Förord

Den 17 december 2007 uppdrog chefen för Justitiedepartementet åt ämnesrådet Gunnar Holmberg att bl.a. kartlägga vilka myndigheter som vid en allvarlig olycka eller katastrof i utlandet som berör Sverige har behov av att registrering sker av de som har drabbats. I uppdraget ingick också att föreslå åtgärder som syftar till att ansvaret för en sådan registrering klaras upp på ett sätt som säkerställer god tillgång till information för berörda myndigheter. Verksjuristen Yvette Glantz, Rikspolisstyrelsen, utsågs samtidigt som sekreterare. Gunnar Holmberg redovisade sina överväganden för departementet i mars 2008 i promemorian

Informationshantering vid större olyckor eller katastrofer utomlands.

Den 6 oktober 2008 fick rådmannen Thomas Ericsson i uppdrag att närmare överväga och analysera de rättsliga frågor som en registrering aktualiserar samt att föreslå de författningsändringar som bedöms nödvändiga. Enligt uppdraget ska en utgångspunkt för arbetet därvid vara de överväganden som redan gjorts med anledning av det tidigare uppdraget. Hovrättsassessorn Karin Sandahl utsågs att biträda honom som sekreterare.

De överväganden som har gjorts med anledning av det tidigare uppdraget redovisas, i sak oförändrade, i kapitel 2–4. Några tillägg har därvid gjorts med anledning av förhållanden som inträffat efter det att det uppdraget redovisades. De bedömningar och förslag som redovisas i de följande kapitlen grundar sig i stor utsträckning på den kartläggning som genomfördes i samband med det första uppdraget.

Förord Ds 2009:12

Härmed överlämnas promemorian Registrering av personuppgifter vid katastrofer utomlands.

Uppdraget är i och med detta slutfört.

Stockholm, mars 2009

Thomas Ericsson

/Karin Sandahl

Innehåll

Promemorians huvudsakliga innehåll ................................ 11
Författningsförslag .......................................................... 13

1.Förslag till lag om Rikspolisstyrelsens register för

  personuppgifter vid vissa händelser i utlandet ................... 13
2. Förslag till lag om ändring i sekretesslagen (1980:100)..... 19
1 Utredningens uppdrag m.m. .................................... 21
1.1 Uppdraget ............................................................................ 21
1.2 Uppdragets avgränsning ..................................................... 22
1.3 Utredningsarbetet ............................................................... 24
2 Informationshanteringen vid flodvågskatastrofen  
  och dess följder ..................................................... 25
2.1 Inledande åtgärder ............................................................... 25
2.2 Katastrofkommissionens rapport ...................................... 26
2.3 Situationen vid Regeringskansliet ...................................... 27
  2.3.1 Möjligheten att lämna uppgifter .............................. 27
  2.3.2 Registrering av lämnade uppgifter .......................... 28
2.4 Situationen vid ambassaden ................................................ 30

5

Innehåll Ds 2009:12
2.5 Erfarenhet från vissa andra länder ...................................... 31

2.6Erfarenheter av informationshanteringen vid flod-

vågskatastrofen .................................................................... 32
2.7 Katastrofkommissionens överväganden ............................ 33

2.8Ett ökat fokus på krisberedskap och katastrof-

  hantering .............................................................................. 35
3 Krisorganisationen vid en allvarlig händelse i  
  utlandet ................................................................ 39
3.1 Allmänna principer för krishantering m.m. ....................... 39
3.2 Regeringen och Regeringskansliet ..................................... 40
  3.2.1 Allmänt om krishantering och krisberedskap  
  inom Regeringskansliet ........................................... 40
  3.2.2 Utrikesdepartementet och utrikesrepresenta-  
  tionen (Utrikesförvaltningen) ................................ 42

3.3Krishantering och beredskap vid vissa andra

  myndigheter och organ .......................................................     47
  3.3.1 Rikspolisstyrelsen och polismyndigheterna ...........47
  3.3.2 Expertgruppen för identifiering vid
    katastroffall (ID-kommissionen) ........................... 51
  3.3.3 Myndigheten för samhällsskydd och beredskap
    .................................................................................     53
  3.3.4 Stödstyrkan ..............................................................     56
  3.3.5 Socialstyrelsen ..........................................................     57
  3.3.6 Rättsmedicinalverket ...............................................   59
  3.3.7 Transportstyrelsen ...................................................   60
3.4 Kommunerna och landstingen ...........................................   61
3.5 Katastrofmedicinska insatser i utlandet ............................. 62
3.6 Privata aktörer .....................................................................     64
6          

Ds 2009:12 Innehåll

  3.6.1 Researrangörerna ..................................................... 64
  3.6.2 Försäkringsbolagen .................................................. 65
  3.6.3 Transportföretagens passagerarlistor ..................... 66
4 Informationshantering vid olyckor och katastrofer i  
  vissa andra länder .................................................. 67
4.1 Inledning .............................................................................. 67
4.2 De nordiska länderna .......................................................... 68
  4.2.1 Danmark ................................................................... 68
  4.2.2 Finland ...................................................................... 70
  4.2.3 Norge ........................................................................ 71
4.3 Vissa andra länder ............................................................... 73
  4.3.1 Frankrike .................................................................. 73
  4.3.2 Holland ..................................................................... 74
  4.3.3 Italien ........................................................................ 74
  4.3.4 Tyskland ................................................................... 75
  4.3.5 Storbritannien .......................................................... 77
4.4 Slutsatser .............................................................................. 78
5 Behovet av en reform .............................................. 81

5.1Allmänt om behovet av ett system för registrering av

personuppgifter vid vissa händelser i utlandet .................. 81
5.2 Myndigheternas behov av uppgifter om enskilda ............. 83
5.2.1 Utrikesförvaltningen ............................................... 83
5.2.2 Rikspolisstyrelsen och polismyndigheterna ........... 84
5.2.3 Myndigheten för samhällsskydd och beredskap..... 85
5.2.4 Socialstyrelsen .......................................................... 86
5.2.5 Rättsmedicinalverket ............................................... 87

5.3Kommunernas och landstingens behov av uppgifter

om enskilda .......................................................................... 87

7

Innehåll Ds 2009:12
5.4 Andra aktörers behov av personuppgifter .........................88
  5.4.1 Utländska myndigheter ........................................... 88
  5.4.2 Privata aktörer .......................................................... 89
5.5 Behovet av övergripande information ................................ 90
6 Överväganden och förslag ........................................ 93

6.1Rikspolisstyrelsen ska ansvara för registret och

registreringsverksamheten .................................................. 93
6.2 När ska en registrering ske? ............................................... 96

6.3Bör det ankomma på annan än Rikspolisstyrelsen att

  bestämma när registret ska användas? ...............................98
6.4 Hur ska registret regleras? ................................................ 100
6.5 Lagens tillämpningsområde .............................................. 104
6.6 Förhållande till personuppgiftslagen ............................... 108
6.7 Personuppgiftsansvar ........................................................ 110

6.8Allmänna utgångspunkter när det gäller skyddet för

  den personliga integriteten ............................................... 111
6.9 Ändamålen med behandlingen ......................................... 113
6.10 De personuppgifter som får behandlas ............................ 117
6.11 Den enskildes inställning till personuppgifts-  
  behandlingen ...................................................................... 122
6.12 Tillgången till personuppgifter ......................................... 123
6.13 Sökbegrepp ........................................................................ 124
6.14 Skyldighet för vissa att lämna uppgifter till registret ...... 125
6.15 Utlämnande av uppgifter från registret ........................... 134
8    
Ds 2009:12 Innehåll
6.16 Uppgiftslämnande till utlandet ........................................ 144
6.17 En ny bestämmelse i sekretesslagen ................................. 146
6.18 Bevarande och gallring ...................................................... 154
6.19 Rättelse och skadestånd .................................................... 157
6.20 Information till den registrerade och tillsyns-  
  myndighetens befogenheter ............................................. 158
7 Övriga frågor ........................................................ 161
7.1 Ekonomiska konsekvenser ............................................... 161
7.2 Övriga konsekvenser ........................................................ 162
7.3 Ikraftträdande .................................................................... 163
8 Författningskommentar ......................................... 165

8.1Förslaget till lag om Rikspolisstyrelsens register för

personuppgifter vid vissa händelser i utlandet ................ 165

8.2Förslaget till lag om ändring i sekretesslagen

(1980:100) .......................................................................... 181
Bilagor ........................................................................ 183
Bilaga 1 Uppdragsbeskrivning Ju 2007/10948/P....................... 183
Bilaga 2 Promemoria Ju2008/8089/P Informations-  
  hantering vid olyckor och katastrofer i utlandet......... 187

9

Promemorians huvudsakliga innehåll

Promemorian innehåller förslag till en ny lag som ska reglera under vilka förutsättningar Rikspolisstyrelsen ska registrera uppgifter om personer som har drabbats av, eller kan befaras ha drabbats av, bl.a. allvarliga katastrofer utomlands.

Den nya lagen har tagits fram bl.a. för att komma till rätta med de brister som framkommit när det gäller informationshanteringen vid sådana händelser och för att klargöra ansvarsfördelningen mellan berörda myndigheter. Förslaget innebär att Regeringskansliet kan fatta beslut om att Rikspolisstyrelsen ska inleda en registrering av personuppgifter i samband med att en sådan händelse har inträffat och som har drabbat eller kan befaras ha drabbat ett stort antal personer med anknytning till Sverige.

Syftet med förslaget är i första hand att underlätta berörda myndigheters arbete med att söka efter och identifiera de som är drabbade samt att underlätta arbetet med att på olika sätt hjälpa och bistå dessa personer. Ett annat syfte är att förbättra möjligheten att förse anhöriga och andra med relevanta uppgifter.

Den föreslagna regleringen innebär en avvägning mellan å ena sidan intresset av att ett effektivt hjälparbete kan utföras och det därmed sammanhängande behovet av informationsutbyte, och å andra sidan intresset av att den enskilde skyddas från intrång i den personliga integriteten.

Lagen tillåter, utan hänsyn till den registrerades inställning, en behandling av de personuppgifter som behövs för att uppfylla registrets ändamål.

11

Promemorians huvudsakliga innehåll Ds 2009:12

Lagen innebär vidare att vissa myndigheter och andra, närmare bestämt Regeringskansliet, utlandsmyndigheterna, polismyndigheterna, Myndigheten för samhällsskydd och beredskap, Socialstyrelsen samt landstingen, åläggs en skyldighet att till Rikspolisstyrelsen rapportera uppgifter som de innehar och som kan vara av betydelse för registrets ändamål. Samma skyldighet föreslås gälla för den som yrkesmässigt säljer resor eller transporterar passagerare.

Rikspolisstyrelsen ska enligt lagen vara skyldig att lämna ut uppgifter ur registret till Regeringskansliet, utlandsmyndigheterna, polismyndigheterna, Rättsmedicinalverket, Socialstyrelsen, kommunerna och landstingen. Dessa aktörer har typiskt sett ett behov av aktuella personuppgifter för att kunna utföra sina verksamhetsuppgifter i de situationer som nu är aktuella.

Det föreslås att det införs en särskild bestämmelse i sekretesslagen (1980:100) som tar sikte på uppgifterna i registret. Enligt bestämmelsen ska det råda en presumtion för sekretess när det gäller uppgifter om enskilds personliga förhållanden som behandlas i registret.

Lagförslagen förslås träda i kraft den 1 juli 2010.

12

Författningsförslag

1.Förslag till

lag om Rikspolisstyrelsens register för personuppgifter vid vissa händelser i utlandet

Härigenom föreskrivs följande.

Förutsättningar för registrering av personuppgifter

1 § Vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet där många människor som är svenska medborgare eller som är bosatta i Sverige har drabbats eller kan befaras ha drabbats, ska Rikspolisstyrelsen, efter beslut av Regeringskansliet, med hjälp av automatiserad behandling föra ett register med personuppgifter i enlighet med vad som anges i denna lag.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Förhållande till personuppgiftslagen

2 § Om inte annat följer av denna lag, eller föreskrift som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i registret.

13

Författningsförslag Ds 2009:12

Personuppgiftsansvar

3 § Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

En myndighet, en kommun eller ett landsting som har direktåtkomst till uppgifter enligt denna lag ansvarar för att åtkomsten begränsas enligt 8 §.

Ändamål

4 § Personuppgifter får behandlas för att

1.underlätta arbetet för berörda myndigheter att identifiera och söka efter de personer som har drabbats av en sådan händelse som avses i 1 §,

2.i övrigt underlätta arbetet för de myndigheter, kommuner och landsting som har till uppgift att på olika sätt hjälpa och bistå de som har drabbats av en sådan händelse och som därvid är

ibehov av personuppgifter,

3.förmedla information om de som har drabbats till deras anhöriga och närstående,

4.förmedla allmän information om händelsen, samt

5.planera, följa upp och utvärdera den verksamhet som avses i punkterna 1–4.

Personuppgifter som behandlas enligt första stycket får också behandlas genom att lämnas ut till den registrerade själv, till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. En behandling får också ske för diarieföring enligt 15 kap. sekretesslagen (1980:100). I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

14

Ds 2009:12 Författningsförslag

Personuppgifter som får behandlas

5 § Behandling av personuppgifter som enligt denna lag är tillåten får utföras även om den enskilde motsätter sig behandlingen.

6 § Endast sådana personuppgifter som behövs för de ändamål som anges i 4 § får behandlas.

Regeringen meddelar närmare föreskrifter om vilka personuppgifter som registret får innehålla.

7 § Uppgifter om sådana personer som avses i 1 § och som rör hälsa eller som beskriver en persons utseende får behandlas utan hinder av 13 § personuppgiftslagen (1998:204), om det är nödvändigt med hänsyn till registrets ändamål. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektiv sätt med respekt för människors lika värde.

Uppgifter om personnummer eller samordningsnummer för sådana personer som avses i första stycket får behandlas utan hinder av 22 § personuppgiftslagen.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter i registret ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Sökbegrepp

9 § Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om sådana personer som avses i

15

Författningsförslag Ds 2009:12

1 § och som rör hälsa eller som beskriver en persons utseende, om det behövs för att uppfylla syftet med behandlingen.

Skyldighet att lämna uppgifter till registret

10 § Följande myndigheter ska till Rikspolisstyrelsen lämna sådana uppgifter som de innehar och som kan vara av betydelse för registrets ändamål.

1.Regeringskansliet,

2.utlandsmyndigheterna,

3.polismyndigheterna,

4.Myndigheten för samhällsskydd och beredskap samt

5.Socialstyrelsen.

Samma skyldighet gäller för landstingen samt för den som yrkesmässigt säljer resor eller transporterar passagerare.

Uppgiftsskyldigheten enligt första och andra styckena ska fullgöras så snart som möjligt efter det att den uppgiftsskyldige fått vetskap om att en sådan händelse som avses i 1 § har inträffat.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om uppgiftsskyldigheten.

Utlämnande av uppgifter från registret

11 § Uppgifter ur registret ska lämnas ut om det begärs av

1.Regeringskansliet,

2.utlandsmyndigheterna,

3.polismyndigheterna,

4.Rättsmedicinalverket,

5.Socialstyrelsen,

6.kommunerna samt

7.landstingen.

Regeringen meddelar ytterligare föreskrifter om vilka andra myndigheter som ska kunna få ut uppgifter ur registret.

16

Ds 2009:12 Författningsförslag

Den uppgiftsskyldighet som följer av första stycket, eller av föreskrifter som har meddelats i enlighet med andra stycket, omfattar endast sådana uppgifter som berörda myndigheter, kommuner eller landsting är i behov av enligt 4 §.

Utlämnande av uppgifter på medium för automatiserad behandling

12 § Endast enstaka uppgifter i registret får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

13 § De myndigheter och andra som anges i 11 § första stycket får ha direktåtkomst till sådana personuppgifter i registret som de har behov av enligt 4 §.

Regeringen meddelar ytterligare föreskrifter om vilka andra myndigheter som får ha direktåtkomst till personuppgifter i registret. Även i ett sådant fall ska direktåtkomsten begränsas till att avse de personuppgifter som myndigheten är i behov av enligt 4 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Gallring

14 § En personuppgift i registret ska gallras senast 12 månader efter det att den registrerades.

Vad som sägs i första stycket hindrar inte att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska

17

Författningsförslag Ds 2009:12

eller vetenskapliga ändamål, eller för att möjliggöra en sådan planering, uppföljning och utvärdering som avses i 4 § första stycket 5.

Vad som sägs i första stycket hindrar inte heller att regeringen eller den myndighet som regeringen bestämmer i ett enskilt fall får besluta att en uppgift ska bevaras längre om det finns synnerliga skäl för det. Ett sådant beslut ska omprövas varje år.

Information till den registrerade

15 § Information enligt 23 § personuppgiftslagen (1998:204) behöver inte lämnas av Rikspolisstyrelsen, om det med hänsyn till omständigheterna inte finns tid till det.

Rättelse och skadestånd

16 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd ska gälla vid behandling av personuppgifter som utförs i registret.

Tillsyn

17 § Förbud enligt 44 och 45 §§ personuppgiftslagen (1998:204) får inte förenas med vite.

Denna lag träder i kraft den 1 juli 2010.

18

Ds 2009:12 Författningsförslag

2.Förslag till

lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att det i sekretesslagen (1980:100) ska införas en ny paragraf, 7 kap. 53 §, med följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

53§

Sekretess gäller i den

verksamhet som avser förande av eller uttag ur Rikspolisstyrelsens register för personuppgifter vid vissa händelser i utlandet för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 juli 2010.

19

1 Utredningens uppdrag m.m.

1.1Uppdraget

Enligt den promemoria (bilaga 1) som bifogades ett tidigare uppdrag, den 17 december 2007, skulle en utredare kartlägga vilka myndigheter som har behov av information om drabbade personer vid en allvarlig olycka eller katastrof i utlandet där svenskar berörs. Utifrån kartläggningen skulle förslag lämnas till åtgärder som syftar till att ansvaret för en sådan registrering klaras ut på ett sätt som säkerställer god tillgång till information för dessa myndigheter och till anhöriga vid en sådan händelse. Uppdraget redovisades för Justitiedepartementet den 31 mars 2008.

Enligt den promemoria som bifogats det nu aktuella uppdraget (den 6 oktober 2008) ska en utredare närmare analysera de rättsliga och författningstekniska frågor som aktualiseras samt lämna förslag till de författningsändringar som bedöms nödvändiga och lämpliga (bilaga 2). Utredningen ska därvid utgå från den kartläggning och det behov av en reform som den tidigare utredningen redovisat.

Uppdragen ska ses mot bakgrund av de slutsatser som 2005- års katastrofkommission drog efter att ha analyserat förhållandena i samband med flodvågskatastrofen i Sydostasien julen 2004. Slutsatserna har redovisats i kommitténs betänkanden Sverige och tsunamin – granskning och förslag

(SOU 2005:104) samt Tsunamibanden (SOU 2007:44).

En av de slutsatser som katastrofkommissionen drog i det förstnämnda betänkandet var att oklarheter råder beträffande

21

Utredningens uppdrag m.m. Ds 2009:12

ansvarsfördelningen mellan utrikesförvaltningen och polisen i en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet (SOU 2005:104 s. 330).

En sådan oklarhet gällde frågan om registrering av uppgifter om personer som var drabbade eller kunde befaras ha blivit drabbade av flodvågskatastrofen, och hanteringen av informationen i förhållande till anhöriga, myndigheter och allmänheten. Kommissionen framhöll att ”rutinerna för registrering av saknade var outvecklade och ledde i vissa fall till allvarliga misstag, trots en kraftig förstärkning av personalen och hårt arbete från dennas sida. Kommunikationen med allmänheten fungerade illa. Att resurserna blev otillräckliga i den extrema situation som rådde är förståeligt, men med bättre förberedelser hade skadorna kunnat begränsas”.

Kommissionen uttalade att det grundläggande ansvaret för registreringen av saknade personer bör ligga på polisen, oavsett om personerna saknas i hemlandet eller utomlands. Allmänhetens kontakter för att lämna uppgifter eller ställa frågor om saknade bör enligt kommissionen dirigeras till polisen och inte till Regeringskansliet (SOU 2005:104 s. 30).

1.2Uppdragets avgränsning

Uppdraget avser informationshantering i samband med en allvarlig olycka eller katastrof i utlandet som berör Sverige. När en sådan händelse inträffar finns det behov av information och uppgifter till myndigheter och organisationer på flera olika nivåer. Som exempel på detta kan nämnas behovet av information avseende läget på olycksplatsen och vad som har inträffat, allmänna upplysningar om hur skadade och avlidna tas om hand, rapporter om säkerhetsläget och behov av olika slag. Sådan information kan tillhandahållas t.ex. genom utlandsmyndigheternas försorg, via internationella organisationer, massmedia och enskilda.

22

Ds 2009:12 Utredningens uppdrag m.m.

Syftet med de åtgärder som utredningen föreslår är i första hand att ge förutsättningar för berörda myndigheter att ge effektiv hjälp till de enskilda som drabbats vid en större händelse utomlands bl.a. genom

att tillhandahålla en säker och effektiv behandling av uppgifter om personer som har drabbats eller befaras ha drabbats av händelsen,

att ge underlag för att förmedla information om vilka personer som har återfunnits, i vilket tillstånd de är och var de befinner sig, när de kommer till Sverige och till vilken plats det sker samt eventuellt behov av fortsatta åtgärder,

att ge underlag för identifiering av avlidna personer.

Utredningen har uppfattat uppdraget så att detaljerad information om sjukdomar och skador avseende sårade och skadade personer, dvs. information som normalt återfinns i patientjournaler, inte bör omfattas av informationshanteringen. Mer allmänna uppgifter om skador och eventuellt vårdbehov innefattas dock.

