utöva göra det, t.ex. kontrollen av att ett tillstånd för allmän sammankomst följs. I ett enskilt fall kan den ordningshållande verksamheten övergå i brottsbekämpning, t.ex. om en trafikpolis stoppar en fortkörare och utfärdar en ordningsbot eller om en efterlyst brottsling på- träffas vid gränskontroll.

Enligt vår uppfattning är behovet av särregler i förhållande till personuppgiftslagen mycket tydligt när det gäller den brottsbe- kämpande verksamheten. Så är emellertid inte fallet när det gäller den ordningshållande verksamheten, som i dag till största delen styrs av personuppgiftslagen. Särreglerna i polisdatalagen rör nämligen i huvudsak brottsbekämpande verksamhet. Vi anser att

98

Ds 2007:43

En ny lag om behandling av personuppgifter…

denna ordning bör gälla även fortsättningsvis. Den nya lagen bör således endast omfatta polisens brottsbekämpande verksamhet.

Med hänvisning till det som sagts ovan föreslår vi att den nya lagen ska omfatta polisens brottsbekämpande verksamhet. Med brottsbekämpande verksamhet avser vi verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller till att utreda eller beivra brott.

Polisdatalagen omfattar inte personuppgiftsbehandling som sker med stöd av lagarna om belastningsregister, misstankere- gister, Schengens informationssystem samt passagerarregister. Dessa lagar avser särskilda register eller informationssystem och har väl avgränsade tillämpningsområden. Några påtagliga till- lämpningssvårigheter eller problem med denna särreglering har inte framkommit. Den nya lagen bör, i vart fall tills vidare, inte gälla på de områden som omfattas av dessa lagar.

Den nya lagen bör inte heller omfatta behandling inom ramen för polisens allmänna spaningsregister. Vi återkommer till denna fråga i avsnitt 20.

När det gäller insamling av personuppgifter genom hemlig teleavlyssning, hemlig teleövervakning och kameraövervakning finns redan bestämmelser i rättegångsbalken, lagen (1998:150) om allmän kameraövervakning, lagen (1995:1506) om hemlig kameraövervakning och lagen (1952:98) med särskilda bestäm- melser om tvångsmedel i vissa brottmål. Särskilda bestämmelser finns dessutom i lagen (1988:97) om förfarandet hos kommu- nerna, förvaltningsmyndigheterna och domstolarna under krig eller krigsfara m.m. Som utredningen har föreslagit bör dessa bestämmelser också fortsättningsvis reglera förutsättningarna för sådan insamling. Från den nya lagens tillämpningsområde bör alltså undantas insamling av personuppgifter som utförs med stöd av dessa lagar. Sedan uppgifterna väl har samlats in bör de dock omfattas av den nya lagens bestämmelser. Om riksdagen godkänner de föreslagna reglerna om hemlig rumsavlyssning (prop. 2005/06:178), bör motsvarande gälla för den typen av tvångsmedel.

99

En ny lag om behandling av personuppgifter…

Ds 2007:43

I den elektroniska hanteringen av uppgifter kan det vara svårt att skilja uppgifter om juridiska personer från uppgifter om fy- siska personer som är ägare av eller ställföreträdare för dessa. När det gäller verksamhet som bedrivs i enskild firma är dess- utom uppgifter som är hänförliga till firman, t.ex. organisations- nummer, även personuppgifter i personuppgiftslagens mening. Med hänsyn till detta anser vi att det finns skäl att låta även be- handling av uppgifter om juridiska personer omfattas av vissa grundläggande bestämmelser i lagen, såsom bestämmelserna om tillåtna ändamål, personuppgiftsansvar, sökbegrepp, gallring och utlämnande av uppgifter. Samma bedömning gjordes vid till- komsten av lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (se prop. 2004/05:164, s. 55).

6.4Skyddet för den personliga integriteten

Promemorians bedömning: Vid utformningen av de nya be- stämmelserna bör intresset av en effektiv brottsbekämpning noga vägas mot intresset av ett gott skydd för den personliga integriteten.

Utredningens bedömning: Utredningen har inte behandlat denna fråga särskilt.

Remissinstanserna har inte yttrat sig särskilt i frågan.

Skälen för promemorians bedömning: För att polisen ska kunna fullgöra sina uppgifter på ett effektivt sätt måste den ha lagliga förutsättningar att utnyttja en ändamålsenlig informa- tionsteknik som gör det möjligt att samla in och i övrigt be- handla stora informationsmängder. Uppgifter om både miss- tänkta, målsägande, vittnen och andra personer måste kunna be- handlas. Polisen måste i olika typer av utredningar ha möjlighet att registrera och lagra uppgifter av vitt skilda slag. Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid en eller flera polismyndigheter på automatiserad väg. Dess-

100

Ds 2007:43

En ny lag om behandling av personuppgifter…

utom måste andra brottsbekämpande myndigheter som exem- pelvis Tullverket kunna få tillgång till uppgifter. Detsamma gäller de åklagare som leder förundersökningar. Uppgifter måste också – inom ramen för det internationella samarbetet – kunna utbytas med brottsbekämpande myndigheter i andra länder.

En effektiv brottsbekämpning förutsätter alltså att polisen har möjlighet att använda sig av en väl fungerande informationstek- nik. Detta innebär dock – på motsvarande sätt som vissa inslag i den operativa polisverksamheten – en risk för intrång i den per- sonliga integriteten. Varje behandling av personuppgifter kan per definition sägas utgöra ett intrång i den personliga integriteten och det är uppenbart att sådana intrång i viss utsträckning måste tillåtas. Intrånget måste dock stå i rimlig proportion till det in- tresse som ska tillgodoses med behandlingen.

De grundläggande bestämmelserna till skydd för den person- liga integriteten finns i regeringsformen. Redan i 1 kap. 2 § slås fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet. I 2 kap. 3 § sägs att varje med- borgare, i den utsträckning som anges i lag, ska skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den sist- nämnda bestämmelsen riktar sig framförallt till den lagstiftande makten, som ska se till att den enskilde ges det skydd som be- hövs. Den lag som i dag har till syfte att i första hand uppfylla regeringsformens intentioner i fråga om integritetsskydd i auto- matiserad verksamhet är personuppgiftslagen. Den lagen kom- pletteras, såvitt nu är av intresse, av polisdatalagen. Integritets- skyddande bestämmelser om utlämnande av personuppgifter finns även i sekretesslagen samt i de andra registerlagar som re- glerar polisens register.

Begreppet personlig integritet är inte definierat vare sig i lag eller annan författning. Ett sätt att beskriva begreppet är dock att skilja mellan olika former av handlanden som kan anses kränka den personliga integriteten. Man kan då sortera in handlanden som utgör intrång i integriteten i tre huvudkategorier: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan

101

En ny lag om behandling av personuppgifter…

Ds 2007:43

mening; 2) insamlande av uppgifter om en persons privata för- hållanden; 3) offentliggörande eller annan användning av upp- gifter om en persons privata förhållanden (se Stig Strömholm, SvJT 1971 s. 695 och Individens skyddade personlighetssfär, i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980). Ett annat sätt att beskriva begreppet är att skilja mellan olika former av integritet med utgångspunkt från bl.a. de grund- läggande fri- och rättigheterna i 2 kap. regeringsformen (se t.ex. SOU 1984:54 s. 42). Med denna utgångspunkt utgör regler om dataskydd bestämmelser som tar sikte på den personliga integri- teten såvitt avser respekten för privatlivet. Bestämmelser om skydd för privatlivet kan också sägas vara inriktade på att tillvarata integriteten i ideell mening (se SOU 1992:84 s. 187). Gemensamt för beskrivningarna synes vara att de alla utgår från att en kränkning av integriteten innebär ett oönskat intrång i en fredad sfär som den enskilde bör vara tillförsäkrad (prop. 2005/06:173 s. 15).

Även om det alltså inte är möjligt att definiera vad som avses med begreppet personlig integritet torde det stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att be- döma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller de ändamål för vilka behandling av personuppgifter ska få ske, arten av de personuppgifter som ska få behandlas, vilka som ska ha tillgång till uppgifterna – genom direktåtkomst eller på annat sätt –, hur sökning ska få ske samt hur lång tid personuppgifterna ska få sparas. Ju fler uppgifter som får behandlas, ju större möjligheter till sammanställningar och sökningar som ges och ju längre tid som uppgifterna får spa- ras, desto större är, typiskt sett, integritetsintrånget.

I 2 kap. 12 § regeringsformen finns en proportionalitetsprin- cip med innebörd att viss rättighetsinskränkande lagstiftning aldrig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Även om bestämmelsen i formell mening inte gäller för just den paragraf i samma kapitel (3 § an- dra stycket) som reglerar integritetsskyddet vid automatisk be- handling av personuppgifter, står det klart att en proportiona-

102

Ds 2007:43

En ny lag om behandling av personuppgifter…

litetsprincip i vid mening gäller för all lagstiftning. En propor- tionalitetsprincip finns också i Europakonventionen (artikel 8).

Med hänvisning till det som sagts ovan måste alltså den när- mare utformningen av de nya bestämmelserna föregås av en av- vägning mellan å ena sidan intresset av en effektiv brottsbe- kämpning och å andra sidan intresset av skyddet för den person- liga integriteten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella att behandla i brottsbekämpande verksamhet ofta är särskilt integritetskäns- liga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. För den enskilde kan blotta det förhållandet att omfattande upp- gifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga inom polisens verksamhet uppfattas som ett mycket allvarligt integritetsintrång.

I de följande avsnitten kommer vi att närmare redovisa hur polisens behov av att kunna behandla vissa uppgifter lämpligen bör vägas mot intresset av skyddet för den personliga integrite- ten. Vi vill dock redan här framhålla några allmänna utgångs- punkter för våra bedömningar.

Det är till att börja med viktigt att lagen klart och tydligt an- ger för vilka ändamål behandling av personuppgifter ska få ske. Eftersom den nya lagen kommer att medge behandling av en stor mängd integritetskänsliga uppgifter, bör en utgångspunkt vara att lagen uttömmande ska ange för vilka ändamål behandling är tillåten. Detta gäller såväl vid sådan behandling som består i in- samling av uppgifter som vid behandling av annat slag, exempel- vis tillhandahållande av insamlad information till andra myndig- heter. Vidare bör det, på samma sätt som i dag, finnas särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter om någons ras eller et- niska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hälsa eller sexualliv.

Risken för otillbörliga intrång i den personliga integriteten är större när uppgifter registreras och lagras på ett sådant sätt att flera personer vid en eller flera myndigheter har möjlighet att ta

103

En ny lag om behandling av personuppgifter…

Ds 2007:43

del av dem, än när en enskild person behandlar uppgifter vid sin egen dator utan att någon annan har åtkomst till uppgifterna. Det bör därför införas särskilda inskränkande bestämmelser för sådan behandling av personuppgifter som innebär att uppgifterna görs gemensamt tillgängliga i den brottsbekämpande verksam- heten och för behandling av personuppgifter som har gjorts gemensamt tillgängliga.

En förutsättning för att polisen ska kunna bedriva ett fram- gångsrikt brottsförebyggande arbete är att polisen får behandla uppgifter om personer som inte är misstänkta för något konkret brott, men ändå misstänks ägna sig åt brottslig verksamhet. Be- stämmelser som ger polisen möjligheter att bygga upp stora samlingar av uppgifter om enskilda, utan att det finns någon an- knytning till ett visst brott, kan emellertid inge särskilda betänk- ligheter från integritetssynpunkt. En utgångspunkt bör därför vara att det för polisens del bör uppställas mera restriktiva be- stämmelser för behandlingen av uppgifter som inte har samband med ett konkret brott än för behandlingen av uppgifter som be- hövs för att utreda och beivra ett konkret brott.

I ett integritetsskyddsperspektiv är det också viktigt att sär- skilja olika typer av uppgifter. Det är särskilt viktigt att det inte uppstår missuppfattningar om huruvida den person som en be- handlad uppgift rör är brottsmisstänkt eller inte. Detta kommer bl.a. till uttryck i Europarådets rekommendation om använd- ningen av personuppgifter inom polissektorn (se avsnitt 4.2.3). En utgångspunkt bör därför vara att det av varje behandlad per- sonuppgift framgår huruvida behandlingen sker för att personen är misstänkt eller inte. Det bör också gå att utläsa om de be- handlade uppgifterna kan anses tillförlitliga, exempelvis om in- formationen består av kontrollerade fakta eller av endast anta- ganden eller obekräftade rykten.

När man avgör vilket intrång i den personliga integriteten som olika former av behandling av personuppgifter innefattar, finns det anledning att särskilt beakta i vilken utsträckning upp- gifterna finns tillgängliga för sökning och sammanställning. Ju större möjligheter det finns att söka och sammanställa insamlade

104

Ds 2007:43

En ny lag om behandling av personuppgifter…

och lagrade uppgifter, desto större är risken för att behandlingen av personuppgifter leder till oproportionerliga intrång i de regi- strerades personliga integritet. Mot denna bakgrund bör särskilda regler gälla för användning av bl.a. namn och person- nummer som sökbegrepp i polisens brottsbekämpande verksam- het.

De brottsbekämpande myndigheterna måste kunna utbyta information sinsemellan och, i viss utsträckning, lämna informa- tion till andra myndigheter. För att uppnå en hög effektivitet i informationsutbytet behöver myndigheterna kunna utnyttja till- gängliga tekniska hjälpmedel. Särskilt stor betydelse har möjlig- heten att vid behov snabbt kunna få tillgång till uppgifter hos andra myndigheter på automatiserad väg, exempelvis genom direktåtkomst. En sådan åtkomst kan dock samtidigt innebära ökade risker för integritetsintrång. Det beror dels på att system för direktåtkomst, typiskt sett, innebär att antalet personer som har tillgång till uppgifterna ökar, dels på att uppgifterna i ökad omfattning kan bli tillgängliga i andra myndigheters verksamhet även i situationer när detta inte är påkallat av strikta verksam- hetsbehov i det enskilda fallet. Lagen bör därför begränsa till- gången till automatiserad information så att endast den som be- höver en viss uppgift för att kunna fullgöra sina arbetsuppgifter kan få tillgång till den genom direktåtkomst.

Från brottsbekämpningssynpunkt kan det ibland vara av värde att uppgifter bevaras under en längre tid. För den enskilde innebär ett sådant bevarande emellertid att integritetsintrånget består. Att uppgifterna bevaras under lång tid medför också att den totala mängden information om en person kan komma att öka, vilket kan vara negativt från integritetsskyddssynpunkt. Det är därför nödvändigt att utforma bestämmelserna om gallring så att personuppgifter inte bevaras under längre tid än vad som är nödvändigt.

Vi återkommer i följande avsnitt till de frågor som vi nu har berört.

105

En ny lag om behandling av personuppgifter…

Ds 2007:43

6.5Den nya lagen och personuppgiftslagen

6.5.1Förhållandet till personuppgiftslagen

Promemorians förslag: Den nya lagen ska gälla i stället för personuppgiftslagen. I lagen ska hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av person- uppgifter i polisens brottsbekämpande verksamhet. Lagen ska, liksom personuppgiftslagen, ha till syfte att skydda män- niskor mot att deras personliga integritet kränks genom be- handlingen av personuppgifter.

Utredningens förslag: Utredningen har föreslagit att den nya lagen ska vara heltäckande och upprepa de bestämmelser i per- sonuppgiftslagen som ska tillämpas i polisens verksamhet.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft någon invändning mot det. Ekobrotts- myndigheten har uttalat att den föreslagna lagtekniska lösningen i och för sig framstår som tilltalande, men att det är förenat med svårigheter att bygga en lag om polisens behandling av person- uppgifter på ett EG-direktiv som undantar behandling i polis- verksamhet. Kriminalvårdsstyrelsen har ställt sig tveksam till för- slaget och menat att det är lämpligare att den nya lagen endast hänvisar till personuppgiftslagen. Statskontoret har uttalat att förhållandet mellan personuppgiftslagen och den föreslagna polisdatalagen inte är tillräckligt utrett. Enligt Statskontoret bör det ytterligare övervägas om den nya polisdatalagen endast bör omfatta de bestämmelser som materiellt avviker från regleringen i personuppgiftslagen. Riksarkivet har ansett att bestämmelserna i personuppgiftslagen, som riktar sig mot en stor krets av be- handlingar inom skilda verksamhetsgrenar, kan bli missvisande om de rakt av överförs till en så speciell verksamhet som poli- sens. Riksskatteverket har ansett att lagen bör hänvisa till bestäm- melserna i personuppgiftslagen, i stället för att upprepa dem.

Kammarrätten i Jönköping och Sveriges Domareförbund har för-

106

Ds 2007:43

En ny lag om behandling av personuppgifter…

ordat en lagstiftningsteknik som innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i den nya lagen och att det tydligt i denna hänvisas till de lagrum i person- uppgiftslagen som är tillämpliga. Malmö tingsrätt har förklarat sig inte motsätta sig utredningens förslag men har påpekat att för- slaget innebär att man får en reglering på polisområdet som avvi- ker från vad som gäller i andra motsvarande fall.

Skälen för promemorians förslag: Personuppgiftslagen byg- ger, som nämnts i tidigare avsnitt, på EG:s dataskyddsdirektiv och är generellt tillämplig på behandling av personuppgifter. Eftersom direktivet inte omfattar behandling av personuppgifter som utförs på området för statens brottsbekämpande verksam- het, finns det ur EG-rättslig synvinkel i och för sig inte något som hindrar att en ny lag om behandling av personuppgifter inom polisens brottsbekämpande verksamhet utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidare- utvecklar de bestämmelser som finns i Europarådets dataskydds- konvention. Konventionen, med dess tilläggsprotokoll, är Sve- rige folkrättsligt förpliktat att följa. Trots att direktivet inte är tillämpligt i fråga om behandling av personuppgifter som sker i den brottsbekämpande verksamheten bör mot den angivna bak- grunden en reglering som avviker från de grundläggande regler och principer som kommer till uttryck i personuppgiftslagen införas bara om det finns goda skäl för det. Det kan vidare bara ske under förutsättning att regleringen är förenlig med reger- ingsformen och med åtaganden som följer av andra bindande internationella förpliktelser, bl.a. Europakonventionen och data- skyddskonventionen. Systematiska skäl talar vidare för att den nya regleringen bör ansluta till personuppgiftslagen. Det är såle- des önskvärt att de bestämmelser till skydd för enskilds integri- tet som uppställs i personuppgiftslagen så långt möjligt tillämpas även vid personuppgiftsbehandling inom polisens brottsbekäm- pande verksamhet.

Med hänvisning till det som sagts ovan förordar vi att person- uppgiftslagens bestämmelser i väsentliga delar får gälla även i

107

En ny lag om behandling av personuppgifter…

Ds 2007:43

polisens brottsbekämpande verksamhet. I denna verksamhet finns emellertid särskilda behov av att kunna behandla person- uppgifter automatiserat och verksamhetens särdrag gör dess- utom att personuppgiftslagens bestämmelser inte alltid är ända- målsenliga. I vissa delar bör det därför införas bestämmelser som avviker från den lagen.

Hur bör då de regler i personuppgiftslagen som bör gälla även i polisens brottsbekämpande verksamhet infogas i det nya regel- verket? I tidigare lagstiftningsarbeten, där motsvarande fråga har uppkommit, har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i en viss verksamhet över huvud taget inte nämna personuppgiftsla- gen. Det innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda för- fattningen inte innehåller avvikande bestämmelser (jfr 2 § per- sonuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver per- sonuppgiftslagen. Den modellen används i bl.a. polisdatalagen. Nackdelen med lösningar av dessa slag är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga.

Utredningen har föreslagit en annan modell. Förslaget inne- bär att den nya lagen ska vara heltäckande och upprepa de be- stämmelser i personuppgiftslagen som ska gälla för polisen. En liknande lösning gäller för personuppgiftsbehandling hos För- svarsmakten och Försvarets radioanstalt (prop. 2006/07:46; SFS 2007:258 och 2007:259). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom per- sonuppgiftslagens bestämmelser ändå gäller om inget annat an- ges. En annan nackdel är att lagen blir omfattande.

Ytterligare en lösning har valts i lagen (2005:787) om be- handling av uppgifter i Tullverkets brottsbekämpande verksam- het. Lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personupp-

108

Ds 2007:43

En ny lag om behandling av personuppgifter…

giftslagen som ska vara tillämpliga. Lagrådet hade i det lagstift- ningsärendet inte några invändningar mot den valda metoden. Samma lösning har nyligen också föreslagits för Kustbevakning- ens personuppgiftsbehandling (se SOU 2006:18). Fördelarna med en sådan koppling till personuppgiftslagen är att lagstift- ningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

Utvecklingen går mot ökat samarbete mellan de brottsbe- kämpande myndigheterna. Det ligger ett värde i att använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett vilken myn- dighet det gäller. Vi föreslår därför att man väljer samma lagstift- ningsteknik som i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet bör alltså gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen. Lagen bör, lik- som personuppgiftslagen, ha till syfte att skydda människor mot att deras personliga integritet kränks genom behandlingen av personuppgifter. En erinran om detta bör tas in i lagens inledan- de paragraf.

109

Ds 2007:43

En ny lag om behandling av personuppgifter…

Utredningens förslag: Överensstämmer i huvudsak med för- slaget och bedömningen.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det. Ekobrotts- myndigheten har framhållit att bestämmelsen i 15 kap. 5 § sekre- tesslagen, som reglerar en myndighets skyldighet att på begäran från en annan myndighet lämna ut uppgift som den förfogar över, i dag uppfattas som en särreglering som gäller före person- uppgiftslagen och polisdatalagen. Myndigheten har påpekat att det därför är nödvändigt att det klart och tydligt uttalas att 15 kap. 5 § sekretesslagen kan tillämpas som i dag. Enligt Eko- brottsmyndigheten bör det även införas en bestämmelse i personuppgiftslagen eller sekretesslagen som säger att den s.k. finalitetsprincipen får vika i de fall uppgifter får lämnas till andra myndigheter med stöd av sekretesslagen.

Skälen för promemorians förslag och bedömning

Nedan redovisar vi vår bedömning av i vilken utsträckning per- sonuppgiftslagens bestämmelser bör vara tillämpliga vid behand- ling av personuppgifter i polisens brottsbekämpande verksamhet.

Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är cen- trala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indi- rekt kan hänföras till en fysisk person som är i livet”) och vad som utgör behandling av personuppgifter (”Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, in- hämtande, användning, utlämnande genom översändande, sprid- ning eller annat tillhandahållande av uppgifter, sammanställning

111

En ny lag om behandling av personuppgifter…

Ds 2007:43

eller samkörning, blockering, utplåning eller förstöring”). Defi- nitionerna gäller i dag också för personuppgiftsbehandling enligt polisdatalagen. I likhet med utredningen anser vi att det är vik- tigt att terminologin i den nya lagen överensstämmer med per- sonuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § per- sonuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen finns en erinran om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut person- uppgifter enligt 2 kap. tryckfrihetsförordningen, som reglerar allmänna handlingars offentlighet. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Paragrafen gäller i dag också för per- sonuppgiftsbehandling hos polisen.

Enligt vår bedömning bör i klargörande syfte en hänvisning till bestämmelsen i 8 § personuppgiftslagen tas in i lagen, så att det inte råder någon tvekan om att tillämpningen av lagen inte får strida mot 2 kap. tryckfrihetsförordningen.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om be- handling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a) och b) anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i en- lighet med god sed. Enligt e)–h) ska den ansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i för-

112

Ds 2007:43

En ny lag om behandling av personuppgifter…

hållande till ändamålen med behandlingen, att inte fler person- uppgifter behandlas än som är nödvändigt, att de personuppgif- ter som behandlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Det är naturligt att dessa krav tillämpas även vid behandling av personuppgifter inom polisens brottsbekämpande verksam- het. Den nya lagen bör därför hänvisa till 9 § första stycket a), b) och e)–h) personuppgiftslagen.

I 9 § första stycket c) anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d) att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Punkten d) ger uttryck för den s.k. finalitetsprincipen. Enligt paragrafens andra stycke gäller att behandling av personuppgifter för histo- riska, statistiska eller vetenskapliga ändamål generellt inte ska anses som oförenlig med de ändamål för vilka uppgifterna samla- des in. Vi anser att det inte bör tas in några hänvisningar till dessa bestämmelser i den nya lagen. I stället bör den nya lagen – såsom vi återkommer till i avsnitt 7.1 – uttömmande ange för vilka ändamål uppgifter får behandlas i polisens brottsbekäm- pande verksamhet. En sådan ordning innebär andra slag av be- gränsningar av möjligheterna till personuppgiftsbehandling än de som anges i 9 § första stycket c) och d) personuppgiftslagen.

Ekobrottsmyndigheten har tagit upp frågan om förhållandet mellan 15 kap. 5 § sekretesslagen och utredningens lagförslag. Vi återkommer till denna fråga i författningskommentaren till 2 kap. 6 §.

I 9 § första stycket i) och tredje stycket personuppgiftslagen finns bestämmelser om hur länge uppgifter får bevaras. Enligt vår mening bör frågan om gallring regleras särskilt i den nya la- gen. Någon hänvisning till personuppgiftslagens bestämmelser om hur länge uppgifter får bevaras behövs därför inte i den nya lagen.

113

En ny lag om behandling av personuppgifter…

Ds 2007:43

Behandling av personnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om person- nummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer bör således inte användas av ren slentrian. Bestämmelsen innebär att den personuppgiftsansvarige måste göra en intresseavvägning. Tyngden av de skäl som talar för att behandlingen av personnummer är påkallad måste således vägas mot behovet av skydd för den personliga integriteten. Principen bör gälla även vid behandling inom polisens brottsbekämpande arbete. Den nya lagen bör därför hänvisa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Personuppgiftslagens bestämmelser om information, som ska lämnas självmant till den registrerade när uppgifter har samlats in från personen själv, och om information som ska lämnas efter ansökan av den registrerade (23 och 25–27 §§) tillämpas i dag vid behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Av 23 § personuppgiftslagen framgår att den personuppgifts- ansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgifts- ansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har häm- tats, ändamålen med behandlingen och till vilka mottagare eller

114

Ds 2007:43

En ny lag om behandling av personuppgifter…

kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För informa- tion efter begäran av en registrerad gäller särskilda bestämmelser. Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning, eller i beslut som har medde- lats med stöd av författning, särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sek- retess.

Dessa bestämmelser gäller, som nämnts ovan, vid personupp- giftsbehandling i polisens brottsbekämpande verksamhet i dag. De utgör enligt vår bedömning i allt väsentligt en lämplig avväg- ning mellan den enskildes intresse av att få information om vil- ken behandling som sker av uppgifter om denne och polisens intresse av möjligheter till effektiva medel för brottsbekämpning. En hänvisning till bestämmelserna bör därför införas i den nya lagen.

I lagen bör det dock införas ett undantag från informations- skyldigheten i 23 §. Av Datainspektionens allmänna råd om in- formation framgår att information bör lämnas muntligt när per- sonuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. I praktiken uppstår emellertid inte sällan svårigheter att lämna information om behandlingen till den som ringer upp en kommunikationscentral om behandlingarna i kommunikations- centralernas system (KC-systemet). När en person vänder sig till polisen med ett larm eller liknande underrättelse rör det sig ty- piskt sett om en brådskande situation som kräver omedelbar åt- gärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs vid en larmcentral är det, såsom utredningen har varit inne på, inte rim- ligt att kräva att polisen alltid lämnar information i samband med larm. Vi anser att information inte ska behöva lämnas om det

115

En ny lag om behandling av personuppgifter…

Ds 2007:43

med hänsyn till omständigheterna inte finns tid att lämna infor- mationen. Bedömningen av om information ska lämnas bör göras från fall till fall. I sådan verksamhet som uteslutande består i att ta emot larm torde det dock endast undantagsvis finnas tid att lämna information.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personupp- giftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därige- nom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats. Dessa bestämmelser gäller idag vid personuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas så att intrång i den personliga integriteten kan begränsas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för polisen. Vi föreslår därför att bestämmelserna i 28 § person- uppgiftslagen ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet även i fortsättningen. I den nya lagen bör det alltså tas in en hänvisning till 28 § person- uppgiftslagen.

116

Ds 2007:43

En ny lag om behandling av personuppgifter…

Säkerheten vid behandling (30–32 §§)

I 30–32 §§ personuppgiftslagen finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Dessa bestäm- melser är i dag tillämpliga vid personuppgiftsbehandling i poli- sens brottsbekämpande verksamhet och de bör enligt vår be- dömning gälla där även fortsättningsvis. En hänvisning till be- stämmelserna bör alltså föras in i den nya lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § person- uppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samar- betsområdet (EES; 3 § personuppgiftslagen), om inte det motta- gande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personupp- gifter. Överföring till ett land som inte ingår i EU eller är anslu- tet till EES får också ske om landet har en ”adekvat nivå” för skyddet av personuppgifter. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

Vi anser att förbudet mot överföring till tredjeland som inte har acceptabla skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även vid behandling enligt den här föreslagna lagstiftningen. Regeringen bör även ha möjlighet att föreskriva om undantag från förbudet.

117

En ny lag om behandling av personuppgifter…

Ds 2007:43

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m. (36 § andra stycket och 38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndig- heten (Datainspektionen). Anmälan behöver dock enligt 3 § per- sonuppgiftsförordningen (1998:1191) inte göras för behand- lingar som regleras genom särskilda föreskrifter i lag eller för- ordning. Någon skyldighet att anmäla de behandlingar som ut- förs med stöd av den nya lagen finns således inte. Lagen bör därför inte innehålla någon hänvisning till 36 § första stycket personuppgiftslagen.

I dag har regeringen enligt 41 § personuppgiftslagen möjlig- het att föreskriva att vissa särskilt känsliga behandlingar ska an- mälas till Datainspektionen för förhandskontroll. Det gäller även vid personuppgiftsbehandling inom polisens brottsbekämpande verksamhet. Så bör det enligt vår mening vara även i fortsätt- ningen. Den nya lagen bör därför innehålla en hänvisning till 41 §.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansva- rige lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen till den som begär det. Bestämmelsen är i dag tillämplig på de behandlingar som utförs inom ramen för polisens brottsbekämpande verksamhet men innebär ingen skyldighet att lämna ut sekretesskyddad in- formation. Det är från integritetsskyddssynpunkt viktigt att den enskilde på ett snabbt och enkelt sätt kan få besked av polisen om vilka behandlingar som utförs i den brottsbekämpande verk- samheten även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § personuppgiftslagen bör därför tas in i den nya lagen.

Den personuppgiftsansvarige kan enligt 36 § andra stycket personuppgiftslagen utse ett personuppgiftsombud. Om ett så- dant ombud utses, ska bestämmelserna om ombudets skyldig- heter i 38–40 §§ personuppgiftslagen tillämpas. I personupp-

118

Ds 2007:43

En ny lag om behandling av personuppgifter…

giftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registre- rade att få rättelse. Den personuppgiftsansvarige ska anmäla om- budet hos Datainspektionen. Även ett entledigande ska anmälas hos inspektionen. Bestämmelserna gäller i dag för polisens be- handling av personuppgifter.

Den nu beskrivna regleringen i personuppgiftslagen ger myn- digheterna valfrihet när det gäller frågan om personuppgifts- ombud ska utses. Den behandling av personuppgifter som före- kommer i polisens brottsbekämpande verksamhet rör i stor ut- sträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registre- rade har lätt att vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandlingen och om rättelse. Mot den bakgrunden bör det enligt vår mening ställas krav på att varje myndighet som omfattas av lagen ska utse personuppgiftsombud och anmäla dessa till Datainspektionen. Detta bör framgå direkt av den nya lagen. Det kan anmärkas att regeringen gjorde mot- svarande bedömning i propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (se prop. 2006/07:46 s. 98).

Tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlig- het att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt till- träde till lokaler. Paragrafen gäller för polisen i dag och bör vara tillämplig även fortsättningsvis. En hänvisning till den ska alltså tas in i den nya lagen.

119

En ny lag om behandling av personuppgifter…

Ds 2007:43

Om Datainspektionen inte efter en begäran enligt 43 § per- sonuppgiftslagen kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Denna be- stämmelse gäller i dag för polisens personuppgiftsbehandling och utredningen har föreslagit att den ska gälla även framdeles. Beträffande andra myndigheters personuppgiftsbehandling har man valt olika lösningar när det gäller Datainspektionens möjlighet att meddela sådana förbud. En sådan möjlighet finns exempelvis inte enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutred- ningar.

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda behandling av personuppgifter i polisens brottsbekäm- pande verksamhet kan det alltså inledningsvis konstateras att en sådan möjlighet finns redan enligt gällande rätt. I förhållande till de myndigheter där Datainspektionen enligt vad som redovisats ovan saknar sådan möjlighet har polisen en mycket mer omfat- tande personuppgiftsbehandling som dessutom omfattar flera olika myndigheter. Till detta kan anmärkas att polisen, med den nya lag som vi föreslår, kommer att få möjlighet att behandla vissa typer av personuppgifter i större utsträckning än i dag. Vårt förslag lämnar också större utrymme för polisen att fatta beslut om formerna för behandlingen och vilka strukturer den ska ske i. Det sagda talar enligt vår bedömning sammantaget för att Data- inspektionen även fortsättningsvis bör kunna förbjuda viss be- handling, om det någon gång skulle inträffa att inspektionen inte får tillgång till tillräckligt underlag för att kunna bedöma per- sonuppgiftsbehandlingen. En hänvisning bör därför göras också till 44 §.

120

Ds 2007:43

En ny lag om behandling av personuppgifter…

Frågan är sedan om det bör vara möjligt för Datainspektionen att förena ett sådant förbud med vite. Regeringen har i flera pro- positioner valt att inte ge Datainspektionen någon sådan möjlig- het. Detta har motiverats med att regler om vite inte bör tilläm- pas i förhållandet mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105). Vi delar uppfattningen att vite inte bör användas mellan statliga myndigheter och före- slår därför att ett förbud enligt 44 § personuppgiftslagen inte får förenas med vite.

En hänvisning bör vidare göras till 45 § första stycket. Där anges att Datainspektionen, om den konstaterar att personupp- gifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Data- inspektionen förbjuda behandlingen. Bestämmelsen gäller redan i dag inom polisens brottsbekämpande verksamhet och bör gälla även fortsättningsvis av de skäl som angetts ovan. Däremot bör någon hänvisning till paragrafens andra stycke eller till 46 §, som båda behandlar frågor om vite, inte göras av skäl som vi nyss har nämnt.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmel- sen, som gäller i polisens verksamhet i dag, har sin grund i artikel 28.3 i dataskyddsdirektivet. Där anges att varje nationell till- synsmyndighet ska ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. I likhet med utredningen anser vi att bestämmelsen bör vara tillämplig vid behandling av uppgifter enligt den nya lagen. En hänvisning till bestämmelsen bör alltså tas in i lagen.

Frågan om tillsyn behandlas även i avsnitt 19.

121

En ny lag om behandling av personuppgifter…

Ds 2007:43

Skadestånd (48 §)

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den per- sonliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen gäller i dag vid per- sonuppgiftsbehandling i polisens brottsbekämpande verksamhet.

Enligt vår mening bör det finnas en rätt till skadestånd vid skada och kränkning som uppstår när uppgifter behandlas i strid med den nya lagen. En hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen.

Överklagande (51 § första stycket, 52 § första stycket och 53 §)

I 51 § personuppgiftslagen finns en bestämmelse om att till- synsmyndighetens beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Vårt förslag om att tillsynsmyndigheten ska kunna meddela förbud enligt 44 eller 45 § personuppgiftslagen innebär att en hänvisning också bör göras till 51 §.

Enligt 51 § andra stycket får tillsynsmyndigheten bestämma att dess beslut ska gälla även om det överklagas. Frågan är om denna bestämmelse ska gälla för polisens personuppgiftsbehand- ling. Det kan finnas skäl som talar både för och emot detta. Sys- tematiska skäl kan synas tala för att regleringen bör utformas på samma sätt, oavsett vem beslutet gäller. Det är emellertid svårt att se något egentligt praktiskt behov av en sådan möjlighet. Vid en samlad bedömning anser vi att tillsynsmyndigheten inte bör ges möjlighet att meddela interimistiska beslut. Hänvisningen bör därför endast avse det första stycket i paragrafen.

En myndighets beslut om information, om rättelse och underrättelse till tredje man om rättelseåtgärder, om information om automatiserade beslut och om allmänna upplysningar om pågående behandlingar får, enligt 52 § personuppgiftslagen, överklagas hos allmän förvaltningsdomstol. Andra beslut enligt

122

Ds 2007:43

En ny lag om behandling av personuppgifter…

personuppgiftslagen får inte överklagas (53 §). Prövningstill- stånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser (prop. 2005/06:173 s. 53) uttalades att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överkla- gandebestämmelser i särskilda registerförfattningar, som hänvi- sar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överkla- gande utan i stället enbart hänvisa till personuppgiftslagens be- stämmelser om överklagande.

Straffansvar (49 §)

I 49 § personuppgiftslagen föreskrivs straffansvar för överträdel- ser av olika bestämmelser i personuppgiftslagen. Lagrådet har i ett tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att legalitetsprincipen medför att paragrafen inte kan ges motsva- rande tillämpning på bestämmelser som avviker från personupp- giftslagen och som har tagits in i särlagstiftning. Paragrafen kan alltså inte ges en generell tillämpning på de regler som förs in i den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Däremot skulle i och för sig en hänvisning kunna tas in i den nya lagen med innebörd att straff- bestämmelserna i personuppgiftslagen ska gälla i de delar som personuppgiftslagen ska tillämpas. En sådan ordning kan vid en första anblick förefalla naturlig. Å andra sidan kommer behand- lingen av personuppgifter enligt den nya lagen att utföras av per- soner som är anställda vid statliga myndigheter och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Som utredningen har uttalat torde det inte bli aktuellt att till- lämpa straffbestämmelsen i personuppgiftslagen mot någon an- ställd inom polisen (se även prop. 1997/98:97 s. 109). Det bör därför inte införas någon hänvisning till den aktuella bestämmel- sen i personuppgiftslagen. Det kan tilläggas att samma bedöm- ning gjordes vid tillkomsten av lagen om behandling av uppgifter

123

En ny lag om behandling av personuppgifter…

Ds 2007:43

i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 55).

6.6Personuppgiftsansvar

Promemorians förslag: Rikspolisstyrelsen och polismyndig- heterna ska vara personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför eller som det åligger myndigheterna att utföra.

Utredningens förslag: Utredningen har föreslagit att Riks- polisstyrelsen ensam ska vara personuppgiftsansvarig för de centrala registren i polisens verksamhet.

Remissinstanserna har inte haft något att invända mot för- slaget.

Skälen för promemorians förslag: Enligt 3 § personupp- giftslagen är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsansvaret kan alltså delas mellan flera.

I registerförfattningar är det vanligt att man på ett tydligt sätt pekar ut vem som är ansvarig för den behandling av uppgifter som regleras. I polisdatalagen finns ingen generell bestämmelse om personuppgiftsansvar. I stället anges för respektive register vem som är ansvarig.

Vårt lagförslag bygger på tanken att såväl Rikspolisstyrelsen som de enskilda polismyndigheterna ska kunna hantera uppgifter elektroniskt. Det framstår därför som lämpligt att den myndig- het som utför själva behandlingen också ska ha personuppgifts- ansvaret. När det gäller polisverksamhet hos Ekobrottsmyndig- heten bedrivs denna av poliser som har tillkallats av Rikspolisstyrelsen, som också leder sådan verksamhet som bara får utövas av anställda inom polisen. Man skulle kunna överväga om Ekobrottsmyndigheten trots detta bör ha personuppgiftsan-

124

Ds 2007:43

En ny lag om behandling av personuppgifter…

svar för den behandling som sker i polisverksamheten där. Vi anser dock att personuppgiftsansvaret för behandling av uppgif- ter i den verksamheten, liksom i dag, bör utövas av Rikspolis- styrelsen.

I de fall där det rör sig om behandling av uppgifter i större nationella uppgiftssamlingar, bör liksom tidigare Rikspolisstyrel- sen vara personuppgiftsansvarig. Om det å andra sidan handlar om personuppgiftsbehandling inom en enskild polismyndighet, bör ansvaret ligga på denna.

Denna ordning för personuppgiftsansvaret bör komma till uttryck i den nya lagen.

6.7Tillgången till personuppgifter

Promemorians förslag: Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att full- göra sina arbetsuppgifter. En myndighet som har direktåt- komst till personuppgifter ska ansvara för att tillgången be- gränsas på det sättet.

Utredningens förslag: Utredningen har inte föreslagit någon motsvarande bestämmelse.

Remissinstanserna har inte yttrat sig i frågan.

Skälen för promemorians förslag: Stora informationsmäng- der som är samlade så att uppgifter är enkelt sökbara på elektro- nisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Den nya lagen bör därför bygga på principen att enbart de som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör tas in i den nya lagen. Bestämmelsen bör omfatta både direkt tillgång till auto-

125

En ny lag om behandling av personuppgifter…

Ds 2007:43

matiserade uppgiftssamlingar och tillgång i allmänhet och gälla såväl för polisen som för de myndigheter som har direktåtkomst till uppgifterna. Som en följd av denna bestämmelse kommer polisen och de myndigheter som har direktåtkomst till uppgif- terna att vara skyldiga att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter inte förekommer. Bestämmelsen får också till följd att enskilda tjänstemän blir för- hindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.

Det kan i detta sammanhang framhållas att modern teknik gör det enklare att organisera verksamheten så att tillgången till uppgifter som behandlas automatiserat begränsas på ett lämpligt sätt. En av grundtankarna bakom de nya datasystem som plane- ras inom polisen är således att tillgången till uppgifter ska kunna begränsas på ett mer precist sätt. Rikspolisstyrelsen har under hand förklarat att en enskild tjänstemans rätt till åtkomst (behö- righet) i större utsträckning kommer att knytas till viss informa- tion än till olika slags register. Därmed kan tillgången till infor- mation om en person eller uppgifter knutna till en person be- gränsas med utgångspunkt från tjänstemannens arbetsuppgifter. De mest känsliga uppgifterna kommer lättare att kunna avgrän- sas och omges av de extra integritets- och säkerhetsskydd som dessa kräver. Vidare kommer kunskapen om och kontrollen av varje tjänstemans informationstillgång att öka. På förhand be- stämda behörigheter som avgör tillgången till uppgifter kommer att tas fram. Behörigheterna kommer att anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbets- uppgifter.

126

7Tillåtna ändamål för behandlingen

7.1Tydliga och konkreta ändamål för behandling av personuppgifter

Promemorians förslag: I lagen anges för vilka ändamål be- handling av personuppgifter får ske. Uppgifter ska inte få be- handlas för några andra ändamål än dessa.

Utredningens förslag: Utredningen har föreslagit att per- sonuppgifter ska få behandlas bara om behandlingen är nödvän- dig för att sådan polisverksamhet som omfattas av lagen ska kunna utföras. Utredningen har vidare föreslagit att personupp- gifter ska få samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgif- terna samlades in.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt ut- redningens förslag eller inte haft någon invändning mot det.

Skälen för promemorians förslag: Polisdatalagen innehåller bestämmelser om ändamålen för de olika register som regleras i lagen, men saknar en generell ändamålsbestämmelse. Det innebär att bestämmelserna om ändamål i 9 § första stycket c) och d) personuppgiftslagen gäller för sådan behandling av personupp- gifter inom polisen som inte omfattar de särskilt reglerade regist- ren. Enligt dessa bestämmelser får personuppgifter samlas in

127

Tillåtna ändamål för behandlingen

Ds 2007:43

bara för särskilda, uttryckligt angivna och berättigade ändamål. Vilka dessa ändamål är anges inte i lagen. Vidare gäller att senare behandling inte får ske för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprinci- pen).

Det är, som vi redan har varit inne på, naturligt att den nya la- gen, liksom personuppgiftslagen, utgår från att personuppgifter får behandlas enbart för vissa berättigade ändamål. Därmed kan användningen och spridningen av uppgifterna begränsas. Det är också naturligt att arten av tillåtna ändamål anges i lagen. Reg- lerna om ändamålen med personuppgiftsbehandlingen kan ut- formas på två principiellt olika sätt. Det ena innebär att man i lagen anger att uppgifter får samlas in enbart för vissa angivna ändamål och att senare behandling inte får ske för något ändamål som är oförenligt med det i lagen angivna ändamålet (jfr finali- tetsprincipen). Det andra sättet är att i lagen uttömmande ange de ändamål för vilka behandling (vare sig det är fråga om insam- ling av uppgifter eller efterföljande behandling) får ske.

Vi förordar att reglerna utformas enligt det senare alternati- vet. Det förra alternativet innebär visserligen en viss praktisk flexibilitet och har dessutom en förebild i personuppgiftslagen och flera andra registerlagar. I förarbetena till personuppgiftsla- gen har det emellertid inte närmare preciserats vad som kan an- ses oförenligt med de ursprungliga ändamålen. Det skulle därför bli svårt att avgöra om denna förutsättning är uppfylld. Som en följd därav skulle det inte alltid gå att förutse vilken behandling som kan komma att ske. Eftersom den nya lagen ska gälla ifråga om uppgifter som, typiskt sett, är av integritetskänsligt slag är det inte tillfredsställande att låta en så oprecis bestämmelse av- göra i vilken utsträckning senare behandling av uppgifterna är tillåten. Ökad tydlighet kommer också att underlätta för tilläm- parna.

Lagen bör således uttömmande reglera även tillåtligheten av senare behandling av insamlade uppgifter. I lagen bör därför an- ges ett antal primära ändamål för behandlingen av personupp- gifter i polisens brottsbekämpande verksamhet. I avsnitten 7.2–

128

Ds 2007:43

Tillåtna ändamål för behandlingen

7.4 diskuterar vi vilka dessa ändamål bör vara. Redan här ska sägas att dessa primära ändamål enligt vår mening bör avse brottsbekämpning.

Av verksamhetsskäl bör polisen emellertid ha vissa möjlighe- ter att behandla uppgifter som har samlats in för sådana primära ändamål även för andra ändamål. Det kan vara fråga om att poli- sen behöver använda uppgifterna i annan verksamhet som poli- sen bedriver eller att uppgifterna behövs i brottsbekämpande verksamhet som någon annan myndighet än polisen bedriver. Också dessa sekundära ändamål bör anges i lagen. Vi återkom- mer i avsnitt 7.6 till vilka dessa sekundära ändamål bör vara.

Bestämmelserna om att personuppgifter inte får behandlas annat än för vissa i lagen angivna ändamål bör inte få hindra ra- tionella rutiner för diarieföring och ärendehantering. Det har föranlett oss till särskilda överväganden som vi redovisar i avsnitt 7.5.

Vi har tidigare beskrivit behovet av en mer teknikneutral lag- stiftning (se avsnitt 6.1). En utgångspunkt måste därför vara att lagen, så långt det är möjligt, inte innehåller regler för vissa sär- skilda register. För vissa fall anser vi dock att det bör införas regler för särskilda register. Detta gäller register med uppgifter om DNA-analyser, fingeravtrycks- eller signalementsregister och penningtvättsregister. Våra överväganden i denna del redovi- sar vi i avsnitt 17.

Vilka närmare bestämmelser som bör gälla vid behandling av personuppgifter i Säkerhetspolisens verksamhet kommer vi in på i avsnitt 18.

I 8 § första stycket personuppgiftslagen, som enligt vårt för- slag i avsnitt 6.5 ska vara tillämplig, finns en erinran om att be- stämmelserna i personuppgiftslagen inte ska tillämpas i den ut- sträckning det skulle inskränka skyldigheten enligt 2 kap. tryck- frihetsförordningen att lämna ut personuppgifter. Bestämmelser i grundlag tar alltid över bestämmelser i vanlig lag. Tryckfrihets- förordningens bestämmelser har därför på motsvarande sätt företräde framför bestämmelserna i den nya lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

129

Tillåtna ändamål för behandlingen

Ds 2007:43

Behandling kommer därmed alltid att vara tillåten för att upp- fylla de krav som offentlighetsprincipen ställer.

7.2Förebygga, förhindra och upptäcka brottslig verksamhet

Promemorians förslag: Personuppgifter ska, med vissa be- gränsningar, få behandlas i polisens brottsbekämpande verk- samhet, om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Utredningens förslag överensstämmer delvis med promemo- rians förslag. Utredningen har föreslagit att bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelsere- gister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt ut- redningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som inne- fattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen har vidare föreslagit att det under vissa förutsätt- ningar ska vara tillåtet att behandla uppgifter om det är nödvän- digt för att underlätta övervakning av vissa grovt kriminellt be- lastade personer och personer som kan antas vara farliga.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt eller inte invänt mot förslaget att utmönstra begreppen krimi- nalunderrättelseverksamhet och kriminalunderrättelseregister. Datainspektionen har dock ansett att nuvarande regler är väl av- vägda. Majoriteten av remissinstanserna har ställt sig positiva till förslaget om att införa bestämmelser om behandling av uppgifter om personer som inte är misstänkta för brott.

130

Ds 2007:43

Tillåtna ändamål för behandlingen

Skälen för promemorians förslag

Allmänna utgångspunkter

Vi har ovan föreslagit att den nya lagen ska vara tillämplig i poli- sens brottsbekämpande verksamhet. Inom ramen för den verk- samheten förekommer personuppgiftsbehandling av vitt skilda slag.

Dels förekommer mycket sedvanligt kontorsarbete som tidi- gare inte utgjorde behandling av personuppgifter, men som gör det i dag med den ordbehandlingsteknik som numera används. Självklart måste den nya lagen ge polisen samma möjligheter som andra myndigheter har att använda modern teknik för att upp- rätta vanliga dokument, göra löpande noteringar i arbetet m.m. Det slaget av normalt teknikutnyttjande innefattar inte heller i sig några påtagliga integritetsrisker.

Dels förekommer mycket kvalificerad personuppgiftsbehand- ling, t.ex. i form av uppbyggandet och förandet av stora upp- giftssamlingar som är tillgängliga för ett större antal personer. Det slaget av behandling ger givetvis upphov till avsevärt större risker för intrång i den personliga integriteten.