Inte heller omfattar uppdraget primärt den detaljerade information som polisen inhämtar inför identifikation av avlidna, s.k. ante-mortem uppgifter (AM) eller de uppgifter som erhålls i samband med rättsmedicinsk undersökning av avlidna, postmortem uppgifter (PM). Sådana uppgifter hanteras inom ramen för den till Rikspolisstyrelsen knutna ID-kommissionen. Det hindrar emellertid inte att ID-kommissionen genom sitt arbete kan ha tillgång till uppgifter som bör antecknas i registret, eller ha ett behov av att få del av uppgifter som informationshanteringen avser.

I samband med att en olycka eller katastrof har inträffat är det polisens uppgift att så långt möjligt återställa försvunnet gods – värdeföremål och andra tillhörigheter – till den drabbade eller till dennes anhöriga. Utredningen har dock inte uppfattat uppdraget så att det omfattar registrering av annat än personbaserad information avseende försvunna, skadade och avlidna personer.

23

Utredningens uppdrag m.m. Ds 2009:12

1.3Utredningsarbetet

Denna promemoria bygger i mångt och mycket vidare på de överväganden och förslag som lämnades av 2005 års katastrofkommission.

Under arbetet med det tidigare uppdraget har kontakt tagits med företrädare för Utrikesdepartementets enhet för konsulära och civilrättsliga ärenden, enheten KC, och närmast berörda enheter inom Regeringskansliet: Statsrådsberedningens nybildade kansli för krishantering, Socialdepartementet, Förvaltningsavdelningen och Justitiedepartementet. Den utredaren har också haft diksussioner med företrädare för vissa myndigheter, nämligen Rikspolisstyrelsen (inkl. ID-kommissionen), Statens räddningsverk, Krisberedskapsmyndigheten, Styrelsen för psykologiskt försvar, Rättsmedicinalverket samt Socialstyrelsen. Han har även haft kontakter med företrädare för Sveriges Kommuner och Landsting (SKL). Den utredaren har vidare sammanträffat med företrädare för såväl Researrangörsföreningen i Sverige som Sveriges Försäkringsförbund.

Vid genomförandet av det första uppdraget har utredaren också haft kontakter med Kommittén (UD 2007:31) om statens ansvar vid katastrofer utomlands (SAKU) och med organisationskommittén för en ny myndighet med ansvar för frågor om samhällets krisberedskap och säkerhet (MSB-kommittén). Via Sveriges ambassader i åtta länder har dessutom erhållits viss information om hur man i dessa länder har hanterat frågan om informationshantering och katastrofregistrering i samband med kriser, katastrofer och stora olyckor utomlands.

Vid genomförandet av det nu aktuella uppdraget har förnyad kontakt tagits med, vid sidan av berörda departement inom Regeringskansliet, företrädare för Rikspolisstyrelsen, Socialstyrelsen, Myndigheten för samhällsskydd och beredskap, Rättsmedicinalverket samt Sveriges Kommuner och Landsting. Dessutom har företrädare för Datainspektionen getts möjlighet att lämna synpunkter på förslaget.

24

2Informationshanteringen vid flodvågskatastrofen och dess följder

2.1Inledande åtgärder

Tidigt på annandagens morgon den 26 december 2004 vällde väldiga vattenmassor in över kusterna i Indonesien, Thailand, Indien och Sri Lanka m.fl. länder som en följd av att ett jordskalv ägt rum under Indiska Oceanen. Jordskalvet uppmättes till 9,0 på richterskalan. Stora områden längs kusterna ödelades. Den s.k. tsunamin eller flodvågskatastrofen var ett faktum. Omkring 250 000–300 000 människor rapporteras ha avlidit, flertalet i Indonesien, och över fem miljoner människor beräknas ha blivit hemlösa eller tvingats fly. Värst drabbat var den indonesiska ön Sumatra.

Bland de drabbade fanns inte bara inhemsk befolkning utan även många turister, bland dem bland annat svenskar, danskar, engelsmän, tyskar och italienare på semester, i första hand i Thailand.

Vid flodvågskatastrofen stod det omedelbart klart att den svenska statsförvaltningen, i likhet med den i flera andra berörda länder, saknade tillräcklig beredskap och en adekvat organisation för att hantera konsekvenserna av en stor katastrof eller olycka utomlands. Flodvågskatastrofen medförde därför en översyn på flera områden när det gällde svenska myndigheters beredskap för och uppgifter i samband med större kriser och katastrofer

25

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

utomlands. Redan veckorna efter katastrofen tog regeringen följande initiativ.

I januari 2005 gavs en oberoende kommission, benämnd 2005 års katastrofkommission, i uppgift att bland annat utvärdera samhällets förmåga att hantera de påfrestningar som naturkatastrofen i Asien inneburit och klargöra på vilket sätt de erfarenheterna kan tas till vara.

Ett råd för stöd och samordning efter flodvågskatastrofen bildades också i januari 2005 med uppgift att stödja dem som drabbats och överlevt händelsen. I rådet ingick företrädare för Rikspolisstyrelsen, Krisberedskapsmyndigheten, Statens räddningsverk, Socialstyrelsen, Skatteverket, Försäkringskassan och Sveriges Kommuner och Landsting. Rådet knöts i september samma år till Styrelsen för psykologiskt försvar.

I februari 2005 fick Statens räddningsverk i uppdrag att upprätthålla en stärkt förmåga att bistå människor med hemvist i Sverige som drabbats till följd av en allvarlig olycka eller katastrof i utlandet.

Efter dessa inledande åtgärder avvaktades resultatet av kommissionens arbete.

2.2Katastrofkommissionens rapport

Katastrofkommissionen presenterade i december 2005 betänkandet Sverige och tsunamin – granskning och förslag

(SOU 2005:104). I betänkandet redogörs för det offentliga åtagandet beträffande svenskar i utlandet och för händelseförloppet i samband med flodvågskatastrofen julen 2004. I sin utvärdering av denna händelse pekar kommissionen på en rad brister och lämnar förslag till åtgärder på flera olika områden. Ett sådant område avser frågan om registrering av avlidna och skadade. Ett annat område avser information och kommunikation med anhöriga, myndigheter och massmedia.

De följande avsnitten utgår till stora delar från den utvärdering och de förslag som lämnats i dessa delar av

26

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

kommissionen. De omfattande redogörelser, synpunkter och förslag som kommissionen lämnat i övrigt och som ligger utanför förevarande utrednings uppdrag behandlas inte här.

2.3Situationen vid Regeringskansliet

2.3.1Möjligheten att lämna uppgifter

Strax efter att katastrofen inträffat på annandagens morgon 2004 började telefonsamtal och SMS-meddelanden från drabbade att strömma in till anhöriga i Sverige. Många av de anhöriga som mottog samtalen informerade Utrikesdepartementet direkt om vad som hänt. De anhöriga ombads av Utrikesdepartementet att ringa SOS-international om någon behövde assistans, annars till den svenska ambassaden i Bangkok.

När Regeringskansliets växel öppnade skapades snabbt ett starkt tryck mot denna. Personer ringde direkt från Thailand och berättade om vad som hänt och att de var välbehållna och om andra som var skadade eller saknade. Även personer som ville vidarebefordra uppgifter de fått per telefon från anhöriga i regionen ringde och berättade vad de visste. En annan kategori var de som inte fått kontakt med anhöriga och vänner i området och som ringde och anmälde dessa saknade. En fjärde kategori ville bara ha information om vad som hänt. Väntetiden i växeln blev snabbt lång och de anhöriga sökte efter information på hemsidor hos myndigheter och i massmedia. E-post och fax skickades till Utrikesdepartementet, reseföretagen, SOS- international och SOS Alarm, liksom till ambassaden och konsulatet i Thailand.

Trycket ökade hela tiden på Regeringskansliets växel och på annandagens kväll beslöts att förbättra svarskapaciteten på departementet och att utöka bemanningen i regionen. Ett särskilt gruppnummer skapades för anhöriga och drabbade för att förstärka mottagningskapaciteten. Detta visade sig dock inte lösa problemet utan väntetiderna förblev fortfarande mycket

27

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

långa. De anhöriga och drabbade som så småningom kom fram till en handläggare fick ofta oklara, motstridiga och i vissa fall felaktiga uppgifter.

Regeringskansliet slöt avtal med ett särskilt call-center med placering i Kalix för att avlasta Regeringskansliet eftersom gruppnumret inte löst problemet med långa väntetider. Callcentret, som inledde sitt arbete den 28 december, skulle hantera de rutinartade samtalen. Det kunde gälla att lämna uppgifter om saknade eller återfunna. Andra samtal skulle vidarebefordras till handläggare på Utrikesdepartementet. När centret kom igång hade man 30 medarbetare på plats.

De handläggare som mobiliserats att bistå Utrikesdepartementet, bland annat genom intern annonsering inom Regeringskansliet, för att öka svarsfrekvensen hade ett begränsat mandat och kunde inte lämna ut mer information än vad som fanns att tillgå via massmedia.

För att förbättra informationsläget genomfördes ett massutskick av SMS-meddelanden till svenska mobiltelefoninnehavare i Thailand med uppmaningen att de som var välbehållna eller endast var lättare skadade skulle höra av sig till anhöriga i Sverige.

Trots de försök som gjordes att strukturera mottagningen av samtal och registreringen fanns fortfarande stora problem. De listor över saknade och drabbade som successivt byggts upp under de första dygnen hade stora brister, både till innehåll och till struktur. Handläggarna var förbjudna att lämna ut individuppgifter om omkomna eller skadade med hänsyn till risken för att de uppgifter som stod till buds inte var korrekta.

2.3.2Registrering av lämnade uppgifter

Personuppgifter började mycket tidigt under annandagen att strömma in till Regeringskansliet och andra instanser. Uppgifter kom in via de ovan nämnda telefonsamtalen samt via e-post, fax och SMS. Ansvaret för registreringen låg på Utrikesdeparte-

28

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

mentets konsulära enhet, men på grund av de långa väntetiderna tog även växelpersonalen och pressjouren på sig att registrera uppgifter. För att öka kapaciteten engagerades ett stort antal medarbetare från andra departement i arbetet med att registrera uppgifter. Som nämnts registrerades även uppgifter om saknade och välbehållna vid call-centret i Kalix.

Registrering av saknade, skadade, omkomna respektive välbehållna personer är en uppgift som hör till den normala hanteringen vid Utrikesdepartementet. Problemet i detta fall var att informationsflödet mycket snart blev så omfattande att pappersbaserad information blev ohanterlig. Inte heller de Excelfiler som under ett övergångsskede utnyttjades möjliggjorde en säker och effektiv hantering av informationen. Bristen på system för att hantera detta medförde en fördröjning i bearbetningen som det blev mycket svårt att ta igen även sedan bemanningen förstärkts. Det saknades således struktur på informationsinhämtningen och sammanblandning av personuppgifter förekom vilket enligt Katastrofkommissionen i vissa fall ledde till att allvarliga fel begicks i handläggningen.

Den 29 december började man registrera uppgifter i ett datorprogram (Invit) som egentligen hade utvecklats för ett helt annat ändamål. Ett problem uppstod dock genom att programmet inte fungerade i det ordinarie nätet i Regeringskansliet. Under den mest intensiva perioden arbetade 100 personer samtidigt med registrering av uppgifter i programmet.

Det var emellertid inte bara Utrikesdepartementet som registrerade uppgifter. Många drabbade och anhöriga lämnade uppgifter till reseföretagen, till polisen och till SOS Alarm. Rikspolisstyrelsen registrerade de uppgifter man fick in från allmänheten och erbjöd Utrikesdepartementet assistans i registreringsarbetet från polisens analysenhet.

Rikspolisstyrelsen utvecklade en egen databas eftersom den av Utrikesdepartementet använda databasen inte var en relationsdatabas och därmed inte tillät de kopplingar mellan olika ingångsdata som man från polisens sida ansåg nödvändiga för

29

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

analys av materialet. Exempel på sådana kopplingar är familjerelationer, hotell på vistelseorten, vem man senast sågs med före katastrofen etc. Polisen beslöt sig för att använda ett katastrofregistreringssystem som utvecklats på nordisk bas och påbörjade analysen. Den 4 januari överlämnades de listor som Utrikesdepartementet hade till polisen. Materialet innehöll totalt 37 000 poster med uppgifter om personer som med säkerhet eller eventuellt hade varit i närheten av katastrofen. Rikspolisstyrelsens analysgrupp kvalitetssäkrade uppgifterna så långt möjligt, men ännu lång tid efter överlämnandet kvarstod felaktigheter i listorna.

2.4Situationen vid ambassaden

På ambassaden handlade de första timmarna efter katastrofen sedan växeln öppnat främst om att svara i telefon. Anhöriga ringde från Sverige för att få upplysningar om saknade. En del samtal kom också från drabbade personer i katastrofområdena. Information om saknade och överlevande samlades på olika listor. Från början skrevs alla personuppgifter in på lösa lappar varefter någon fick i uppgift att skriva in uppgifterna i ett Excelark. En mall skapades, men kvaliteten på listorna ansågs otillfredsställande och ambassaden valde att inte ge ut för mycket information till dem som ringde.

På kvällen den 29 december beslöt den insatsstyrka som just hade anlänt från Sverige att de olika listorna med skadade, saknade och avlidna som fanns skulle sättas samman till en enda lista. Utrikesdepartementet faxade över sin lista över personer som var registrerade som saknade hos Utrikesdepartementet i Stockholm. Volontärerna försökte foga samman denna lista med de listor som fanns i Thailand. Två dygn senare beslöts att Utrikesdepartementet skulle ta över registreringen och hanteringen av listorna eftersom det krävdes utökad teknisk kapacitet för att upprätta en databas. Stor brist på lämplig IT- utrustning rådde vid det lokala konsulatet. Fastboende svenskar

30

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

som arbetade frivilligt efter katastrofen tog därför med egna datorer eller köpte sådana för att kunna hjälpa till.

2.5Erfarenhet från vissa andra länder

I flera länder har utvärderingar gjorts om hur flodvågskatastrofen har hanterats. Katastrofkommissionen framhöll i sin rapport att ansvariga myndigheter enligt dessa utvärderingar i alla nordiska länder har haft svårt att inledningsvis skapa en bild av katastrofens omfattning och att bedöma hjälpbehovet. De drabbades och allmänhetens informationsbehov har man också haft mycket svårt att möta. Delgivningen av information mellan olika aktörer uppges också ha fungerat mindre bra. Gemensamt är att det förts fram ett behov av att stärka krisledningsförmågan i samtliga nordiska grannländer genom att bilda någon form av krisledningsfunktion.

Av kommissionens rapport framgår att ett sådant permanent kriscentrum för omvärldsbevakning och krishantering finns i Tyskland sedan år 1999. Detta har en grupp frivilliga, erfarna personer som kallas in vid behov och som kan svara på samtal från allmänheten och registrera uppgifter. Till deras förfogande finns 180 inkommande telefonlinjer och 30 datorer installerade i ett särskilt krisrum. Till enheten finns även en grupp frivilliga tjänstemän från utrikesdepartementet specialiserade på olika regioner som med kort varsel kan skickas till drabbade områden.

Vid det franska utrikesdepartementet finns en övervakningsgrupp som håller kontakt med fransmän i utlandet och som har ansvar för en s.k. kriscell i nödlägen. Kriscellen förfogar över telefoner och datorer och har ett informationssystem som är skapat för registrering av saknade och avlidna. I sin utvärdering konstaterade franska utrikesdepartementet att kriscellen fungerat bra, men att kapaciteten inledningsvis var för liten med endast 16 telefon- och dataterminaler. Bättre utbildning av vad som väntar personalen vid arbetet i en kriscell efterlyses liksom att medicinsk och juridisk kompetens bör kunna tillföras cellen.

31

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

Ett önskemål är också att de som svarade i telefonen borde ha fått mer information om den senaste utvecklingen för att kunna svara upp mot vad som efterfrågades av dem som ringde.

2.6Erfarenheter av informationshanteringen vid flodvågskatastrofen

I sin rapport framhöll Katastrofkommissionen att det i all hast tillkomna systemet för registrering av data om saknade personer innehöll alltför många felkällor och att de metoder som användes innebar risker för grava fel. Mobilisering av personal för registrering av personuppgifter borde enligt kommissionens uppfattning ha skett snabbare, inte minst på ledningsnivå. Personalen från den konsulära enheten blev upptagen med enskilda konsulära ärenden i stället för att leda arbetet med registreringen, som delvis kom att utföras med personal utan erfarenhet av sådana uppgifter. Det hade enligt kommissionen varit en fördel om personal hämtats från polisen, som har denna erfarenhet.

Utrikesdepartementet tog, enligt kommissionens uppfattning, inte tillräckligt snabbt och på lämpligt sätt till vara det expertstöd och bistånd som kunde ha erhållits av myndigheter som polisen och Skatteverket, delvis på grund av brister i kommunikationen mellan departementet och polisen.

I samband med flodvågskatastrofen blev upprättande av trovärdiga listor över saknade och avlidna, som framgått, ett betydande problem. Katastrofkommissionen konstaterade att det finns utländska förebilder att studera. Enligt vad kommissionen inhämtade har Krishanteringsenheten på det italienska utrikesministeriet avtal med italienska reseföretag att med mycket kort varsel (inom någon timme) få information om vilka medborgare som vid den aktuella tidpunkten finns i det land där en kris bryter ut. Från arbetsgivarna kan man få motsvarande uppgifter om vilka medborgare som mer stadigvarande befinner sig i det aktuella landet. Även om sådan information inte blir helt fullständig kan den ändå omfatta den

32

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

stora grupp som består av charter- och flygstolsresenärer samt yrkesverksamma och eventuellt de senares familjer.

2.7Katastrofkommissionens överväganden

Uppskattningsvis finns det omkring en halv miljon svenskar som bor och arbetar varaktigt i andra länder – utlandssvenskar. Varje månad befinner sig dessutom i genomsnitt mer än 200 000 svenskar på resa utomlands. Turismen till nya och avlägsna resmål ökar och allt fler turister reser i egen regi. Många svenskar bosätter sig på turistorterna utomlands under en mindre eller större del av året.

Mot den bakgrunden kan man, enligt Katastrofkommissionens uppfattning, inte längre knyta den offentliga förvaltningens uppgift snävt till Sveriges territorium. Förmågan att värna svenska medborgare och deras intressen utomlands måste utvecklas. Kommissionen menade att detta i sig inte innebär någon förändring av den grundläggande ansvarsfördelningen mellan individ och stat utan är en anpassning till nya förutsättningar.

Kommissionen konstaterade att

med de villkor som råder för arbetet i en organisation under svår press måste det stå klart för var och en hur det egna arbetet passar in i den övergripande strukturen, vart information ska skickas, vem som har beslutsansvaret och vem som ansvarar för förverkligande av beslutet. I en krisorganisation måste det finnas ett tydligt centrum där informationen bearbetas och analyseras, där beslut fattas och varifrån direktiv om förverkligandet av fattade beslut utgår. Avsaknaden av ett sådant centrum var en fundamental brist efter tsunamin.

Mot den bakgrunden föreslog Katastrofkommissionen att en krisenhet bör inrättas i Regeringskansliet med placering i statsministerns närhet och med uppgift att bland annat svara för strategisk ledning av förvaltningen under en kris. Inriktningen är alltså strategisk men kommissionen anser att i uppdraget också

33

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

ska ligga operativa uppgifter i krisens inledningsskede för att inte tid ska gå förlorad. Till sådana tidiga uppgifter kan höra att sätta igång räddnings- och akutsjukvårdsinsatser, beställa transportkapacitet, förbereda en informationsinsats och att mobilisera bevakningsresurser. Efter att ha fattat beslut om inledande åtgärder menar kommissionen att krisenheten också ska se till att besluten genomförs och att insatserna samordnas.

Kommissionen föreslog också bl.a. tillskapandet av en uppsättning stabsgrupper som med mycket kort varsel kan sändas till platser utomlands. Vidare framhölls att en call-center funktion är av vital betydelse så snart stora grupper i samhället blir direkt involverade eller berörs som anhöriga.

Polisen bör enligt kommissionen ha det grundläggande ansvaret för registrering av saknade personer, oavsett om de saknas i hemlandet eller utomlands. Allmänhetens kontakter för att lämna uppgifter eller ställa frågor om saknade bör dirigeras till polisen och inte till Regeringskansliet. Den tekniska utvecklingen när det gäller information och kommunikation kräver enligt kommissionen en omorientering av myndigheternas policy i dessa delar och kräver såväl ny teknik som delvis nya kompetenser. En öppnare informationsstrategi än vad som traditionellt har tillämpats är nödvändig i en tid där Internet, bredband och tredje generationens mobiltelefoni m.m. fått ett brett genomslag. Ett bredare samarbete med privata och andra icke offentliga aktörer kan också enligt kommissionens mening vara nödvändigt för inhämtande av information och för specifika insatser i en akut situation.

Kommissionen lämnade även ett antal förslag som rör Utrikesdepartementets roll och konsulära frågor, frågor som rör räddningstjänsten och behovet och organisation av svenska sjukvårdsinsatser m.m. Dessa frågor berörs emellertid inte av detta uppdrag.

34

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

2.8Ett ökat fokus på krisberedskap och katastrofhantering

Katastrofkommissionen var inte den enda som riktade kritik mot de brister som uppenbarades när det gäller samhällets beredskap för att hantera större olyckor och katastrofer utomlands. Såväl under kommissionens arbete som därefter, bland annat som en följd av kommissionens rapport, har en rad insatser vidtagits såväl av regeringen som vid Regeringskansliet och andra myndigheter för att utöka beredskapen för att på ett bättre sätt svara upp mot de krav som en extraordinär situation ställer.

En rad utvärderingsrapporter har presenterats av berörda myndigheter m.fl. över hur skilda aktörer klarade eller inte klarade sitt åtagande i samband med flodvågskatastrofen. Såväl denna katastrof som krisen i Libanon i juli 2006, då över 8 400 svenska medborgare och utlänningar med hemvist i Sverige evakuerades ur Libanon, har inneburit en fokusering på samhällets roll och tillkortakommanden vid oväntade större kriser och katastrofer utomlands och på behovet av snara åtgärder från statens sida.

Den 1 september 2008 infördes lagen (2008:552) om katastrofmedicin som en del av svenska insatser utomlands. Lagen tar sikte på sådana förhållanden då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet och ger för dessa fall landstingen rätt att bedriva hälso- och sjukvård i utlandet i syfte att minimera de fysiska och psykiska följdverkningarna av olyckan eller katastrofen (katastrofmedicinska insatser). Beslut om att inleda eller avsluta katastrofmedicinska insatser ska fattas av regeringen eller den myndighet som regeringen bestämmer.

I mars 2008 överlämnade kommittén om statens ansvar vid katastrofer utomlands (SAKU) sitt betänkande, Konsulär katastrofinsats (SOU 2008:23). Kommittén föreslår att en särskild lag ska införas som ålägger staten att vid en allvarlig kris eller katastrof utomlands genomföra en konsulär katastrofinsats för att bistå enskilda om behoven av skydd, evakuering och

35

Informationshanteringen vid flodvågskatastrofen och dess följder Ds 2009:12

andra åtgärder med hänsyn till händelsens karaktär, följder och omständigheterna i övrigt inte kan tillgodoses på annat sätt. En konsulär katastrofinsats ska enligt förslaget kunna omfatta svenska medborgare och deras utländska familjemedlemmar samt personer som är bosatta i Sverige utan att vara medborgare här. Den som omfattas av en konsulär katastrofinsats ska enligt förslaget betala en ersättning till staten. Ersättningsskyldigheten ska dock kunna jämkas eller efterges om det finns särskilda skäl för det.

Riksdagen har godkänt ett inom EU upprättat utkast till rådsbeslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (det s.k. Prümrådsbeslutet). Utkastet till rådsbeslut innehåller bestämmelser som syftar till att utveckla informationsutbytet inom EU, framförallt vad gäller uppgifter i DNA, fingeravtrycks- och fordonsregister. Det innehåller emellertid även bestämmelser om andra typer av samarbeten, bl.a. gemensamma insatser och bistånd vid katastrofer och allvarliga olyckor (prop. 2007/08:83 s. 1). Inom Regeringskansliet (Justitiedepartementet) pågår ett arbete med att ta fram ett förslag till de författningsändringar som rådsbeslutet föranleder.

I artikel 18 i utkastet till rådsbeslut anges att medlemsstaterna ska bistå varandra på visst sätt vid vissa evenemang och allvarliga händelser. Biståndet ska lämnas i enlighet med den nationella lagstiftningen och syfta till att förhindra brott och upprätthålla allmän ordning och säkerhet. Biståndet ska ges genom informationsutbyte men också genom att tjänstemän, specialister och rådgivare sänds ut till den behövande staten eller genom att en stat vidtar de polisiära åtgärder på sitt eget territorium som kan vara nödvändiga (prop. 2007/08:83 s. 31).

I EU:s senaste fördrag, Lissabonfördraget, finns en solidaritetsklausul intagen (artikel 222). Enligt denna ska unionen och dess medlemsstater handla gemensamt i en anda av solidaritet om en medlemsstat utsätts för en terroristattack eller drabbas av en naturkatastrof eller en katastrof som orsakats av människor. Bestämmelsen innebär alltså ett utökat samarbete

36

Ds 2009:12 Informationshanteringen vid flodvågskatastrofen och dess följder

med andra länder i samband med en katastrof och att det för Sveriges del kan bli aktuellt att både ge och få stöd i en sådan situation. För att fördraget ska börja gälla måste det godkännas i alla EU:s medlemsländer. Denna förutsättning är ännu inte uppfylld eftersom Irland röstade nej till fördraget vid en folkomröstning den 12 juni 2008.

37

3Krisorganisationen vid en allvarlig händelse i utlandet

3.1Allmänna principer för krishantering m.m.

Utgångspunkten i dag är att den enskilde har ett eget ansvar vid vistelse utomlands och att staten kan och bör gripa in och ge stöd endast i vissa särskilda nödsituationer. Statens ansvar för katastrofinsatser aktualiseras vid mycket speciella situationer och utgör ett komplement till de resurser som finns att tillgå i det andra landet, genom den enskildes försäkringsbolag och genom reseföretaget. Det handlar i huvudsak om ett ansvar för att ha en organisation och hålla beredskap för att som en kompletterande aktör stötta svenskar i utlandet (Kommittén om statens ansvar vid katastrofer utomlands, Konsulär katastrofinsats, SOU 2008:23, s. 9 ff., s. 47 ff. och s. 56).

En grundläggande förutsättning för att en katastrofinsats i utlandet över huvudtaget ska bli aktuell är att en sådan medges av det land där insatsen ska ske.

Det svenska krishanteringssystemet bygger på de ordinarie förvaltningsstrukturerna och på principen om att den som har ansvar för en verksamhet i normala situationer också har motsvarande verksamhetsansvar vid en kris (ansvarsprincipen). En närliggande princip är likhetsprincipen som innebär att en verksamhet, så långt det är möjligt, ska fungera på samma sätt också under en kris t.ex. avseende organisation och lokaler. Enligt en annan princip, närhetsprincipen, ska en kris hanteras där

39

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

den inträffar och av dem som är närmast berörda och ansvariga (prop. 2005/06:133 s. 51).

I samband med en katastrofinsats deltar Regeringskansliet och andra berörda myndigheter genom samverkan. I formell mening fattar berörda myndigheter egna och självständiga beslut om att medverka i en insats. Likaså beslutar varje myndighet hur det egna stödet ska utformas. Varje deltagande myndighet ansvarar för sin egen verksamhet enligt principen om sektorsansvar eller verksamhetsansvar. Det innebär att varje myndighet ansvarar för sitt eget ansvarsområde, alltid och i alla situationer (Snabbinsatsstyrkans manual – råd och anvisningar före, under och efter insats, Utrikesdepartementet, november 2007, s. 6).

3.2Regeringen och Regeringskansliet

Regeringen har det övergripande ansvaret för samhällets insatser vid svåra påfrestningar samt för samhällets beredskap och förmåga att hantera sådana situationer. Regeringskansliet är i detta avseende stabsorgan åt regeringen (prop. 2007/08:138 s. 9).

3.2.1Allmänt om krishantering och krisberedskap inom Regeringskansliet

Krishanteringen i Regeringskansliet bygger i huvudsak på ett samspel mellan Statsrådsberedningen och övriga departement samt Förvaltningsavdelningen. Den generella utgångspunkten är att departementen har ett eget ansvar för krishanteringsåtgärder inom sitt verksamhetsområde och att Statsrådsberedningen har ett departementsövergripande ansvar. I grova drag kan krisorganisationen sägas bestå av respektive departements egen krisorganisation, en gemensam grupp för strategisk samordning, en särskild chefstjänsteman för krishantering och ett kansli för krishantering som chefstjänstemannen leder.

40

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

Departementen

Varje departement ska ha en krishanteringsplan och en krishanteringsorganisation (11 a § förordningen [1996:1515] med instruktion för Regeringskansliet). Det ska finnas en utsedd krisledningsgrupp som övat och en hög tillgänglighet vid departementen genom en särskild tjänsteman i beredskap. Vid en kris ska departementet kunna ta emot och vidarebefordra larm, kalla in personal för tjänstgöring samt kontakta och samverka med myndigheter inom departementets ansvarsområde.

Grupp för strategisk samordning

För krishantering finns en grupp för strategisk samordning inom Regeringskansliet (11 d § förordningen med instruktion för Regeringskansliet). Gruppen består av statssekreterare från de departement som berörs av en allvarlig händelse. Gruppen leds av statsministerns statssekreterare eller den statssekreterare som han eller hon utser.

Chefstjänsteman och kansli för krishantering

Chefstjänstemannen för krishantering är placerad i Statsrådsberedningen och leder kansliet för krishantering (11 b § förordningen med instruktion för Regeringskansliet). Chefstjänstemannens arbetsuppgifter är att utveckla, samordna och följa upp krishanteringsarbetet. Chefstjänstemannen ska vid kriser säkerställa att arbetet dras igång samt samordna och stödja arbetet inom Regeringskansliet.

Kansliets uppgifter är att ansvara för omvärldsbevakning och lägesbild, krishantering och kriskommunikation, analys samt att vara en central kontaktpunkt i Regeringskansliet. Undantaget är den operativa hanteringen av konsulära kriser där ansvaret för

41

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

samordning med andra departement och myndigheter åvilar Utrikesdepartementet.

Under en kris ska kansliet stötta Regeringskansliet i hanteringen av krisen. I krishanteringsuppgifterna ingår att larma, ta fram en samlad lägesbild och en bild av hur samtliga enskilda händelser tillsammans påverkar samhället. Kansliets chef ska också, om det är nödvändigt, kunna dra igång krishanteringsarbetet i Regeringskansliet. Efter att krisen har hanterats ska kansliet följa upp och utvärdera det genomförda arbetet.

3.2.2Utrikesdepartementet och utrikesrepresentationen (Utrikesförvaltningen)

Utrikesförvaltningen består av Utrikesdepartementet och utrikesrepresentationen. I den svenska utrikesrepresentationen ingår f.n. drygt 100 ambassader, representationer, delegationer och konsulat samt omkring 400 honorärkonsulat. Utrikesförvaltningen har det primära ansvaret för att ge hjälp och råd till svenskar som råkat i svårigheter utomlands.

Utrikesdepartementet

Sedan flodvågskatastrofen har flera åtgärder vidtagits inom departementet i syfte att förbättra förutsättningarna att gripa in och stötta svenskar vid omfattande kriser och katastrofer utomlands. Nedan följer en översiktlig beskrivning av den nuvarande krisorganisation.

Vid allvarliga konsulära kriser eller större katastrofsituationer utomlands sammankallas en beredskapsgrupp för lägesanalyser, samråd och samordning av departementets åtgärder (7 § Regeringskansliets föreskrifter med arbetsordning för Utrikesdepartementet, UF 2007:1). Vid en krissituation kan beredskapsgruppen utökas till att omfatta även externa svenska krisaktörer. Gruppen antar då formen av den nationella samverkansgruppen

42

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

(Beredskapsstyrkans manual – råd och anvisningar före, under och efter arbetet, Utrikesdepartementet, november 2007, s. 12).

Inom departementets enhet för konsulära och civilrättsliga ärenden (enheten KC) handläggs bl.a. frågor om konsulärt bistånd till enskilda utomlands. Till enhetens förfogande finns en konsulär beredskapsstyrka som förstärkning av den egna personalstyrkan (BESTYR) samt en konsulär insatsstyrka för förstärkning av en eller flera berörda utlandsmyndigheter (SNITS), se 23 § UF 2007:1.

Vid enheten finns efter kontorstid alltid en tjänsteman i jour som har ansvar för att rycka in när en olycka har inträffat utomlands där svenskar drabbats. I uppgiften ingår att ta hand om de frågor om händelsen som anhöriga m.fl. ställer och att informera om läget för skadade eller välbehållna personer. Den ansvarige ser även till att polisen tar kontakt med de anhöriga som har mist en anförvant i olyckan. Ambassaden eller konsulatet i området förmedlar bl.a. kontakter till lokal begravningsbyrå och försäkringsbolagen har sedan ett ansvar att se till att den omkomne sänds hem, förutsatt att en försäkring finns.

Sekretariatet för säkerhet, sekretess och beredskap (SSSB) svarar bl.a. för kravspecifikationer för och tillsyn av säkerheten inom utrikesförvaltningen samt frågor som avser Utrikesdepartementets beredskap och säkerhetsskyddet vid utlandsmyndigheterna. Till sekretariatet är också departementets dygnsvakt (vakthavande tjänsteman) knuten (32 § UF 2007:1).

Vid Utrikesdepartementet finns även en särskild press-, informations- och kommunikationsenhet (PIK).

Chefen för enheten för konsulära och civilrättsliga ärenden får bl.a. besluta om åtgärder när en person med hemvist i Sverige eller en svensk medborgare med hemvist i utlandet har avlidit utomlands samt besluta om att ta i anspråk den konsulära beredskapsstyrka och den konsulära insatsstyrka som nyss nämnts (56 § UF 2007:1).

Den konsulära beredskapsstyrkan, BESTYR, har till uppgift att förstärka enheten KC vid konsulära kris- och katastrofinsatser som är så omfattande att de inte kan hanteras inom

43

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

enhetens ordinarie organisation. BESTYR består av ett 30-tal personer som står i formell beredskap. Vid kallelse till tjänstgöring ska inställelse ske inom en timme (Beredskapsstyrkans manual, s. 9).

Uppdraget består i att via telefon och e-post besvara frågor rörande personer som befaras ha drabbats av en krissituation i utlandet samt registrera inkomna uppgifter i den för ändamålet särskilt framtagna KC-databasen. Databasen är en uppdatering av den databas som användes i samband med flodvågskatastrofen och vid Libanonkrisen. Beslut om registrering av uppgifter fattas av chefen för enheten KC (Beredskapsstyrkans manual, s. 4).

I databasen noteras uppgifter om en drabbad person, bl.a. namn, personnummer, passnummer, uppehållsort, eventuell medresenär, hemadress och andra kontaktuppgifter. Dessutom registreras uppgifter om vem som har mottagit uppgifterna och när dessa har förts in i databasen samt viss övrig information kring den drabbade personen, såsom senaste kontakt, hotell, sjukhus m.m. Även namn på den som har anmält en drabbad person ska registreras i databasen liksom kontaktuppgifter för anmälaren och uppgift om anmälarens släktskap/relation till den drabbade (Lathund för registrering i KC-databasen, april 2007, s. 4–5). När en försvunnen person har återfunnits ska en avanmälan registreras i databasen. Samtidigt noteras bl.a. ankomstuppgifter för den drabbade personen.

Om databasen mot förmodan inte går att använda finns en särskild blankett som ska användas och som omfattar samma information.

Utrikesdepartementets snabbinsatsstyrka, SNITS, är en konsulär insatsstyrka som för närvarande består av omkring 50 personer med uppgift att förstärka en eller flera utlandsmyndigheter vid allvarliga konsulära kriser eller katastrofsituationer utomlands. Vid en kris eller katastrof skickas en mindre grupp ur snabbinsatsstyrkan ut. Storleken och sammansättningen beror av krisens art.

Vid en insats lyder snabbinsatsstyrkan under utlandsmyndighetens chef. Denne mottar i sin tur instruktioner från Regerings-

44

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

kansliet. Myndighetschefen förblir ansvarig gentemot värdlandet under insatsen och har det samlade ansvaret för den svenska stödinsatsen i landet. Vid frånvaro av utlandsmyndighet i landet fyller snabbinsatsstyrkans insatschef denna funktion (Beredskapsstyrkans manual, s. 16 f.).

Snabbinsatsstyrkan samverkar vid en konsulär insats med den stödstyrka som lyder under Myndigheten för samhällsskydd och beredskap (se nedan avsnitt 3.3.4). I stödstyrkan ingår personer från olika myndigheter och organisationer och som är speciellt rekryterade och utbildade för att med kort varsel kunna stödja utlandsmyndigheter och nödställda.

Utrikesrepresentationen

Utrikesrepresentationen, dvs. utlandsmyndigheterna, har en allmän skyldighet att ta till vara Sveriges intressen, att värna svenska medborgares rätt och att bistå dessa vid behov. Bestämmelser om utlandsmyndigheternas skyldighet att hjälpa svenska medborgare i utlandet finns bl.a. i förordningen (1992:247) med instruktion för utrikesrepresentationen.

Till det bistånd som utlandsmyndigheterna kan ge hör stöd till självhjälp i form av råd och vägledning, kontakt med anhöriga, kontakt med försäkringsbolagens larmcentraler, råd eller hjälp när det gäller kontakt med läkare, tolk eller försvarsadvokat samt utfärdande av provisoriskt pass.

I en nödsituation som man själv inte rår över kan utlandsmyndigheten även bevilja ekonomiskt bistånd i form av statligt lån, se lagen (2003:491) om konsulärt ekonomiskt bistånd. Dess huvudsyfte är att göra det möjligt för personer som omfattas av lagen att återvända till Sverige efter en tillfällig utlandsvistelse men där detta försvåras på grund av t.ex. ett rån eller ett sjukdomsfall. Det konsulära ekonomiska biståndet är ett lån från staten i en nödsituation och lånet lämnas endast om inga andra möjligheter finns. Eftersom lånet normalt ska betalas

45

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

tillbaka vilar det ekonomiska ansvaret fortfarande på den enskilde (SOU 2008:23 s. 44).

I det konsulära biståndet ingår också att svara för åtgärder i samband med svensk medborgares död utomlands och åtgärder i samband med större olyckor utomlands som rör svenska medborgare.

I den nämnda förordningen anges även vad utlandsmyndigheterna ska göra i krissituationer. Om en naturkatastrof eller svår olycka har inträffat ska ambassaden eller konsulatet genast undersöka om någon svensk medborgare har avlidit eller skadats eller om någon svensk egendom skadats (20 §). Den ska också underrätta Utrikesdepartementet. Detta uttrycks även i utrikesförvaltningens Rättshandbok I, biträde åt enskilda och myndigheter, enligt följande. Om det kan befaras att ett större antal svenskar förolyckats vid en och samma olycka och om inte tvingande skäl lägger hinder i vägen, bör chefen för utlandsmyndigheten, eller i hans ställe någon lämplig tjänsteman utan dröjsmål bege sig till platsen och rapportera till UD”. Vidare anges det att ”i rapporten bör även redogöras för vilka åtgärder som vidtagits eller kommer att vidtas av lokala organ med anledning av olyckan och om myndigheterna i verksamhetslandet tillåter eller önskar någon medverkan av svenska experter för att identifiera de omkomna eller vårda de skadade”.

Regeringskansliet har beslutat föreskrifter (UF 2004:6) om utlandsmyndigheternas beredskap. Enligt dessa har varje utlandsmyndighet ansvar för att hålla beredskap för egen del och bistå svenska medborgare med skydd, evakuering och andra åtgärder som kan behöva vidtas på grund av krigsfara, inre oroligheter, naturkatastrofer och därmed jämförliga omständigheter i stationeringslandet eller dess närhet (2 §). Beredskapsansvaret omfattar bl.a. att upprätta en beredskapsplan som löpande ska ses över (7 och 10 §§). Utlandsmyndigheten har även till uppgift att, i de länder där de politiska förhållandena kan bedömas som mindre stabila eller där det av någon annan anledning föreligger en risk för lokala kriser, föra en så

46

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

fullständig namn- och adressförteckning som möjligt över svenska medborgare som är bosatta inom verksamhetsområdet.

Ett antal (för närvarande 20 stycken) utlandsmyndigheter har utsetts till s.k. konsulära stödjepunkter. Personalen vid dessa myndigheter ska ha särskild kompetens inom krisberedskapsområdet och förväntas också kunna bistå andra utlandsmyndigheter i sina respektive regioner i händelse av kris.

3.3Krishantering och beredskap vid vissa andra myndigheter och organ

3.3.1Rikspolisstyrelsen och polismyndigheterna

Rikspolisstyrelsen är central förvaltningsmyndighet för polisväsendet och har tillsyn över detta. Styrelsen ska verka för planmässighet, samordning och rationalisering inom polisväsendet (7 § polislagen [1984:387]).

En viktig verksamhet för Rikspolisstyrelsen är att ansvara för teknik- och metodutveckling inom polisväsendet. Rikspolisstyrelsen har också samordningsansvar för bland annat gränskontroll, internationellt polissamarbete, centrala polisregister och polisens planering vid särskilda händelser. Styrelsen kan, på regeringens uppdrag, leda polisverksamhet för att förebygga brott och avslöja brott mot rikets säkerhet.

Rikspolisstyrelsens möjlighet att leda polisverksamhet regleras i 7 § andra stycket polislagen samt i förordningen (1989:773) med instruktion för Rikspolisstyrelsen. I förordningen anges bl.a. att styrelsen får leda polisverksamhet som föranleds av händelser utomlands där kravet på nationell enhetlighet är särskilt framträdande.

De internationella insatserna hanteras inom Rikskriminalpolisen (RKP), som är en avdelning inom Rikspolisstyrelsen med operativa funktioner. Till Rikskriminalpolisens uppgifter hör också att leda expertgruppen för identifiering vid katastroffall (ID-kommissionen), se nedan avsnitt 3.3.2. Vid

47

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

Rikskriminalpolisen förs även polisens register över försvunna personer.

Rikskommunikationscentralen (RKC) är Rikskriminalpolisens informationscentrum och polisens nationella kontaktpunkt. Rikskommunikationscentralen har till uppgift att inhämta och lämna information samt att stödja polismyndigheterna med larm, interna och externa registeruppgifter m.m.

När något inträffar som kräver speciella insatser från polisens sida används uttrycket en särskild händelse. Det kan, förutom en större olycka eller överhängande fara för sådan, vara händelser i form av allvarlig ordningsstörning, sabotage eller bombhot. Rikspolisstyrelsen har tagit fram föreskrifter för polisens arbete vid sådana särskilda händelser som bl.a. anger hur ledningen av en polisinsats ska utövas i dessa fall och om ledningsstab, uppdragstaktik och polisförstärkning (RPSFS 2006:14, FAP 2001-1).