Ett sätt att komma tillrätta med sådana integritetsrisker kan vara att generellt begränsa möjligheterna till behandling av per- sonuppgifter, t.ex. genom att uppställa mycket snäva ändamåls- bestämmelser för alla slag av behandling. Mycket snäva ända- målsbestämmelser kan emellertid allvarligt försämra polisens möjligheter att använda sig av modern kontorsteknik i arbetet med att komma tillrätta med olika slag av vardagsbrottslighet. Ett generellt förbud mot behandling av uppgifter som gäller mindre allvarlig brottslighet, t.ex. snatteri, skulle sålunda inne- bära att polisen överhuvudtaget inte skulle kunna använda sig av sedvanlig ordbehandling i arbetet med att förebygga eller utreda sådan brottslighet. Detta är uppenbarligen inte rimligt. Ända- målsbestämmelserna bör därför utformas så att de ger utrymme för att bedriva normalt polisarbete med modern teknik.

131

Tillåtna ändamål för behandlingen

Ds 2007:43

De särskilda risker som vissa slag av personuppgiftsbehand- ling kan ge upphov till bör alltså motverkas på annat sätt. I av- snitt 9 föreslår vi att bestämmelserna om personuppgiftsbehand- ling ska göra skillnad mellan å ena sidan sådan behandling som avser uppgifter som har gjorts gemensamt tillgängliga och å andra sidan annan behandling. Vid behandling av det förra slaget bör det gälla särskilda bestämmelser som kan minimera de integ- ritetsrisker som mera kvalificerad personuppgiftsbehandling kan ge upphov till.

Begreppet kriminalunderrättelseverksamhet bör inte användas i den nya lagen

Frågan som ska besvaras i detta avsnitt är i vilken utsträckning behandling av personuppgifter bör få ske inom ramen för sådan brottsbekämpande verksamhet som inte avser utredandet eller beivrandet av ett bestämt brott. Hittills har detta slag av person- uppgiftsbehandling skett inom ramen för polisdatalagens be- stämmelser om kriminalunderrättelseverksamhet och kriminal- underrättelseregister.

Dessa bestämmelser utgör resultatet av en avvägning mellan effektivitetsintressena i brottsbekämpningen och skyddet för den enskildes personliga integritet. Å ena sidan måste polisen för att kunna bedriva ett framgångsrikt brottsförebyggande arbete, få behandla uppgifter om personer som inte är misstänkta för något konkret brott men väl för att utöva eller ta del i pågående eller planerad brottslig verksamhet. Å andra sidan skulle en möj- lighet för polisen att utan någon närmare begränsning behandla personuppgifter som inte har samband med något konkret brott öppna vägen för en mycket omfattande behandling av personuppgifter med betydande risker för intrång i den person- liga integriteten.

Med underrättelseverksamhet avses i polisdatalagen den polis- verksamhet som består i att samla in, bearbeta och analysera in- formation för att klarlägga om brottslig verksamhet har utövats

132

Ds 2007:43

Tillåtna ändamål för behandlingen

eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Motsvarande definition finns i lagen (1999:90) om behandling av personuppgifter vid Skatte- verkets medverkan i brottsutredningar och i den numera upp- hävda lagen (2001:85) om behandling av personuppgifter i Tull- verkets brottsbekämpande verksamhet. I polisdatalagen tar be- greppet sikte på all underrättelseverksamhet som bedrivs hos polisen. För sådan underrättelseverksamhet som bedrivs av annan än Säkerhetspolisen används i lagen begreppet kriminal- underrättelseverksamhet.

Som ovan har nämnts (avsnitt 6.1) tillåter polisdatalagen inte att personuppgifter behandlas i kriminalunderrättelseverksamhet annat än under vissa förutsättningar som anknyter till hur poli- sen ska bedriva sådan verksamhet. En första förutsättning är således att en särskild undersökning har inletts. Med begreppet särskild undersökning avses en undersökning i kriminalunder- rättelseverksamhet som innebär insamling, bearbetning och ana- lys av uppgifter i syfte att ge underlag för beslut om förunder- sökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Har en sådan undersökning inletts, får per- sonuppgifter behandlas, om det finns anledning att anta att all- varlig brottslighet har utövats eller kan komma att utövas. Vid sådana undersökningar får personuppgifter också behandlas i kriminalunderrättelseregister, som bl.a. ska föras för att ge un- derlag för de nyss nämnda särskilda undersökningarna.

Som utredningen har framhållit är polisdatalagens systematik med en reglering av kriminalunderrättelseverksamhet, och i an- slutning härtill av kriminalunderrättelseregister, ägnad att ge upphov till tillämpningssvårigheter. Definitionen av kriminalun- derrättelseverksamhet täcker även sådan behandling av person- uppgifter som rimligen inte är så känslig att den behöver regleras särskilt. Den omfattar således, utöver det arbete som sker inom ramen för särskilda undersökningar, även polisens dagliga löpan- de arbete med att hantera information som på olika sätt kan förebygga, förhindra eller upptäcka brottslig verksamhet. Efter- som lagen utgår från att all behandling av uppgifter för de nu

133

Tillåtna ändamål för behandlingen

Ds 2007:43

aktuella ändamålen ska ske inom ramen för särskilda undersök- ningar eller kriminalunderrättelseregister, har den kommit att försvåra polisens arbete med att verka problemorienterat och brottsförebyggande. Samtidigt har regleringen föranlett oklar- heter beträffande flera av de andra register som polisen för. Ut- redningen har pekat på att det kan ifrågasättas om inte behand- lingen av personuppgifter i vissa existerande polisregister till viss del skulle kunna tolkas som kriminalunderrättelseverksamhet i polisdatalagens mening. Behandlingen skulle därmed inte vara tillåten annat än under de särskilda förutsättningar som gäller för behandling av uppgifter i kriminalunderrättelseverksamhet.

Av dessa skäl har utredningen föreslagit att den nya lagen inte ska innehålla bestämmelser om kriminalunderrättelseverksamhet och kriminalunderrättelseregister. I stället ska, enligt utredning- ens förslag, lagen innehålla bestämmelser om polisens behand- ling av uppgifter om personer som inte är misstänkta för brott.

Vi delar utredningens bedömning att begreppet kriminalun- derrättelseverksamhet bör utmönstras från polisdataregleringen och att den nya lagen således inte ska innehålla några särskilda bestämmelser om kriminalunderrättelseregister och s.k. särskilda undersökningar. Som kommer att framgå av det följande anser vi dock att regleringen i denna del bör utformas på ett något annorlunda sätt än vad utredningen har föreslagit.

Ändamålet bör vara att förebygga, förhindra och upptäcka brottslig verksamhet

Som nyss har nämnts användes begreppet underrättelseverksam- het i den numera upphävda lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Begreppet fördes dock inte över till den nuvarande lagen i samma ämne. Den lagen innehåller i stället bestämmelser om behandling av personuppgifter för ändamålet att förhindra eller upptäcka brottslig verksamhet. Vi anser att samma lösning bör väljas för polisens del. I förtydligande syfte bör bestämmelsen även inne-

134

Ds 2007:43

Tillåtna ändamål för behandlingen

hålla ordet förebygga. Av den nya lagen bör alltså framgå att per- sonuppgifter får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet. Därmed kommer bestämmelsen att ge utrymme för personuppgiftsbehandling inom all egentlig brottsbekämpande verksamhet inom polisen som inte direkt kan knytas till en brottsutredning, däribland behandling i polisens underrättelseverksamhet. Både behandling av mera rutinmässig karaktär, t.ex. ordbehandling, och behandling av mera kvalifice- rat slag kommer att omfattas av bestämmelsen.

Behandling av personuppgifter i brottsbekämpande verksam- het där det inte finns någon misstanke om konkret brott är sär- skilt känslig ur integritetssynpunkt. Vi redovisar nedan under vilka närmare förutsättningar sådan behandling bör få ske. Vi kommer för enkelhetens skull att använda oss av uttrycket underrättelseverksamhet för att beskriva all den verksamhet som inryms i detta ändamål.

Den verksamhet som nu är aktuell består främst i att samla in, bearbeta och analysera information. Automatiserad behandling av personuppgifter i polisens underrättelseverksamhet är, som nyss nämnts, i dag tillåten endast i två särskilt angivna fall, dels inom ramen för en särskild undersökning, dels i underrättelsere- gister (14–21 §§ polisdatalagen). Särskilda undersökningar kan sägas utgöra projekt inom vilka olika slag av brottslig verksamhet och brottsliga fenomen utreds. Inom ramen för en särskild undersökning byggs automatiserade uppgiftssamlingar upp där de uppgifter som samlas in bearbetas och analyseras. Inom ramen för särskilda undersökningar får, till skillnad mot vad som gäller för kriminalunderrättelseregister, uppgifter om personer som inte är skäligen misstänkta för brottslig verksamhet be- handlas. Möjligheten att behandla personuppgifter är överhu- vudtaget friare inom ramen för en sådan undersökning. Det antal personer som arbetar med en särskild undersökning varierar kraftigt, allt från en eller ett par personer till över hundra.

Enligt vad polisen upplyst under hand finns ett fortsatt stort behov av att arbeta med särskilda undersökningar i projektform. Man anser dock att förutsättningarna för sådant arbete inte bör

135

Tillåtna ändamål för behandlingen

Ds 2007:43

regleras i den nya lagen annat än om det är nödvändigt för reg- leringen av själva personuppgiftsbehandlingen. Polisen har vidare uttalat att det finns ett fortsatt behov av att behandla person- uppgifter i större uppgiftssamlingar utanför särskilda projekt och att det för vissa fall kan vara aktuellt att möjliggöra en nationell spridning av uppgifter. I anslutning härtill har påpekats att det i praktiken endast är ett begränsat antal personer som kommer att få tillgång till uppgifter som sprids nationellt, eftersom det all- mänt sett innebär en fara att sprida uppgifter av underrättelseka- raktär till en vidare krets. Den faktiska åtkomsten till uppgif- terna kommer alltså att variera beroende på hur känsliga uppgif- terna bedöms vara.

Polisen har också behov av att behandla personuppgifter i arbetet med att ta emot och bedöma information som kommer till polisens kännedom, exempelvis genom tips från allmänheten, och i allt annat arbete som en enskild polisman bedriver utanför ett visst projekt för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Såsom har nämnts inledningsvis, och som kommer att ut- vecklas närmare i avsnitt 9, anser vi att det bör gälla olika regler för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. Vi föreslår också att skillnad görs mellan behandling som sker i större och mindre projekt. Vilka utgångspunkter som enligt vår mening bör gälla för gränsdragningen mellan större och mindre projekt framgår av det avsnittet.

7.3Utreda och beivra brott

Promemorians förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet om det behövs för att utreda och beivra brott.

136

Ds 2007:43

Tillåtna ändamål för behandlingen

Utredningens förslag: Utredningen har föreslagit att per- sonuppgifter alltid ska få behandlas om det är nödvändigt för att bl.a. bedriva utredning i fråga om brott som hör under allmänt åtal.

Remissinstanserna har tillstyrkt utredningens förslag eller inte haft någon invändning mot det.

Skälen för promemorians förslag: Att utreda och beivra brott utgör ett av polisens främsta uppdrag. Arbete av detta slag sker framför allt inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, exempelvis spaning, förhör, informa- tionsbearbetning och olika former av beslutsfattande, bl.a. om tvångsmedelsanvändning. Till uppgiften att utreda och beivra brott hör emellertid också sådant arbete som sker inom ramen för förenklade förfaranden och vanligen utmynnar i utfärdande av strafföreläggande och föreläggande av ordningsbot. Hit hör även utredningar som polisen gör enligt reglerna i 23 kap. rätte- gångsbalken med stöd av bestämmelser i särskilda författningar, t.ex. utredningar enligt 31 § lagen (1964:167) med särskilda be- stämmelser om unga lagöverträdare, 9 § lagen (1988:688) om besöksförbud, 8 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, 16 § lagen (1957:668) om utlämning för brott, 10 § lagen (1959:254) om utlämning för brott till Dan- mark, Finland, Island och Norge och 3 § lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. I ändamålet innefattas också behandling som sker med stöd av 23 kap. 3 § och 8 §§ rättegångsbalken, innan förundersökning har inletts, samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning.

Vad som skiljer arbetet med att utreda eller beivra brott från arbetet med att förhindra eller upptäcka brottslig verksamhet är att arbetet i det förra fallet utförs med anledning av att ett kon- kret brott har eller misstänks ha begåtts, medan arbetet i det senare fallet avser misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller allmänna misstankar om fram- tida brott. Det är självklart att personuppgifter måste få behand-

137

Tillåtna ändamål för behandlingen

Ds 2007:43

las även inom ramen för arbetet med att utreda och beivra brott. En förutsättning bör givetvis vara att behandlingen behövs för ändamålet. I övrigt är det emellertid enligt vår mening inte lämp- ligt att ställa upp några särskilda begränsningar i fråga om vilka uppgifter som ska få behandlas. På samma sätt som vi har före- slagit ovan i fråga om personuppgiftsbehandling för att före- bygga, förhindra och upptäcka brottslig verksamhet bör endast de grundläggande bestämmelserna i den nya lagen vara tillämp- liga så länge uppgifterna inte görs gemensamt tillgängliga. För- utom uppgifter om den misstänkte bör således behandling av uppgifter om andra personer tillåtas om det har betydelse för ärendet. Det kan vara fråga om uppgifter om målsägande, vittne, anhöriga och andra som på olika sätt berörs av utredningen. Det kan även vara fråga om indirekta personuppgifter såsom fastig- hetsbeteckningar, registreringsnummer på bilar eller konto- nummer.

7.4Internationellt samarbete

Promemorians förslag: Personuppgifter ska få behandlas i polisens brottsbekämpande verksamhet om detta krävs för att fullgöra ett internationellt åtagande.

Utredningen har inte föreslagit några särskilda ändamålsbe- stämmelser för det internationella samarbetet.

Remissinstanserna har inte yttrat sig i saken.

Skälen för promemorians förslag: Med ökad internatio- nalisering och större rörlighet för såväl personer som kapital följer större krav på polisiärt samarbete över gränserna, särskilt om allvarlig och organiserad brottslighet ska kunna bekämpas effektivt. Det polisiära samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilate- rala som bilaterala. En självklar utgångspunkt för vårt arbete är att Sverige på bästa sätt ska kunna fullgöra sina internationella

138

Ds 2007:43

Tillåtna ändamål för behandlingen

åtaganden i fråga om framför allt polisiärt samarbete över grän- serna. Med internationella åtaganden avses här folkrättsligt bin- dande förpliktelser. Sådana åtaganden kan avse samarbete med en utländsk myndighet eller med en mellanfolklig organisation. Samarbetet behöver inte avse brott eller brottslig verksamhet inom den svenska polisens ansvarsområde. Det krävs därför en särskild ändamålsbestämmelse som ger stöd för sådan behand- ling av personuppgifter som sker inom ramen för det internatio- nella samarbetet.

Polisens internationella samarbete regleras i en rad olika för- fattningar. Några av de viktigaste är lagen (2000:343) om inter- nationellt polisiärt samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:344) om Schengens informationssystem. Dessa lagar tar direkt sikte på polisiärt samarbete över gränserna. För att full- göra bindande åtaganden om polisiärt samarbete måste polisen kunna behandla personuppgifter i den utsträckning som den konkreta arbetsuppgiften kräver det. Det som regleras i nyss- nämnda författningar är främst vilka typer av samarbete som ska förekomma. Hur kommunikationen ska ske ägnas mindre ut- rymme.

Lagar som reglerar rättslig hjälp, bl.a. lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (1957:668) om ut- lämning för brott, lagen (1959:294) om utlämning för brott till Danmark, Finland, Island och Norge och lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frys- ningsbeslut, bygger också på folkrättsligt bindande överens- kommelser. Indirekt ställs det samma krav på behandling av per- sonuppgifter vid rättslig hjälp som vid polisiärt samarbete över gränserna. Enligt den svenska regleringen är det visserligen åkla- gare som ger rättslig hjälp, men i det praktiska utredningsarbetet och vid verkställighet av tvångsmedel anlitar åklagaren biträde av polisen på samma sätt som sker i en svensk brottsutredning. Det innebär att polisen i princip måste kunna behandla personupp- gifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.

139

Tillåtna ändamål för behandlingen

Ds 2007:43

Det internationella samarbetet äger i allt större utsträckning rum genom direktkontakter mellan myndigheterna. En stor del av det polisiära samarbetet sker dock via den internationella kri- minalpolisorganisationen ICPO-Interpol (Interpol) eller det polisiära samarbetsorganet inom Europeiska unionen, Europol. Det finns inte några särskilda författningar som reglerar polisens samarbete med dessa mellanfolkliga organisationer. De författ- ningsbestämmelser som reglerar samarbetet, och som är av in- tresse i detta sammanhang, rör informationsutbyte och finns i polisdatalagen, lagen om belastningsregister, lagen om misstan- keregister samt (såvitt gäller Europol) lagen om Schengens in- formationssystem.

Det kan anmärkas att det rör sig om utbyte av stora mängder information. Enligt Polisdatautredningen (SOU 2001:92 s. 131) uppgick antalet meddelanden till det svenska nationella sam- bandskontoret från Interpol till nästan 45 000 år 1999 och anta- let meddelanden och ärenden m.m. från Europol till närmare 6 500. Dessa siffror ger tydligt besked om att det rör sig om så stora volymer att materialet omöjligen kan hanteras manuellt. Åtagandena att lämna och ta emot information måste således kunna fullgöras med hjälp av modern teknik.

Det sagda innebär att det krävs en bestämmelse som medger behandling av personuppgifter för att fullgöra internationella åtaganden. Den behandling som åsyftas kan bestå i insamlande av skriftligt material, sammanställning av förhörsutsagor, kontroll i register eller annat. Det kan röra sig om arbete som sträcker sig över en längre tid.

En stor del av det polisiära samarbetet över gränserna äger emellertid rum som ett led i utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av det primära ändamålet att utreda och beivra brott i Sverige (jfr avsnitt 7.3).

På sikt kommer sannolikt en del av dagens informationsut- byte att ersättas av system där polismyndigheter i olika länder får direktåtkomst till vissa uppgifter i varandras register. Detta in-

140

Ds 2007:43

Tillåtna ändamål för behandlingen

verkar dock inte på polisens behov av att kunna behandla upp- gifter som ett led i internationellt samarbete.

7.5Behandling av uppgifter för diarieföring m.m.

Promemorians förslag: Personuppgifter ska alltid få be- handlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Utredningens förslag överensstämmer delvis med förslaget. Remissinstanserna har inte haft någon invändning mot för-

slaget.

Skälen för promemorians förslag: Som framgått av avsnitt 7.1 ovan föreslår vi att den nya lagen ska ange för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verk- samhet. Bestämmelserna kommer att ge polisen möjlighet att behandla uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. De kommer dock inte med nödvändighet att ge stöd för behandling av alla de personuppgifter som kan komma in till po- lisen i form av anmälningar, tips och meddelanden av olika slag. Rikspolisstyrelsen och polismyndigheterna tar dagligen emot stora mängder av information av vitt skilda slag, ofta i elektro- nisk form. En del av denna information lämnas till polisen i dess brottsbekämpande verksamhet men den kan inte alltid anses be- hövlig för denna verksamhet. Behandlingen av uppgifterna kommer därmed inte att ligga inom ramen för de primära ända- mål som vi har diskuterat i föregående avsnitt.

De inkommande personuppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 15 kap. 1 § sekretesslagen (1980:100) gäller som huvudregel att allmänna handlingar som har kommit in till eller upprättats hos en myndighet ska registreras, dvs. diarieföras, utan dröjsmål.

141

Tillåtna ändamål för behandlingen

Ds 2007:43

Syftet med bestämmelsen är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 15 kap. 2 § sekretessla- gen uppställs vissa minimikrav beträffande uppgifterna i ett register. När en handling registreras ska det av registret framgå

(1) datum då handlingen kom in eller upprättades, (2) diarie- nummer eller annan beteckning som åsatts handlingen, (3) i fö- rekommande fall från vem handlingen har kommit in eller till vem den har expedierats samt (4) i korthet vad handlingen rör. Utgångspunkten är att dessa uppgifter ska vara tillgängliga för allmänheten. Uppgifterna under punkterna 3 och 4 får utelämnas eller särskiljas, om det behövs för att registret i övriga delar ska kunna företes för allmänheten.

Vid sidan av skyldigheten att registrera allmänna handlingar gäller enligt förvaltningslagen (1986:223) att en myndighet ska se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt.

Utredningen har föreslagit att det ska införas en särskild be- stämmelse enligt vilken det alltid ska vara tillåtet att diarieföra personuppgifter och behandla dem i löpande text, om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av det. Med löpande text avses enligt utredningen text som inte har strukturerats så att sökning av personuppgifter underlättas.

Vi delar utredningens bedömning att det bör införas en be- stämmelse som säkerställer att polisen alltid kan diarieföra all- männa handlingar. Den nya bestämmelsen måste också tillåta att polisen kan leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså vara möjligt att ta emot en handling i elektronisk form liksom att behandla den i det ärende som handlingen föranleder. Vi föreslår att bestämmel- sen utformas i huvudsaklig överensstämmelse med utredningens förslag. Dock bör uttrycket ”löpande text” inte användas, efter- som informationstekniken medger att även texter som inte på förhand har strukturerats på ett visst bestämt sätt blir föremål för detaljerade och preciserade sökningar. Av bestämmelsen bör framgå att personuppgifter alltid ska få behandlas dels om be-

142

Ds 2007:43

Tillåtna ändamål för behandlingen

handlingen är nödvändig för diarieföring, dels om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nöd- vändig för handläggningen.

7.6Behandling av uppgifter för att tillhandahålla information till andra

Promemorians förslag: Uppgifter som behandlas i polisens brottsbekämpande verksamhet ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2.brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,

3.annan verksamhet som polisen ansvarar för, om det finns särskilda skäl, eller

4.annan myndighets verksamhet, om det enligt lag eller förordning åligger polisen att bistå myndigheten med viss uppgift.

Uppgifterna ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om uppgiftsskyldighet följer av lag eller för- ordning. Regeringen ska även få meddela föreskrifter om att personuppgifter som avser efterlysta personer och avlägsnan- den ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter samt att uppgifter som behandlas i en förundersökning under vissa förutsättningar får tillhandahållas en konkursförvaltare.

Utredningens förslag: Utredningen har inte föreslagit några särskilda bestämmelser om behandling av uppgifter för dessa än- damål.

143

Tillåtna ändamål för behandlingen

Ds 2007:43

Remissinstanserna: Flera remissinstanser, bl.a. Tullverket, har påtalat att polisen och övriga brottsbekämpande myndighe- ter i allt större omfattning samarbetar inom ramen för brottsbe- kämpningen och att dessa myndigheter i sin egen brottsbekäm- pande verksamhet har behov av att få del av uppgifter som finns hos polisen.

Skälen för promemorians förslag

Allmänna utgångspunkter

En viktig fråga är i vilken utsträckning uppgifter som har samlats in i polisens brottsbekämpande verksamhet ska få användas även av andra myndigheter eller i annan verksamhet som polisen be- driver. Det rör sig alltså om behandling för ett annat ändamål än det ursprungliga. Intresset av en effektiv brottsbekämpning talar givetvis för att uppgifterna kan tillhandahållas bl.a. andra brotts- bekämpande myndigheter. En vid spridning av uppgifter, insam- lade i brottsbekämpande verksamhet, inger emellertid betänklig- heter från integritetssynpunkt. Lagen bör därför innehålla be- stämmelser om i vilken utsträckning personuppgifter får be- handlas för att tillhandahållas andra än de som arbetar i polisens brottsbekämpande verksamhet.

Tillhandahållande av information till andra brottsbekämpande myndigheter

Polisdatalagen innehåller inte någon särskild bestämmelse om att behandling av personuppgifter får ske för att tillhandahålla in- formation till övriga brottsbekämpande myndigheter. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verk- samhet och i den förordning som avser behandling av person- uppgifter i Åklagarmyndighetens verksamhet finns dock sådana bestämmelser.

144

Ds 2007:43

Tillåtna ändamål för behandlingen

Det är från brottsbekämpningssynpunkt angeläget att samhäl- lets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. En väl utvecklad samverkan mellan de olika myndigheter som har ett ansvar för brottsbekämpningen ger förutsättningar att klara upp brott som annars skulle riskera att förbli ouppklarade. Ett väl fungerande informationsutbyte ska- par förutsättningar att se kopplingar mellan brottsliga aktiviteter inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas tillvara för sådant informationsutbyte. Så bör t.ex. möjligheterna att få tillgång till underrättelseinformation genom direktåtkomst förbättras. De särskilda integritetsrisker som direktåtkomst och andra former av elektroniskt informationsutbyte i och för sig kan ge upphov till torde kunna balanseras genom särskilda bestämmelser som vi kommer att diskutera i avsnitt 12.

Enligt vår bedömning bör det därför i den nya lagen uttryck- ligen anges att de uppgifter som behandlas i polisens brottsbe- kämpande verksamhet får användas för att tillhandahålla infor- mation som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet.

Tillhandahållande av information till annan polisiär verksamhet

För att polisen ska kunna fullgöra arbetsuppgifter som faller utanför den brottsbekämpande verksamheten behöver man ibland ha tillgång till uppgifter som har samlats in för brottsbe- kämpande ändamål. Uppgifter som behandlas inom den brottsbekämpande verksamheten behöver alltså i viss utsträck- ning användas även i annan polisverksamhet. En mera generell användning av information, insamlad för brottsbekämpande än- damål, i annan polisverksamhet inger emellertid betänkligheter från integritetssynpunkt, bl.a. därför att det skulle leda till ytter- ligare spridning av informationen.