Polisens uppgifter i samband med en katastrof

Inträffar en allvarlig olycka eller katastrof inom landet har polisen enligt 6 kap. 7 § lagen (2003:778) om skydd mot olyckor en skyldighet att på begäran av räddningsledaren delta i en räddningsinsats. Lagen syftar till att i hela landet bereda människors liv och hälsa samt egendom och miljö ett tillfredsställande skydd mot olyckor.

Utöver att delta i det direkta räddningsarbetet omfattar polisens arbetsuppgifter bl.a. att bevaka och spärra av olycksplatsen, att registrera och identifiera döda och skadade människor, samt att samla upp, registrera och lämna ut gods från olycksplatsen (se Rikspolisstyrelsens rapport Flodvågskatastrofen

– En granskning av polisväsendets arbetsinsats, s. 17).

Enligt förordningen (2003:789) om skydd mot olyckor har polisen ansvaret för att efterforska personer som har försvunnit under sådana omständigheter att det kan befaras föreligga fara för deras liv eller allvarlig risk för deras hälsa.

48

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

Till polisens uppgifter hör också att identifiera personer som omkommit till följd av större olyckshändelser, naturkatastrofer eller andra händelser av större omfattning. En polismyndighet kan för sådant arbete begära biträde av ett eller flera s.k. identifieringslag eller av ID-kommissionen. I landet finns fyra identifieringslag som består av kriminaltekniker, rättsläkare, rättstandläkare och obduktionsassistenter. Rikskriminalpolisen samordnar identifieringsverksamheten (RPSFS 2004:7, FAP 201-4).

Till polisens uppgifter hör vidare att utreda onaturliga och misstänkt onaturliga dödsfall (ex. brott, olyckor och självmord). När polisen har ansvar för utredningen av ett dödsfall bör någon av den avlidens närstående så snart det kan ske underrättas om dödsfallet genom polisens försorg (RPSFS 2000:14, FAP 414-1).

Det ovan sagda gäller alltså vid händelser inom landets gränser. När det gäller allvarliga olyckor eller katastrofer utomlands består polisens uppgifter i huvudsak av att, efter samråd med Regeringskansliet och Rättsmedicinalverket, hjälpa till vid identifieringen av omkomna med hjälp av ID-kommis- sionen samt att ta emot anmälan om försvunna personer och verkställa efterlysningar (se Rikspolisstyrelsens rapport, Polisens hantering av information vid särskilda händelser, s. 9). Polisen ska även biträda utrikesförvaltningen på områden som berör polisens verksamhet, t.ex. registreringsarbete och överlämnande av omkomna till anhöriga (se Rikspolisstyrelsens rapport, Flodvågskatastrofen – En granskning av polisväsendets arbetsinsats, s. 18).

Polisen deltar genom Rikskriminalpolisen i den ovan nämnda stödstyrkan. Polisens främsta uppgifter i stödstyrkan är bl.a. säkerhetsarbete, att upprätta handlingsplaner för en evakuering, att registrera evakuerade och att hantera anträffat gods.

49

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

Registrering av uppgifter

När en person anmäls försvunnen till polisen upprättas en s.k. RAR-anmälan. Den förvunne läggs därefter in i personefterlysningssystemet, EPU. Registret omfattar personuppgifter och signalementsuppgifter om den försvunne, när och var personen försvann samt kortfattat om omständigheterna vid försvinnandet (se Rikspolisstyrelsens rapport, Polisens hantering av information vid särskilda händelser, s. 72).

EPU-systemet förs med stöd av ett tillstånd från Datainspektionen den 11 oktober 1977 och övergångsbestämmelser till polisdatalagen (1998:622). Ändamålet med registret är enligt tillståndet att i enlighet med efterlysningskungörelsen (1969:293) föra register över efterlysningar och utge förteckningar över gällande efterlysningar och över efterlysningar som återkallats, att i enlighet med 5 § andra stycket lagen (1965:94) om polisregister m.m. sammanställa och sända ut uppgifter från polisregister om avlägsnanden ur riket och beslut som har samband därmed, samt att använda de registrerade uppgifterna vid utredningar i passärenden enligt passkungörelsen (1941:836) och vid passkontroll enligt utlänningskungörelsen (1969:136) samt vid annan därmed jämförlig polisiär verksamhet.

Andra centrala polisregister av betydelse i nu aktuellt sammanhang är registret för identifiering av försvunna personer och det s.k. DVI-registret (Disaster Victim Identification). Det först nämnda registret förs med stöd av ett tillstånd från Datainspektionen den 16 juni 1988 och övergångsbestämmelser till polisdatalagen. Ändamålet med registret är enligt tillståndet att underlätta framtagning av detaljerade signalementsuppgifter om personer som varit försvunna en längre tid och därvid underlätta identifieringen av okända och avlidna personer.

DVI-registret, som förs med stöd av ett tillstånd av Datainspektionen den 15 oktober 1998 och övergångsbestämmelser till polisdatalagen, består av blanketter som tagits fram inom Interpol för registrering av uppgifter om försvunna personer och om oidentifierade människokroppar. Registret innehåller mycket

50

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

detaljerade uppgifter om de registrerade och många av uppgifterna i registret utgör känsliga personuppgifter i personuppgiftslagens mening.

Det finns i dag inget gemensamt och fungerande katastrofregister inom polisen. Inom Rikskriminalpolisen används SURFA (Särskild undersökning, Utredning, Registrering, Förundersökning och Analys). Systemet är en utveckling av det IT-stöd som togs fram i samband med flodvågskatastrofen och användes bl.a. för personregistrering i samband med att svenskar evakuerades från Libanon år 2006 (se Rikspolisstyrelsens rapport, Polisens hantering av information vid särskilda händelser, s. 58). I systemet registreras personuppgifter, främst personnummer samt namn- och adressuppgifter, och övriga uppgifter av betydelse för det aktuella ärendet. När uppgifter behandlas i SURFA med anledning av en allvarlig olycka eller katastrof sker det i enlighet med bestämmelserna i personuppgiftslagen.

Inom polisen pågår ett arbete för att ta fram ett katastrofregister. I rapporten Polisens hantering av information vid särskilda händelser, upprättad inom Rikspolisstyrelsen i maj 2008, förslås bl.a. att ett IT-stöd ska tas fram för att hantera informationen vid särskilda händelser. IT-stödet ska kunna användas för registrering, bearbetning och analys inledningsvis vid en särskild händelse. I ett senare skede ska den registrerade informationen kunna användas vid identifiering och som register över försvunna kroppar och anträffade oidentifierade kroppar. IT-stödet ska enligt förslaget vara anpassat så att det underlättar samverkan med andra myndigheter och andra, oavsett om en särskild händelse har inträffat här i landet eller utomlands.

Det kan i sammanhanget nämnas att det inom Regeringskansliet (Justitiedepartementet) pågår ett omfattande arbete med att ta fram en ny författningsreglering avseende polisens behandling av personuppgifter (Ds 2007:43). Det arbetet tar dock sikte på den brottsbekämpande verksamheten.

51

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

3.3.2Expertgruppen för identifiering vid katastroffall (ID- kommissionen)

När en större olyckshändelse eller naturkatastrof har inträffat ska vid behov en särskild expertgrupp, ID-kommissionen, hjälpa till vid identifiering av omkomna. Bestämmelser om ID- kommissionens organisation och verksamhet finns i förordningen (1988:530) om expertgruppen för identifiering vid katastroffall.

Organisatoriskt lyder ID-kommissionen under Rikspolisstyrelsen och det är Kriminalpolisenheten (KPE) inom Rikskriminalpolisen som ansvarar för ID-kommissionens verksamhet samt samordningen av identifieringsverksamheten vid särskilda händelser. I kommissionen ingår polis och kriminaltekniker från Rikskriminalpolisen samt rättsläkare, rättsodontologer och rättsmedicinska assistenter från Rättsmedicinalverket (RMV).

Vid ett katastroffall utomlands beslutar Rikspolisstyrelsen, efter samråd med Regeringskansliet och Rättsmedicinalverket, om att sända ut expertgruppen samt om gruppens sammansättning.

Förordningen om ID-kommissionen innehåller ett bemyndigande för Rikspolisstyrelsen att efter samråd med Rättsmedicinalverket meddela föreskrifter om expertgruppens organisation och verksamhet. Några föreskrifter har inte beslutats av Rikspolisstyrelsen, däremot allmänna råd. I Rikspolisstyrelsens allmänna råd om organisationen för identifiering av omkomna (RPSFS 2004:7, FAP 201-4) ges anvisningar för en organisation för identifiering av omkomna inom landet i sådana fall där uppgiften är särskilt omfattande. Vidare anges att Rikskriminalpolisen svarar för metodutveckling avseende identifieringsverksamheten. Härutöver anges bl.a. hur dokumentationen bör gå till vid identifieringsarbete.

Interpol har utformat ett formulär och dataprogram som bör användas i samband med identifieringsarbetet och som utgör en internationell standard. Formuläret består av två delar. I den ena delen noterar polisen all information som har kommit fram om

52

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

den saknade eller avlidne, s.k. ante-mortem uppgifter (före döden uppgifter). I den andra delen, som används vid själva undersökningen på plats, noteras uppgifter om den avlidne, s.k. post-mortem uppgifter (efter döden uppgifter). Om tillräckligt många uppgifter stämmer överens mellan de båda delarna i formuläret kan identiteten fastställas. Förutom att ID- kommissionen registrerar personuppgifter i blanketterna för kommissionen även in uppgifterna i DVI-registret.

3.3.3Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap (MSB) inrättades den 1 januari 2009 och övertog då huvuddelen av de uppgifter som tidigare ålegat Krisberedskapsmyndigheten, Statens Räddningsverk och Styrelsen för psykologiskt försvar, vilka myndigheter samtidigt lades ned.

Statens räddningsverk, Krisberedskapsmyndigheten och Styrelsen för psykologiskt försvar

Statens räddningsverk var en myndighet med ansvar för bl.a. räddningstjänst, olycks- och skadeförebyggande åtgärder samt transporter på land av farligt gods. Räddningsverket var också ansvarig myndighet för frågor om brandfarliga och explosiva varor samt frågor om åtgärder för att förebygga och begränsa följderna av allvarliga kemikalieolyckor.

Efter flodvågskatastrofen fick Statens räddningsverk i uppdrag av regeringen att skapa en organisation som snabbt kan samordna en räddningsinsats om något liknande skulle hända igen. I enlighet härmed ingick det alltså även i räddningsverkets uppgifter att i samverkan med berörda myndigheter och organisationer förbereda så att räddningsverket, i en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet, med kort varsel i ett inledande

53

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

skede kunde stödja utlandsmyndigheter och de nödställda. Arbetet skedde inom ramen för den s.k. stödstyrkan. I samband med att lagen (2008:522) om katastrofmedicin som en del av svenska insatser utomlands infördes, fick räddningsverket även ett ansvar för att fatta beslut om att inleda eller avsluta katastrofmedicinska insatser.

Krisberedskapsmyndigheten hade bl.a. till uppgift att samordna arbetet med att utveckla krisberedskapen i det svenska samhället. Vid en allvarlig kris var myndighetens roll att stödja andra myndigheter som ansvarar för att hantera krisen. Myndigheten skulle också kunna hjälpa Regeringskansliet att få en överblick över händelsen och dess konsekvenser.

Styrelsen för psykologiskt försvar var en jämförelsevis liten myndighet, ca 20 årsarbetare, med en diversifierad verksamhet. Till kärnverksamheten hörde att samordna och sprida kunskap om den av riksdagen och regeringen beslutade säkerhets- och försvarspolitiken. En central del i myndighetens verksamhet rörde de svenska medieföretagens beredskap och beredskapsplanering. Arbetet bedrevs inom ramen för Mediernas beredskapsråd där representanter för de större intressenterna inom massmedia samt Krisberedskapsmyndigheten och Statens räddningsverk ingick. Syftet med arbetet inom Mediernas beredskapsråd är att informationsflödet i samhället ska kunna fortgå även under störda förhållanden/kriser.

Den 1 september 2005 knöts Rådet för stöd och samordning efter flodvågskatastrofen till Styrelsen för psykologiskt försvar. Rådets uppgift var att stödja de svenskar som drabbats av flodvågskatastrofen genom att bl.a. underlätta kontakter mellan de drabbade och överlevande gentemot myndigheter. Detta arbete avslutades under år 2006. Myndigheten hade dock även därefter ett ansvar för att vid andra större katastrofer utomlands kunna stödja drabbade personer med hemvist i Sverige. I denna uppgift låg bl.a. att underlätta kontakterna mellan enskilda och myndigheter, att verka för samordning av den offentliga informationen om den reglering som har betydelse för dem som drabbats samt att identifiera behov av särskilda insatser.

54

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap, som alltså ersatt ovan nämnda myndigheter, har bl.a. till uppgift att bedriva förebyggande arbete, såsom att stödja andra aktörer på området samt att samordna, utveckla och följa upp arbetet med samhällets krisberedskap. Myndigheten ska också bidra med samordning och stöd vid olyckor och kriser.

Enligt 8 § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap ska myndigheten, i samverkan med andra berörda myndigheter och organisationer, förbereda så att myndigheten, i en situation då många svenska medborgare eller personer med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof utanför Sverige, med kort varsel i ett inledande skede kan stödja utlandsmyndigheter och de nödställda. Förutom detta ska myndigheten enligt 14 § på regeringens uppdrag kunna stödja personer med hemvist i Sverige som drabbats av en allvarlig olycka eller katastrof utanför Sverige. Myndigheten ska i detta sammanhang särskilt underlätta kontakterna mellan enskilda och myndigheter, verka för samordning av myndigheters, organisationers och övriga aktörers åtgärder, verka för samordning av den offentliga informationen om den reglering som har betydelse för dem som drabbats samt identifiera behov av särskilda insatser.

Myndigheten för samhällsskydd och beredskap har övertagit de uppgifter som tidigare åvilade Statens räddningsverk, vilket innebär att myndigheten bl.a. är samordningsansvarig för stödstyrkan och har att fatta beslut om katastrofmedicinska insatser. Myndigheten har också övertagit ansvaret för Rådet för stöd och samordning, som tidigare sköttes av Styrelsen för psykologiskt försvar.

55

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

3.3.4Stödstyrkan

I stödstyrkan ingår personal från Myndigheten för samhällsskydd och beredskap, Rikspolisstyrelsen (Rikskriminalpolisen), Socialstyrelsen samt från Svenska Kyrkan, Röda Korset och Rädda Barnen. Röda korsets personal är anslutna till stödstyrkan genom ett särskilt samarbetsavtal.

Den rådande principen mellan myndigheterna är att samordning sker genom samverkan. Generaldirektören för Myndigheten för samhällsskydd och beredskap fattar beslut om att stödstyrkan ska sättas in efter anmodan av Utrikesdepartementet och myndigheten är samordningsansvarig för stödstyrkans verksamhet. Varje myndighet fattar ett eget beslut om att delta i stödstyrkan men förutsätts göra det om behov finns. I formell mening tar alltså de berörda myndigheterna egna och självständiga beslut om att medverka i en insats.

Inom ramen för det egna myndighetsansvaret bemannar och leder varje myndighet sin egen insatspersonal och ansvarar för sitt eget sektorsområde. Utrikesdepartementet ansvarar för de renodlat diplomatiska och konsulära uppgifterna som traditionellt åvilar utrikesförvaltningen. Socialstyrelsen ansvarar för hälso- och sjukvårdsfrågorna medan Rikskriminalpolisens ansvar omfattar ordnings- och säkerhetsfrågor. Deltagare från Rädda barnen, Röda korset och Svenska Kyrkan leds av Myndigheten för samhällsskydd och beredskap.

Stödstyrkan stödjer den konsulära snabbinsatsstyrkan. I fält är både snabbinsatsstyrkan och stödstyrkan underställda den lokala utlandsmyndigheten och förstärker i förening densamma.

Stödstyrkan består av flexibla enheter som kan anpassas efter uppdragets karaktär. I stödstyrkan ingår också en bedömningsenhet med uppgift att göra en första analys av hur behovet av hjälp ser ut innan övriga deltagare i stödstyrkan skickas ut.

Stödstyrkan har bl.a. till uppgift att lösa logistiska frågor, dvs. att se till att nödställda personer förflyttas till en säker plats och senare hem till Sverige. Stödstyrkan hjälper även nödställda med sjukvård, krisstöd och information. Dessutom ska stödstyrkan

56

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

bedöma behovet av stöd från Sverige och planera för förstärkning.

I stödstyrkans uppgifter ingår att samla in och sammanställa personuppgifter för vidarebefordran till de olika myndigheter som är i behov av uppgifterna. Rikskriminalpolisen har på eget initiativ tagit fram ett förslag till blankett som underlag för registrering av saknade personer. Blanketten, som är utformad på engelska, är anpassad för stödstyrkans behov och innehåller uppgifter om namn, personnummer, nationalitet, sjukdom/skada, pass/id samt medicinskt omhändertagande. På blankettens baksida ryms uppgifter om saknade som har anknytning till den registrerade.

3.3.5Socialstyrelsen

Socialstyrelsen är en förvaltningsmyndighet under Socialdepartementet med ansvar för bland annat hälso- och sjukvård, hälsoskydd och smittskydd. Enligt sin instruktion har myndigheten bl.a. till uppgift att samordna och planlägga hälso- och sjukvårdens krisberedskap samt att samordna landstingens förberedelser för att upprätthålla katastrofmedicinsk beredskap i landet (se 3 och 5 §§ förordningen [2007:1202] med instruktion för Socialstyrelsen).

Myndigheten ingår också i det nationella systemet för krishantering. Enligt 11 § förordningen (2006:942) om krisberedskap och höjd beredskap ska Socialstyrelsen inom området ”farliga ämnen” och området ”skydd, undsättning och vård”, planera och vidta förberedelser för att skapa förmåga att hantera en kris. När en allvarlig händelse inträffar som aktualiserar Socialstyrelsens ansvar ska myndigheten informera regeringen om bl.a. händelseutvecklingen och tillgängliga resurser samt om vidtagna och planerade åtgärder.

Bestämmelsen tar i första hand sikte på en händelse som inträffar i Sverige men det finns anledning att tillämpa den även vid en händelse som inträffar i utlandet med många drabbade

57

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

svenskar och som påverkar situationen i Sverige på ett sådant sätt att det kan bli aktuellt att vidta åtgärder här i landet. Det kan t.ex. röra sig om att ett stort antal svenskar förväntas komma hem skadade efter en stor olycka eller naturkatastrof utomlands. Socialstyrelsen ska då ta reda på hur många som är skadade, hur allvarliga skadorna är etc. (se Socialstyrelsens skrivelse, Beredskapen för att omhänderta personer med hemvist i Sverige vid stora olyckor och katastrofer utomlands, mars 2006, s. 29).

I samband med flodvågskatastrofen stod Socialstyrelsen för de formella uppdragen till de landsting som ombads tillhandahålla sjukvårdspersonal för de sjukvårdsteam som skickades till Thailand. Landstingen svarade för teamens sammansättning och den medicinska utrustningen samt vården både på plats och under hemtransporten.

Det är Socialstyrelsens enhet för krisberedskap (EKB) som ansvarar för ovan angivna frågor inför katastrofer, andra svåra påfrestningar på samhället och väpnat angrepp. Även internationella frågor ligger under enheten. Socialstyrelsen har inrättat flera kunskapscentra inom beredskapsområdet, bland annat katastrofmedicin. Socialstyrelsen har en tjänsteman i beredskap dygnet runt med uppgift att ta emot larm om en stor olycka eller katastrof och denne kan vid behov ta kontakt med Regeringskansliet.

Socialstyrelsen har även ett ansvar för att sammankalla den Nationella pandemigruppen (NPG), som är en myndighets- och organisationsövergripande krisgrupp, vid pågående eller hotande utbrott av en pandemi. Gruppens uppgift är att främja samordning av åtgärder för att bekämpa en pandemi samt att verka för en samordning av myndigheternas information och kommunikation i en pandemisituation. Den ger också de deltagande myndigheterna möjlighet att informera varandra om hur deras beredskap utvecklas innan en pandemi brutit ut och vilka åtgärder som de genomför och planerar under en pågående pandemi.

Den redan nämnda lagen om katastrofmedicin som en del av svenska insatser utomlands har för Socialstyrelsens del inneburit

58

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

en ny uppgift i samband med en katastrof utomlands. Enligt 5 § åligger det således Socialstyrelsen att leda och samordna de katastrofmedicinska insatser som kan aktualiseras enligt lagens bestämmelser (se nedan avsnitt 3.5). Uppgiften ska utföras i nära samverkan med övriga berörda myndigheter. Socialstyrelsen ska rapportera till Regeringskansliet om de beslut styrelsen fattar och om andra omständigheter av betydelse för genomförandet av den katastrofmedicinska insatsen.

3.3.6Rättsmedicinalverket

Rättsmedicinalverket (RMV) är central förvaltningsmyndighet under Justitiedepartementet med uppgift att svara för rättsmedicinska undersökningar och rättskemiska analyser på uppdrag av polis och åklagare samt rättspsykiatriska undersökningar på uppdrag av domstol. Rättsmedicinalverket ska även utföra rättsgenetiska faderskapsundersökningar på uppdrag av kommuner och enskilda.

Rikskriminalpolisen översänder en gång per månad uppgifter till rättsodontologen vid Rättsmedicinalverkets rättsmedicinska avdelning i Stockholm om personer som anmälts försvunna och som ännu efter 60 dagar inte har anträffats. Dessa uppgifter innehåller kopia av polisanmälan och signalement samt originalhandlingar från tandläkare (tandvårdsjournal med röntgenbilder). Uppgifterna registreras av personal vid rättsodontologen i det DVI-register som Rikspolisstyrelsen ansvarar för.

Rättsodontologen samverkar även med Interpol när det gäller identifiering av svenska medborgare som avlidit utomlands och bistår utländska myndigheter vid sådan identifiering. Rättsodontologen bistår även med identifiering av utländska medborgare som avlidit i Sverige samt genomför sökning i registret över försvunna personer samt okända kroppar av personer som är efterlysta genom Interpol.

Rättsmedicinalverket deltar i ID-kommissionens arbete med identifiering av avlidna genom att ställa såväl rättsläkare som

59

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

rättsodontologer och rättsmedicinska assistenter till kommissionens förfogande. Rättsmedicinalverket har kontakt med ett 50-tal specialutbildade tandläkare som kan tillfrågas att delta i ID-kommissionens arbete. Rättsmedicinalverket har också 18 rättsläkare och 15 rättsmedicinska assistenter som förklarat sig beredda att stå till ID-kommissionens förfogande vid en olycka eller katastrof där svensk rättsmedicinsk expertis efterfrågas.

I samband med flodvågskatastrofen genomfördes en slutlig kontroll av hemvändande avlidna av rättsläkare och rättsodontologer från Rättsmedicinalverket innan kropparna lämnades ut till anhöriga inför begravning. Detsamma gällde vid flygolyckan i Milano då 24 svenskar omkom.

3.3.7Transportstyrelsen

Transportstyrelsen inrättades den 1 januari 2009 samtidigt som Luftfartsstyrelsen och Järnvägsstyrelsen lades ned. Enligt 1 § i förordningen (2008:1300) med instruktion för Transportstyrelsen har myndigheten till huvuduppgift att svara för regelgivning, tillståndsprövning och tillsyn inom transportområdet. Myndigheten ska vidare, enligt 7 § förordningen, svara för förvaltning och utveckling av ett krisberedskapssystem för luftburna sjuktransporter. Transportstyrelsen ska härvid upprätthålla en beredskap för att, i samråd med Myndigheten för samhällsskydd och beredskap och Socialstyrelsen, besluta om och genomföra luftburna sjuktransporter internationellt för att bistå vid hemtagning av personer som drabbats av katastrofer utomlands, vid civil och militär krishantering samt vid andra humanitära insatser.

60

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

3.4Kommunerna och landstingen

Enligt det ovan nämnda geografiska områdesansvaret har kommunerna ett ansvar för krishantering på lokal nivå. Kommunernas ansvar aktualiseras alltså i första hand vid en händelse i Sverige. Relevanta bestämmelser finns bl.a. i lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap samt i lagen (2003:778) om skydd mot olyckor. Enligt den senare lagen har kommunen en skyldighet att vidta räddningsinsatser för att hindra och begränsa skador på människor, egendom eller miljö vid olyckor eller överhängande fara för olyckor.

Merparten av de räddningsinsatser som genomförs i Sverige svarar den kommunala räddningstjänsten för. Staten har emellertid påtagit sig ett ansvar för räddningstjänsten vid särskilda fall. Till exempel är det polisens uppgift att ansvara för fjällräddningstjänst och för efterforskning av personer.

Av 2 kap. 2 § socialtjänstlagen (2001:453) framgår att kommunen har det yttersta ansvaret för att de som vistas i kommunen får det stöd och den hjälp som de behöver.

Enligt 3 § hälso- och sjukvårdslagen (1982:763) ska varje landsting erbjuda en god hälso- och sjukvård bl.a. åt dem som är bosatta inom landstinget. Även i övrigt ska landstinget verka för en god hälsa hos hela befolkningen.

Kommuner och landsting har som utgångspunkt inte någon behörighet att vidta åtgärder utomlands i samband med en katastrof. Enligt den s.k. lokaliseringsprincipen ska en kommunal åtgärd vara knuten till kommunens eller landstingets eget geografiska område eller dess invånare. Kommuner och landsting får inte ha hand om sådana angelägenheter som det åligger enbart staten eller någon annan att sköta, såsom är fallet med t.ex. den svenska utrikes- och biståndspolitiken som uteslutande är en statlig fråga.

Sammanfattningsvis kan sägas att kommuner och landsting har flera viktiga uppgifter vid en nationell krissituation. Ansvaret begränsar sig dock geografiskt och i samband med en kris

61

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

utomlands, såsom vid flodvågskatastrofen, har kommunerna och landstingen i första hand ansvar för omhändertagandet av de personer som återvänder till Sverige och som är i behov av vård eller någon annan form av hjälp. Genom lagen om katastrofmedicin som en del av svenska insatser utomlands har landstingen emellertid getts möjlighet att bedriva hälso- och sjukvård utomlands i syfte att minimera de fysiska och psykiska följdverkningarna av en olycka eller katastrof. Lagen innebär alltså ett avsteg från den s.k. lokaliseringsprincipen.

3.5Katastrofmedicinska insatser i utlandet

Lagen om katastrofmedicin som en del av svenska insatser utomlands, som trädde i kraft den 1 september 2009, har som ändamål att ge Sverige möjlighet att tillhandahålla katastrofmedicin utomlands till människor med hemvist i Sverige inom ramen för den stödstyrka som leds av Myndigheten för samhällsskydd och beredskap (prop. 2007/08:138 s. 20).

Enligt lagens portalparagraf får ett landsting bedriva hälso- och sjukvård i utlandet om det sker vid en insats till stöd för utlandsmyndigheter och nödställda i en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof utomlands, och vården syftar till att minimera de fysiska och psykiska följdverkningarna av händelsen.

Det bör framhållas att det alltså inte rör sig om en skyldighet att tillhandahålla katastrofmedicinska insatser utan om en möjlighet att göra det. En insats kan hindras av t.ex. att det land där Sverige önskar tillhandahålla insatsen inte accepterar att Sverige gör det eller av det rådande säkerhetsläget (prop. 2007/08:138 s. 21).

Vissa landsting är enligt lagen skyldiga att tillhandahålla katastrofmedicinska insatser (landstingen i Stockholms, Västra Götalands, Skåne, Östergötlands, Uppsala och Västerbottens län), medan övriga landsting på frivillig basis kan upprätthålla en katastrofmedicinsk beredskap.

62

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

Beslut om att inleda eller avsluta en katastrofmedicinsk insats fattas av regeringen eller den myndighet som regeringen bestämmer. Enligt 2 § förordningen (2008:553) om katastrofmedicin som en del av svenska insatser i utlandet ska ett sådant beslut fattas av Myndigheten för samhällsskydd och beredskap.

Socialstyrelsen ska, enligt 3 § förordningen, göra sådana förberedelser att styrelsen inom sitt område, i en situation då många människor i Sverige drabbas av en allvarlig olycka eller katastrof utomlands, med kort varsel kan stödja utlandsmyndigheter och nödställda. Som framgått ovan är det Socialstyrelsen som enligt 5 § i den aktuella lagen som ska leda och samordna insatserna. Socialstyrelsen får även i övrigt besluta om hur landstingens resurser ska användas vid insatserna.

De katastrofmedicinska insatserna ska omfatta samma typ av vård som enligt hälso- och sjukvårdslagen, dvs. åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Även sjuktransporter omfattas av området för hälso- och sjukvård. Medicinskt utbildad personal kommer att behövas för att göra medicinska bedömningar inför hemtransporter och för att vårda sjuka och skadade under hemtransporter, men inte för att arrangera själva transporten. Uppgiften att ta hand om avlidna kommer inte i första hand att ingå i en katastrofmedicinsk insats utan kommer som tidigare att utföras av den ovan nämnda ID-kommissionen (prop. 2007/08:138 s. 24 f).

En katastrofmedicinsk insats är tänkt att bli aktuell endast i undantagsfall när det ”normala systemet” inte räcker till, dvs. när tillgängliga resurser i det andra landet är otillräckliga i förhållande till det akuta vårdbehovet. Med tillgängliga resurser avses inte bara det andra landets egen hälso- och sjukvård utan även de resurser som tillhandahålls genom andra aktörer, t.ex. reseföretag och försäkringsbolag via SOS International.

63

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

3.6Privata aktörer

Vid en allvarlig olycka och katastrof utomlands kan även olika privata aktörer involveras i krisarbetet. Som påpekats ovan är utgångspunkten att den enskilde har ett eget ansvar vid vistelse utomlands. Detta ansvar motiverar bl.a. ett försäkringsskydd som täcker rimliga skadehändelser. För de resenärer som väljer en paketresa har reseföretagen ett ansvar som regleras i lag. Enligt paketreselagen (1992:1672) är researrangören under vissa förutsättningar skyldig att tillhandahålla resenären en kostnadsfri hemtransport. När det gäller den fråga som nu är aktuell att utreda är de passagerarlistor som resebolagen och transportföretagen tillhandahåller också av stor betydelse.

Det finns även andra aktörer som kan hjälpa svenskar som befinner sig utomlands. Svenska kyrkan i utlandet (SKUT) finns på de flesta platser i världen där det finns många svenska turister och bosatta svenskar. Kyrkan samarbetar med utlandsmyndigheterna och dess verksamhet utgör ett komplement till det konsulära biståndsarbetet. Även arbetsgivare kan ha ett ansvar för utsänd personal som arbetar i ett annat land. Ansvaret för de anställdas sociala trygghet under utlandstjänstgöringen finns reglerat i avtal mellan arbetsmarknadens parter. Om en arbetstagare under utlandstjänstgöringen drabbas av sjukdom eller olycksfall kan ersättning lämnas för vård och behandling etc. (Socialstyrelsens skrivelse, Beredskapen för att omhänderta personer med hemvist i Sverige vid stora olyckor och katastrofer utomlands, s. 20).

3.6.1Researrangörerna

Researrangörernas ansvar för sina resenärer regleras i lagen (1992:1672) om paketresor och i resegarantilagen (1972:204).

Paketreselagen är tvingande till resenärens förmån och innebär bl.a. att researrangören kan vara skyldig att tillhandahålla fri hemresa. Så är fallet om den avtalade tjänsten till en väsentlig

64

Ds 2009:12 Krisorganisationen vid en allvarlig händelse i utlandet

del inte kan tillhandahållas på grund av ändrade förhållanden som inträffat efter avresan och något ersättningsarrangemang inte är aktuellt.

Resegarantin innebär att en resenär under vissa förutsättningar kan få tillbaka pengar som betalats för en resa och som blir inställd eller av annan anledning inte blir av. Detta sker genom att den som är arrangör eller återförsäljare av en paketresa ställer säkerhet hos Kammarkollegiet. Den som enbart köper en reguljär flygbiljett är alltså inte skyddad av resegarantin.

3.6.2Försäkringsbolagen

Reseförsäkring är inte obligatoriskt i Sverige. Varje resenär avgör således om han eller hon vill ha en sådan försäkring. Har resenären en hemförsäkring ingår normalt någon typ av reseförsäkring.

Kostnader med anledning av akut sjukdom eller olycka, hemtransport av skadad eller avliden samt anhörigs resa till svårt sjuk eller skadad täcks normalt av försäkringsskyddet.

För att snabbt kunna ge hjälp och service åt försäkrade som skadas eller blir sjuka utomlands har försäkringsbolagen skapat internationella samarbetsorgan eller larmcentraler som kan ta emot anmälningar och kontakta berört försäkringsbolag. Det finns flera larmcentraler i Europa, bl.a. SOS International a/s, Euro-Alarm a/s och Europ Assistance. SOS International a/s ägs tillsammans av de flesta stora försäkringsbolagen i Sverige, Norge, Danmark och Finland och kan hjälpa nödställda försäkringstagare 24 timmar om dygnet, året om, i hela världen. Genom SOS International a/s arrangeras bl.a. sjuktransporter hem, anhörigas resor till skadade eller hjälp till sjuka personer utomland och hemtransporter av avlidna. Övriga larmcentraler ger motsvarande hjälp.

65

Krisorganisationen vid en allvarlig händelse i utlandet Ds 2009:12

3.6.3Transportföretagens passagerarlistor

Sverige har anslutit sig till 1944 års konvention angående internationell civil luftfart, Chicagokonventionen (SÖ 1946:2). Konventionens syfte är att upprätthålla säkerheten under internationell lufttrafik och att underlätta och främja luftfarten. Enligt konventionens bestämmelser ska transportörer kontrollera att passagerare vid ombordstigningen innehar pass och tillstånd för transit och inresa. Enligt artikel 29 ska det för varje internationell flygtransport finnas en förteckning över samtliga passagerare. Konventionen omfattas numera av en EG- förordning och utgör alltså gällande rätt i Sverige (EG- förordning 1899/2006).

Sverige har också andra internationella förpliktelser om transportörsansvar. I Schengenkonventionen förskrivs således att de avtalsslutande parterna ska införa vissa bestämmelser på området, bl.a. innebärande en skyldighet för transportören att kontrollera inresehandlingar. Det krävs dessutom av medlemsstaterna att flygbolagen försäkrar sig om att en passagerare som har checkat in bagage också följer med på flygningen. Flygbolagen måste säkerställa att lika många personer som checkat in på en flygning också går ombord på flygplanet.

Ett svenskt passagerarfartyg som genomför en resa vars längd överstiger 20 nautiska mil ska som huvudregel registrera namn, kön, ålder och nationalitet på samtliga passagerare ombord (se 4 § SJÖFS 1999:15). Uppgifterna ska samlas in före avgång och meddelas till företagets registreringsansvarig eller dess landbaserade system som fyller samma funktion.

Transportföretag som befordrar varor, passagerare eller fordon har enligt bl.a. 25 § polislagen (1984:387) och 6 kap. 23 § tullagen (2000:1281) en skyldighet att i vissa fall lämna ut de aktuella uppgifter om ankommande och avgående transporter som företaget har tillgång till. I fråga om passagerare är skyldigheten begränsad till uppgifter som avser namn, resrutt, bagage och medpassagerare.

66

4Informationshantering vid olyckor och katastrofer i vissa andra länder

4.1Inledning

Internationellt finns ett antal informationssystem som ger stater som drabbas av en kris eller katastrof möjlighet att rapportera om händelsen till någon form av knutpunkt, som i sin tur förmedlar uppgifterna vidare till övriga berörda länder. Inom EU har kommissionen under flera år arbetat på att utveckla sådana informationssystem och flera sektorsspecifika system har vuxit fram. Inga av dessa system tar dock sikte på förmedling av uppgifter om försvunna, skadade eller avlidna personer.

För att få en uppfattning om hur frågan om informationshantering och katastrofregistrering i samband med större kriser och katastrofer utomlands har lösts i andra länder har uppgifter inhämtats från följande åtta länder, nämligen Danmark, Finland, Frankrike, Holland, Italien, Norge, Storbritannien och Tyskland.

Genom de svenska ambassadernas försorg i berörda länder har följande frågor ställts

1.Till vilken myndighet eller organisation ska anhöriga och andra kunna lämna och erhålla information om personer som saknas eller försvunnit i samband med en kris/katastrof utomlands?

67

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

2.Vilken myndighet eller organisation har ansvar för någon form av nationellt register över saknade, skadade och avlidna vid en sådan händelse?

3.Vem eller vilken enhet ansvarar för att ett nationellt register för informationshantering vid olyckor och katastrofer aktiveras och när sker detta?

4.Hur sker informationsöverföringen avseende drabbade mellan utlandsmyndigheterna och registret för informationshantering vid olyckor och katastrofer?

5.Hur är frågan om informationsutbyte mellan försäkringsbolagens larmcentraler, researrangörer och företag i utlandet å ena sidan och registret för informationshantering vid olyckor och katastrofer å den andra sidan löst?

6.På vilket sätt kan andra myndigheter, organisationer och enskilda få del av uppgifter från registret?

7.Finns någon särskild lagstiftning eller liknande för registret?

8.Om ett nationellt register för informationshantering vid olyckor och katastrofer saknas, finns det då något pågående utvecklingsarbete eller planer i syfte att bygga upp ett sådant register? Och i så fall: vilka tankar finns kring detta?

Svar, av varierande omfattning, har erhållits från samtliga tillfrågade länder.

4.2De nordiska länderna

4.2.1Danmark

I Danmark har utrikesministeriet ansvaret för att ta emot och registrera anmälningar om saknade personer i samband med en olycka eller katastrof utomlands. Detta ansvar gäller såväl vid små som stora händelser.

68

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

Databasen över saknade är placerad på den danska motsvarigheten till Utrikesdepartementets konsulära enhet – Borgerservice. Databasen aktiveras efter beslut av utrikesministeriet när det finns anledning att tro att flera människor kan komma till skada eller saknas, t.ex. vid en jordbävning eller en orkan. Skulle inga danskar rapporteras saknade stänger man databasen. Såväl departementet som utlandsmyndigheterna kan registrera direkt i, och ta ut uppgifter ur, den gemensamma databasen. Någon särskild lag som reglerar denna databas finns inte utan den lyder under den allmänna registerlagstiftningen, närmast motsvarigheten till den svenska personuppgiftslagen (1998:204).

Databasen hanteras i första hand av konsulära enhetens egen personal, men vid en större händelse kan annan personal kallas in som finns anmäld på den s.k. inryckningslistan (motsvarigheten till svenska Utrikesdepartementets beredskapsstyrka).

Det finns ingen särskild reglering av på vilket sätt larmcentraler och researrangörer m.fl. ska rapportera till registret eller få ut uppgifter från detta. Sådana frågor får lösas ad hoc. Vid exempelvis ett haveri med ett passagerarflygplan ska passagerarlistor etc. lämnas till närmaste dansk ambassad som för in uppgifterna i registret. Danska myndigheter som är i behov av uppgifter från registret kan få tillgång till dessa inom ramen för dansk lagstiftning.

Den nuvarande databasen togs fram externt på uppdrag av utrikesministeriet och med en kravspecifikation som bl.a. angav att databasen skulle vara kompatibel med andra system inom utrikesministeriet och med de danska ambassadernas system. Vidare angavs att systemet skulle ge möjlighet att ta ut information på Excel-ark och att ingen dubbelregistrering skulle vara möjlig utan att systemet varnar.

Några planer på att förändra nuvarande system finns inte eftersom berörda parter är nöjda med det system som finns och den aktuella databasen är mycket användarvänlig. En andra version av den befintliga databasen, som enligt uppgift ska vara än mer användarvänlig, är dock under utveckling.

69

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

Slutligen kan noteras att ett separat system med åtkomst via utrikesministeriets hemsida finns för den som frivilligt önskar lämna uppgift om sina resplaner, t.ex. vid resor av typen backpacking. Systemet avses kunna ge viss hjälp till att identifiera/ lokalisera danska turister i utlandet och på en viss ort i händelse av en olycka, kris eller katastrof.

4.2.2Finland

Det är det finska utrikesministeriet som har ansvaret för att ta emot och lämna information om saknade och skadade vid händelser utomlands. Vid bekräftade dödsfall är det polisens ansvar att informera de anhöriga.

Det är den konsulära enheten vid utrikesministeriet som har ansvar för registret för informationshantering vid olyckor och katastrofer och aktiveringsbeslut fattas av enhetens chef eller biträdande chef alternativt ministeriets beredskapschef. Vid krissituationer öppnar utrikesministeriet en telefonjour, dit anhöriga kan anmäla saknade personer i krisområdet. Anmälan kan göras på en webblankett som ministeriet i krissituationer aktiverar på sin webbplats.

Ambassader och den konsulära insatsstyrkan, i vilken endast personal från utrikesministeriet ingår, har direkt tillgång till registret för informationshantering vid olyckor och katastrofer vid ministeriet. Kontakten sker genom en säkerhetsskyddad Internetförbindelse.

Ingen utanför utrikesministeriet och utlandsmyndigheterna har tillgång till registret. Uppgifter till andra myndigheter utlämnas av ministeriet. I det krisrum inom utrikesministeriet som aktiveras vid behov finns arbetsplatser för andra myndigheter och organisationer, t.ex. researrangörer, flyg- och färjebolag och Röda Korset. Här kan dessa myndigheter och organisationer hämta ut nödvändiga uppgifter.

Det personregister för krissituationer som utrikesministeriet har inrättat regleras av lagen om personuppgifter (523/1999). De

70

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

registrerade uppgifterna ska gallras när krissituationen har upphört.

Utrikesministeriet tar också emot frivilliga reseanmälningar från dem som avser att resa utomlands. Sådana uppgifter kan lämnas via telefon, webbformulär eller e-post.

Utrikesministeriet har sedan år 2003 ett eget skräddarsytt krisregisterprogram, vilket utvecklades efter terrorattackerna i USA året innan. Inför en vidareutveckling av programmet har utrikesministeriet uttryckt intresse av att studera WorldReachs program som ett alternativ.

4.2.3Norge

Anmälan om saknad person ska lämnas, helst vid personligt besök, till lokal polismyndighet. Förhållandena när det gäller vilken myndighet som har ansvar för att föra ett register över personer som drabbats i samband med en kris eller katastrof är inte helt klara. Det norska utrikesdepartementet har emellertid, med hänvisning till sitt konsulära ansvar, inrättat ett registreringssystem (IT-lösning och personalberedskap) för att kunna ha en överblick över bland annat vem som drabbats, vilket tillstånd den drabbade befinner sig i (oskadad, skadad, död eller saknad) samt vilken hjälp som behövs. Dessutom registreras uppgifter om anhöriga. Den använda IT-lösningen är ett moduluppbyggt system, Crisis and Issues manager, CIM, som utvecklats av företaget One Voice.

De norska ambassaderna och konsulaten kan i likhet med utrikesdepartementet registrera och komplettera uppgifter samt ta ut uppgifter ur systemet. All information lagras på en server i Norge med tillgång från alla norska utrikesförvaltningar och utrikesdepartementet. Kontakterna går via Internet med krypterad satellitkommunikation och möjligheter finns att lämna och hämta uppgifter genom bärbar dator, handdator eller mobiltelefon.