De områden där polisen, typiskt sett, kan ha behov av att få del av information som har samlats in i den brottsbekämpande

145

Tillåtna ändamål för behandlingen

Ds 2007:43

verksamheten gäller bl.a. arbete med att (1) förordna vissa be- fattningshavare, (2) pröva tillståndsärenden, (3) fullgöra sin skyldighet enligt författning att bistå andra myndigheter (hand- räckningsskyldighet), och (4) besluta om att en tvångsåtgärd ska verkställas när fara är i dröjsmål enligt t.ex. djurskyddslagen (1988:534) och utlänningslagen (2005:716).

I polisens arbete med att förordna befattningshavare ställs ofta krav på att förordnande eller liknande endast får beslutas om personen är lämplig med hänsyn till laglydnad och övriga om- ständigheter. Det kan vara fråga om befattningshavare som till följd av förordnandet får utöva tvångsbefogenheter mot med- borgarna, t.ex. ordningsvakter, vägtransportledare och arrestant- vakter. Vid bedömningen av en persons lämplighet för en sådan befattning kan uppenbarligen information som har kommit polismyndigheten tillhanda genom den brottsbekämpande verk- samheten vara av betydelse.

I tillståndsärenden ska det ofta göras en prövning av sökan- dens "laglydnad och övriga omständigheter". Prövningen kan vara av betydelse för om tillstånd ska ges eller ej eller avgöra om polis av ordningsskäl bör närvara när verksamheten äger rum. Exempel på sådana ärenden är tillstånd enligt 2 kap. ordningsla- gen (1993:1617) till allmän sammankomst och offentlig tillställ- ning, tillstånd enligt 3 kap. ordningslagen till användande av offentlig plats, skjutbana, pyrotekniska varor, luft- eller fjäder- vapen och tillstånd att skjuta med eldvapen inom detaljplanlagt område, tillstånd att bedriva hotell- och pensionatsrörelse, till- stånd att handha explosiva varor och tillstånd att inneha vapen.

Ett tredje område där information från den brottsbekäm- pande verksamheten kan vara av betydelse avser polisens hand- räckningsskyldighet i förhållande till andra myndigheter. Att polisen är skyldig att bistå andra myndigheter med hjälp i deras verksamhet motiveras oftast med att endast några få yrkeskate- gorier bör få utöva legitimt våld i samhället (våldsmonopol). Handräckningsskyldigheten uppstår därför ofta i situationer där begärande myndighet ska vidta någon åtgärd i strid med en en- skilds vilja. Det kan då vara viktigt att den polis som utför upp-

146

Ds 2007:43

Tillåtna ändamål för behandlingen

draget kan få del av information om den som handräckningen gäller, t.ex. om hans eller hennes våldsbenägenhet. Exempel på en författning som innehåller bestämmelser om handräcknings- skyldighet är lagen (1991:1128) om psykiatrisk tvångsvård.

I en del fall är polisen enligt författning antingen skyldig att besluta och verkställa en tvångsåtgärd, som därefter ska överprö- vas av annan myndighet, eller skyldig att verkställa en tvångsåt- gärd till följd av en annan myndighets beslut. Ett exempel på en sådan författning är djurskyddslagen. Ett annat exempel är ut- länningslagen (verkställighet av avvisnings- och utvisningsbe- slut). Också här kan polisen ha behov av information från poli- sens brottsbekämpande verksamhet om exempelvis den aktuella personens farlighet.

Att polisen enligt vad som sagts ovan kan ha behov av att få del av information som samlats in i den brottsbekämpande verk- samheten bör givetvis inte föranleda ett rutinmässigt tillhanda- hållande av sådana uppgifter. I de flesta ärenden kan polisens informationsbehov tillgodoses genom tillgången till uppgifter i misstanke- och belastningsregistren. Möjligheten att få tillgång till uppgifter som har samlats in i den brottsbekämpande verk- samheten bör därför begränsas till sådana fall där det i det en- skilda fallet finns särskilda skäl som talar för att sådana uppgifter tillhandahålls. En bestämmelse av denna innebörd bör tas in i den nya lagen.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

Polisen måste kunna behandla personuppgifter i den utsträck- ning det behövs för att fullgöra internationella åtaganden. Det kan exempelvis vara fråga om översändande av uppgifter till In- terpol. Likaså måste polisen kunna utföra sådan behandling som krävs för att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av ut- ländsk information. Eftersom det internationella informations-

147

Tillåtna ändamål för behandlingen

Ds 2007:43

utbytet förutsätter att uppgifter i vissa fall kan lämnas utan före- gående förfrågan från en annan stat, bör det vara möjligt att be- handla och lämna ut uppgifter även om detta är ett allmänt åta- gande enligt överenskommelsen men inte ett bindande krav. I lagen bör därför tas in en bestämmelse om att uppgifter får be- handlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myn- dighet eller mellanfolklig organisation. Vi återkommer i det föl- jande till olika frågor som rör informationsutbyte och sekretess i det internationella samarbetet (avsnitten 12.3.6 och 13.3).

Tillhandahållande till riksdagen eller regeringen eller till annan myndighet med stöd av bestämmelser om uppgiftsskyldighet

Enligt 14 kap. 1 § sekretesslagen hindrar sekretess inte att upp- gift lämnas till regeringen eller riksdagen. Detsamma gäller läm- nande av uppgifter till annan myndighet, om det finns en upp- giftsskyldighet i lag eller förordning. Mot bakgrund härav bör det i den nya lagen anges att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Det bör även anges att uppgifter får behandlas för att tillhandahållas annan myndighets verksamhet om det enligt lag eller förordning åligger polisen att tillhandahålla sådan informa- tion. En motsvarande bestämmelse finns i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I sammanhanget bör 15 kap. 5 § sekretesslagen uppmärk- sammas. Enligt denna paragraf ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen i 15 kap. 5 § sekretesslagen innefattar enligt vår mening ingen uppgiftsskyldighet i nu aktuellt hänseende. Den föreslagna bestämmelsen ger därför inte utrymme för sådan behandling

148

Ds 2007:43

Tillåtna ändamål för behandlingen

som enbart syftar till att möjliggöra ett utlämnande med stöd av 15 kap. 5 § sekretesslagen.

Tillhandahållande av information till annan myndighet i andra fall

Ovan har vi föreslagit att personuppgifter ska få behandlas för att lämnas ut till en annan myndighet, om detta följer av en upp- giftsskyldighet i lag eller förordning. Dessutom måste polisen ha möjlighet att behandla personuppgifter, om det behövs för att fullgöra författningsenliga förpliktelser att biträda en annan svensk myndighet. Detta kan exempelvis bli aktuellt när polisen bistår Riksdagens ombudsmän och Justitiekanslern med uppgif- ter i de fall där dessa uppträder som förundersökningsledare och åklagare. En bestämmelse om detta bör tas in i den nya lagen.

Bemyndigande för regeringen att meddela föreskrifter om behand- ling för tillhandahållande av uppgifter i vissa särskilda fall

Enligt 17 § polisdataförordningen har polisen möjlighet att till vissa myndigheter lämna ut uppgifter om efterlysta personer och avlägsnanden ur riket. Det finns även en möjlighet att till kon- kursförvaltare lämna ut uppgifter i en förundersökning som kan antas ha betydelse för en konkursutredning. Den nya lagen bör innehålla en bestämmelse som erinrar om att regeringen får meddela nya sådana bestämmelser.

149

8Behandling av känsliga personuppgifter m.m.

Promemorians förslag: Uppgifter om en person ska inte få behandlas på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som be- handlas på annan grund ska dock få kompletteras med käns- liga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få be- handlas, om detta är nödvändigt för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och be- handlingen är nödvändig för handläggningen.

Uppgifter om en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.

Utöver den behandling som har stöd i de särskilda be- stämmelser som vi föreslår om register med uppgifter om re- sultatet av DNA-analyser (se avsnitt 17) ska uppgifter om re- sultat av sådana analyser endast få behandlas inom ramen för en förundersökning.

Utredningens förslag: Överensstämmer i huvudsak med promemorians förslag.

Remissinstanserna: Flertalet remissinstanser har tillstyrkt förslaget eller inte haft några invändningar mot det.

151

Behandling av känsliga personuppgifter m.m.

Ds 2007:43

Skälen för promemorians förslag

Känsliga personuppgifter

Enligt 5 § polisdatalagen får uppgifter om en person inte be- handlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella lägg- ning. Om uppgifter om en person redan behandlas på annan grund, får dock uppgifterna kompletteras med sådana uppgifter, om det är oundgängligen nödvändigt för syftet med behand- lingen. Denna bestämmelse överensstämmer med Europarådets rekommendation om användning av personuppgifter inom polis- sektorn m.m. Innebörden av bestämmelsen är t.ex. att det inte är tillåtet att föra särskilda register över personer med viss sexuell läggning. Förekommer personen i en förundersökning eller något annat ärende, får dock uppgiften om sexuell läggning an- tecknas, om det bedöms vara oundgängligen nödvändigt för syftet med behandlingen.

Vi föreslår att bestämmelserna i 5 § polisdatalagen överförs till den nya lagen. På motsvarande sätt som enligt personupp- giftslagen och lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör dock, som en remissinstans har påpekat, uttrycket sexualliv användas i stället för sexuell läggning. Vidare bör uttrycket oundgängligen ersättas med absolut. Slutligen bör det i lagtexten anges att uppgifter som be- skriver en persons utseende alltid ska utformas på ett objektivt sätt och med respekt för människovärdet. Detta överensstämmer med den motsvarande bestämmelsen i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Polisen bör ha möjlighet att diarieföra och handlägga inkom- mande anmälningar och liknande även om dessa innehåller käns- liga personuppgifter. Det bör därför anges i lagtexten att känsliga personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. I

152

Ds 2007:43

Behandling av känsliga personuppgifter m.m.

avsnitt 11.1 behandlas frågan om användandet av känsliga per- sonuppgifter som sökbegrepp.

Behandling av uppgifter om resultat av DNA-analyser

En helt annan typ av uppgifter som också brukar betraktas som särskilt känsliga är uppgifter om det slutliga resultatet av DNA- analyser i form av DNA-profiler. Skälet till att just sådana upp- gifter brukar anses vara känsliga är det förhållandet att en DNA- profil kan innehålla annan genetisk information än enbart den som krävs för identifiering, t.ex. uppgift om sjukdomsanlag och liknande. I den nuvarande lagstiftningen finns det regler för provtagning för DNA-analys i brottmål, för hur proven ska hanteras, för vilka uppgifter som får tas fram vid analys av DNA- prov samt för registreringen av resultatet av analysen.

De skäl som tidigare har anförts för att kringgärda provtag- ning och analys av DNA-prov samt registrering av DNA-profi- ler och DNA-spår med särskilda regler har alltjämt bärkraft. Den nuvarande regleringen innebär att från levande människor får prov för DNA-analys enbart tas inom ramen för en förunder- sökning för brott på vilket fängelse kan följa (28 kap. 12–12 b §§ rättegångsbalken).

Den nya lagen bör enligt vår mening innehålla en reglering som gör tydlig skillnad mellan dels behandling av DNA-profilen, dels uppgifter som enbart återger analysarbetet och den eventu- ella identifiering som detta har lett fram till. Enligt vår mening bör behandlingen av DNA-profilen, dvs. hantering av DNA- prov, analysarbete och jämförelser med uppgifter i befintliga DNA-register, endast få förekomma inom ramen för en förun- dersökning. Detta bör komma till uttryck i lagen. I praktiken rör det sig framför allt om den hantering som sker hos Statens kri- minaltekniska laboratorium. Som vi återkommer närmare till i avsnitt 17 bör de särskilda DNA-registren, där DNA-profiler och DNA-spår registreras, regleras på i huvudsak samma sätt som i dag.

153

Behandling av känsliga personuppgifter m.m.

Ds 2007:43

När det gäller behandlingen av den information som slutligen kan utvinnas av ett DNA-prov, dvs. utlåtandet över analysarbe- tet och uppgifter om eventuell identifiering, behövs det enligt vår mening inte några särskilda regler. Frågan om en uppgift om att någon förekommer i ett DNA-register eller utlåtanden över DNA-analyser får behandlas i polisens verksamhet får således avgöras av den allmänna regleringen i den av oss föreslagna lagen. Detta innebär att sådana uppgifter kan behandlas inte bara för att utreda och beivra brott utan även för att förebygga, förhindra eller upptäcka brottslig verksamhet, om förutsättningarna i övrigt för en sådan behandling är uppfyllda.

Enligt 22 § andra stycket polisdatalagen får uppgifter om resultatet av DNA-analyser även behandlas inom ramen för sär- skilda undersökningar. Av förarbetena kan inte utläsas i vilka situationer en sådan behandling, dvs. behandlingen av DNA- profilen, skulle kunna aktualiseras och vilket praktiskt behov bestämmelsen avser att fylla. Våra underhandskontakter med myndigheter inom polisväsendet har inte heller kunnat bidra med några uppgifter om detta. Som vi tidigare redovisat kommer begreppet särskild undersökning inte att föras över till den nya lagen. Mot den bakgrunden och då vi inte kunnat finna något sakligt behov som motiverar att så känsliga uppgifter får be- handlas utanför förundersökningar, föreslår vi inte någon mot- svarighet till bestämmelsen om behandling av sådana uppgifter i särskilda undersökningar.

I avsnitt 17 överväger vi särskilda bestämmelser om register med uppgifter om resultatet av DNA-analyser.

154

9Gemensamt tillgängliga uppgifter

9.1Särskilda regler bör gälla för behandling av gemensamt tillgängliga uppgifter

Promemorians förslag: I stället för bestämmelser om register och databaser ska den nya lagen innehålla särskilda bestäm- melser om behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma upp- giftssamlingar. Behandling som utförs av en enskild tjänste- man eller inom en begränsad grupp personer, t.ex. genom vanlig ordbehandling eller genom e-postkommunikation mellan ett fåtal tjänstemän, ska inte omfattas av dessa be- stämmelser. Registerbegreppet behålls för vissa särskilda fall.

Utredningens förslag: Utredningens förslag innehåller inte några bestämmelser som särskilt avser gemensamt tillgängliga uppgifter.

Remissinstanserna har inte yttrat sig i frågan.

155

Gemensamt tillgängliga uppgifter

Ds 2007:43

Skälen för promemorians förslag

Gemensamt tillgängliga uppgifter – ett nytt begrepp

Den nya lagen kommer att gälla för all automatiserad behandling av personuppgifter i polisens brottsbekämpande arbete. Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehan- teringssystem, ska omfattas utan även sådan behandling som utförs av en enskild eller begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkommunikation. Som framhållits i andra lagstiftningsärenden är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i verksamheten än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har åtkomst till uppgifterna. Därför är det enligt vår mening nöd- vändigt att införa särskilda och mer begränsande regler för be- handling av uppgifter som används av eller i vart fall är tillgäng- liga för fler än ett fåtal personer.

Frågan är då hur man bör avgränsa den personuppgiftsbe- handling för vilken mera begränsande regler är nödvändiga.

I tidigare lagstiftning om personuppgiftsbehandling har be- greppen register och databas använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Till respektive re- gister har sedan knutits regler om åtkomst, sökmöjligheter m.m. Registerbegreppet har dock kritiserats, bland annat därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register. Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall (bl.a. några av de register som vi vill undanta från den nya lagens tillämpningsområde samt DNA-register) går utvecklingen mot att registerformen överges för mer sofistikerade datasystem.

156

Ds 2007:43

Gemensamt tillgängliga uppgifter

Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral. Ett tänkbart alternativ är att skapa särskilda begränsande regler för personuppgiftsbehandling som avser ”samlingar av uppgifter” eller ”uppgiftssamlingar”. Beteckningen uppgiftssamling används i den nyligen antagna lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. Vi anser dock inte att det begreppet är ändamålsenligt för polisens del, bl.a. därför att det kan ge intryck av att det finns i förväg definierade och avgränsade uppgiftssamlingar för all be- handling i den brottsbekämpande verksamheten, trots att så inte är fallet. Eftersom den nya regleringen ska omfatta all automati- serad behandling, bör ett annat begrepp väljas. I betänkandet Kustbevakningens personuppgiftsbehandling Integritet – Effek- tivitet (SOU 2006:18) föreslås i stället för databas, register eller uppgiftssamling uttrycket gemensamt tillgängliga uppgifter för att uttrycka samma sak. Enligt vår bedömning är en sådan kon- struktion mera ändamålsenlig för de förhållanden som gäller inom polisen. Vi anser därför att den nya lagen bör innehålla sär- skilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Med den formuleringen görs det klart att det viktiga inte är var uppgiften rent tekniskt är lagrad eller behandlas, utan om ett flertal personer har möjlighet att ta del av uppgiften.

Gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. I det följande anger vi dock några principer som enligt vår bedömning bör ligga till grund för gränsdragningen.

157

Gemensamt tillgängliga uppgifter

Ds 2007:43

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att per- sonen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till upp- giften kan påverka den eller bara läsa den.

Det här innebär till att börja med att uppgifter blir att anse som gemensamt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela polisorganisationen – ska kunna ta del av uppgifterna. De centrala register som Rikspolisstyrelsen för har just syftet att tillgodose informationsbehovet inom olika delar av organisationen. Som exempel på sådana register kan nämnas det allmänna spaningsregistret, det centrala kriminalun- derrättelseregistret och det centrala brottsspaningsregistret. I dessa och liknande system lagras uppgifter på ett sådant sätt att många anställda har möjlighet att vid behov kunna ta del av upp- gifterna, t.ex. under arbetet med en förundersökning eller för att genomföra ett underrättelseprojekt. På liknande sätt blir upp- gifter som är avsedda för en hel polismyndighet eller för en viss enhet inom polisorganisationen normalt att anse som gemen- samt tillgängliga. Som exempel kan nämnas lokala system som Rationell anmälningsrutin (RAR) och Datoriserad utrednings- rutin (DurTvå). Detsamma gäller diarier och andra lokala regis- ter. Också andra uppgifter som är tillgängliga för en i förväg obestämd krets av personer bör, som huvudregel, anses gemen- samt tillgängliga. Det innebär exempelvis att de flesta förunder- sökningar redan från början kommer att vara gemensamt till- gängliga, även om det bara är ett fåtal handläggare som arbetar med förundersökningen. Överhuvudtaget kommer begreppet ”gemensamt tillgängliga uppgifter” att täcka inte enbart register i

158

Ds 2007:43

Gemensamt tillgängliga uppgifter

traditionell bemärkelse utan alla uppgiftssamlingar, avsedda för en obestämd krets av personer.

Vidare bör uppgifter givetvis vara att anse som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. De personuppgifter som be- handlas i brottsbekämpande verksamhet som involverar ett fler- tal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara till- gängliga för en avgränsad krets av ett handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De in- tegritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna. En jämfö- relse kan härvid göras med den relativt omfattande personupp- giftsbehandling som i dag tillåts inom ramen för en särskild un- dersökning med stöd av 14–16 §§ polisdatalagen.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga måste dock vara att kretsen omfattar en- dast ett litet antal personer. Så kan vara fallet t.ex. med ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade per- soner eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt till- gängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den mot- satta. En lämplig tumregel kan vara att uppgifter anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem.

Det är emellertid inte bara antalet personer som har tillgång till uppgifterna som är av betydelse. Från integritetssynpunkt har det också betydelse om uppgifterna stannar inom polisen eller

159

Gemensamt tillgängliga uppgifter

Ds 2007:43

om de sprids till andra myndigheter. I det senare fallet har poli- sen inte längre någon kontroll över hur uppgifterna används. Som vi återkommer till i avsnittet om direktåtkomst förutsätter sådan åtkomst för andra myndigheter att uppgifterna har gjorts gemensamt tillgängliga.

I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del brottsbekämpande verksamhet, främst underrättelseverk- samhet, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt har inte sällan en obestämd var- aktighet och kan därför komma att löpa över en längre tid. Som exempel kan nämnas projekt riktade mot ungdomsbrottsligheten på en viss ort eller underrättelseprojekt avseende viss typ av mc- kriminalitet eller häleriverksamhet i en viss bransch. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgrän- sad krets ska syssla med projektet, är det därför långtifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt, t.ex. en sammanställning över gäng- brottsligheten på en viss ort, bör därför också anses som gemen- samt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid. Det kan t.ex. vara fråga om sammanställningar av uppgifter ur förundersökningar eller annat material som samlats in i den brottsbekämpande verksamheten.

Givetvis bör detta inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, bör detta inte göra att uppgifterna anses vara gemensamt till- gängliga, även om han eller hon har för avsikt använda dem under längre tid. På samma sätt bör man se det om några enstaka tjänstemän sammanställer material från vissa förundersökningar för att själva kunna använda det i sina framtida utredningar. Vi återkommer i författningskommentaren till den närmare av- gränsningen mellan gemensamt tillgängliga och icke gemensamt tillgängliga uppgifter.

160

Ds 2007:43

Gemensamt tillgängliga uppgifter

Behovet av enhetlig tillämpning

Eftersom man enligt vår mening inte bör i författning lägga fast en formell gräns mellan de uppgifter som ska anses gemensamt tillgängliga och de uppgifter som inte är det, kommer det att fin- nas ett stort behov av interna riktlinjer för polisens tillämpning av det nya begreppet. Vi utgår därför från att Rikspolisstyrelsen noga ser till behovet av riktlinjer och utbildning av personalen.

9.2Förebygga, förhindra och upptäcka brottslig verksamhet

Promemorians förslag: I verksamhet som avser att förebyg- ga, förhindra och upptäcka brottslig verksamhet ska enbart följande personuppgifter få göras gemensamt tillgängliga.

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som

a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av personer

som

a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och

b) är allvarligt kriminellt belastade eller kan antas vara far- liga för annans personliga säkerhet.

Tillgången till uppgifter om övervakning av personer ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgänglig för flera.

Utredningens förslag överensstämmer delvis med promemo- rians förslag. Utredningen har föreslagit att bestämmelserna om

161

Gemensamt tillgängliga uppgifter

Ds 2007:43

kriminalunderrättelseverksamhet och kriminalunderrättelsere- gister ersätts med bestämmelser om behandling av uppgifter om andra personer än sådana som är misstänkta för brott. Enligt ut- redningen ska sådana uppgifter få behandlas för att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som inne- fattar brott för vilket är föreskrivet fängelse i två år eller mer. Utredningen har vidare föreslagit att det under vissa förutsätt- ningar ska vara tillåtet att behandla uppgifter om det är nödvän- digt för att underlätta övervakning av vissa grovt kriminellt be- lastade personer och personer som kan antas vara farliga. Utred- ningen har dock inte föreslagit att man ska skilja på gemensamt tillgängliga uppgifter och andra uppgifter.

Remissinstanserna: Rikspolisstyrelsen har uttalat att det bör vara tillräckligt att fängelse ingår i straffskalan för den miss- tänkta brottsliga verksamheten för att behandling ska få ske. Riksdagens ombudsmän har ifrågasatt om nyttan med en be- stämmelse som möjliggör registrering av uppgifter om överva- kade personer väger över intresset av att skydda den enskilde mot integritetsintrång. Justitiekanslern har ansett att utform- ningen av bestämmelsen bör övervägas närmare och att en när- mare precisering krävs av när en registrering får ske. Riksåkla- garen har ansett att den tillåtna behandlingen bör begränsas till att avse personer som har dömts för allvarliga brott riktade mot en persons liv, hälsa eller frihet.

Skälen för promemorians förslag

Uppgifter som har samband med brottslig verksamhet

Som vi tidigare har berört medför behandling av gemensamt till- gängliga uppgifter särskilda risker för den enskildes personliga integritet. Det är därför naturligt att begränsa möjligheterna till sådan behandling till de fall där behovet av att göra informatio- nen gemensamt tillgänglig är mera påtagligt.

162

Ds 2007:43

Gemensamt tillgängliga uppgifter

En första fråga är om den brottsliga verksamhet som under- rättelsearbetet avser måste vara av allvarligare slag för att person- uppgifter ska få göras gemensamt tillgängliga. Utredningen har i denna del föreslagit att det ska vara fråga om brottslig verksam- het som innefattar brott för vilket är föreskrivet fängelse i två år eller mer. Det motsvarar vad som i dag gäller för behandling av uppgifter i kriminalunderrättelseregister. I lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppställs ett liknande krav. Enligt den lagen får upp- gifter behandlas om de ger anledning att anta att verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer eller brott som sker systematiskt har utövats eller kan komma att utövas. Rikspolisstyrelsen har ansett att en sådan bestämmelse skulle medföra alltför stora begränsningar i förhållande till poli- sens behov av att kunna behandla uppgifter. Styrelsen har i stäl- let förordat att personuppgiftsbehandling ska vara tillåten om det finns fängelse i straffskalan för det brott som innefattas i den misstänkta brottsliga verksamheten.