71

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

Polisen har motsvarande beredskap för inrikes händelser, men hävdar också ett visst ansvar för sådana händelser utomlands. Därför har utrikesdepartementet, efter avtal med den norska motsvarigheten till Rikspolisstyrelsen, ett samarbete med Kriminalpolitisentralen (motsvarande Rikskriminalen) om elektronisk utväxling av data mellan utrikesdepartementets och polisens register. Företrädare för Kriminalpolitisentralen ges också tillträde till utrikesdepartementets lokaler vid sådana händelser.

När en olycka, kris eller katastrof har inträffat utomlands är det utrikesdepartementets krisstab som beslutar om registerfunktionen ska bemannas och om särskilda förberedda telefonnummer ska öppnas för mottagning av anmälningar från anhöriga. Vid inrikes händelser tas motsvarande beslut av den norska Rikspolisstyrelsen som bemannar verksamheten med egen personal.

Något avtal eller motsvarande om informationsutväxling med försäkringsbolag och larmcentraler finns inte. Det är en fråga som får avgöras från tillfälle till tillfälle. Men utrikesdepartementet har återkommande möten med representanter för försäkringsbranschen och med researrangörer, sjömanskyrkan och organisationer för utlandsstuderande. Avsikten med dessa möten är att lämna förebyggande information från utrikesdepartementet till norrmän i utlandet och att underlätta informationsutbytet i en krissituation.

Inga andra än polismyndigheterna kan få ut upplysningar från utrikesdepartementets register, med undantag av den registrerade själv som har lagstadgad rätt att ta del av uppgifter. Vid enstaka tillfällen utlämnas också uppgifter till anhöriga. Uppgifter om dödsfall lämnas dock inte ut. Detta är enligt lag en uppgift för polisen.

Varken hälso- och sjukvården eller kommunerna har automatisk tillgång till uppgifterna i registret. Vid en krissituation kan en företrädare för den norska motsvarigheten till Socialstyrelsen delta i krisstaben på utrikesdepartementet och

72

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

där få tillgång till krishanteringssystemet och förmedla nödvändig information till berörda organisationer.

Någon särskild lagstiftning för utrikesdepartementets register finns inte, men ansvaret för att ha ett sådant register följer av lag och förordning för utrikesförvaltningen.

Arbetet med att färdigställa en internetbaserad lösning för frivillig förhandsregistrering inför utlandsresor pågår. Den nya lösningen, PreReg, syftar till att utrikesdepartementet och de norska ambassaderna ska ha tillgång till en översikt över förhandsregistrerade norska medborgare utomlands med fördelning på land. Avsikten med denna lösning är att komma igång tidigare med krishanteringen och upprätta en effektiv kommunikation med norrmän som är drabbade av en händelse utomlands. PreReg är kopplat till telefoncentraler som kan skicka massmeddelanden via tal eller SMS.

4.3Vissa andra länder

4.3.1Frankrike

Något katastrofregister i egentlig mening finns inte i Frankrike av svaret att döma, varför man valt att inte direkt besvara de frågor som ställts. Vid det franska utrikesdepartementet finns emellertid ett register över fransmän i utlandet. I detta register finns omkring 1,3 miljoner fransmän som registrerat sig frivilligt vid en utlandsmyndighet. Även familjemedlemmar som inte är franska medborgare kan skriva in sig i detta register och de blir därmed omhändertagna från fransk sida i händelse av kris eller katastrof. Den övergripande kontrollen över detta register sker från det franska utrikesdepartementet.

73

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

4.3.2Holland

Det holländska utrikesdepartementet tar emot anmälningar om försvunna och drabbade personer vid olyckor och katastrofer utomlands. Departementet har ett särskilt register för stora katastrofer som heter CRISIS. Såväl departementet som de holländska ambassaderna runt om i världen är anslutna till databasen och kan där registrera och hämta uppgifter. Det är utrikesdepartementet som beslutar om när registret ska aktiveras.

Utbyte av information som krävs för det konsulära arbetet sker per telefon med försäkringsbolagens larmcentraler och andra organisationer. Varken dessa eller andra organisationer och myndigheter har direkt tillgång till registret.

Den holländska polisen kontaktas av utrikesdepartementet för att meddela anhöriga om dödsfall som har inträffat utomlands, men i övrigt har polisen inga uppgifter i samband med olyckor och katastrofer utomlands.

Utrikesdepartementet håller endast kontakt med och informerar en kontaktperson per drabbad eller per familj i syfte att hålla informationen på en resursmässigt genomförbar nivå och för att minska risken för missförstånd.

Någon speciell lagstiftning för katastrofregistret CRISIS finns inte. Det lyder under den nationella personuppgiftslagen. Det finns för närvarande inga planer på att förändra det nuvarande systemet eller registret.

4.3.3Italien

Vid utrikesministeriet finns en särskilt inrättad krisenhet (Unità di Crisi). Enheten är underställd generalsekreteraren (den högste tjänstemannen) vid departementet. Enheten tar emot anmälningar från anhöriga m.fl. om personer som saknas eller försvunnit i olyckor utomlands. Hit kan även allmänheten vända sig för att få information.

74

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

Något särskilt register över personer som saknas, skadas eller som har avlidit i samband med kris/katastrof utomlands finns inte. De som har avlidit registreras i det folkbokföringsregister i den kommun där de var bosatta. Uppgifter om dem som har skadats och deras skador noteras endast vid utlandsmyndigheten och krisenheten. Namn på saknade personer rapporteras från krisenheten till inrikesministeriet. Det är krisenhetens uppgift att sköta kommunikationen till inrikesministeriet och till berörda familjer.

Krisenheten har en överenskommelse med researrangörernas sammanslutningar och med de italienska företag som verkar utomlands och med frivilligorganisationer (NGOs) som ger enheten en överblick över de italienare som befinner sig utomlands, oavsett syftet med utlandsvistelsen.

Det finns inga planer i Italien på att skapa ett nytt nationellt register över saknade, skadade och avlidna då man inte ser något behov av ett sådant.

4.3.4Tyskland

Polismyndigheten är den myndighet som har behörighet för handläggning av fall rörande saknade tyska medborgare. Då en tysk myndighet får reda på att en tysk medborgare saknas registreras detta alltid, centralt, hos den tyska polisen under registret ”Saknade/Ej identifierade avlidna personer” (Vermisste/ Unbekannte Tote). Detta gäller även vid olyckor i utlandet. Inrikesministeriet (Bundesinnenministerium), alternativt de underordnade polismyndigheterna, är behöriga att lämna ut information.

I händelse av en kris eller katastrof utomlands där tyska medborgare drabbas insamlas så mycket information som möjligt om de drabbade och deras status (t.ex. saknade, skadade och avlidna) av den tyska utlandsmyndigheten. Informationen vidarebefordras sedan till utrikesministeriet som parallellt med detta samlar in information direkt angående saknade personer genom inkommande upplysningar från privatpersoner. Informa-

75

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

tionen vidarebefordras (elektroniskt) sedan till Bundeskriminalamt (motsvarighet till Rikspolisstyrelsen) där den läggs in i filen ”Saknade/Ej identifierade avlidna personer”.

Den som rapporterat en person som saknad till utrikesministeriet måste vid ett senare tillfälle lämna in en formell anmälan till polismyndigheten i den ort där uppgiftslämnaren är bosatt. Därigenom vidtas vissa åtgärder (sparande av information under centralregistret ”Saknade/Ej identifierade avlidna personer”, avstämning med utrikesministeriets insamlade data, ansökan om hjälp av utländska myndigheter i eftersökandet, upptagande av ante-mortem-upplysningar för identifiering av offer).

Insamlingen av den ovan nämnda informationen sker, efter en större kris eller katastrof med ett stort antal drabbade, med hjälp av ”KriSys”, ett elektroniskt insamlingsprogram vilket har utarbetas av utrikesministeriet i samarbete med Bundeskriminalamt. Arbetet med KriSys sker genom en webbaserad användning och programmet kan användas genom varje arbetsplatsplacerad dator, om den är ansluten och aktiverad mot utrikesministeriets intranät. En inmatning av data kan följaktligen ske på den berörda utlandsmyndigheten eller på platsen för händelsen.

KriSys har även en dataexportfunktion som möjliggör för andra myndigheter att ta del av insamlad persondata, om det finns ett behov.

Rätten att ta del av de uppgifter som har registrerats är starkt begränsad. Vidare gallras alla uppgifter insamlade av utrikesministeriet efter att hanteringen efter en kris avvecklats.

Inom utrikesministeriets organisation är avdelningen för ”Nödhjälp till Tyskar i Utlandet” (Nothilfe für Deutsche im Ausland) ansvarig för handläggning av konsulärt bistånd till nödställda (inkl. sökande efter saknad person).

76

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

4.3.5Storbritannien

I händelse av kris/katastrof utomlands vänder sig anhöriga till The Foreign & Commonwealth Office (FCO), som är det brittiska utrikesdepartementet. Om krisen begränsas till en speciell grupp, som alla rest ut i en och samma researrangörs regi, så är det researrangören som håller i kontakterna med de anhöriga. FCO har vid en sådan kris en mer stödjande roll. FCO kan dock aldrig överlämna hela ansvaret till researrangören eftersom FCO har ett ansvar för brittiska medborgare som är involverade i olyckshändelser/kriser/katastrofer utomlands.

Om det inte finns någon ansvarig researrangör och händelsen endast involverar en handfull personer så är det FCOs Consular Assistance Group, dvs. den konsulära avdelningen, som hanterar konsulära ärenden normalt, som handlägger ärendet. Om händelsen är av större omfattning så är det FCOs särskilda krisavdelningen, The Consular Crisis Group, som har ansvaret.

Det är FCO som har ansvar för att föra ett register över personer som anmälts saknade utomlands. Systemet heter LOCATE och alla som arbetar med krisen på FCO, i London såväl som utomlands, dvs. vid ambassader och konsulat, kan gå in i systemet.

Så snart en större händelse av aktuellt slag har inträffat aktiverar The Consular Crisis Group kriscentrat samt bemannar samtalscentret i särskilda lokaler belägna strax intill kriscentrat. Samtidigt går man ut i media och informerar om vilket telefonnummer som anhöriga kan ringa till. Den som ringer kan välja olika alternativ. Man får t.ex. information om att det finns ett on-lineformulär som man kan fylla i och på så sätt lämna uppgifter. Information som kommer in per telefon eller e-post från försäkringsbolag, resebyråer m.m. lägger FCO in i systemet.

Den som vill ta del av uppgifter ur registret kan kontakta FCO, men det är inte säkert att uppgifterna lämnas ut med hänsyn till innehållet i nationell lagstiftning, the Data Protection Act.

77

Informationshantering vid olyckor och katastrofer i vissa andra länder Ds 2009:12

Det finns ingen särlagstiftning kring registret utan detta regleras endast av Data Protection Act. Några planer på att förändra det nuvarande systemet finns inte.

4.4Slutsatser

Samtliga tillfrågade länder utom Italien och Frankrike uppger sig ha någon form av nationellt register för att hantera anmälningar vid kriser och katastrofer. I samtliga dessa länder utom Tyskland är det motsvarigheten till Utrikesdepartementet som har ansvar för att ta emot och lämna information om personer som saknas eller försvunnit vid en olycka eller katastrof utomlands. I dessa länder är det också det departementet som har någon form av registrering över dessa personer och som aktiverar registret. Italien uppger sig dock inte ha något centralt register över huvud taget för dessa uppgifter. I Tyskland har polisen hand om registreringen vid motsvarigheten till Rikspolisstyrelsen och har också uppgiften att lämna ut information ur registret, såväl till andra myndigheter som till anhöriga.

I samtliga länder som har ett register är detta gemensamt för respektive utrikesdepartement och landets utlandsmyndigheter, t.ex. via gemensamma intranät. Från tysk sida anges att det är möjligt att använda systemet med bärbar dator som ansluts till utrikesdepartementets intranät.

Italien synes vara det enda av de tillfrågade länderna som har reella överenskommelser med researrangörer och andra organisationer om att dessa ska lämna uppgifter till utrikesdepartementet om personer som befinner sig utomlands. I övriga länder bedöms behovet av sådan information från fall till fall.

I inget av de tillfrågade länderna har researrangörer och larmcentraler m.fl. någon möjlighet att anteckna uppgifter i registret. Uppgifter kan dock givetvis lämnas per telefon eller på annat sätt för senare registrering. Möjligheterna för andra myndigheter än den registeransvariga att ta del av de uppgifter varierar. I t.ex. Holland och Italien finns inga sådana möjligheter.

78

Ds 2009:12 Informationshantering vid olyckor och katastrofer i vissa andra länder

I Tyskland kan sådana uppgifter erhållas av polisen, medan det i allmänhet i övrigt finns möjlighet för berörda myndigheter att begära sådana uppgifter från utrikesdepartementet.

Möjligheterna för anhöriga att få ut uppgifter varierar, men hållningen är i flertalet fall mycket restriktiv. I Holland lämnas information alltid endast till endast en anhörig, varefter denne får vidarebefordra uppgifterna till övriga intresserade. Såväl där som i andra länder förefaller uppgifterna endast förmedlas vid direkt kontakt, t.ex. via telefon. I Storbritannien och Finland finns möjlighet att anmäla saknad/drabbad person via webbformulär.

I åtminstone Norge, Danmark och Finland finns eller planeras system för frivillig anmälan till utrikesdepartementen per telefon eller via webbformulär om utlandsvistelse. I Frankrike kan sådan frivillig anmälan göras till utlandsmyndigheten.

Någon speciallagstiftning synes inte existera någonstans för de katastrofregister som här diskuteras. I stället följer registren den nationella lagstiftningen av motsvarande typ som den svenska personuppgiftslagen eller en allmän nationell registerlag.

Det är endast från finskt håll som man uppger sig ha planer på att införa ett nytt system för katastrofregistreringen. I Danmark pågår en viss vidareutveckling av det nuvarande systemet i syfte att ytterligare förbättra användarvänligheten. I åtminstone Norge och Danmark utgör katastrofregistreringen någon form av försystem till det av Interpol förordade DVI-systemet avseende bekräftat eller misstänkt avlidna.

79

5 Behovet av en reform

5.1Allmänt om behovet av ett system för registrering av personuppgifter vid vissa händelser i utlandet

Bedömning: För att staten på ett bra sätt ska kunna bistå med skydd, vård, evakuering och andra åtgärder för personer med svensk anknytning vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet finns det behov av att, på ett samlat och strukturerat sätt, kunna registrera och i övrigt behandla uppgifter om drabbade personer. Enligt utredningen kan behovet tillgodoses genom inrättandet av ett centralt register för sådana uppgifter.

Skälen för bedömningen: En brist som visat sig med stor tydlighet i de utvärderingar som gjorts efter flodvågskatastrofen har varit avsaknaden av ett väl fungerande system för att, på ett samlat och strukturerat sätt, ta emot, bearbeta, och förmedla personrelaterade uppgifter. Enligt 2005 års katastrofkommission saknades således en effektiv registrering av personuppgifter som kunde underlätta sökande och identifiering av omkomna. Bland annat saknades enligt kommissionen en mottagningsfunktion med tillräcklig kapacitet, ett integrerat informationsflöde, en tillräcklig analyskapacitet och en fungerande, gemensam databas (SOU 2005:104 s. 231).

Som redan framgått är många beroende av och har berättigade krav på att snabbt få del av relevanta uppgifter om drabbade

81

Behovet av en reform Ds 2009:12

personer. Vilken typ av information som efterfrågas beror på vem den uppgiftssökande är. För de myndigheter vars verksamhetsuppgifter innefattar deltagande i räddningsinsatser är tillgången till vissa uppgifter om drabbade personer ibland en nödvändig förutsättning för arbetet. Det är emellertid inte alla aktörer som är i behov av information i form av personuppgifter. I flera fall avser behovet i stället mer övergripande information om situationen och allmänna lägesbeskrivningar. Oavsett vilket är en effektiv registrering av personuppgifter av stor betydelse för att tillgodose informationsbehovet.

Enligt utredningen är det alltså klart att det föreligger ett behov av ett register omfattande uppgifter om drabbade personer och att ett sådant bör inrättas. I kapitel 6 redovisas utredningens överväganden bl.a. när det gäller ansvarsförhållanden, den närmare utformningen av registret och de författningsmässiga konsekvenserna av utredningens förslag.

I avsnitt 6.9 redogörs närmare för registrets ändamål. Redan nu kan framhållas att utredningen anser att en registrering av personuppgifter i första hand bör ske för att tillgodose det behov som finns hos de aktörer, företrädesvis myndigheter, som har uppgifter att utföra i samband med en katastrofinsats och i skedet närmast därefter. Registret ska alltså syfta till att förbättra förutsättningarna för berörda myndigheter att lämna snabb och effektiv hjälp till dem som har drabbats.

Ett annat syfte med ett register är att tillgodose andras berättigade krav på att få snabb och tillförlitlig information om enskilda drabbade, t.ex. anhöriga eller närstående. Registret bör också kunna tjäna som underlag för att förse andra med information av mer övergripande karaktär.

I de följande avsnitten lämnas en redogörelse för resultatet av den kartläggning som utfördes inom ramen för det första uppdraget (se ovan avsnitt 1.1) angående vilka myndigheter som i dagsläget har ett behov av att registrering i stor skala genomförs avseende uppgifter om drabbade personer, vilka uppgifter behovet i allmänhet avser samt vilket informationsbehov som i övrigt kan föreligga. Uppgifterna bygger i allt väsentligt på den

82

Ds 2009:12 Behovet av en reform

information som har lämnats av de berörda myndigheterna själva. Med hänsyn till den tid som har förflutit sedan kartläggningen genomfördes har inom ramen för detta uppdrag förnyade kontakter tagits med berörda myndigheter (se ovan avsnitt 1.3).

5.2Myndigheternas behov av uppgifter om enskilda

5.2.1Utrikesförvaltningen

Bedömning: Såväl Utrikesdepartementet som utlandsmyndigheterna är för sina verksamhetsuppgifter i behov av tillgång till uppgifter om drabbade personer.

Skälen för bedömningen: Under normala förhållanden riktas utlandsmyndigheternas insatser i första hand till de personer som söker upp eller på annat sätt kontaktar respektive ambassad eller konsulat med begäran om råd, vägledning eller bistånd. I samband med en allvarlig olycka eller katastrof är situationen en annan. Enligt 20 § förordningen (1992:247) med instruktion för utrikesrepresentationen ska en beskickning eller ett konsulat vid en naturkatastrof eller en svår olycka genast undersöka om någon svensk medborgare har avlidit eller skadats. I en krissituation ska myndigheten lägga särskild vikt vid att hålla kontakt med och bistå svenska medborgare (22 §). Av Regeringskansliets föreskrifter om utlandsmyndigheternas beredskap (UF 2004:6) följer att varje utlandsmyndighet även ska kunna bistå svenska medborgare och vissa andra med skydd, evakuering och andra åtgärder i en sådan situation. För utlandsmyndigheterna är information om vilka svenskar som befinner sig i området därför av central betydelse.

I uppgiften för den jourhavande tjänstemannan vid Utrikesdepartementets enhet för konsulära och civilrättsliga ärenden (enheten KC) ingår bl.a. att informera sig om situationen och att

83

Behovet av en reform Ds 2009:12

säkerställa att nödvändiga åtgärder som inte kan anstå vidtas. Den jourhavande tjänstemannen ska även sammanställa en initial lägesbeskrivning och upprätthålla kontakten med inblandande aktörer (se 6 § UF 2007:1 och Statsrådsberedningens riktlinjer för Regeringskansliets krishanteringsförmåga). I praktiken innebär det bl.a. att den jourhavande tjänstemannen behöver informeras om vilka svenskar som är drabbade eller saknade och hur de har tagits om hand. Även för den fortsatta ärendehanteringen är Utrikesdepartementet i behov av tillgång till personuppgifter.

5.2.2Rikspolisstyrelsen och polismyndigheterna

Bedömning: Rikspolisstyrelsen och polismyndigheterna är vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet i behov av tillgång till uppgifter om drabbade personer för att kunna utföra sina verksamhetsuppgifter.

Skälen för bedömningen: När en person anmäls försvunnen i samband med en allvarlig kris eller katastrof i utlandet behöver polismyndigheterna i princip ha tillgång till samma uppgifter som vid en motsvarande händelse inom landet. Exempel på sådana uppgifter är namn, adress och personnummer samt vissa signalementsuppgifter, men även uppgifter om när och var den saknade senast sågs och om den saknade då var i sällskap med någon, och i så fall vem, samt hur den saknade var klädd vid försvinnandet. Sker försvinnandet i samband med en utlandsvistelse kan emellertid även vissa andra uppgifter vara värdefulla att anteckna, exempelvis uppgifter om eventuell researrangör, planerad tid för vistelsen och eventuellt ressällskap.

I ett senare skede, om det finns anledning att befara att den saknade har avlidit, kan det dessutom bli aktuellt för polismyndigheten att samla in ante-mortem uppgifter, alltså identi-

84

Ds 2009:12 Behovet av en reform

tetsuppgifter som hänför sig till tiden före döden, via kontakter med anhöriga, den saknades tandläkare och läkare m.m.

Polismyndigheterna svarar vanligen för att informera de anhörigas familjer om konstaterade sjukdoms- eller dödsfall och behöver därför även ha tillgång till uppgifter för att kunna fullgöra denna skyldighet.

De poliser och kriminaltekniker som tjänstgör i ID-kommis- sionen är för sina verksamhetsuppgifter beroende av att få tillgång till personuppgifter (se nedan avsnitt 5.2.5 angående behov av uppgifter för andra personalkategorier som ingår i ID- kommissionen). Även vid deltagandet i den s.k. stödstyrkan (se ovan avsnitt 3.3.4), vilket för polisens del sker av Rikspolisstyrelsen genom Rikskriminalpolisen, finns ett behov av tillgång till personuppgifter.