En förändring av det slag som Rikspolisstyrelsen har förordat innebär att det kommer att utföras kvalificerad personuppgifts- behandling inom ramen för underrättelseverksamhet i betydligt större utsträckning än vad som nu är fallet. Detta kan framstå som betänkligt från integritetsskyddssynpunkt. Redan det för- hållandet att uppgifter om brottslig verksamhet normalt har mindre konkretion än uppgifter om konkreta brott talar också för att polisen bör ges mindre utrymme för behandling av per- sonuppgifter i underrättelseverksamhet än för behandling i t.ex. förundersökningar. Behovet av att behandla personuppgifter i underrättelseverksamhet framstår också som mindre, ju lägre straffvärde den brottsliga verksamhet som underrättelseverk- samheten avser har. Det innebär emellertid inte att den nuva- rande avgränsningen för när sådan behandling är tillåten – brottslig verksamhet som innefattar brott med minst två års fängelse i straffskalan – är den lämpligaste. Den nuvarande av- gränsningen måste ses mot bakgrund av att underrättelseverk- samhet var ett ganska nytt arbetssätt när polisdatalagen tillkom

163

Gemensamt tillgängliga uppgifter

Ds 2007:43

och att det då var naturligt att sätta upp förhållandevis snäva gränser för den behandling av personuppgifter som tilläts. Med tiden har den nuvarande avgränsningen visat sig vara en häm- mande faktor i polisarbetet. Vi bedömer därför att det är nödvändigt att utveckla polisens underrättelseverksamhet genom att ge större utrymme än tidigare för behandling av uppgifter i underrättelseverksamhet.

I linje med Rikspolisstyrelsens förslag skulle man i och för sig kunna tänka sig att – vad gäller verksamhet som avser att före- bygga, förhindra och upptäcka brottslig verksamhet – tillåta att personuppgifter görs gemensamt tillgängliga så snart den brotts- liga verksamheten innefattar brott för vilket fängelse ingår i straffskalan. En sådan reglering skulle dock enligt vår mening föra alltför långt, eftersom många brott med fängelse i straffska- lan normalt endast leder till bötesstraff.

Ett annat alternativ är att liksom hittills anknyta till straff- skalan för de brott som den misstänkta verksamheten antas innefatta, men dra gränsen vid ett i stället för två års fängelse. Det innebär bl.a. att polisen får större möjlighet att behandla personuppgifter i underrättelseverksamhet angående brott som regleras inom specialstraffrätten. Av tradition har många sådana brott en annan straffskala än brottsbalksbrott, samtidigt som det är fråga om brott som kan drabba enskilda brottsoffer mycket hårt och som av det skälet bör kunna beivras effektivare. Ett exempel på det är s.k. inkassoverksamhet som bedrivs utan till- stånd. Det är en brottstyp som förekommer allt oftare och som förknippas med organiserad brottslighet, främst s.k. mc-krimi- nalitet. Brotten består i att driva in pengar under förtäckta hot. Även i de fall där brotten rubriceras som olaga hot är straff- maximum ett års fängelse. En annan brottstyp där det också kan vara angeläget att kunna samla och på annat sätt behandla under- rättelseinformation för att kunna förebygga brott är överträdelse av besöksförbud. Även bland brottsbalksbrotten finns det sådana som bör kunna angripas genom en effektiv underrättelseverk- samhet, men som med dagens gränsdragning faller utanför möj- ligheterna till behandling av personuppgifter, t.ex. skadegörelse i

164

Ds 2007:43

Gemensamt tillgängliga uppgifter

form av klotter. Denna brottstyp begås av ett fåtal personer men vållar stor skada för samhället. För att kunna lagföra klottrare krävs det normalt att de ertappas på bar gärning, vilket många gånger förutsätter ett noggrant underrättelsearbete. Andra brottsbalksbrott som i vissa fall kan kräva ett effektivt underrät- telsearbete är skyddande av brottsling och främjande av flykt. Detta gäller särskilt i de fall där det finns misstanke om kom- mande fritagning av allvarligt brottsbelastade personer.

Mot denna bakgrund föreslår vi att det i verksamhet för att förebygga, förhindra och upptäcka brott ska vara möjligt att göra uppgifter gemensamt tillgängliga så snart den brottsliga verk- samheten innefattar brott med minst ett års fängelse i straffska- lan.

Det förekommer även brottslighet där det enskilda brottet inte i sig är av sådan art att det kan leda till fängelse i ett år, men där verksamheten kan misstänkas ske systematiskt. Det kan exempelvis vara fråga om ligor som har satt i system att begå snatterier. Andra exempel står att finna inom den ekonomiska brottsligheten, där bl.a. osant intygande utgör ett betydande problem och där brottsligheten ofta bedrivs systematiskt och kan kräva kartläggning. Ett tredje exempel är barnpornografi- brott som är ringa. Enligt vår mening talar intresset av en effek- tiv brottsbekämpning för att polisen bör kunna göra även upp- gifter med anknytning till sådan systematisk brottslighet gemen- samt tillgängliga. En motsvarande ordning gäller för övrigt i dag för Tullverket. Vi föreslår att detta får komma till uttryck i den nya lagen.

En annan fråga är vilka personuppgifter som bör få göras gemensamt tillgängliga och därefter behandlas gemensamt. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksam- het ska få behandlas. Men även uppgifter om den som inte kan misstänkas måste enligt vår mening kunna få behandlas. Som exempel kan nämnas uppgifter om den som har informerat poli- sen om den misstänkta brottsliga verksamheten, uppgifter om en juridisk person som äger ett garage eller annan lokal där den

165

Gemensamt tillgängliga uppgifter

Ds 2007:43

misstänkt brottsliga verksamheten bedrivs och uppgifter om an- höriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet. Som förutsättning för att detta slag av uppgifter ska få behandlas bör dock gälla att uppgifterna har en koppling till misstänkt brottslig verksamhet. Vi föreslår därför att uppgifter som kan antas ha samband med den misstänkta brottsliga verksamheten får behandlas.

Vårt förslag innebär att det i vissa fall kommer att vara möj- ligt att göra uppgifter om personer som inte själva är misstänkta för vare sig ett konkret brott eller viss brottslig verksamhet gemensamt tillgängliga. Att sådan behandling bör omgärdas av särskilda bestämmelser till skydd för den enskildes integritet är självklart. Det behövs bl.a. bestämmelser som förhindrar att uppgifterna ges omotiverad spridning. Frågan är då hur sådana skyddsregler lämpligen bör utformas. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att personuppgifter av det nu diskuterade slaget får behandlas endast i ett ärende som rör viss preciserad brottslig verksamhet. Dess- utom uppställs den begränsningen att endast de som arbetar med ärendet ska få ha direkt tillgång till uppgifterna. Sådana begräns- ningar framstår dock som mindre ändamålsenliga för polisens del. De skulle i alltför hög grad begränsa polisens möjlighet att förebygga, förhindra och upptäcka brottslig verksamhet. Det är således inte ovanligt att samma personer är inblandade i flera brottsliga aktiviteter som pågår i olika delar av landet vid en och samma tidpunkt. Om endast de som arbetar med det ärende, där en viss uppgift har kommit fram, ges tillgång till uppgiften, kommer det normalt inte att vara möjligt att upptäcka samban- den med brottsliga aktiviteter som bedrivs på andra håll. Sådana samband kan utgöra grunden för en brottsmisstanke mot en per- son som förekommer som ”kringperson” i flera utredningar om likartad brottslig verksamhet. Uppgifter om personer som har samband med brottslig verksamhet utan att vara misstänkta bör således kunna behandlas gemensamt inom polisen även utanför ett visst ärende.

166

Ds 2007:43

Gemensamt tillgängliga uppgifter

De särskilda risker för intrång i den personliga integriteten som detta skulle kunna innebära bör kunna motverkas genom bl.a. begränsningar i möjligheterna att genom sökning få fram särskilda slag av uppgifter. Till den frågan återkommer vi i av- snitt 11.2. Dessutom bör det beträffande uppgifter som görs eller har gjorts gemensamt tillgängliga alltid framgå huruvida en person är misstänkt eller inte samt för vilket närmare slag av brottslig verksamhet som behandlingen sker (se avsnitt 10). Av stor betydelse i detta sammanhang är också den allmänna be- stämmelse som vi föreslagit i avsnitt 6.7 om att endast personer som behöver uppgifterna för sitt arbete får ges tillgång till dem.

Uppgifter som behövs för övervakningen av vissa personer

I anslutning till bestämmelserna om behandling av uppgifter av- seende brottslig verksamhet har utredningen föreslagit särskilda bestämmelser som klargör att polisen i vissa fall har rätt att be- handla uppgifter för övervakning av personer. Det handlar då om övervakning av personer som är allvarligt kriminellt belastade eller som kan antas vara farliga för annans personliga säkerhet.

Även Registerutredningen föreslog sådana bestämmelser (SOU 1997:65 s. 230 ff.). Enligt det förslaget skulle kriminalun- derrättelseregister få innehålla uppgifter om dömda personer som antingen var allvarligt kriminellt belastade eller som kunde antas vara farliga för annans personliga säkerhet. Personuppgif- terna skulle gallras senast när samtliga uppgifter om personen hade gallrats ur belastningsregistret. Den dåvarande regeringen ansåg dock inte att några sådana bestämmelser borde införas (prop. 1997/98:97 s. 113 f). Som skäl angavs att det var svårt att se något behov av ett sådant register, varvid det bl.a. hänvisades till registreringen i belastningsregistret. Regeringen menade också att det skulle vara svårt att fastställa vilka kriterier som skulle gälla för att en person skulle anses vara allvarligt kriminellt belastad eller farlig för annans säkerhet.

167

Gemensamt tillgängliga uppgifter

Ds 2007:43

Vi anser liksom utredningen att det är befogat att, under vissa förutsättningar, genom behandling av personuppgifter utöva sär- skild kontroll över personer som är allvarligt kriminellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. Sådan övervakning kan utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, förhindra eller upptäcka brottslig verksamhet. De uppgifter som finns i miss- tanke- och belastningsregistren ger inte all den information som kan krävas för att övervakningen ska vara effektiv. Det före- kommer i dag att övervakning av detta slag sker inom ramen för särskilda undersökningar. Med hjälp av ett särskilt analysverktyg kan informationen analyseras och kopplingar mellan exempelvis olika grupperingar, händelser och brottsliga verksamheter upp- täckas. Denna form av uppgiftssamling har i något fall benämnts Y-databas, där bokstaven Y står för yrkeskriminell. Datainspek- tionen har nyligen i ett tillsynsärende inspekterat behandlingen av personuppgifter i en sådan databas vid Polismyndigheten i Skåne. Efter att inledningsvis ha ifrågasatt om Y-databasen om- fattades av polisdatalagens bestämmelser om särskilda undersök- ningar, har inspektionen slutligen kommit fram till att så var fal- let. Inspektionen har dock framfört vissa synpunkter på gall- ringen av uppgifterna (Datainspektionens beslut 25 maj 2007, dnr 686-2006).

I många fall torde personuppgiftsbehandling av detta slag rymmas inom de bestämmelser om behandling vid misstanke om brottslig verksamhet som vi har föreslagit ovan. De uppgifter som behöver göras gemensamt tillgängliga kommer således med stor sannolikhet att ha samband med misstänkt brottslig verk- samhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt. Det kan dock före- komma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka skäl talar för att behandling bör kunna ske.

Frågan är då om den nya lagen bör ge polisen möjlighet att skapa gemensamma uppgiftssamlingar avseende personer som uppfattas som särskilt brottsbenägna men mot vilka det inte finns några konkreta misstankar om brottslig verksamhet. Vi

168

Ds 2007:43

Gemensamt tillgängliga uppgifter

anser att den frågan bör besvaras jakande. Detta slag av uppgifts- samlingar är av mycket stor betydelse för att polisen ska kunna bedriva ett effektivt brottsbekämpande arbete. Utan en sådan möjlighet skulle det vara svårt för polisen att bemästra den brottslighet som förekommer i kriminella nätverk såsom mc- brottsligheten. Från integritetssynpunkt är i och för sig person- uppgiftsbehandling av detta slag ägnad att inge särskilda betänk- ligheter. Detta intrång måste dock ställas mot den kränkning som det innebär för människor att bli utsatta för brott av allvar- ligt slag.

För att det integritetsintrång som personuppgiftsbehand- lingen kan ge upphov till inte ska bli oproportionerligt bör möj- ligheten till personuppgiftsbehandling för övervakning inskrän- kas till att avse uppgifter om och kring de personer som uppfat- tas som särskilt brottsaktiva eller farliga. Mot denna bakgrund föreslår vi att det i lagen tas in bestämmelser av innebörd att uppgifter får göras gemensamt tillgängliga om det behövs för övervakningen av personer som är allvarligt kriminellt belastade eller kan antas vara farliga för annans personliga säkerhet. Som förutsättning bör gälla att personen kan antas komma att begå brott av mera allvarligt slag; att han eller hon tidigare är dömd för sådana brott bör alltså inte vara tillräckligt. Med brott av mera allvarligt slag avser vi brott som kan ge fängelse i två år eller mera.

Lika lite som utredningen eller Registerutredningen anser vi att det är ändamålsenligt att i lagtexten närmare precisera ut- trycken ”allvarlig kriminell belastning” och ”farlig för annans säkerhet”. Innebörden i dessa begrepp kommer att beröras när- mare i författningskommentaren.

För att en bestämmelse av detta slag ska bli meningsfull bör polisens möjlighet att göra uppgifter gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de övervakade per- sonerna utan även uppgifter om personer som har samband med de övervakade personerna. Uppgifter måste exempelvis kunna behandlas om att en övervakad person är anställd hos en viss annan person och att den övervakade personen regelbundet

169

Gemensamt tillgängliga uppgifter

Ds 2007:43

besöker vissa personer. Men, som nyss har nämnts, en förutsätt- ning för behandlingen bör vara att uppgiften behövs för övervak- ningen.

Åtkomsten till de behandlade uppgifterna bör liksom i dag vara starkt begränsad. Endast de tjänstemän som har till uppgift att arbeta med övervakningen bör kunna medges åtkomst. In- formation om huruvida en viss person är föremål för övervak- ning bör dock kunna spridas till flera. Att personuppgifter som behandlas för detta ändamål bör vara märkta på visst sätt åter- kommer vi till i avsnitt 10.

9.3Utreda och beivra brott

Promemorians förslag: Personuppgifter som förekommer i ärenden om utredning och beivrande av brott ska alltid få gö- ras gemensamt tillgängliga. Detta ska dock inte gälla uppgifter om resultat av DNA-analyser.

Utredningens förslag: Utredningen har inte föreslagit att man ska skilja på uppgifter som är gemensamt tillgängliga och andra uppgifter.

Remissinstanserna har inte yttrat sig i frågan.

Skälen för promemorians förslag: Det är självklart att upp- gifter som behandlas för att utreda och beivra brott måste kunna göras gemensamt tillgängliga för de tjänstemän som arbetar med utredningen. Att sådana uppgifter kan göras gemensamt tillgäng- liga är också en förutsättning för att direktåtkomst ska kunna ges till åklagare, som ofta leder förundersökningar (se avsnitt 12.3.5). Enligt vår uppfattning finns det inte anledning att ställa upp något krav på att det ska vara fråga om utredning av allvarli- gare brott för att sådan behandling ska vara tillåten. Flertalet förundersökningar, oavsett misstänkt brott, är redan i dag lagra- de i digital form i ett särskilt system (DurTvå; se bilaga 6).

170

Ds 2007:43

Gemensamt tillgängliga uppgifter

Av lagen bör det således framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning eller beivrande av brott får göras gemensamt tillgängliga. Det bör dock göras ett undantag från denna huvudregel, nämligen när det gäller resul- tatet av DNA-analyser. Vi återkommer till den frågan.

I lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs som huvudregel att endast de personer som arbetar med ett ärende får ha direkt till- gång till uppgifterna som behandlas i ärendet. En följd av detta är att möjligheten att utnyttja uppgifter som behandlas inom ramen för en utredning i en annan utredning eller i underrättelseverk- samhet försvåras. Vi anser inte att det är rimligt att ställa upp någon motsvarande begränsning för polisen. I en brottsutred- ning kan det vara av den största betydelse att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att polisen kan be- döma om det finns några samband mellan utredningarna. Upp- gifter i en förundersökning måste således kunna göras gemen- samt tillgängliga för andra än de som arbetar i förundersök- ningen. Redan i dag är uppgifter av detta slag i viss utsträckning gemensamt tillgängliga. Åtkomsten till uppgifterna i Datoriserad utredningsrutin (DurTvå) är sålunda inte begränsad till de per- soner som arbetar med en viss förundersökning. I dag registreras även samtliga brottsanmälningar i Rationell anmälningsrutin (RAR; se bilaga 6). Samtliga personuppgifter läggs in i systemet, låt vara att endast vissa uppgifter får göras sökbara. Från RAR och DurTvå hämtas uppgifter till andra register, t.ex. till det centrala brottsspaningsregistret som innehåller uppgifter om anmälda brott, tillvägagångssätt, signalement beträffande perso- ner som setts på brottsplatsen m.m. Uppgifter från förundersök- ningar hämtas också till andra register. Att uppgifter i en brotts- anmälan eller en förundersökning görs tillgängliga inom polisen för andra än de som arbetar i ärendet är alltså något som före- kommer redan i dag i stor utsträckning och är en förutsättning för ett effektivt polisarbete. Det kan här noteras att det i de flesta fall endast är fråga om att göra vissa typer av uppgifter åt-

171

Gemensamt tillgängliga uppgifter

Ds 2007:43

komliga för andra än de som arbetar i förundersökningen, inte hela förundersökningen.

Det förhållandet att det öppnas möjlighet att göra uppgifter om utredning av brott gemensamt tillgängliga innebär naturligt- vis inte någon skyldighet att göra det. Uppgifter i vissa förunder- sökningar av särskilt känsligt slag bör sannolikt överhuvudtaget inte göras åtkomliga för andra än de som arbetar med förunder- sökningen. I vilken utsträckning möjligheten bör utnyttjas bör dock överlämnas till polisen att avgöra i det enskilda fallet.

En särskild fråga i sammanhanget är om uppgifter om resultat av DNA-analyser ska kunna göras gemensamt tillgängliga. Med begreppet ”resultat av DNA-analyser” avser vi här DNA-profi- ler. Behandlingen av DNA-profiler sker i princip i två faser. Den ena är när DNA-profilen tas fram och eventuellt jämförs med andra DNA-profiler och DNA-spår och den andra är vid regi- streringen i DNA-register. Som vi tidigare framhållit (se avsnitt 8) anses uppgifter om DNA-profiler vara extra känsliga genom den information de innehåller. All behandling av DNA inom brottsmålsförfarandet kringgärdas därför av särskilda regler. Detta talar för att uppgifter om DNA-profiler inte bör kunna göras gemensamt tillgängliga. Vi kan inte heller se något direkt behov av att göra sådana uppgifter gemensamt tillgängliga. Ett förbud mot att göra uppgifter om DNA-profiler gemensamt till- gängliga innebär inte något hinder mot att annan information som erhållits med hjälp av DNA-profilen, t.ex. utlåtandet angå- ende identiteten på den person som avsatt DNA-spåret, kan göras gemensamt tillgänglig.

I avsnitt 17.2 överväger vi särskilda bestämmelser om register med uppgifter om resultatet av DNA-analyser.

172

Ds 2007:43

Gemensamt tillgängliga uppgifter

9.4Särskilt om behandlingen av uppgifter som rapporterats till polisens kommunikationscen- traler

Promemorians förslag: Uppgifter som har rapporterats till polisens kommunikationscentraler ska få göras gemensamt tillgängliga i polisens brottbekämpande verksamhet.

Utredningens förslag: Utredningen har inte behandlat frå- gan.

Remissinstanserna har inte yttrat sig i frågan.

Skälen för promemorians förslag: I varje län ska det finnas en kommunikationscentral med uppgift att effektivisera och samordna bl.a. alarmeringsåtgärder. Kommunikationscentralerna tar emot och vidarebefordrar inkommande larm och andra med- delanden samt vidtar och samordnar inledningsvis polisåtgärder med anledning av larm. Som stöd för denna verksamhet finns det ett särskilt datasystem för kommunikationscentralerna, det s.k. KC-systemet (se bilaga 6). Till kommunikationscentralerna rap- porterar poliser in även händelser, iakttagelser och utförda upp- drag. KC-systemet syftar till att dokumentera, bevaka och följa upp händelser och iakttagelser som rapporteras till kommunika- tionscentralerna. Syftet är också att på ett tidigt stadium kunna få signaler om pågående och återkommande brottslig verksam- het. Vidare har behandlingen till ändamål att ge underlag för pla- nering av polisens resurser och för uppföljning av verksamheten. Systemet stöder inte endast polisens brottsbekämpande verk- samhet utan även annan polisiär verksamhet. Uppgifterna som antecknas i systemet får endast vara tillgängliga i tretton måna- der.

När kommunikationscentralen tar emot larm och meddelan- den, antecknas det som rapporteras in. Vidare antecknas vilka åtgärder som vidtas med anledning av ett larm, t.ex. om en polis- patrull skickas till platsen där ett brott påstås ha begåtts. När polispatrullen har varit på platsen, rapporterar den till kommuni-

173

Gemensamt tillgängliga uppgifter

Ds 2007:43

kationscentralen vad som har hänt och vilka ytterligare åtgärder som bedöms vara nödvändiga. Det finns i dag inte några be- gränsningar i fråga om vilka uppgifter som får antecknas i syste- met. Uppgifter registreras således om brotts- eller händelseplat- ser med besked om tid, plats, händelsetyp, brottskod och övrig information som kan vara till hjälp vid en kommande insats. Sy- stemet innehåller också personuppgifter. Enkelt uttryckt kan man säga att det fungerar som en inledande postcentral där alla inrapporterade uppgifter antecknas för att senare sorteras och vidarebefordras till polisens olika verksamhetsgrenar. Uppgifter om misstänkta brott vidarebefordras till polisens utredningsrot- lar, medan uppgifter om misstänkt brottslig verksamhet förs över till polisens underrättelserotlar. Systemet används normalt inte i den brottsbekämpande verksamheten för att söka efter in- formation. Det förekommer emellertid att sökningar sker inom i systemet för att få fram uppgifter till en pågående brottsutred- ning, t.ex. om vad som har rapporterats in till polisen under en viss kortare tidsperiod eller på en viss plats. Det är dock endast ett begränsat antal tjänstemän som har behörighet att söka i systemet.

Vi anser att polisen även fortsättningsvis bör få dokumentera händelser och iakttagelser som har rapporterats till polisens kommunikationscentraler. För att en sådan dokumentation ska tillgodose polisens informationsbehov är det också nödvändigt att uppgifterna kan göras gemensamt tillgängliga. Som framgått av redogörelsen ovan kan emellertid det som rapporteras in till systemet innehålla vilka personuppgifter som helst. Meddelan- dena kan således mycket väl innehålla uppgifter som överhu- vudtaget inte får behandlas eller göras gemensamt tillgängliga enligt de bestämmelser som vi nyss har föreslagit. Det kan t.ex. röra sig om uppgifter om personer som enbart misstänks för brottslig verksamhet som inte innefattar brott för vilket är före- skrivet ett års fängelse eller mer. Att i detta sammanhang göra skillnad på den eller andra typen av uppgifter framstår dock som praktiskt ogörligt. Den personal som tar emot och dokumente-

174

Ds 2007:43

Gemensamt tillgängliga uppgifter

rar uppgifterna har inte någon möjlighet att pröva hur uppgif- terna får behandlas.

Vi föreslår därför att det i den nya lagen tas in en särskild be- stämmelse som ger ett generellt stöd för den behandling av per- sonuppgifter som sker vid polisens kommunikationscentraler. Uppgifterna bör få göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet.

I avsnitt 10 överväger vi om uppgifter som behandlas för nu aktuellt ändamål ska förses med en särskild upplysning om än- damålet med behandlingen. I avsnitt 16.2 överväger vi vilka sär- skilda gallringsbestämmelser som bör gälla för uppgifterna.

9.5Gemensamt tillgängliga uppgifter i det internationella samarbetet

Promemorians förslag: Uppgifter i det internationella samar- betet får göras gemensamt tillgängliga om det behövs för att fullgöra den aktuella förpliktelsen.

Utredningens förslag: Utredningen har inte behandlat frå- gan.

Remissinstanserna har inte yttrat sig i frågan.

Skälen för promemorians förslag: En särskild fråga är hur man ska se på begreppet gemensamt tillgängliga uppgifter när det gäller internationellt samarbete. Enligt vår mening bör man i princip kunna utgå från samma kriterier i det arbetet som vid personuppgiftsbehandling för nationella behov.

En viktig del av det dagliga internationella samarbetet via In- terpol består i utbyte av information om stulna pass, stulna for- don, stulen konst och efterlysta personer. Interpol för olika re- gister över sådana uppgifter och medlemsstaterna utbyter fortlö- pande sådan information med varandra. Syftet med s.k. interna- tionell efterlysning av personer eller föremål är att man genom det förfarandet försvårar för brottslingarna. Man vidgar möjlig-

175

Gemensamt tillgängliga uppgifter

Ds 2007:43

heterna att påträffa personer som försöker hålla sig undan rättvi- san. Likaså förbättrar man förutsättningarna för att kunna åter- ställa stulen egendom eller att åtminstone förhindra att obehörig vinst görs på att värdefulla stulna föremål avyttras i andra länder.