5.2.3Myndigheten för samhällsskydd och beredskap

Bedömning: Myndigheten för samhällsskydd och beredskap har för sina verksamhetsuppgifter vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet inte något behov av tillgång till personuppgifter.

Skälen för bedömningen: Myndigheten för samhällsskydd och beredskap har angett att den inte har något behov av tillgång till uppgifter om enskilda. Däremot har myndigheten behov av aggregerade uppgifter och statistik som kan användas när lägesbilder tas fram och när informationen på den nationella krisportalen sammanställs och uppdateras. Dessutom kommer myndigheten att ha nytta av mer övergripande information när myndigheten stödjer samordningen av andra aktörers krishanteringsinsatser, genom att tillhandahålla en samlad lägesbild och samordna information till allmänheten. Sådan information kan också användas när myndigheten agerar i sin insatsroll och t.ex. medverkar vid transporter och evakuering av nödställda.

85

Behovet av en reform Ds 2009:12

5.2.4Socialstyrelsen

Bedömning: Socialstyrelsen är för sina verksamhetsuppgifter vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet i behov av tillgång till uppgifter om drabbade personer.

Skälen för bedömningen: Socialstyrelsen har vid olyckor och katastrofer utomlands en skyldighet att hålla regeringen informerad om händelseutvecklingen, tillståndet och den förväntade utvecklingen inom sitt ansvarsområde. För att kunna leda och samordna katastrofmedicinska insatser krävs att myndigheten tidigt får tillgång till uppgifter om hur många, och senare även vilka, personer som har skadats och vilka insatser som kan komma att krävas från svensk vårdpersonals sida.

Som redovisats tidigare ingår Socialstyrelsen även i den myndighetsgemensamma stödstyrkan och har också av den anledningen ett behov av att få tillgång till personuppgifter.

Inför omhändertagandet av personer som återvänder till Sverige behöver Socialstyrelsen en förteckning över hjälpbehövande som väntas hem. Förteckningen ska tjäna som underlag för beslut om fortsatta transporter och för information till berörda landsting och sjukvårdsenheter. Förteckningen behöver innehålla namn, personnummer, postnummer, hemort, landsting, typ av skada och vårdbehov, uppgift om lämpligt transportmedel samt uppgift om när och till vilken plats den drabbade anländer.

86

Ds 2009:12 Behovet av en reform

5.2.5Rättsmedicinalverket

Bedömning: Den personal som är anställd vid Rättsmedicinalverket och tjänstgör i ID-kommissionen har för sina arbetsuppgifter ett behov av att få del av vissa personuppgifter vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet.

Skälen för bedömningen: Rättsmedicinalverket har för sin egen verksamhet inte något behov av individrelaterade uppgifter annat än när det gäller avlidna personer. I ett operativt läge har de rättsläkare som tjänstgör för ID-kommissionen ett betydande behov av få tillgång till de ante-mortem uppgifter som polisen samlar in.

5.3Kommunernas och landstingens behov av uppgifter om enskilda

Bedömning: Landstingen kan för sina uppgifter i samband med en katastrofmedicinsk insats vara i behov av att få del av vissa personuppgifter. Därutöver har kommunerna och landstingen ett intresse av att få del av vissa uppgifter om drabbade personer för att kunna utföra åligganden i förhållande till sina invånare när dessa återvänder till Sverige.

Skälen för bedömningen: Även landsting och kommuner har redovisat ett behov av att få del av individrelaterade uppgifter. Personal från landstingen ingår i stödstyrkan och bidrar enligt lagen (2008:552) om katastrofmedicin som en del av svenska insatser utomlands med vårdinsatser på platsen för händelsen. I det arbetet finns ett behov av att ta del av i vart fall vissa personrelaterade uppgifter. För att landstingen och kommunerna på ett bra sätt ska kunna ta hand om de invånare som återvänder

87

Behovet av en reform Ds 2009:12

till Sverige efter en katastrof behöver de ha tillgång till vissa uppgifter såsom vilka personerna är, när de anländer och vilket behov av vård, hjälp och stöd som föreligger.

5.4Andra aktörers behov av personuppgifter

Utredningens uppdrag har utgått från, och avgränsats till, en kartläggning av vilka myndigheter som för de aktuella fallen har ett behov av att uppgifter registreras. Även andra än myndigheter kan emellertid förväntas ha ett intresse av att en sådan registrering sker, eller i vart fall av att få del av uppgifter som kan förväntas omfattas av en registrering.

5.4.1Utländska myndigheter

Vid sådana händelser som nu är aktuella är det inte ovanligt att myndigheter och hjälporganisationer från ett land bistår nödställda från andra länder än det egna. Mellan EU:s medlemsländer finns enligt Lissabonsfördraget en solidaritetsskyldighet som innebär en förpliktelse att bistå varandra vid en katastrof. Trots att fördraget inte har godkänts av alla medlemsstater och således inte är gällande, torde förpliktelsen ge uttryck för en grundläggande princip som medlemsstaterna i praktiken ändå står bakom. Vidare antogs i juni 2008 ett rådsbeslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, det s.k. Prümrådsbeslutet. Rådsbeslutet innehåller bestämmelser som syftar till att utveckla informationsutbytet inom unionen, framför allt vad gäller uppgifter i DNA-, fingeravtrycks- och fordonsregister. I beslutet finns emellertid även bestämmelser om andra former av samarbete, t.ex. gemensamma insatser inom unionen och bistånd vid större katastrofer och allvarliga olyckor. För närvarande pågår ett utredningsarbete inom Justitiedepartementet för att se över vilka författnings-

88

Ds 2009:12 Behovet av en reform

ändringar som bedöms vara nödvändiga och lämpliga med anledning av rådsbeslutets bestämmelser (Ju2008/5996/P).

I framtiden kommer det alltså att finnas ett utökad skyldighet för myndigheter inom ett medlemsland att bistå ett annat medlemsland i samband med en allvarlig kris eller katastrof. I linje härmed kan även informationsutbytet mellan svenska och utländska myndigheter förväntas öka, eventuellt även såvitt avser personuppgifter.

5.4.2Privata aktörer

Vissa företag har med hänsyn till sin verksamhet typiskt sett ett intresse av att få del av uppgifter om drabbade personer vid en kris eller katastrof i utlandet. Om den drabbade personen omfattades av en reseförsäkring finns ett sådant intresse hos försäkringsbolagen, som då genom försäkringsavtalet har åtagit sig att hjälpa personen i fråga. Likaså kan de företag som har ombesörjt transporten för den drabbade personen till platsen för händelsen ha ett sådant intresse för att kunna uppfylla sina åligganden enligt avtal och föreskrifter (se ovan avsnitt 3.6). Man kan tänka sig att flera andra privata aktörer kan ha liknande intressen, t.ex. en svensk arbetsgivare som har personal utsänd på platsen för händelsen.

5.5Behovet av övergripande information

Bedömning: Vissa myndigheter, t.ex. Myndigheten för samhällsskydd och beredskap, är för sina arbetsuppgifter i behov av lägesrapporter och mer allmän information om händelsen. Sådan information behöver även förmedlas till andra, inte minst till allmänheten, och kan efter händelsen ligga till grund för bl.a. utvärderingar av myndigheternas verksamheter.

89

Behovet av en reform Ds 2009:12

Skälen för bedömningen: När en katastrof eller olycka inträffar finns behov av information även på ett mer övergripande plan. Som framgått av redovisningen under avsnitt 5.2 avser vissa myndigheters behov just sådan information. Dessutom behöver allmänheten på olika sätt förses med information om vad som har inträffat. En stor kris eller katastrof tilldrar sig naturligtvis ett stort allmänintresse. För undvikande av att felaktiga uppgifter lämnas är det angeläget att så långt som möjligt kvalitetskontrollerad information snabbt kommer allmänheten till del.

Det finns många olika sätt som allmänheten kan delges information på. Några av dessa är via regeringens och myndigheternas hemsidor på Internet samt via pressmedelanden och presskonferenser. För denna typ av upplysningar kan de uppgifter som omfattas av en registrering utgöra ett värdefullt informationsunderlag. De uppgifter som det finns ett behov av att erhålla och lämna vidare utgör emellertid inte personuppgifter utan är av mer allmän karaktär.

När det akuta skedet är över kan det bli aktuellt att utvärdera händelsen och de insatser som den föranlett. Vid en sådan utvärdering kan bl.a. uppgifter om antalet drabbade, information om vilka räddningsinsatser som utförts och på vilket sätt det skett, vara av stor betydelse. Det kan också bli aktuellt att låta uppgifter i registret ligga till grund för sammanställning av statistik. Inte heller i detta fall rör det sig alltså om ett behov av personuppgifter utan av att på ett mer övergripande plan hämta upplysningar från registret.

90

6 Överväganden och förslag

6.1Rikspolisstyrelsen ska ansvara för registret och registreringsverksamheten.

Förslag: Rikspolisstyrelsen ska vara ansvarig myndighet för det nya registret

Skälen för förslaget: Det finns enligt utredningen två naturliga alternativ vid valet av ansvarig myndighet för ett register av nu aktuellt slag, nämligen Regeringskansliet eller Rikspolisstyrelsen. Såväl utrikesförvaltningen som polisen har arbetsuppgifter att utföra i samband med en allvarlig händelse i utlandet som i sin tur förutsätter viss registreringsverksamhet.

Utlandsmyndigheterna har en allmän skyldighet att ta till vara svenska medborgares rätt och ska i enlighet med olika föreskrifter lämna svenskar hjälp och bistånd vid behov samt bevaka och skydda svenskars intressen. Om en naturkatastrof eller någon svår olycka inträffar inom utlandsmyndighetens verksamhetsområde ska den genast undersöka om någon svensk medborgare har avlidit eller skadats och i så fall snarast underrätta Utrikesdepartementet. När utlandsmyndigheten får reda på att en svensk medborgare som bor i Sverige, eller som har en nära anhörig i Sverige, har avlidit ska den vidta vissa åtgärder. Samma sak gäller om det är en utländsk medborgare eller en statslös person som är bosatt i Sverige. Utlandsmyndigheterna ska bl.a. förvissa sig om den avlidnes identitet, underrätta de anhöriga som befinner sig i verksamhetsområdet

91

Överväganden och förslag Ds 2009:12

samt underrätta Utrikesdepartementet och vidta de åtgärder för hemsändning eller begravning som departementet beslutar om. För dessa åligganden krävs att Utrikesdepartementet och utlandsmyndigheterna registrerar olika uppgifter (SOU 2005:104 s. 228). I dag sker det i huvudsak i den s.k. KC- databasen, se ovan avsnitt 3.2.2.

Till polisens uppgifter hör att bedriva spaning och utredning på grund av misstanke om brott. Polisen ska också lämna allmänheten upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges. Denna hjälpande verksamhet omfattar till exempel åtgärder vid olyckshändelser eller medverkan i åtgärder vid katastrofer. Polisen ansvarar vidare, som en räddningstjänstuppgift, för efterforskning av personer som har försvunnit under sådana omständigheter att det kan befaras att det föreligger fara för deras liv eller allvarlig risk för deras hälsa. För att kunna fullgöra dessa olika arbetsuppgifter måste polisen samla in och registrera information (SOU 2005:104 s. 228 f).

Polisen har vidare till uppgift att identifiera personer som omkommit till följd av större olyckshändelser, naturkatastrofer eller andra händelser av större omfattning. En större olycka eller naturkatastrof som inträffar utomlands kan i Sverige anses som en riksangelägenhet för polisen. Rikspolisstyrelsen får leda sådan polisverksamhet som föranleds av händelser utomlands där kravet på nationell enhetlighet är särskilt framträdande. När anhöriga eller drabbade – oavsett var de befinner sig – i en olyckssituation börjar ringa till polisen för att lämna uppgifter om återfunna, skadade, saknade eller dödade personer som är bosatta i Sverige, blir det en uppgift för polisen att registrera dessa uppgifter, s.k. katastrofregistrering (SOU 2005:104 s. 229).

I sin huvudrapport, Sverige och tsunamin – granskning och förslag konstaterade 2005 års katastrofkommission att det har funnits oklarheter kring hur ansvaret för registrering och behandling av personuppgifter i samband med en allvarlig kris, katastrof eller annan liknande händelse utomlands fördelar sig och vem – utrikesförvaltningen eller polisen – som har

92

Ds 2009:12 Överväganden och förslag

huvudansvaret för registreringsverksamheten i en sådan situation. De oklara gränserna har föranlett såväl dubbelarbete som missförstånd (SOU 2005:104 s. 230).

Kommissionen gav uttryck för ståndpunkten att polisen bör ha det grundläggande ansvaret för en registrering av saknade personer, oavsett om de saknas i hemlandet eller utomlands. Som skäl för sin uppfattning angav kommissionen bl.a. att den funktionella indelningen av de offentliga verksamheterna är att anse som mer grundläggande än den geografiska. För att man med framgång ska kunna ta sig an en uppgift som t.ex. rör räddningstjänst, sjukvård eller transporter är det primära att man har kunskap om verksamheten i sig, dess problem och tänkbara lösningar. Att en viss verksamhet måste bedrivas utomlands är en komplikation som kräver kontakter med andra länders administration och kunskaper om hur denna administration fungerar, men detta kan enligt kommissionen inte anses som det primära. Kommissionen gjorde i stället bedömningen att det var naturligt att den myndighet som har ansvaret för en viss verksamhet under normala omständigheter behåller detta ansvar vid händelser som förutsätter utrikes kontakter (SOU 2005:104 s. 330 f.).

Utredningen delar kommissionens ståndpunkt att det grundläggande ansvaret för en registrering bör ligga på polisen, eller närmare bestämt på Rikspolisstyrelsen. För detta talar bl.a. förhållandet att polisen genom sitt verksamhetsansvar har erfarenhet av katastrofregistrering och en organisation som är anpassad för en sådan uppgift. För en sådan ansvarsfördelning talar också det faktum att det sedan länge finns en strävan att så långt möjligt befria Regeringskansliet från ärenden av löpande karaktär och ärenden som rör enskilda. Sådana ärenden bör i möjligaste mån hanteras på myndighetsnivå under regeringen och dess kansli.

93

Överväganden och förslag Ds 2009:12

6.2När ska en registrering ske?

Förslag: Registret ska användas när många personer som på olika sätt har anknytning till Sverige har drabbats eller kan befaras ha drabbats av en allvarlig kris, katastrof eller annan liknande händelse i utlandet.

Skälen för förslaget: Hittills har utredningen endast konstaterat att det finns ett behov av registrering av personuppgifter i samband med det som kan klassificeras som en allvarlig kris, katastrof eller annan liknande händelse utomlands, utan att lämna någon närmare beskrivning av vad som avses med begreppet. Frågan är då vilka förhållanden som bör vara för handen för att en registrering ska kunna bli aktuell.

I förarbetena till lagen (2008:552) om katastrofmedicin som en del av svenska insatser utomlands, där rekvisitet allvarlig olycka eller katastrof används, angavs att detta innefattar en rad olika situationer. Det kan t.ex. vara ett resultat av jordbävningar och andra naturkatastrofer samt omfattande olyckor av olika slag. Det kan också vara resultatet av vålds- och terrorhandlingar. Oberoende av den närmare anledningen kan effekten också tänkas omfatta de s.k. C-, B- och RN-områdena (kemiska, biologiska, radiologiska och nukleära områdena, prop. 2007/08:138 s. 42).

Kommittén om statens ansvar vid katastrofer utomlands, SAKU, har angett liknande exempel på händelser som ska kunna föranleda en konsulär katastrofinsats (SOU 2008:23 s. 11 f.) och föreslagit att rekvisitet allvarlig kris eller katastrof ska användas för att beskriva de händelser som avses. En vanlig beskrivning av en kris är enligt kommittén att det är en situation där normala resurser inte räcker till för att hantera situationen. En katastrof har definierats som en allvarlig påverkan på samhället som orsakar omfattande materiella, ekonomiska och miljöfarliga förluster, vilka överstiger samhällets möjligheter att hantera situationen med egna resurser (SOU 2008:23 s. 103).

94

Ds 2009:12 Överväganden och förslag

Den nu aktuella regleringen bör enligt utredningen knyta an till de situationer som nämnts ovan. En utgångspunkt bör alltså vara att en registrering ska aktualiseras endast i situationer som starkt avviker från de där hjälpbehovet kan betraktas som normalt och när ett större antal personer är i behov av hjälp i olika former.

Frågan om registret ska användas kommer att aktualiseras i samtliga fall då en katastrofinsats och/eller en katastrofmedicinsk insats kan bli aktuell. Som har konstaterats i förarbetena till den lagstiftningen är det inte möjligt, eller ens behövligt, att lämna någon uttömmande uppräkning eller närmare beskrivning av vilka händelser som kan omfattas av tillämpningsområdet (SOU 2008:23 s. 11 och prop. 2007/08:138 s. 22 f.). Det som bör bli avgörande för bedömningen är i stället vilka följder händelsen ger upphov till i form av bl.a. behov av skydd, vård, evakuering och andra åtgärder för personer med svensk anknytning.

Till det som sagts ovan bör anmärkas att informationen om en allvarlig händelse inledningsvis ofta är bristfällig. SAKU har för sin del angett att en vägledande princip bör vara att om det finns välgrundad anledning att tro att en insats kan behövas, bör en sådan insats också göras (SOU 2008:23 s. 12, jfr SOU 2005:104 s. 300 f.). En sådan försiktighetsprincip bör enligt utredningen tillämpas även när det gäller frågan om ett registreringsförfarande bör inledas eller ej. Med hänsyn till behovet av ett snabbt agerande bör registrering således kunna ske även innan det finns full vetskap om omfattningen och innebörden av det som inträffat.

Utredningen behandlar frågan om vilken personkrets som bedömningen ska utgå ifrån under avsnitt 6.5.

95

Överväganden och förslag Ds 2009:12

6.3Bör det ankomma på annan än Rikspolisstyrelsen att bestämma när registret ska användas?

Förslag: Rikspolisstyrelsen ska inleda registreringsverksamheten efter beslut av Regeringskansliet.

Skälen för förslaget: En central fråga gäller vem som, när en allvarlig händelse väl har inträffat, ska fatta beslut om att en registreringsverksamhet ska inledas, dvs. göra bedömningen av händelsen och dess konsekvenser.

Kommittén om statens ansvar vid katastrofer utomlands, SAKU, har föreslagit att ett beslut om en katastrofinsats ska fattas av regeringen, med hänsyn till att frågan är av stor principiell vikt och därför kräver ett politiskt ställningstagande. I praktiken kommer då ett beslut om en insats att fattas samtidigt med beslutet om finansiering (SOU 2008:23 s. 107 f). I dag är det Utrikesdepartementets enhet för konsulära och civilrättsliga frågor som fattar beslut om att en insats ska inledas genom att snabbinsatsstyrkan aktiveras. Samtidigt kan chefen för enheten vända sig till Myndigheten för samhällsskydd och beredskap med en begäran om att även stödstyrkans bedömningsenhet ska aktiveras. Om ytterligare insatser behövs måste regeringen fatta beslut om att anslaget om ekonomiskt bistånd till enskilda utomlands får överskridas. Därefter sänds stödstyrkan i dess helhet ut och åtgärder vidtas för evakuering m.m.

För att det register som nu föreslås ska kunna fungera effektivt måste registreringsverksamheten hos Rikspolisstyrelsen snabbt kunna inledas efter att händelsen har inträffat. Registret kommer således att utgöra ett verktyg för den hjälpande verksamheten i samband med händelsen och kommer att ha en viktig funktion inte minst under det inledande arbetet. Som framgått kommer beslutet att inleda en registreringsverksamhet i princip att vila på samma underlag och utgå från samma bedömningsgrunder som ett beslut om en katastrofinsats. Ett

96

Ds 2009:12 Överväganden och förslag

beslut om att ta registret i bruk kan emellertid inte sägas vara av samma principiella betydelse som ett beslut om en katastrofinsats, och det finns därför inte samma behov av ett politiskt ställningstagande. Utredningen anser därför att det inte bör krävas regeringens beslut för att använda registret utan att frågan kan avgöras på myndighetsnivå.

Även om Rikspolisstyrelsen som myndighet har ett eget ansvar för registreringen anser utredningen att det är lämpligt att Regeringskansliet förfogar över frågan när en registrering över huvud taget ska ske. Vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet aktiveras en rad funktioner inom Regeringskansliet. Utrikesdepartementet intar på många sätt en ledande och samordnande roll i samarbetet mellan utrikesförvaltningen och andra aktörer. Genom sin särskilda ställning kan Regeringskansliet på ett tidigt stadium förväntas inneha det bästa underlaget för bedömningen av om händelsen i fråga är av det slag att en registrering bör bli aktuell.

När det gäller frågan vem som på Regeringskansliets vägnar ska fatta beslut om att aktivera registret kan olika lösningar tänkas. Ett alternativ skulle kunna vara att uppgiften anförtros chefstjänstemannen för kansliet för krishantering vid Statsrådsberedningen. Ett annat alternativ skulle kunna vara chefen för Utrikesdepartementets enhet för konsulära och civilrättsliga frågor. Utredningen lämnar dock inget förslag i denna del eftersom frågan lämpligen bör hanteras internt inom Regeringskansliet.