När en svensk myndighet sänder en internationell efterlys- ning till Interpol sker detta som ett led i den svenska brottsbe- kämpningen. Uppgifterna har då gjorts gemensamt tillgängliga med stöd av de regler som vi tidigare har redogjort för. När en svensk myndighet tar emot uppgifter från andra länder om internationella efterlysningar beror det på att den andra staten vill ha bistånd med upplysningar om var det efterlysta föremålet finns (och eventuellt med ett ingripande i form av beslag) eller hjälp med att ingripa mot den efterlysta personen om denne på- träffas i Sverige. Upplysningarna om efterlysta personer och efterlysta föremål måste därför kunna vidarebefordras till i prin- cip all polispersonal. Detta görs genom att uppgifterna tillförs de nationella registren över efterlysningar. För att vi ska kunna full- göra våra internationella åtaganden i nu aktuella hänseenden måste således personuppgifter i viss utsträckning kunna göras gemensamt tillgängliga.

Ett annat exempel där det kan krävas att uppgifter görs gemensamt tillgängliga är förundersökningar som bedrivs paral- lellt i Sverige och i en annan stat och som gäller brott och brotts- misstankar som har samband med varandra. Även underrättelse- uppgifter som lämnas till Sverige som ett led i allmänt informa- tionsutbyte kan behöva behandlas gemensamt för att den svenska polisen ska kunna bidra med sina kunskaper.

Ett viktigt skäl till att uppgifter måste kunna göras gemen- samt tillgängliga inom ramen för det internationella samarbetet är att Sverige i flera internationella överenskommelser har åtagit sig att inom polisen ha en kontaktpunkt som myndigheter i andra länder kan nå dygnet runt, året om (vad som brukar kallas 24/7-kontakt). En sådan kontaktpunkt ska bl.a. kunna besvara förfrågningar, förmedla kontakter inom polisorganisationen (och eventuellt till andra myndigheter som åklagare) samt bistå andra länder i brådskande angelägenheter av annat slag. Den in-

176

Ds 2007:43

Gemensamt tillgängliga uppgifter

ternationella enheten på Rikspolisstyrelsen utgör en sådan kon- taktpunkt. Detta får till följd att tjänstemän vid enheten måste kunna ha tillgång till personuppgifter i alla de internationella ärenden som förekommer vid enheten.

Den nya lagen bör alltså göra det möjligt att göra uppgifter som har mottagits inom ramen för internationellt samarbete gemensamt tillgängliga, om det behövs för att fullgöra det inter- nationella åtagandet. Vi föreslår att det tas in en uttrycklig be- stämmelse om detta i den nya lagen.

177

10Särskilda upplysningar för gemensamt tillgängliga uppgifter

Promemorians förslag: Personuppgifter som görs eller har gjorts gemensamt tillgängliga ska förses med en särskild upplysning om det närmare ändamålet med behandlingen. De ska vidare förses med en särskild upplysning om att personen som uppgiften avser inte är misstänkt, om de direkt kan hän- föras till en person som inte är misstänkt vare sig för visst brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet. Upplysning behöver dock inte lämnas om sådana förhållanden som ändå framgår tydligt av omständigheterna.

Uppgifter, som avser en person som kan antas ha samband med misstänkt brottslig verksamhet, ska som regel förses med upplysning om uppgiftslämnarens trovärdighet och upp- gifternas riktighet i sak. Detsamma gäller för personuppgifter som behandlas inom ramen för övervakning av brottsmiss- tänkta personer.

Utredningens förslag: Utredningen har föreslagit att upp- gifter om personer som det inte finns någon misstanke om brott mot ska förses med upplysning om uppgiftslämnarens trovärdig- het och uppgifternas riktighet i sak.

Remissinstanserna har inte haft några invändningar mot ut- redningens förslag.

179

Särskilda upplysningar för gemensamt tillgängliga uppgifter

Ds 2007:43

Skälen för promemorians förslag

Upplysning om ändamålet med behandlingen

Vårt förslag innebär att uppgifter av olika slag kan göras gemen- samt tillgängliga utan att de för den skull behöver ingå i ett sär- skilt register av vilket de närmare skälen för behandlingen av per- sonuppgifterna framgår. Det är dock viktigt att man alltid kan utläsa för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas. Detta har betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmel- ser kunna styra åtkomsten till vissa uppgifter. Vidare har det betydelse för att tillsynsmyndigheterna ska kunna kontrollera om viss behandling är berättigad och sker i enlighet med lagens bestämmelser.

En särskild bestämmelse bör därför tas in i den nya lagen med innebörd att det alltid ska framgå för vilket ändamål en person- uppgift behandlas. Om en personuppgift behandlas inom ramen för den ovan föreslagna bestämmelsen om övervakning av vissa personer, bör detta framgå särskilt. Detsamma gäller om en upp- gift behandlas med stöd av bestämmelsen om rapportering till polisens kommunikationscentraler.

Upplysning om att personen inte är misstänkt för brott eller brotts- lig verksamhet

Av stor betydelse för skyddet av den personliga integriteten är att polisen behandlar uppgifter på ett sådant sätt att det klart framgår om en person behandlas som misstänkt för brott eller brottslig verksamhet eller om behandlingen sker av någon annan anledning. Vi föreslår därför att det i lagen slås fast att uppgifter om personer som inte är misstänkta vare sig för ett konkret brott eller för att ha utövat eller komma att utöva brottslig verk- samhet ska förses med en upplysning om detta förhållande. Vissa

180

Ds 2007:43

Särskilda upplysningar för gemensamt tillgängliga uppgifter

sådana bestämmelser finns redan i polisdatalagen (se 14 och

19§§).

Behovet av en sådan upplysning är dock mindre påtagligt när

det gäller uppgifter som ännu inte har gjorts gemensamt till- gängliga, t.ex. uppgifter som bara förekommer i en enskild tjänstemans dator eller i en liten, klart avgränsad projektgrupp. De handläggande tjänstemännen vet då varifrån uppgiften har kommit, varför den behandlas och om en omnämnd person är misstänkt för brott eller brottslig verksamhet eller inte. Upplys- ningsskyldigheten bör därför gälla endast i fråga om uppgifter som görs eller har gjorts gemensamt tillgängliga.

Ibland kan det redan av det sammanhang där en personupp- gift förekommer framgå att personen inte är misstänkt. I en för- undersökning som gäller misshandel kan det t.ex. framgå att A berörs av förundersökningen endast i egenskap av målsägande. En viss uppgiftssamling kan också ha sådan natur att det är uppenbart att de personer som ingår i samlingen inte är registre- rade som misstänkta för brott eller brottslig verksamhet. Som exempel kan nämnas ett sådant diarium över inkomna eller upp- rättade handlingar som myndigheter enligt 15 kap. sekretessla- gen (1980:100) ska föra. I ett sådant diarium ska bl.a. registreras vem en handling har inkommit från eller expedierats till. I fråga om sådana uppgifter har en särskild upplysning om att den aktu- ella personen inte är misstänkt inget värde. Vi föreslår därför att upplysning inte ska behöva lämnas om det redan av omständig- heterna klart framgår att personen inte är misstänkt.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation om användningen av person- uppgifter inom polissektorn (se avsnitt 4.2.3) anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas

181

Särskilda upplysningar för gemensamt tillgängliga uppgifter

Ds 2007:43

från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kon- trollerade fakta eller endast icke styrkta antaganden. I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verk- samhet finns en bestämmelse om att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och upp- gifternas riktighet i sak. Vid tillkomsten av polisdatalagen över- vägdes om en motsvarande bestämmelse borde tas in i den lagen. Den dåvarande regeringen lämnade dock inte något förslag om detta. Regeringen hänvisade till att den då föreslagna uppdel- ningen på belastningsregister, misstankeregister och kriminal- underrättelseregister innebar att bekräftade och konkreta upp- gifter kom att skiljas från uppgifter som grundades på skälig misstanke respektive på kriminalunderrättelseverksamhet. Att därutöver i lag ta in bestämmelser om att behandlade uppgifter även skulle förses med upplysning om uppgiftslämnarens trovär- dighet ansågs inte befogat.

I vårt förslag ingår det inte några särskilda bestämmelser om personuppgiftsbehandling i kriminalunderrättelseverksamhet eller om kriminalunderrättelseregister. Tvärtom kommer det att vara möjligt att i en och samma uppgiftssamling sammanföra uppgifter med skiftande trovärdighet. Mot den bakgrunden finns det fog för att i den nya lagen uppställa ett krav på tilläggsupplysningar motsvarande det som uppställs i 16 § andra stycket lagen om behandling av uppgifter i Tullverkets brottsbe- kämpande verksamhet. I den nya lagen bör det alltså tas in en bestämmelse om att uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Bestämmelsen bör dock enligt vår mening inte vara generell. För det första är behovet av en upplysning av detta slag

ganska litet så länge den behandlade uppgiften inte har gjorts

182

Ds 2007:43

Särskilda upplysningar för gemensamt tillgängliga uppgifter

gemensamt tillgänglig (se ovan). Vi föreslår därför att bestäm- melsen inte ska gälla i fråga om uppgifter som ännu inte är – eller genom behandlingen blir – gemensamt tillgängliga.

För det andra – när det gäller personuppgiftsbehandling som sker inom ramen för en brottsutredning – framgår det som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla den, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av utred- ningen torde därför vara liten. Vi föreslår därför att personupp- giftsbehandling inom ramen för en brottsutredning inte ska omfattas av den nya bestämmelsen.

För det tredje bör det finnas ett utrymme för att inte lämna någon tilläggsupplysning i sådana fall där upplysningen framstår som helt överflödig. Så kan vara fallet beträffande personupp- gifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen. Vi föreslår därför att upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak inte behöver lämnas när detta på grund av särskilda omstän- digheter skulle sakna betydelse.

183

11Sökbegränsningar för gemensamt tillgängliga uppgifter

11.1Känsliga personuppgifter som sökbegrepp

Promemorians förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgäng- liga uppgifter. Det ska dock inte finnas något hinder mot att använda uppgifter som beskriver en persons utseende som sökbegrepp.

Utredningens förslag: Utredningen har inte lämnat några förslag i denna del.

Remissinstanserna har inte berört frågan närmare.

Skälen för promemorians förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. I avsnitt 8 har vi därför föreslagit att sådana uppgifter som huvudregel inte ska få behandlas. Men vi har också föreslagit att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga uppgifter om det är absolut nödvändigt för syftet med behandlingen. Det innebär att det också i polisens olika uppgiftssamlingar kommer att fin- nas känsliga personuppgifter.

185

Sökbegränsningar för gemensamt tillgängliga uppgifter

Ds 2007:43

Från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning upp- gifterna kan sökas fram och sammanställas. Ju större möjligheter det finns att genom olika slag av sökningar och sammanställ- ningar kartlägga enskildas privata förhållanden, desto större in- tegritetsintrång kan personuppgiftsbehandlingen innebära. Sök- ningar på personuppgifter av de nyss nämnda slagen, dvs. ”käns- liga personuppgifter”, är ägnade att inge särskilda betänkligheter. Mot den bakgrunden har det i 20 § lagen (2005:787) om behand- ling av uppgifter i Tullverkets brottsbekämpande verksamhet, m.m. tagits in ett förbud mot att använda sådana känsliga upp- gifter som sökbegrepp (prop. 2004/05:164 s. 89 f.).

Det kan i och för sig förekomma situationer då en möjlighet att göra sökningar på känsliga uppgifter skulle vara av värde för det brottsbekämpande arbetet, t.ex. vid en utredning om ett sex- ualbrott. I det alldeles övervägande antalet fall måste emellertid de möjligheter som polisen kommer att ha att söka i belastnings- och misstankeregistren på motsvarande brott antas vara tillräck- liga. Vi anser därför att integritetsintresset i denna del måste väga över och att det i den nya lagen bör tas in en bestämmelse mot- svarande den som finns i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I polisens brottsbekämpande verksamhet har signalements- uppgifter stor betydelse. Vid exempelvis eftersökning av miss- tänkta gärningsmän behöver polisen kunna använda sig av upp- gifter om t.ex. kroppsbyggnad, ansiktsform, hår- eller hudfärg, klädsel och fysiska kännetecken såsom födelsemärken och tatu- eringar. Förbudet mot att använda känsliga personuppgifter som sökbegrepp bör därför inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp. Detta – som över- ensstämmer med vad som gäller enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – bör komma till uttryck i den nya lagen.

186

Ds 2007:43

Sökbegränsningar för gemensamt tillgängliga uppgifter

11.2Sökning på namn, firma, personnummer, samordningsnummer eller organisations- nummer

Promemorians förslag: Vid sökning i gemensamt tillgängliga uppgifter på namn, firma, personnummer, samordningsnum- mer, organisationsnummer eller andra liknande identitetsbe- teckningar, får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott eller är misstänkt för brott eller för brottslig verksamhet,

2.övervakas på grund av allvarlig kriminell belastning eller befarad farlighet för annans personliga säkerhet,

3.har anmält ett brott eller är målsägande i ett ärende som rör ansvar för brott,

4.är vittne eller annars ska höras eller avge yttrande i ett ärende,

5.har gett in eller tillsänts en handling, eller

6.är anmäld försvunnen.

Dessa begränsningar ska dock inte gälla vid sökning som sker i en viss handling eller i ett visst ärende. De ska inte hel- ler gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet eller vissa preciserade kriminella grupperingar och som enbart de som arbetar i undersökningen eller vissa särskilt angivna tjänste- män har åtkomst till.

Begränsningarna ska inte heller gälla vid sökning som sker för att förebygga, förhindra eller upptäcka särskilt allvarlig brottslig verksamhet eller för övervakning av personer som kan antas komma att begå brott och som är allvarligt krimi- nellt belastade eller kan antas vara farliga för annans person- liga säkerhet, om sökningen utförs av särskilt angivna tjäns- temän som har till uppgift att utreda den brottsliga verksam- heten respektive sköta övervakningen.

187

Sökbegränsningar för gemensamt tillgängliga uppgifter

Ds 2007:43

Om det finns särskilda skäl, ska sökning utan begränsning även få ske för att utreda särskilt allvarliga brott, under förut- sättning att sökningen utförs av särskilt angivna tjänstemän.

Regeringen eller den myndighet som regeringen bestäm- mer meddelar närmare föreskrifter om och under vilka förut- sättningar sökning får ske.

Utredningens förslag: Utredningen har inte lämnat några förslag i denna fråga.

Remissinstanserna har inte närmare berört frågan.

Skälen för promemorians förslag: Namn, firma, person- nummer och organisationsnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Det- samma gäller samordningsnummer, dvs. sådana identitetsbeteck- ningar som enligt 18 a § folkbokföringslagen (1991:481) kan till- delas personer som inte är eller har varit folkbokförda i Sverige. Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till särskilda risker från integritets- synpunkt. En sökning på exempelvis ett personnummer ger, i vart fall om den sker i den samlade informationsmängd som poli- sen har tillgång till, möjlighet till ingående kartläggningar av en persons privata förhållanden. Från ett integritetsperspektiv är därför sådana sökningar ägnade att inge stora betänkligheter.

Samtidigt är det uppenbart att möjligheten att göra detta slag av sökningar kan vara av stor betydelse i samband med kriminal- underrättelse- och brottsutredningsverksamhet. Det bör vara möjligt att inom ramen för det arbete som bedrivs i en under- sökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida de personer som figurerar i det ärendet också är eller har varit misstänkta i andra ärenden. Det ökar möjligheterna att förhindra, upptäcka och beivra brott väsentligt. Vi anser därför att den nya lagen måste ge utrymme för sök- ningar på namn, personnummer eller liknande identitetsuppgif- ter.

188

Ds 2007:43

Sökbegränsningar för gemensamt tillgängliga uppgifter

En helt obegränsad möjlighet att använda detta slag av upp- gifter som sökbegrepp bör emellertid inte komma i fråga. Vi har därför övervägt om det i den nya lagen bör tas in en bestämmelse motsvarande 21 § lagen (2005:787)om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Enligt den bestäm- melsen får namn, personnummer och samordningsnummer an- vändas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller för viss verksamhet. Vi är dock inte övertygade om att en sådan bestämmelse är än- damålsenlig på polisens område. Å ena sidan tillåter en sådan be- stämmelse att det vid sökningen tas fram information som är uppenbart betydelselös i sammanhanget (exempelvis att en för misshandel misstänkt person vid ett tidigare tillfälle har varit målsägande i en bedrägeriutredning). Å andra sidan tillåter be- stämmelsen inte att det görs sådana sökningar som kan vara nödvändiga inom ramen för ett kriminalunderrättelseprojekt eller en brottsutredning. I ett sådant ärende kan det vara av stor vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som i det aktuella utredningslä- get inte är misstänkta – förekommer som misstänkta i utred- ningar som gäller liknande brott. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet. Likaså kan uppgifter om att samma person gång på gång uppträder som vittne i vissa sammanhang påverka personens tillförlitlighet och trovärdighet.

Vi föreslår därför att möjligheten att söka på namn, person- nummer och liknande identitetsuppgifter inte begränsas till misstänkta. Men vid sökningar på sådana uppgifter bör enbart vissa slag av uppgifter om den person som sökningen avser kunna tas fram. Först och främst bör det vara möjligt att få fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för allvarlig brottslig verksamhet. Med allvarlig brottslig verksamhet avser vi här detsamma som i avsnitt 9.2, dvs. verksamhet som innefattar brott för vilket kan följa fängelse i ett år eller däröver. Vidare bör det vara möjligt att få

189

Sökbegränsningar för gemensamt tillgängliga uppgifter

Ds 2007:43

fram uppgift om huruvida en person övervakas på grund av all- varlig kriminell belastning eller befarad farlighet för annans per- sonliga säkerhet. En annan uppgift som bör vara möjlig att få fram är om personen har anmält ett brott eller att han eller hon är målsägande eller vittne i en brottsutredning. Detsamma gäller om någon är anmäld försvunnen. Det bör också vara möjligt att få fram uppgift om en handling har lämnats in av eller expedi- erats till personen i fråga.

Det som nu har sagts avser endast begränsningar av den initi- ala sökningen. En generell sökning av de uppgifter som behand- las hos polisen avseende en viss person ska alltså, enligt vårt för- slag, endast ge uppgifter om huruvida vederbörande tillhör någon eller några av de kategorier som nyss angetts. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska dock ytterligare uppgifter kunna tas fram genom en fortsatt sökning i den uppgiftsmäng- den. Möjligheten att få åtkomst till ytterligare uppgifter, kanske hela förundersökningen, avgörs dock av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av lagens ändamål.

De integritetsrisker som motiverar den nu föreslagna in- skränkningen i möjligheten att söka fritt gör sig dock inte gäl- lande när det är fråga om sökningar i ett begränsat material. Den bör därför inte gälla vid sökning som sker inom ramen för ett visst ärende eller en viss handling.

För vissa delar av den brottsbekämpande verksamheten kan en begränsningsregel av den nu föreslagna arten leda till stora problem. Det gäller en del sådant arbete som i dag sker inom ramen för en särskild undersökning enligt 14 § polisdatalagen och som avser vissa preciserade slag av brottslighet (t.ex. narko- tikabrottslighet i viss region) eller vissa preciserade kriminella grupperingar (t.ex. ett visst kriminellt mc-gäng). I sådant arbete upprättas ofta särskilda uppgiftssamlingar som syftar till att kart- lägga brottsligheten eller de kriminella grupperingarna. Endast de tjänstemän som deltar i undersökningen har tillgång till dessa uppgiftssamlingar. Enligt vår mening bör det vara möjligt för de

190

Ds 2007:43

Sökbegränsningar för gemensamt tillgängliga uppgifter

deltagande tjänstemännen att göra sökningar i en sådan uppgifts- samling utan någon sådan begränsning som vi ovan har föresla- git. Vi föreslår därför att begränsningsregeln inte ska gälla vid sökning i en uppgiftssamling som har skapats för att undersöka vissa preciserade slag av brottslighet eller vissa preciserade kri- minella grupperingar och som enbart de som arbetar i undersök- ningen har åtkomst till (med det undantag som följer av nästa stycke).

När det gäller underrättelseverksamhet som avser särskilt all- varlig brottslighet t.ex. grova narkotikabrott, terroristbrott och människohandel, finns det ett motsvarande behov av att kunna göra sökningar utan de begränsningar som har föreslagits ovan. Vi anser därför att sökbegränsningarna inte ska gälla vid sökning som sker för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver. Vid övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt be- lastade eller kan antas vara farliga för annans personliga säkerhet finns ett likartat behov. I sådana fall är det viktigt för polisen att ha kännedom om var personen brukar befinna sig, vilka kontak- ter han eller hon har, vilka transportmedel personen förfogar över etc., för att polisen ska kunna ingripa i tid mot nya brott. De angivna begränsningarna bör därför inte gälla i dessa fall, un- der förutsättning att sökningen utförs av särskilt angivna tjäns- temän som har till uppgift att hantera det aktuella ärendet. Så- dana tjänstemän bör även få utföra sökningar i uppgiftssamlingar i undersökningar av viss preciserad brottslighet eller vissa preci- serade kriminella grupperingar. Det bör meddelas föreskrifter om att myndigheten ska dokumentera vilka tjänstemän som har beviljats denna utökade möjlighet att söka efter uppgifter.

Ibland kan det också finnas behov av att göra mera omfattan- de sökningar inom ramen för en förundersökning. Som exempel kan nämnas utredningar om ouppklarade allvarliga seriebrott, t.ex. upprepade våldtäkter eller mordbränder. Detsamma kan gälla vissa mordutredningar. Förundersökningar om sådana brott kan pågå under mycket lång tid, om gärningsmannen är okänd.

191

Sökbegränsningar för gemensamt tillgängliga uppgifter

Ds 2007:43

Om det är fråga om mycket allvarliga brott, där samhällets intresse av att gärningsmannen lagförs är stort, är det enligt vår mening försvarligt att tillåta generella sökningar, om dessa kan bidra till att polisen kan spåra gärningsmannen och det är fråga om brott för vilket är föreskrivet fängelse i fyra år eller däröver. I likhet med vad som föreslagits i fråga om sökningar i underrät- telseverksamheten eller vid övervakning av vissa personer bör emellertid sådana sökningar enbart få utföras av på förhand ut- pekade personer med särskilda arbetsuppgifter.

Det är viktigt att de sökbegränsningar som vi har föreslagit tillämpas korrekt och att tillsynsmyndigheterna kan kontrollera att så varit fallet. Regeringen bör meddela föreskrifter om att det vid myndigheten ska framgå av en förteckning eller motsvarande vilka tjänstemän som har tilldelats behörighet att utföra sådana särskilda sökningar.

192

12Informationsutbyte mellan de brottsbekämpande myndig- heterna

12.1Allmänt om behovet av ett effektivt informa- tionsutbyte mellan svenska brottsbekämpande myndigheter

Promemorians bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan ut- byta information på ett rationellt sätt.

Utredningen har inte behandlat frågan särskilt. Remissinstanserna: Flera remissinstanser, bl.a. Riksåklagaren,

Riksskatteverket, Tullverket och Kustbevakningen, har påtalat be- hovet av ett effektivt informationsutbyte mellan de brottsbe- kämpande myndigheterna. Av remissvaren framgår att de brotts- bekämpande myndigheterna anser sig ha ett påtagligt behov av att i ökad utsträckning få direktåtkomst till varandras uppgifter.

Skälen för promemorians bedömning: Samarbetet mellan de brottsbekämpande myndigheterna har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslig- het förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns inte bara inom olika delar av polisorganisationen utan också hos andra brottsbekämpande myndigheter. Uppdelningen av den brottsbekämpande verksam-

193

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

heten på flera fristående myndigheter har emellertid i stor ut- sträckning kommit att styra möjligheterna till informationsut- byte, eftersom det kan råda sekretess mellan myndigheterna. Det är allmänt omvittnat att detta har lett till nackdelar när det gäller effektiviteten i brottsbekämpningen. Behovet av informations- utbyte mellan de brottsbekämpande myndigheterna är särskilt stort när det gäller att kartlägga och begränsa organiserad brotts- lighet, men det finns även behov av sådant samarbete för att an- gripa brottslighet av mera vardagligt slag. Av samma skäl som det är viktigt att man inom polisen på ett effektivare sätt än i dag kan tillgodogöra sig den information som finns inom den egna organisationen, är det viktigt att nyttiggöra informationen i sam- arbetet med andra brottsbekämpande organ.

Möjligheten till informationsutbyte mellan olika myndigheter är således av central betydelse i det brottsbekämpande arbetet. Ett förbättrat informationsutbyte skapar bättre förutsättningar för att utnyttja de samlade resurserna effektivt och därmed också för att brott i större utsträckning och snabbare kan klaras upp.

Mot de fördelar som ett ökat informationsutbyte innebär ska ställas att ett ökat flöde av uppgifter mellan myndigheter kan skapa risker för ökat intrång i den personliga integriteten, sär- skilt som de uppgifter som polisen behandlar ofta är av känsligt slag. Ett väl fungerande informationsutbyte mellan brottsbe- kämpande myndigheter behöver emellertid inte vara till nackdel för de personer som berörs av en brottsutredning. Tvärtom kan brottsoffren och den eller de misstänkta ibland ha ett gemensamt intresse av att brott klaras upp snabbt och att lagföring kommer till stånd i de fall där bevisningen är tillräcklig samt att felaktiga eller otillräckligt underbyggda brottsmisstankar avförs så snabbt som möjligt. I detta sammanhang är det också viktigt att påmin- na om det självklara att polisens arbete ytterst syftar till att skydda enskilda från att utsättas för den kränkning som ett brott utgör.

Risken för ökade intrång i den personliga integriteten genom informationsutbyte mellan myndigheter måste också ses i ljuset av att de andra brottsbekämpande myndigheterna redan i dag i

194

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

stor utsträckning har tillgång till de uppgifter hos polisen som kan anses vara några av de allra mest känsliga, nämligen uppgifter ur misstankeregistret. Vidare måste man väga in att det numera i princip råder samma sekretess för uppgifter om brottsbekämp- ning hos alla berörda myndigheter. Även om det således kan fin- nas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna väger fördelarna över.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom de flesta av de uppgifter som behandlas inom polisens brottsbekämpande verksamhet skyddas av sekretess. En grundläggande förutsätt- ning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I sekretesslagen finns ett antal be- stämmelser som innebär att sekretess inte hindrar utbyte av upp- gifter mellan nationella brottsbekämpande myndigheter.

Med stöd av hänvisningar i sekretesslagen finns det dessutom en möjlighet att meddela sekretessbrytande föreskrifter i andra lagar och förordningar, se 14 kap. 1 § sekretesslagen. I polisda- talagen och polisdataförordningen finns bestämmelser om ut- lämnande av uppgifter som har en sekretessbrytande effekt. Det måste övervägas om sådana bestämmelser bör införas även i den nya lagen. Behovet av sekretessbrytande bestämmelser behandlas i avsnitt 13.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myn- digheter, bl.a. inom ramen för det arbete som bedrivs av Rådet för rättsväsendets informationsförsörjning (där Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrel- sen, Kriminalvården, Brottsförebyggande rådet, Brottsoffer- myndigheten, Tullverket och Skatteverket ingår). Flera utred- ningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna, se bl.a. SOU 2002:113, 2005:117 och 2006:18. Den gemensamma uppfattningen hos

195

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

dessa utredningar har varit att en brottsbekämpande myndighet ska kunna lämna information till en annan sådan myndighet, om den senare myndigheten behöver informationen i sin brottsbe- kämpande verksamhet.

Informationsutbytet sker i dag framförallt på manuell väg, efter en begäran från en myndighet i ett enskilt fall eller genom spontant uppgiftslämnande. Det kan röra sig både om utläm- nande av uppgifter i pappersform och om olika former av elek- troniskt utlämnande, t.ex. via e-post. I viss utsträckning före- kommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndighe- ten har tillgång till (direktåtkomst), men det gäller för närva- rande bara vissa register.

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, sär- skilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Elektronisk åtkomst till uppgifter utan föregående begäran är således inte bara ett enkelt och arbetsbesparande sätt att lämna ut information utan ibland det enda i praktiken möjliga sättet att göra uppgifterna tillgängliga när de behövs.

Mot denna bakgrund står det klart att det finns ett ökande behov av ett effektivt informationsutbyte mellan de brottsbe- kämpande myndigheterna och att detta måste kunna tillgodoses genom ökad användning av elektronisk kommunikation.

En fråga som måste övervägas särskilt är i vilken form upp- gifterna ska få lämnas ut, t.ex. om utlämnande bör få ske genom direktåtkomst. Den frågan behandlas i avsnitt 12.3. Utlämnande på medium för automatiserad behandling – både till svenska och utländska mottagare – behandlas i avsnitt 14.

196

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

12.2Allmänt om behovet av informationsutbyte i det internationella samarbetet

Promemorians bedömning: Det internationella utbytet av information spelar en viktig roll för bekämpningen av framför allt allvarlig och gränsöverskridande brottslighet. Det arbetet bör kunna bedrivas i huvudsak på samma sätt som hittills.

Utredningen har gjort samma bedömning. Remissinstanserna har inte haft någon invändning eller inte

kommenterat saken närmare.

Skälen för promemorians bedömning: Av samma skäl som ett ökat informationsutbyte mellan svenska brottsbekämpande myndigheter bidrar till ett effektivare polisarbete gör internatio- nellt samarbete i brottsbekämpande syfte det. Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslig- het som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle exempelvis bekämpning- en av grov narkotikasmuggling, människohandel, penningtvätt och många andra typer av allvarliga brott inte kunna bedrivas lika framgångsrikt. Dessutom har Sverige, som framgått tidigare, ge- nom olika internationella överenskommelser åtagit sig att över- lämna information som härrör från brottsbekämpande verksam- het dels till polismyndigheter i andra länder, dels till Interpol och Europol.

Under senare år har det polisiära samarbetet mellan länderna inom EU utvecklats snabbt. I Europeiska rådets rekommenda- tion om utarbetande av avtal mellan polis, tull och andra speciali- serade brottsbekämpande organ, som antogs i april 2006 (6856/1/06 REV 1 ENFOCUSTOM 27 ENFOPOL 35 CRI- MORG 40 CORDROGUE 15) betonar rådet vikten av ett för- bättrat samarbete och informationsutbyte mellan de nationella brottsbekämpande myndigheterna. Hinder mot informationsut- byte på nationell nivå riskerar naturligtvis att påverka även det internationella informationsutbytet negativt. Det kan anmärkas

197

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

att Sverige har ådragit sig kritik avseende informationsutbyte såväl nationellt som internationellt vid utvärdering av Europols verksamhet (se SOU 2005:117 s. 153).

Nyligen antogs rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseut- byte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Som tidigare nämnts pågår förhand- lingar om flera rambeslut m.m. som påverkar det framtida in- formationsutbytet (se avsnitt 4.4). Ett av dessa är rambeslutet om dataskydd inom tredje pelaren, vars syfte är att förbättra integritetsskyddet. Ett likvärdigt integritetsskydd för uppgifter som översänds mellan medlemsstaterna kommer att underlätta det framtida informationsutbytet.

Det finns också anledning att erinra om att det polisiära sam- arbete över gränserna i stor utsträckning sker som led i svenskt underrättelsearbete eller svensk förundersökning eller lagföring. Sammantaget talar mycket för att polisen kommer att ha ett fortsatt stort behov av att kunna utbyta uppgifter med andra länder. En ny lag om behandling av uppgifter i polisens brotts- bekämpande verksamhet bör inte ställa upp onödiga hinder för ett sådant utbyte utan möjligheterna att utbyta uppgifter bör i huvudsak motsvara vad som gäller i dag. I avsnitt 12.3.6 övervägs om utländska myndigheter även bör kunna medges direktåt- komst till svenska register. En sådan möjlighet skulle innebära en utvidgning i förhållande till vad som gäller i dag. I avsnitt 13.3 övervägs vilka sekretessbrytande bestämmelser om utlämnande som lagen bör innehålla. I det sammanhanget berörs det interna- tionella informationsutbytet närmare.

12.3Elektroniskt informationsutbyte

12.3.1Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om utlämnande av personuppgifter i elektronisk form

198

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

genom särskilda bestämmelser i lag eller förordning. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elek- tronisk form endera på s.k. medium för automatiserad behand- ling eller genom direktåtkomst.

Ett utlämnande på medium för automatiserad behandling kan innebära t.ex. att elektronisk information överförs via e-post, ge- nom utlämnande av uppgifter på diskett, cd-rom, DVD, USB- minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. I sådana fall tar den ut- lämnande myndigheten i varje enskilt fall ställning till om upp- gifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med ut- lämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren.

Av dessa olika varianter av elektroniskt utlämnande är direkt- åtkomst den mest känsliga. Denna fråga kommer därför att berö- ras mer ingående i det följande. Utlämnande på medium för automatiserad behandling tas upp i avsnitt 14.

12.3.2Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den enskilde tar del av i varje enskilt fall. I stället måste en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av ge-

199

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

nom sin direktåtkomst. Den faktiska begränsningen av direktåt- komsten görs sedan med hjälp av olika tekniska lösningar, bero- ende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Eftersom begreppet direktåtkomst avser ett tillvägagångssätt för utlämnande av uppgifter i elektronisk form, är det vid regle- ring av direktåtkomst typiskt sett inte nödvändigt att reglera den åtkomst som en myndighet har till sina egna register och databa- ser. Myndighetens egen tillgång till information i databasen inne- fattar normalt behörighet att såsom personuppgiftsansvarig på- verka innehållet i databasen, dvs. behörighet att vidta åtgärder som sträcker sig längre än att medge direktåtkomst. I fråga om den åtkomst som personalen vid en myndighet har till myndig- hetens egna register och databaser är det därför lämpligare att tala om direkt tillgång till registren och databaserna i stället för direktåtkomst (se prop. 2004/05:164 s. 73). Finns det flera själv- ständiga verksamhetsgrenar inom en och samma myndighet, mellan vilka det råder sekretess (jfr 1 kap. 3 § första och andra styckena sekretesslagen), behövs dock normalt – när direktåt- komsten är författningsreglerad – även bestämmelser om direkt- åtkomst för den eller de verksamhetsgrenar som inte ansvarar för själva databasen för att sådan åtkomst ska kunna medges. Detta beror på att uppgifterna i sådana fall anses utlämnade från en verksamhetsgren till en annan.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informa- tionen har en rätt att medge sådan åtkomst. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. I några för- fattningar tydliggörs detta genom bestämmelser som anger att myndigheten i fråga inte får medge andra direktåtkomst till sina

200

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

register innan den har försäkrat sig om att behörighets- och sä- kerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt (se t.ex. 4 kap. 4 § förordningen [2001:650] om vägtrafikregister). Medgivandet av direktåtkomst förutsätter också att utlämnande får ske enligt den gällande sekretessregler- ingen för berörda myndigheter, vilket utvecklas närmare i avsnitt 13.

12.3.3Nuvarande möjligheter till direktåtkomst

Polisens direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter

Polisens möjlighet att ta del av uppgifter som behandlas hos andra brottsbekämpande myndigheter styrs genom de författ- ningar som gäller för dessa myndigheter.

Beträffande uppgifter som behandlas av Tullverket föreskrivs i 6 § förordningen (2005:791) om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet att Ekobrottsmyndighe- ten, Rikspolisstyrelsen, polismyndigheterna, Kustbevakningen och Skatteverket får ha direktåtkomst till sådana uppgifter i tull- brottsdatabasen som behandlas för ändamålen att förhindra och upptäcka brottslig verksamhet. Enligt 7 § får Åklagarmyndighe- ten, Ekobrottsmyndigheten, Rikspolisstyrelsen och polismyn- digheterna ha direktåtkomst till sådana uppgifter som behandlas för ändamålen att utreda och beivra visst brott, om uppgifterna förekommer i en förundersökning som leds av åklagare.

Enligt 18 § förordningen (2003:188) om behandling av per- sonuppgifter inom Kustbevakningen får övriga brottsbekäm- pande myndigheter ha direktåtkomst till uppgifter hos Kustbe- vakningen. Tullverkets åtkomst omfattar dock inte uppgifter om vattenföroreningsavgift. Skatteverkets åtkomst är begränsad till de brott som Skatteverket får utreda och Åklagarväsendets åt- komst är begränsad till uppgifter om utredning av brott, om ut- redningen leds av åklagare. I betänkandet Kustbevakningens per-

201

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

sonuppgiftsbehandling (SOU 2006:18) uttalade Utredningen om Kustbevakningens personuppgiftsbehandling att det framstår som uppenbart att övriga brottsbekämpande myndigheter ska kunna medges direktåtkomst till uppgifter hos Kustbevakningen. Utredningen föreslog därför att sådan åtkomst ska beviljas till uppgifter som Kustbevakningen behandlar för att förhindra och upptäcka brottslig verksamhet och för att utreda och beivra brott. Betänkandet bereds för närvarande inom Regeringskans- liet (Försvarsdepartementet).

Andra myndigheters direktåtkomst till uppgifter som polisen behandlar

De övriga brottsbekämpande myndigheterna har redan i dag i varierande utsträckning direktåtkomst till uppgifter som polisen behandlar i vissa register, framför allt misstankeregistret och be- lastningsregistret. I närmast följande avsnitt, där andra myndig- heters behov av direktåtkomst till polisens uppgifter behandlas närmare, redovisas vad som gäller i dag i fråga om direktåtkomst till polisens register.

12.3.4De brottsbekämpande myndigheternas behov av tillgång till uppgifter i polisens brottsbekämpande verksamhet

Promemorians bedömning: Samtliga brottsbekämpande myndigheter har behov av att kunna få direktåtkomst till uppgifter som behandlas av polisen.

Utredningens förslag: Utredningen har inte närmare be- handlat frågan om övriga brottsbekämpande myndigheters all- männa behov av direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet. Däremot har utred-

202

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

ningen lagt förslag om att andra myndigheter ska ha direktåt- komst till vissa utpekade register.

Remissinstanserna: Flera remissinstanser, bl.a. Riksåklagaren, Riksskatteverket, Tullverket och Kustbevakningen, har påtalat att de har behov av att kunna ta del av uppgifter som behandlas i polisens brottsbekämpande verksamhet genom direktåtkomst.

Skälen för promemorians bedömning

Vittgående möjligheter till direktåtkomst ökar riskerna för in- trång i den personliga integriteten. Typiskt sett innebär direktåt- komst att känsliga uppgifter blir tillgängliga för en större krets personer och att den personuppgiftsansvariga myndighetens möjligheter att kontrollera användningen av uppgifterna mins- kar. Det är visserligen möjligt att genom särskilda åtgärder mot- verka dessa risker. Likväl är det viktigt att myndigheternas behov av direktåtkomst övervägs noga och att behoven vägs mot integ- ritetsriskerna.

Polismyndigheters behov av direktåtkomst till varandras uppgifter

Det är angeläget att den brottsbekämpande verksamheten kan bedrivas effektivt. Med utnyttjande av modern teknik ökar möj- ligheterna att skapa överblick och samordning i det brottsbe- kämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan utnytt- jas. En tjänsteman vid en polismyndighet som arbetar med en utredning eller något annat projekt som avser en misstänkt per- son eller en viss företeelse bör på ett enkelt sätt kunna skaffa sig kunskap om existerande anmälningar och om huruvida det be- drivs brottsutredningar eller underrättelseprojekt riktade mot samma person eller samma företeelse inom någon annan del av myndigheten eller i en annan del av landet. Likaså måste den lo- kala polisorganisationen lätt kunna tillgodogöra sig den kunskap

203

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

och erfarenhet som specialenheter eller den centrala polisorgani- sationen besitter när det gäller exempelvis bekämpning av vissa brottstyper eller utvecklingen av den internationella brottslig- heten.

Polisanställda som arbetar i den brottsbekämpande verksam- heten vid Rikspolisstyrelsen, polismyndigheter och Ekobrotts- myndigheten har således ofta ett legitimt behov av att kunna få tillgång till uppgifter som har gjorts gemensamt tillgängliga inom polisen. Deras behov av att få tillgång till uppgifter som behand- las inom andra delar av polisorganisationen avser ofta inte enbart uppgifter i vissa register. Behovet kan i princip avse alla typer av uppgifter som förekommer i polisens brottsbekämpande verk- samhet. Ett så omfattande behov kan, med hänsyn till den arbetsinsats som krävs för att hantera uppgifterna, bara tillgodo- ses genom direktåtkomst.

Eftersom Rikspolisstyrelsen, de enskilda polismyndigheterna och Ekobrottsmyndigheten utgör sinsemellan självständiga myndigheter behövs en reglering av direktåtkomsten även inom polisen.

Säkerhetspolisens behov av direktåtkomst till uppgifter hos polisen

Som utvecklas närmare i avsnitt 18 skiljer sig Säkerhetspolisens verksamhet från den övriga polisverksamheten i olika avseenden. Säkerhetspolisen tillhör organisatoriskt Rikspolisstyrelsen, men har en självständig ställning. En av Säkerhetspolisens uppgifter är att inom Rikspolisstyrelsen leda och bedriva viss polisverksam- het, nämligen brottsbekämpande verksamhet rörande brott mot rikets säkerhet, terrorismbekämpning, bevaknings- och säker- hetsarbete som rör statsledningen och statsbesök samt person- skydd i vissa andra fall. När Säkerhetspolisen för Rikspolisstyrel- sens räkning leder och bedriver sådan polisverksamhet har Säkerhetspolisen ställning som polismyndighet (se 7 § andra stycket polislagen [1984:387] jämförd med 2 § förordningen [2002:1050] med instruktion för Säkerhetspolisen).

204

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

I sin egenskap av polismyndighet, där bl.a. brottsutredning ingår, har Säkerhetspolisen samma behov som andra polismyn- digheter att få tillgång till exempelvis belastningsregistret och misstankeregistret och till andra uppgifter av betydelse för brottsutredning och för att förebygga och upptäcka brott och brottslig verksamhet.

Säkerhetspolisen har enligt sin instruktion också vissa andra uppgifter, där myndigheten inte leder och bedriver polisverk- samhet i den mening som avses i 7 § polislagen (se 3 § förord- ningen med instruktion för Säkerhetspolisen). Till dessa uppgif- ter hör bl.a. att fullgöra de uppgifter som ankommer på Rikspo- lisstyrelsen enligt säkerhetsskyddslagen (1996:627) och säker- hetsskyddsförordningen (1996:633). En viktig uppgift i det sam- manhanget är registerkontroll. För att fullgöra den uppgiften behöver Säkerhetspolisen tillgång till information som behandlas inom den övriga polisen. I de fall där Säkerhetspolisen inte har ställning som polismyndighet ingår myndigheten som en del i Rikspolisstyrelsen.

Åklagarväsendets behov av direktåtkomst till uppgifter hos polisen

Åklagarväsendet (Åklagarmyndigheten och Ekobrottsmyndig- heten) har för närvarande direktåtkomst till misstankeregistret och belastningsregistret samt till uppgift om en person före- kommer i DNA-register. Åklagarväsendet kan vidare ges direkt- åtkomst till sådana uppgifter i tullbrottsdatabasen som före- kommer i en brottsutredning som leds av åklagare. I den polisi- ära verksamheten hos Ekobrottsmyndigheten har man direktåt- komst bl.a. till det centrala kriminalunderrättelseregistret och det allmänna spaningsregistret.

När åklagaren leder en förundersökning eller annan utredning har han eller hon givetvis behov av att kunna ha direktåtkomst till materialet i förundersökningen. Detsamma gäller alla andra typer av utredningar som görs med stöd av 23 kap. rättegångs- balken. Behovet gör sig gällande i alla typer av förundersök-

205

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

ningar och andra liknande utredningar; åklagare har ju rätt att leda förundersökningar angående alla typer av brott som hör under allmänt åtal. Det enda undantaget kan sägas vara utred- ningar om tryckfrihetsbrott och yttrandefrihetsbrott, där endast Justitiekanslern är behörig åklagare. Denne brukar emellertid i stor utsträckning uppdra åt åklagare att utföra förundersökning, varför åklagarens behov av att få direktåtkomst till förundersök- ningsmaterial i praktiken är lika stort beträffande sådana brott. Eftersom åklagare med stöd av 23 kap. 3 § rättegångsbalken har en ovillkorlig rätt att ta över förundersökningsledningen i en förundersökning som har inletts av polisen, och polisen dess- utom har en skyldighet att hålla åklagare underrättad om förun- dersökningens gång beträffande sådana förundersökningar som leds av polisen och som rör allvarlig eller svårbedömd brottslig- het (2 § förundersökningskungörelsen [1947:948]), har åklaga- ren behov av direktåtkomst även till uppgifter i sådana förun- dersökningar. I princip har således åklagarväsendet samma behov som polisen att ha direktåtkomst till uppgifter i förundersök- ningar.

Åklagaren har också genom sitt uppdrag behov av kunna få tillgång till allmänna uppgifter om polisens brottsbekämpande och brottsutredande verksamhet. Det kan exempelvis vara fråga om information, som rör en viss brottstyp eller en viss arbets- metod, eller statistik eller liknande. Behovet ska ses mot bak- grund av åklagarens roll i förhållande till polisen, som i princip utgör den enda resursen för att åklagaren ska kunna fullgöra en av sina huvuduppgifter, att utreda brott. Åklagarens särställning återspeglas dels i 3 § polislagen (1984:387), dels i 2 kap. 9 § och 3 kap. 14 § polisförordningen (1998:1558).

När det gäller underrättelseuppgifter kan åklagarens behov av direktåtkomst inte generellt sägas vara lika stort. Ett skäl till det är att det endast är ett begränsat antal åklagare som sysslar med utredning av särskilt allvarliga brott som utförs i mer eller mindre organiserade former, vilket är ett av underrättelseverk- samhetens huvudområden. Å andra sidan har dessa åklagare stort behov av att kunna få tillgång till underrättelseinformation även

206

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

när det ännu inte finns några konkreta misstankar om brott. Det är nämligen för den enskilde en viktig rättssäkerhetsfråga att förundersökning inleds så snart det finns grund för det. Först då aktualiseras de rättssäkerhetsgarantier som är inbyggda i en för- undersökning. Mot den bakgrunden får också åklagare anses ha legitimt behov av direktåtkomst till underrättelseuppgifter. Be- hovet torde framför allt avse uppgifter i det som i dag benämns särskild undersökning. Det kan även i enskilda fall finnas ett visst behov av att låta åklagare få tillgång till den behandling som i dag sker inom ramen för kriminalunderrättelseregister. Ett exempel kan vara Ekobrottsmyndigheten, där poliser och åkla- gare arbetar tillsammans på ett närmare sätt än inom verksam- heten i övrigt. Inom ramen för en förundersökning om allvarliga brott, som exempelvis upprepade mordbränder eller serievåld- täkter, finns det, som tidigare nämnts, inte sällan behov av att bedriva registerkontroll, göra omfattande sökningar på tidigare brott och kontroll av personer som tidigare har dömts för lik- nande brott. Sådana undersökningar, som normalt görs inom ramen för underrättelseprojekt, kan således ibland vara nödvän- diga inslag i en pågående förundersökning.

Tullverkets behov av direktåtkomst till uppgifter hos polisen

Tullverket har i dag direktåtkomst till misstankeregistret, belast- ningsregistret, Schengens informationssystem, analys- och be- slagsregistret samt fingeravtrycks- och signalementsregistren. Vidare har enskilda tulltjänstemän fått behörighet att ta del av vissa uppgifter i det allmänna spaningsregistret, godsregistret och registret över efterlysta fordon.

På samma sätt som polisen har Tullverket till uppdrag att fö- rebygga, förhindra och upptäcka brottslig verksamhet samt att utreda och beivra brott. I sin brottsbekämpande verksamhet ut- för tulltjänstemännen i allt väsentligt samma uppgifter som po- lismän i motsvarande verksamhet inom polisväsendet. Tullverket har därigenom samma behov av personuppgiftsbehandling och

207

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

tillgång till vissa typer av uppgifter som polisen när det gäller brottstyper inom tullens behörighetsområde.

Tullverket har emellertid ett snävare arbetsfält än polisen. Ansvarsområdet är dels brott mot lagen (2000:1225) om straff för smuggling och författningar som anges i den lagen (bl.a. vissa brott mot narkotikastrafflagen och brott mot vissa skatteförfatt- ningar), dels brott som rör införsel eller utförsel enligt vissa skatteförfattningar, dels brott mot tullagstiftning. Något för- enklat utreder Tullverket framför allt smugglingsbrott, gräns- överskridande narkotikabrott och ekonomisk brottslighet i form av tullbrott. Tullverkets brottsbekämpande verksamhet har såle- des ett ganska brett spektrum, men fokus ligger på brott som begås när varor, personer och annat passerar landets gränser.

I de fall där Tullverket biträder en åklagare med utredningsåt- gärder i en förundersökning kan en tjänsteman vid Tullverket ha samma behov av att kunna få tillgång till uppgifter som behand- las i polisens brottsbekämpande verksamhet som en polisman. Sådant biträde innebär ibland att polismän och tulltjänstemän arbetar tillsammans i samma utredning. I sådana fall är det ange- läget att det finns en möjlighet för dem att på ett enkelt sätt ut- byta information.

Tullverkets roll är sådan att den brottsutredande verksamhe- ten ofta förutsätter samarbete med andra myndigheter såväl inom Sverige som över gränserna. När det gäller brott till sjöss och i kustnära områden sker ett nära samarbete med Kustbevak- ningen. Bekämpningen av allvarlig narkotikabrottslighet kräver ett mycket nära samarbete mellan Tullverket och polisen. Nar- kotikan tillverkas normalt utomlands och förs till Sverige. Vidare har organiserad narkotikabrottslighet i mycket stor utsträckning internationella förgreningar. Det kan ibland vara en slump om det är polisen eller Tullverket som först upptäcker spår av sådan brottslighet och inleder underrättelseverksamhet eller förunder- sökning. Det bör också nämnas att Tullverket genom sitt inter- nationella samarbete samlar bred kunskap om bl.a. narkotika- brottsligheten och dess utveckling internationellt, vilket kan vara till stor nytta för polisen i dess brottsutredande verksamhet. Be-

208

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

hovet av informationsutbyte mellan dessa myndigheter är således mycket stort. I sammanhanget bör också nämnas att polisen har direktåtkomst till tullbrottsdatabasen, som är den databas där Tullverket behandlar uppgifter som rör brottsbekämpning.

Vid skilda tidpunkter har personal från bl.a. Tullverket och polisen samlokaliserats, i syfte att effektivisera informationsut- bytet och att utveckla den gemensamma uppgiften att bekämpa allvarlig brottslighet. I flera fall har sådant samarbete, som i sig ansetts öka effektiviteten och ge andra positiva effekter, avbru- tits därför att möjligheten att bevilja direktåtkomst till uppgifter i den andra myndighetens verksamhet har varit alltför begränsad. Detta visar att behovet av direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter kan vara en grundläggande förutsättning för att utveckla samarbetet myndigheterna emel- lan. Under senare år har regionala underrättelsecenter bildats där tjänstemän från flera brottsbekämpande myndigheter arbetar tillsammans i gemensamma ärenden. Det är önskvärt att man inom ramen för sådant samarbete har möjlighet att bygga upp uppgiftssamlingar som samtliga inblandade har direkt tillgång till.

En annan aspekt på samarbetet mellan polisen och Tullverket är att statsmakterna under senare år i allt större utsträckning har övervägt möjligheterna att låta tulltjänstemän och kustbevak- ningstjänstemän göra ingripanden som normalt ankommer på polismän på platser där polisen inte finns till hands men där Tullverket eller Kustbevakningen utövar sin kontrollverksamhet, t.ex. i hamnar och vid gränspassager. Ett aktuellt exempel gäller nykterhetskontroll och ingripanden mot personer som gör sig skyldiga till rattfylleri. En utredning har föreslagit att personal inom Tullverket och Kustbevakningen ska ges rätt att ingripa mot sådana brott och att utföra nykterhetskontroller utan någon misstanke om brott (se SOU 2006:47). En sådan ordning skulle påverka behovet av direktåtkomst till uppgifter hos polisen.

209

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

Kustbevakningens behov av direktåtkomst till uppgifter hos polisen

Kustbevakningen har i dag direktåtkomst till Schengens infor- mationssystem. Däremot har Kustbevakningen ingen direktåt- komst till belastningsregistret, endast en rätt att i vissa fall få ut uppgifter ur registret. Kustbevakningen har i en särskild fram- ställning begärt att få direktåtkomst till både detta register och misstankeregistret. Denna fråga behandlas i avsnitt 22.

Via Tullverkets system har Kustbevakningen tillgång till poli- sens godsregister och register för efterlysta fordon. Kustbevak- ningen har också direktåtkomst till tullbrottsdatabasen. Dess- utom har Kustbevakningen rätt att få uppgifter ur det allmänna spaningsregistret, om uppgifterna kan antas ha särskild betydelse för en pågående utredning eller andra brottsbekämpande åtgär- der.

Kustbevakningen har, i likhet med Tullverket och Skattever- ket, brottsbekämpande uppgifter enbart beträffande vissa i för- fattning angivna typer av brott. Kustbevakningens brottsbekäm- pande verksamhet anknyter till dess uppgift att svara för över- vakningen till sjöss och i sjönära områden. Kustbevakningens brottsbekämpande verksamhet innehåller så vitt skilda uppgifter som att ingripa mot brott mot regler om skyddsobjekt och mi- litära skyddsområden, miljöregler och regler om skydd mot dumpning och oljeskador, jakt- och fiskeregler, trafikregler och säkerhetsregler till sjöss, regler om fornminnen och sjöfynd, regler om skydd av hotade arter samt regler om utlänningars in- och utresa. För en närmare beskrivning av Kustbevakningens verksamhet, se avsnitt 24.2.

I likhet med Tullverket har Kustbevakningen i sin brottsbe- kämpande verksamhet i princip samma uppgifter som polisvä- sendet. En kustbevakningstjänsteman har i denna verksamhet samma arbetsuppgifter och i huvudsak samma befogenheter som en polisman. Kustbevakningen har således i grunden samma be- hov av att få tillgång till vissa typer av uppgifter som behandlas i polisens brottsbekämpande verksamhet som Tullverket har.

210

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

Kustbevakningen liknar Tullverket även i det avseendet att det ofta krävs nära samverkan mellan Kustbevakningen och poli- sen i det brottsbekämpande arbetet. Det finns dock en skillnad på grund av att Kustbevakningens rätt att inleda och bedriva för- undersökning är mycket begränsad. I flertalet fall ska Kustbe- vakningen snabbt lämna över ärendet till polisen (eller annan myndighet) för fortsatt handläggning. Det förhållandet att myn- digheten har ansvar för att omedelbart ingripa på platsen, samti- digt som det sällan finns möjlighet för polisen att ta över ansva- ret förrän efter viss tid, gör dock att Kustbevakningens behov av att snabbt kunna kontrollera vissa uppgifter beträffande perso- ner, varor eller fartyg generellt sett är mycket stort. Det kan ibland vara helt avgörande att ha tillgång till vissa uppgifter för att exempelvis kunna bedöma om en person ska tillåtas passera in i eller ut ur landet.

När Kustbevakningen biträder en åklagare med utredningsåt- gärder i en förundersökning, har tjänstemannen vid Kustbevak- ningen ofta samma behov av att kunna får tillgång till uppgifter som behandlas i polisens brottsbekämpande verksamhet som en polisman eller en tulltjänsteman. Sådant biträde innebär ibland att polismän och kustbevakningstjänstemän arbetar tillsammans i samma utredning. I sådana fall är det angeläget att det finns möj- lighet för dem att på ett enkelt sätt utbyta information.

I sammanhanget bör också nämnas att det sedan några år finns ett för Tullverket, polisväsendet och Kustbevakningen gemensamt maritimt underrättelsecentrum (MUC) i Karlskrona. Syftet med detta underrättelsecentrum är att effektivisera myn- digheternas brottsbekämpning genom gemensam riskanalysbase- rad kontrollverksamhet. Verksamheten är inriktad på att upp- täcka och förhindra brott (för en närmare beskrivning av verk- samheten, se SOU 2006:18 s. 51). Den är ett exempel på hur man kan utnyttja och stärka underrättelseverksamheten inom en myndighet och samtidigt förbättra förutsättningarna för en effektiv underrättelseverksamhet inom andra brottsbekämpande myndigheter. Det visar också att Kustbevakningen har behov av såväl att kunna utbyta information i enskilda ärenden eller be-

211

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

träffande enskilda frågor som att systematiskt kunna dra nytta av den underrättelseverksamhet som bedrivs inom andra brottsbe- kämpande myndigheter.

Skatteverkets behov av direktåtkomst till uppgifter hos polisen

Skatteverket har i dag rätt till direktåtkomst till misstankere- gistret, belastningsregistret och tullbrottsdatabasen.

Skatteverkets brottsbekämpande verksamhet bedrivs i en sär- skild organisation, de s.k. skattebrottsenheterna. Deras verk- samhet omfattar bara vissa i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar angivna typer av brott. Utöver brott enligt skattebrottslagen (1971:69), bokföringsbrott, brott mot näringsförbud och brott mot folkbokföringslagen (1991:481) rör det sig enbart om några få brottstyper.

Skatteverket får bedriva spaning och underrättelseverksamhet i fråga om brott som angetts ovan. Det ingår i Skatteverkets uppgifter att förebygga sådan brottslighet. Verket får även utred- a sådana brott, om den misstänkte kan antas erkänna brottet och utredningen kan genomföras med stöd av det förenklade förfa- rande som anges i 23 kap. 22 § rättegångsbalken.

En åklagare kan anlita biträde av en skattebrottsenhet vid ut- redning av brott. Det gäller både sådana brott som Skatteverket ska bekämpa och andra typer av brott.

En skattebrottsutredare vid en skattebrottsenhet har dock snävare befogenheter än en polisman eller en tjänsteman vid Tullverket eller Kustbevakningen. Utredaren får t.ex. inte an- vända våld eller besluta om tvångsmedel. Han eller hon får dock verkställa beslut om beslag, om det kan ske utan våld, och även medverka aktivt vid husrannsakan.

När en skattebrottsenhet biträder åklagaren i en förunder- sökning, deltar ofta polismän eller tulltjänstemän i utredningsar- betet samtidigt. I sådana fall är det angeläget att det finns en möjlighet att på ett enkelt sätt utbyta information mellan utred- ningsmännen. Det är också viktigt att det finns goda möjligheter

212

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

till utbyte av underrättelseinformation mellan skattebrottsenhe- terna och dem som svarar för underrättelseverksamhet vid de andra brottsbekämpande myndigheterna.

Eftersom Skatteverkets personal inte ingriper mot pågående brott på samma sätt som tjänstemän från Tullverket och Kustbe- vakningen, får Skatteverkets behov av direktåtkomst till uppgif- ter inom polisen allmänt sett anses vara mindre än de andra myndigheternas. Ett behov av direktåtkomst kan likväl konstate- ras.

Direktåtkomst till DurTvå

Datoriserad utredningsrutin (DurTvå) är ett datasystem där för- undersökningar lagras. En närmare beskrivning av systemet finns i bilaga 6. Varje polismyndighet har ett eget sådant system. De anställda vid polismyndigheten som har behov av uppgifter i systemet har tillgång till det. Åtkomsten är dock indelad i olika behörighetsnivåer. Det går även att medge direktåtkomst till an- ställda vid någon annan polismyndighet eller vid Rikspolisstyrel- sen, om det finns behov av det. Det kan behövas t.ex. om an- ställda vid flera polismyndigheter arbetar tillsammans i samma förundersökning. Åklagare, som i sin egenskap av förundersök- ningsledare har mycket stort behov av tillgång till uppgifterna i sina förundersökningar, har ännu inte någon direktåtkomst till sådana uppgifter i DurTvå. Polisen arbetar emellertid med att ta fram en teknisk lösning som medger att sådan åtkomst kan be- viljas. I de fall där tjänstemän från Tullverket, Kustbevakningen eller Skatteverket arbetar tillsammans med polismän i en förun- dersökning har tjänstemännen från de andra myndigheterna behov av att kunna få tillgång till sådana uppgifter som lagrats i DurTvå.

213

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

Direktåtkomst till DNA-register

Statens kriminaltekniska laboratorium, polismyndigheter och åklagare kan för närvarande medges direktåtkomst till register över resultatet av DNA-analyser. Åtkomsten för polismyndig- heter och åklagare är dock begränsad till uppgifter om huruvida en person förekommer i något av registren eller inte.

Lagstiftningen om DNA-register har ganska nyligen ändrats (se prop. 2005/06:29). Det är i dag svårt att överblicka hur om- fattande registren kommer att bli när den nya lagstiftningen har fått full effekt. Mot den bakgrunden bör man avvakta med att göra några omfattande förändringar i fråga om direktåtkomsten till DNA-register. De myndigheter som redan har direktåtkomst till DNA-register torde även fortsättningsvis ha samma behov av direktåtkomst som i dag. Däremot bör övriga brottsbekämpande myndigheters behov av uppgifter ur registret kunna tillgodoses utan att myndigheterna medges direktåtkomst.

Direktåtkomst till fingeravtrycksregistret samt signalements- och känneteckensregistret

Förutom Statens kriminaltekniska laboratorium har hittills bara de största polismyndigheterna getts direktåtkomst till fingerav- trycksregistret, trots att 5 § polisdataförordningen ger utrymme för att ge alla polismyndigheter sådan åtkomst. Detta beror på att endast de största polismyndigheterna anses ha utrustning för och kompetens att jämföra fingeravtryck med spår av fingerav- tryck. Rikspolisstyrelsen förbereder emellertid en ändring av be- fintliga system så att det blir möjligt för alla polismyndigheter att sända fingeravtryck via dator till registret och i samband där- med även kontrollera om personen förekommer i registret. Redan nu har polismyndigheterna via befintliga datorsystem möjlighet att få svar på frågor om när ett fingeravtryck togs och vilken kvalitet det har. Sådana uppgifter behövs för att polisen ska kunna bedöma om nytt fingeravtryck ska tas.

214

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

För närvarande har alla polismyndigheter och Tullverket samt polismän vid Ekobrottsmyndigheten direktåtkomst till signale- ments- och känneteckensregistret.

De myndigheter som i framtiden kan behöva ha direktåt- komst till uppgifter i fingeravtrycks- eller signalementsregister är, förutom de myndigheter som redan i dag har sådan åtkomst, framför allt Kustbevakningen. Myndigheten har, i likhet med Tullverket och polismyndigheterna, behov av att kunna få till- gång till uppgifter dygnet runt och detta behov tillgodoses enk- last genom möjlighet till direktåtkomst. Åklagarväsendet och Skatteverket har också visst behov av tillgång till uppgifter ur re- gistren, även om det inte är lika påtagligt.

215

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

12.3.5Direktåtkomst för övriga brottsbekämpande myndigheter

Promemorians förslag: Rikspolisstyrelsen, polismyndighe- terna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullver- ket, Kustbevakningen och Skatteverket ska i den brottsbekämpande verksamheten kunna medges direktåt- komst till personuppgifter i polisens brottsbekämpande verk- samhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Till register med uppgifter om DNA-analyser ska endast Statens kriminaltekniska laboratorium, polismyndigheter, Ekobrottsmyndigheten och Åklagarmyndigheten kunna medges direktåtkomst.

Till fingeravtrycks- och signalementsregister ska polis- myndigheter, Ekobrottsmyndigheten, Tullverket, Kustbe- vakningen och Skatteverket kunna medges direktåtkomst.

Säkerhetspolisen ska kunna medges direktåtkomst i samma utsträckning som gäller för Rikspolisstyrelsen i övrigt och för polismyndigheterna.

Regeringen eller den myndighet som regeringen bestäm- mer meddelar närmare föreskrifter om omfattningen av di- rektåtkomsten samt om behörighet och säkerhet.

Promemorians bedömning: Det bör inte vara möjligt att medge direktåtkomst till uppgifter som behandlas hos Säker- hetspolisen eller till uppgifter i penningtvättsregister.

Utredningens förslag: Utredningen har föreslagit att polis- myndigheter ska få ha direktåtkomst till det allmänna spaningsregistret och att Statens kriminaltekniska laboratorium, polismyndigheter och åklagarmyndigheter ska få ha direktåt- komst till register med DNA-analyser i brottmål. Vidare har ut- redningen föreslagit en allmän bestämmelse om att direktåt- komst till personuppgifter ska vara förbehållen de personer inom

216

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.

Remissinstanserna: Flera myndigheter, bl.a. Riksåklagaren,

Riksskatteverket, Tullverket och Kustbevakningen, har ansett att de bör kunna medges direktåtkomst till uppgifter som behandlas i polisens brottsbekämpande verksamhet.

Skälen för promemorians förslag och bedömning

Bör övriga brottsbekämpande myndigheter kunna medges direkt- åtkomst till uppgifter i polisens brottsbekämpande verksamhet?

Vi har ovan kunnat konstatera att de brottsbekämpande myn- digheterna ofta har ett påtagligt behov av att få direktåtkomst till den information som andra brottsbekämpande myndigheter be- handlar. En möjlighet till direktåtkomst skapar bättre förutsätt- ningar för ett framgångsrikt brottsbekämpande arbete. För en sådan möjlighet talar också kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att myndigheter avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av ett sådant utbyte kan konstateras redan på förhand. Utlämnande på annat sätt än genom direktåtkomst, exempelvis via fax eller e- post, innebär också allmänt sett ett mindre säkert överförande av uppgifter, eftersom obehöriga då lättare kan få tillgång till dem.

Mot det nu sagda måste dock integritetsskyddsintresset vägas. Integritetsaspekterna måste tillmätas en central betydelse vid bedömningen av i vilken omfattning myndigheter bör kunna medges direktåtkomst till varandras register och databaser. I de databaser och register som förs av brottsbekämpande myndig- heter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. För den enskilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes förhållanden samlas in och bevaras uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtagligt torde

217

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

intrånget uppfattas av den enskilde. Direktåtkomst kan också minska den personuppgiftsansvariga myndighetens möjligheter att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör i sig skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter som polisen behandlar.

En viktig aspekt vid den avvägning som här måste göras är sekretesskyddet för uppgifterna hos den mottagande myndig- heten. Om sekretesskyddet hos den mottagande myndigheten är lika långtgående som sekretesskyddet hos den utlämnande myn- digheten, behöver ett utlämnande av uppgifterna genom direkt- åtkomst inte innebära någon ökning av integritetsriskerna i för- hållande till allmänheten. En annan viktig aspekt är hur uppgif- terna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den mottagande myndig- heten kan begränsas till en liten krets personer, innebär detta givetvis mindre integritetsrisker än om uppgifterna ges en vid spridning. En tredje betydelsefull aspekt är vilka bestämmelser om informationssäkerhet (exempelvis system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndighe- ten. Om det finns en hög informationssäkerhet hos den motta- gande myndigheten, så att det kan garanteras att informationen når endast dem som har rätt till den, inger naturligtvis system för direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet.

Vad först gäller sekretessregleringen kan det konstateras att denna i princip ger samma skydd för uppgifter i brottsbekämp- ningen hos samtliga brottsbekämpande myndigheter. Myndighe- terna omfattas av således av bl.a. skyddet i 5 kap. 1 § och 9 kap. 17 § sekretesslagen (se avsnitt 13.2). De brottsbekämpande myndigheterna har även författningar som reglerar personupp- giftsbehandlingen på ett likartat sätt. Som nyss har nämnts pågår det inom EU förhandlingar om ett rambeslut med särskilda data- skyddsbestämmelser. När rambeslutet genomförs, kommer ett än mer likartat skydd att uppnås.

Vad sedan gäller tillgången till uppgifterna hos den mottagan- de myndigheterna vill vi erinra om den bestämmelse, som vi har

218

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

föreslagit i avsnitt 6.7, att en enskild tjänsteman ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. En möjlighet till direktåtkomst kommer alltså inte att innebära att annat än en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna. Givetvis bör, om en möjlighet till direktåtkomst skapas, det tekniska systemet för direktåtkomst utformas så att den enskilde tjänstemannens möjligheter till sådan åtkomst be- gränsas i motsvarande utsträckning.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst anser vi att regeringen eller den myndighet som regeringen bestämmer bör få meddela särskilda föreskrifter om detta. Om de brottsbekämpande myndigheterna ska ges möjlig- het till direktåtkomst till varandras uppgifter, bör den myndighet som beslutar om sådan åtkomst således vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för utlämnande av behörighet, för tillsyn och för loggning av transaktioner. Det kan i sammanhanget noteras att den tekniska utvecklingen fort- löpande ger bättre möjligheter att begränsa åtkomsten till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur åtkomsten har utnyttjats. Ett av syftena med den nya tekniska struktur för lagring av personuppgifter som plane- ras av polisen är att göra det lättare att begränsa åtkomsten på detta sätt.

De ökade integritetsrisker som en möjlighet till direktåt- komst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom bestämmelser om sekretess, om tillgång till uppgifter och om informationssäkerhet. Övervägande skäl talar därför för att den nya lagen bör tillåta att övriga brottsbekäm- pande myndigheter ges direktåtkomst till de personuppgifter som behandlas i polisens brottsbekämpande verksamhet. De närmare förutsättningarna för sådan direktåtkomst diskuteras i det följande.

219

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

Direktåtkomst till uppgifter hos Säkerhetspolisen och till vissa sär- skilda register

Som tidigare har angetts bör vissa register undantas från den nya lagens tillämpningsområde, bl.a. belastningsregistret och miss- tankeregistret. De lagar som reglerar dessa register innehåller särskilda bestämmelser om direktåtkomst. Frågan om direktåt- komst till de registren bör därför inte regleras i den nya lagen.

Eftersom Säkerhetspolisen behandlar särskilt känsliga upp- gifter, bör det överhuvudtaget inte vara möjligt att medge direkt- åtkomst till uppgifter som behandlas där. Endast Säkerhetspoli- sens egna tjänstemän bör kunna ges direkt tillgång till uppgif- terna.

I bilaga 6 beskrivs Finanspolisens register, som i stor ut- sträckning innehåller underrättelseinformation. Denna under- rättelseinformation är till sin natur sådan att det är viktigt att tillgången till den begränsas till ett fåtal personer. Det är fråga om känslig ekonomisk information, vilken i dag inte är åtkomlig för andra delar av polisorganisationen. Av samma skäl som direktåtkomst inte bör kunna ges till de uppgifter som Säker- hetspolisen behandlar, bör direktåtkomst inte heller kunna med- ges till uppgifter som behandlas med anledning av misstänkt penningtvätt eller misstänkt finansiering av särskilt allvarlig brottslighet.

När det gäller de register som innehåller resultatet av DNA- analyser (DNA-register, utredningsregister och spårregister) finns det knappast något behov av att kunna medge direktåt- komst till andra myndigheter än de som redan i dag har rätt till sådan åtkomst, dvs. polismyndigheterna, Ekobrottsmyndighe- ten, Åklagarmyndigheten samt Statens kriminaltekniska labora- torium (se 11 § polisdataförordningen). För polismyndigheter och åklagarmyndigheter bör åtkomsten, på samma sätt som i dag, begränsas till uppgifter om huruvida en person förekommer i registret eller inte. Regeringen bör meddela föreskrifter om en sådan begränsning. Säkerhetspolisen bör, när den utför uppgifter

220

Ds 2007:43

Informationsutbyte mellan de brottsbekämpande myndigheterna

som polismyndighet, ha samma möjlighet att få tillgång till upp- gifterna i fråga som andra polismyndigheter.

Uppgifterna i fingeravtrycks- och signalementsregister är inte lika känsliga som uppgifter om DNA. Behovet av att snabbt kunna få tillgång till sådana uppgifter, för att kunna avgöra en persons identitet, är dessutom större. Samtliga brottsbekäm- pande myndigheter, med undantag för åklagare, bör därför kunna medges direktåtkomst till personuppgifter i fingerav- trycks- och signalementsregister.

Hur bör direktåtkomsten till polisens uppgifter avgränsas?

En första förutsättning för att en myndighet ska kunna ges direktåtkomst till uppgifter hos en annan myndighet bör vara att uppgifterna är gemensamt tillgängliga hos den senare myndig- heten. Därmed kommer de särskilda bestämmelser som gäller vid behandling av gemensamt tillgängliga uppgifter att få genomslag vid utnyttjandet av direktåtkomsten, t.ex. vad gäller särskilda upplysningar och sökbegränsningar.

Ytterligare en förutsättning för att direktåtkomst ska kunna medges bör vara att den myndighet som beslutar om sådan åt- komst försäkrar sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, exempelvis vad gäller system för ut- lämnande av behörighet, tillsyn och för loggning av transaktio- ner.

En annan förutsättning bör vara att en enskild tjänsteman ska få ha direktåtkomst endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Frågor av detta slag regleras lämpligen i för- ordning eller myndighetsföreskrifter.

Det kan diskuteras om det inte bör införas ytterligare be- gränsningar i möjligheten till direktåtkomst.

Det skulle t.ex. vara möjligt att införa bestämmelser som innebär att direktåtkomst får medges endast till vissa särskilda register eller uppgiftssamlingar. Vi bedömer dock inte att detta

221

Informationsutbyte mellan de brottsbekämpande myndigheterna

Ds 2007:43

är någon framkomlig väg. Förslaget till ny reglering bygger ju på att man i möjligaste mån ska frångå registerbegreppet och göra regleringen teknikneutral. En annan sak är att om ett visst regis- ter särregleras, så bör också frågan om direktåtkomst till detta register kunna särregleras.

En annan i och för sig tänkbar begränsning är att tillåta direktåtkomst enbart till en viss brottstyp eller en viss typ av ärenden. Eftersom brottslingar inte sällan ägnar sig åt olika typer av brottslighet, t.ex. både förmögenhetsbrott och våldsbrott eller både ekonomisk brottslighet och narkotikasmuggling, är det dock inte lämpligt att i författning avgränsa åtkomsten på detta sätt. En tjänsteman vid Tullverket som handlägger ett underrät- telseärende om misstänkt narkotikabrottslighet kan ha ett befo- gat intresse av att söka efter kopplingar till någon annan typ av brottslighet. Visserligen skulle några typer av brottslighet san- nolikt kunna undantas, exempelvis sexualbrott som ytterst sällan kan ha intresse för andra brottsbekämpande myndigheter. En sådan avgränsning skulle dock lätt kunna bli slumpartad. Dess- utom skulle man förmodligen bara kunna undanta ett fåtal brottstyper med en sådan avgränsning och den skulle därför inte innebära någon större vinst från integritetssynpunkt. Däremot är det givetvis inget som hindrar att den registeransvariga myndig- heten, när den medger direktåtkomst, gör en mer detaljerad av- gränsning, t.ex. genom att bevilja åtkomst bara till uppgifter om vissa typer av brott eller till uppgift om huruvida en person före- kommer i en databas.

En annan möjlig begränsning skulle kunna ta sikte på det än- damål för vilket uppgifterna behandlas. En sådan avgränsning görs i 6–8 §§ förordningen (2005:791) om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet. Begräns- ningen innebär bl.a. att Åklagarmyndigheten inte kan medges direktåtkomst till uppgifter som behandlas för ändamålet för- hindra eller upptäcka brottslig verksamhet. I sitt remissvar över Polisdatautredningens betänkande har Riksåklagaren betonat vikten av ett nära och effektivt samarbete mellan polis och åkla- gare vid bekämpning av internationell, gränsöverskridande och

222