Som en konsekvens av ett beslut om att en registrering av uppgifter ska inledas kommer Rikspolisstyrelsen att ta registret i bruk och etablera den organisation som krävs för verksamheten. Efter beslutet kommer Utrikesdepartementet och utlandsmyndigheterna att omgående styra över registrering av uppgifter om drabbade till Rikspolisstyrelsen samt vidarebefordra redan inkomna och registrerade uppgifter dit. Det är angeläget att det inom Rikspolisstyrelsen och Regeringskansliet utarbetas en intern organisation och ordning för att beslutet ska kunna verkställas så snart som möjligt.

97

Överväganden och förslag Ds 2009:12

6.4Hur ska registret regleras?

Förslag: Registret ska regleras genom en särskild lag.

Skälen för förslaget: Som framgått ovan anser utredningen att det övergripande ansvaret för registreringen ska ligga hos Rikspolisstyrelsen. Förfarandet kommer alltså att utgöra en del av Rikspolisstyrelsens verksamhet. Övergripande bestämmelser om behandling av personuppgifter hos polisen återfinns i polisdatalagen (1998:622). Den lagen gäller emellertid inte för de fall som nu är aktuella utan tar huvudsakligen sikte på polisens brottsbekämpande verksamhet. Lagen är för närvarande föremål för översyn. Inom Regeringskansliet (Justitiedepartementet) har det således tagits fram en promemoria med förslag till bl.a. en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). Den nya lagen föreslås gälla enbart den brottsbekämpande verksamheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande omfattas inte av lagförslagen utan förutsätts, liksom i dag, regleras av personuppgiftslagen (1998:204). Promemorian har remissbehandlats och en utgångspunkt är att en proposition ska kunna tas fram under hösten 2009.

Som framgått av redovisningen ovan i avsnitt 3.3.1 för polisen i dag flera register som avser försvunna personer med stöd av tillstånd från Datainspektionen och övergångsbestämmelserna till polisdatalagen. Det gäller dels personefterlysningsregistret, dels registret för identifiering av försvunna personer och det s.k. DVI-registret. Enligt förslagen i promemorian ska under en övergångstid bestämmelserna i den numera upphävda datalagen gälla för dessa register. Därefter ska den nya lagen gälla även för dessa register, i den mån de avser brottsbekämpande verksamhet. Inget av dessa register tar dock sikte på de fall som nu är aktuella.

Med hänvisning till det som sagts ovan finns det alltså för närvarande ingen reglering utöver personuppgiftslagen som tar

98

Ds 2009:12 Överväganden och förslag

sikte på registrering av uppgifter för de situationer som nu är aktuella. Inte heller den nya lag som är under utarbetande inom Regeringskansliet kommer att gälla sådan registrering. Frågan är då om det behövs en särskild författningsreglering för den registrering som nu är aktuell eller om den kan styras av bestämmelserna i personuppgiftslagen.

Allmänna utgångspunkter

Personuppgiftslagen är alltså i och för sig tillämplig på den typ av personuppgiftsbehandling som nu är aktuell. Lagen är emellertid subsidiär och i 2 § anges således att om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, så ska de bestämmelserna gälla. Trots det är utgångspunkten vid utarbetande av särskilda registerförfattningar att regleringen så långt möjligt ska vara i överensstämmelse med personuppgiftslagen och därmed med dataskyddsdirektivets materiella bestämmelser. Avsikten är att behovet av särregler i förhållande till personuppgiftslagen alltid ska övervägas noga och att en särskild författningsreglering bara ska tillämpas om det finns beaktansvärda skäl för det (Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).

En omständighet som kan tala för en särreglering är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register. Sådan författningsreglering av personregister har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras särskilt i lag (se bl.a. KU:s betänkande 1997/98:KU18 s. 43).

Exempel på fall då en särskild författningsreglering kan anses motiverad är när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men

99

Överväganden och förslag Ds 2009:12

det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering av och åtkomst till stora och känsliga uppgiftsmängder, eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar (se bl.a. SOU 2008:87 s. 173 f.).

Behov av att avvika från personuppgiftslagen m.m.

Enligt utredningens bedömning finns det flera skäl som talar för att ramarna för den automatiserade behandlingen av personuppgifter hos Rikspolisstyrelsen i nu aktuellt register bör regleras särskilt. Skälen hänför sig främst till de speciella omständigheter som kommer att råda när registreringen sker och till karaktären av de uppgifter som registreringen kommer att avse.

Till att börja med kan nämnas att uppgifter behöver registreras utan att den registrerade är medveten om registreringen, t.ex. när det gäller uppgifter om en saknad person. Vidare kan behandlingen förväntas omfatta sådana uppgifter som enligt personuppgiftslagen utgör känsliga personuppgifter, t.ex. uppgifter om en persons hälsotillstånd.

Enligt personuppgiftslagen gäller som huvudregel att den registrerade alltid ska lämna sitt samtycke till en behandling av personuppgifter. Undantag gäller dock för vissa fall, bl.a. om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, en arbetsuppgift av allmänt intresse ska kunna utföras eller om den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning.

100

Ds 2009:12 Överväganden och förslag

Även om ett eller flera av dessa undantag skulle vara tillämpliga måste det bedömas som mindre bra att den aktuella registreringen helt vilar på undantagsbestämmelser i personuppgiftslagen. När det gäller känsliga uppgifter krävs dessutom att den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. De situationer då sådana uppgifter får behandlas utan samtycke synes inte, sånär som på behandling som sker för hälso- och sjukvårdsändamål, vara tillämpliga på de förhållanden som nu är aktuella.

Till detta kommer att de uppgifter som registreras måste kunna lämnas ut till flera olika myndigheter och eventuellt även till andra aktörer. Det är med hänsyn till skyddet för den personliga integriteten viktigt att det finns tydliga ramar för till vilka och i vilka former ett sådant utlämnande får ske.

Med hänvisning till det som sagts ovan är det utredningens bedömning att det behövs en särreglering i förhållande till de bestämmelser som finns i personuppgiftslagen.

Bör registret regleras i lag eller förordning?

Enligt utredningens mening bör grundläggande regler för registreringen meddelas i en särskild lag, främst med hänsyn till registreringsverksamhetens och uppgifternas karaktär. Som kommer att framgå nedan anser utredningen att det bör införas en skyldighet för vissa enskilda att bidra med uppgifter till registret. En regel med denna innebörd, som gäller förhållandet mellan enskilda och det allmänna och som avser ingrepp i enskildas personliga förhållanden, är av sådant slag som avses i 8 kap. 3 § regeringsformen och ska alltså som regel meddelas genom lag.

Regering och riksdag har vid olika tillfällen uttalat att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag även om det inte är nödvändigt med lagform enligt grundlagen (prop.

101

Överväganden och förslag Ds 2009:12

1997/98:44 s. 41 och KU 1997/98:18 s. 43 samt prop. 1991/91:60 s. 50 och KU 1990/91:11 s. 11). Även om den registrering som kan bli aktuell enligt lagen normalt inte torde komma att omfatta ett stort antal registrerade i denna betydelse, kan förutses att registret kan komma att innehålla ett förhållandevis stort antal känsliga personuppgifter. Det förhållandet, i kombination med att verksamheten ändå får betraktas som en form av massregistrering, utgör enligt utredningens bedömning skäl för att registret bör regleras i lag. Härtill kommer, vilket framgår av redogörelsen under avsnitt 6.15, att utredningen anser att vissa myndigheter bör få möjlighet att ta del av uppgifter i registret genom s.k. direktåtkomst. Riksdagen har vid tidigare tillfällen tagit ställning för att de integritetsrisker som ett tillåtande av direktåtkomst till uppgifter i en databas i regel innebär, bör medföra att frågan om direktåtkomst regleras i lag (se prop. 2008/09:96 s. 59 och bet. 2001/02:KU3).

6.5Lagens tillämpningsområde

Förslag: Lagen ska tillämpas på den automatiserade personuppgiftsbehandling som sker hos Rikspolisstyrelsen med anledning av Regeringskansliets beslut. Lagen ska i första hand ta sikte på behandling av uppgifter om personer som har drabbats eller kan befaras ha drabbats av den händelse som föranlett registreringsverksamheten. Även uppgifter om andra personer som på något sätt har anknytning till den som har drabbats eller kan befaras ha drabbats ska dock kunna registreras. Lagen ska i tillämpliga delar gälla även för uppgifter om avlidna personer.

Skälen för förslaget: Utredningen har i avsnitt 6.3 angett att Rikspolisstyrelsen bör inleda sin registreringsverksamhet efter ett särskilt beslut av Regeringskansliet. Genom beslutet har Regeringskansliet tagit ställning till om det inträffade utgör en

102

Ds 2009:12 Överväganden och förslag

sådan händelse som ska föranleda en massregistrering. Den föreslagna lagen ska alltså gälla för den automatiserade personuppgiftsbehandling som sker med anledning av Regeringskansliets beslut. Med personuppgifter avses detsamma som i personuppgiftslagen, dock med den skillnaden att den nya lagen även bör tillämpas på uppgifter om en person som är eller befaras vara avliden. Med hänsyn till omständigheterna är det således rimligt att anta att registret kan komma att omfatta även sådana uppgifter, vilka kan vara mycket integritetskänsliga (jfr 1 kap. 1 § patientdatalagen [2008:355] och prop. 2007/08:126 s. 52).

Drabbade personer

Lagen bör i första hand ta sikte på behandling av uppgifter om personer som har drabbats eller kan befaras ha drabbats av den händelse som har föranlett registreringsverksamheten. Även uppgifter om andra personer som på något sätt har anknytning till den som har drabbats eller kan befaras ha drabbats bör dock kunna registreras. Även uppgifter om den som har avlidit till följd av händelsen bör få behandlas.

Som redan har angetts, och som utredningen återkommer till under avsnitt 6.9, har registret som huvudsyfte att underlätta den hjälpande verksamheten. Det kan därför anses naturligt att även lägga in ett krav på att en person ska ha någon form av hjälpbehov för att i lagens mening anses som ”drabbad”. När registreringsverksamheten inleds bör det emellertid inte krävas någon närmare utredning om behovet av hjälp. I praktiken bör det i princip vara tillräckligt att personen i fråga kan befaras ha befunnit sig på platsen för händelsen genom att t.ex. dennes namn finns med på en passagerarlista eller att personen efterfrågas av någon och därvid uppges ha vistats i området för händelsen.

Enligt utredningen är det en naturlig utgångspunkt att registret bör omfatta drabbade personer som är svenska medborgare, inte minst med hänsyn till utlandsmyndigheternas

103

Överväganden och förslag Ds 2009:12

föreskrivna skyldighet att ta tillvara svenska medborgares intressen och i en katastrofsituation bistå dessa på olika sätt (12 § förordning [1992:247] med instruktion för utrikesrepresentationen och 2 § UF 2004:6). När det gäller vilka övriga drabbade personer som bör omfattas har utredningen dels hämtat ledning från det regelverk som i övrigt styr biståndet till en enskild i samband med en katastrof, dels sett till ändamålet med den nu aktuella personuppgiftsbehandlingen.

Kommittén om statens ansvar vid katastrofer i utlandet (SAKU) har föreslagit att en konsulär katastrofinsats bl.a. ska kunna omfatta svenska medborgare, svenska medborgares utländska familjemedlemmar och utlänningar bosatta i Sverige. I fråga om kriterierna för bosättning hänvisas till 2 kap. socialförsäkringslagen (1999:799). SAKU:s förslag utgår från personkretsen i lagen (2003:491) om konsulärt ekonomiskt bistånd, som förutom svenska medborgare som är bosatta i Sverige även omfattar flyktingar och statslösa personer som är bosatta här. Föreligger särskilda skäl kan även en svensk medborgare som inte är bosatt i Sverige och en annan i landet bosatt utlänning komma i fråga för ekonomiskt bistånd enligt lagen.

Enligt SAKU skulle det vara märkligt om personer som faktiskt är bosatta i Sverige skulle nekas hjälp om de ändå efter katastrofen ska återvända till Sverige. Bedömningen av vilka personer som kan komma i fråga för en katastrofinsats bör enligt SAKU vara generös med hänsyn till att ansvaret avser extrema situationer där kaos och panik råder och där staten, i en undantagssituation, griper in av humanitära skäl.

Även utlandsmyndigheternas skyldighet att hålla beredskap för att bistå enskilda omfattar fler än enbart svenska medborgare. Förutom personer som är bosatta i Sverige omfattas bl.a. svenska medborgares familjemedlemmar. Däremot är de insatser som lämnas med stöd av lagen om katastrofmedicin som en del av svenska insatser utomlands begränsade till personer med hemvist i Sverige. Den som är bosatt i Sverige i folkbokföringslagens (1991:481) mening ska anses ha sitt hemvist här vid

104

Ds 2009:12 Överväganden och förslag

tillämpningen av den lagen. Enligt uttalanden i förarbetena bör de allmänna principerna om vårdprioriteringar följas även när vård ges utomlands. Lagen innebär emellertid inte något förbud mot att hjälpa även människor med hemvist i andra länder. Frågan om var en person har hemvist kan för övrigt vara svår och ibland omöjlig att avgöra vid en allvarlig olycka eller katastrof (prop. 2007/08:138 s. 23 f.).

Med hänvisning till det som sagts ovan anser utredningen att det nu aktuella registret bör omfatta även personer som är bosatta i Sverige utan att vara medborgare här. Som framgått har staten och myndigheterna en skyldighet att bistå även dessa och hjälpa dem att återvända till Sverige. Uttrycket bosatt bör ges samma innebörd som i 2 kap. socialförsäkringslagen.

Andra personer med anknytning till en drabbad person

Registret måste även få omfatta uppgifter om andra än drabbade personer, t.ex. namnet på den som har anmält en person som saknad, uppgifter om ressällskap och anhöriga. När det gäller registrering av uppgifter om en person som anmäler en annan person såsom drabbad i samband med en katastrof, är det bl.a. för polisens del viktigt att kunna återkomma till den personen för att ställa frågor och eventuellt komplettera anmälan. Uppgifter om ressällskap, personer som har träffat den drabbade eller personer som har setts i dennes sällskap, kan vara av betydelse i eftersökandet av en försvunnen person. För att kunna underrätta anhöriga till en drabbad person, eller utreda kopplingar mellan olika drabbade personer, bör även uppgifter om anhöriga få registreras. Det kan här framhållas att endast sådana uppgifter som man i det enskilda fallet bedömer kan ha betydelse för registrets ändamål får registreras, se mer avsnitt 6.9.

105

Överväganden och förslag Ds 2009:12

6.6Förhållande till personuppgiftslagen

Förslag: Den nya lagen ska gälla utöver personuppgiftslagen (1998:204).

Skälen för förslaget: Personuppgiftslagen bygger, som nämnts i tidigare avsnitt, på EG:s dataskyddsdirektiv och är generellt tillämplig på behandling av personuppgifter. Direktivet torde omfatta den behandling av uppgifter som nu är aktuell. Bestämmelserna i personuppgiftslagen ska alltså gälla för registreringen jämte de särbestämmelser som kan behövas. Frågan är då hur bestämmelserna i personuppgiftslagen ska infogas i det nya regelverket

I tidigare lagstiftningsarbeten, där motsvarande fråga har uppkommit, har olika lösningar valts. En modell har varit att i den författning som reglerar behandling av personuppgifter i en viss verksamhet över huvud taget inte nämna personuppgiftslagen. Det innebär att personuppgiftslagens bestämmelser utan vidare kommer att vara tillämpliga, i den mån den särskilda författningen inte innehåller avvikande bestämmelser (jfr 2 § personuppgiftslagen). En liknande modell, som ger samma effekt, är att i den särskilda författningen ange att den gäller utöver personuppgiftslagen. Den modellen används i bl.a. polisdatalagen. En nackdel med en sådan lösning är att det kan vara svårt att överblicka vilka bestämmelser i personuppgiftslagen som är tillämpliga. En annan modell, och som valts för Försvarsmakten och Försvarets radioanstalt, är att ha en heltäckande reglering och upprepa de bestämmelser i personuppgiftslagen som ska gälla (prop. 2006/07:46; SFS 2007:258 och 2007:259). Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att behöva gå till personuppgiftslagen. En nackdel är dock att det i viss mån blir fråga om en dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. En annan nackdel är att lagen blir omfattande. Ytterligare en

106

Ds 2009:12 Överväganden och förslag

lösning har valts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Lagen innehåller, utöver de bestämmelser som avviker från personuppgiftslagen, en hänvisning till de lagrum i personuppgiftslagen som ska vara tillämpliga. Fördelarna med en sådan koppling till personuppgiftslagen är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad jämfört med om inga hänvisningar görs till personuppgiftslagen. Samtidigt undviks en omfattande dubbelreglering.

I förevarande fall kommer de särbestämmelser som behövs utöver personuppgiftslagen att vara förhållandevis få. Mot den bakgrunden får övervägande skäl anses tala för att den nya lagen bör begränsas till att avse just dessa särbestämmelser. I annat fall ska alltså personuppgiftslagen tillämpas. Det kan nämnas att denna teknik överensstämmer med den som har använts i patientdatalagen (prop. 2007/08:126, bet. 2007/08:SoU16, rskr 2007/08:207) och regeringens förslag till ny lag om behandling av personuppgifter i Centrala studiestödsnämndens verksamhet, studiestödsdatalagen (prop. 2008/09:96 s. 30 ff.).

6.7Personuppgiftsansvar

Förslag: Rikspolisstyrelsen ska vara personuppgiftsansvarig för den behandling som myndigheten utför och som det åligger myndigheten att utföra. En myndighet, kommun eller ett landsting som har direktåtkomst till uppgifter som behandlas enligt den föreslagna lagstiftningen har ansvaret för att åtkomsten till uppgifterna begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Skälen för förslaget: Med personuppgiftsansvarig avses enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen

107

Överväganden och förslag Ds 2009:12

av personuppgifter. Personuppgiftsansvaret kan alltså delas mellan flera.

Registerförfattningar innehåller ofta bestämmelser som på ett tydligt sätt pekar ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna. Enligt utredningen är det lämpligt att den föreslagna lagen innehåller en sådan bestämmelse. Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige ska bl.a. se till att behandlingen av uppgifter sker på ett korrekt sätt, att information lämnas i föreskriven utsträckning och att uppgifter gallras i tid. I ansvaret ingår också att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Det som avgör personuppgiftsansvarets placering är bedömningen av vem eller vilka som i en faktisk situation har ett bestämmande inflytande över behandlingen. Om flera gemensamt samlar in och lagrar en viss mängd personuppgifter är de tillsammans att anse som personuppgiftsansvariga för lagringen av dessa uppgifter (Sören Öman och Hans-Olof Lindblom,

Personuppgiftslagen, En kommentar, tredje upplagan, s. 78 ff.). Enligt utredningens förslag ska ingen annan myndighet än

Rikspolisstyrelsen ha rätt att införa uppgifter i registret. Det är således endast Rikspolisstyrelsen som har den rättsliga möjligheten att påverka innehållet i den personuppgiftssamling som registret utgör och den som avgör om en viss uppgift ska tillföras registret eller ej. Enligt utredningen bör Rikspolisstyrelsen därför även ha ansvaret för att uppgiften är korrekt (jfr nedan avsnitt 6.10) och svara för att behandlingen sker i enlighet med föreskrivna krav. Den personuppgiftsbehandling som sker hos en annan myndighet efter att Rikspolisstyrelsen har lämnat ut en uppgift från registret kan emellertid den myndigheten bli ansvarig för enligt personuppgiftslagen, eftersom varje myndighet ansvarar för sin behandling (jfr Ds 2008:76 s. 39).

En myndighet, en kommun eller ett landsting som har direktåtkomst till uppgifter som behandlas enligt den föreslagna lagstiftningen ska ha ansvaret för att åtkomsten begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

108

Ds 2009:12 Överväganden och förslag

Skälen för utredningens förslag i denna del utvecklas i avsnitt 6.12.

6.8Allmänna utgångspunkter när det gäller skyddet för den personliga integriteten

Bedömning: Vid utformningen av lagen måste en avvägning ske mellan å ena sidan intresset av en effektiv hjälpverksamhet i samband med en sådan händelse som föranleder lagens tillämpning och å andra sidan intresset av skyddet för den personliga integriteten. Allmänt sett får, med hänsyn till situationen, myndigheternas behov av ett snabbt och effektivt informationsflöde anses väga tungt.

Skälen för bedömningen: För att de myndigheter som är skyldiga att utföra arbetsuppgifter i samband med en allvarlig händelse i utlandet ska kunna fullgöra dessa på ett effektivt sätt måste det finnas lagliga förutsättningar att utnyttja en ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Samtidigt innebär informationshanteringen en risk för intrång i den personliga integriteten. Varje behandling av personuppgifter kan per definition sägas utgöra ett intrång i den personliga integriteten och det är uppenbart att sådana intrång i viss utsträckning måste tillåtas. Intrånget måste dock stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.

Vissa faktorer anses särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller de ändamål för vilka behandling av personuppgifter ska få ske, arten av de personuppgifter som ska få behandlas, vilka som ska få ha tillgång till uppgifterna (genom direktåtkomst eller på annat sätt), hur sökning ska få ske samt hur lång tid personuppgifter ska få sparas. Ju fler uppgifter som får behandlas, ju större möjlighet

109

Överväganden och förslag Ds 2009:12

till sammanställningar och sökningar som ges och ju längre tid som uppgifterna får sparas, desto större är typiskt sett integritetsintrånget.

Med hänvisning till det som sagts ovan måste alltså den närmare utformningen av de nya bestämmelserna föregås av en avvägning mellan å ena sidan intresset av en effektiv hjälpverksamhet i samband med en allvarlig händelse utomlands och å andra sidan intresset av skyddet för den personliga integriteten.

På ett principiellt plan kan sägas att den verksamhet som registret har till syfte att betjäna sker för att hjälpa den enskilde. Det ligger alltså i den enskildes intresse att myndigheterna har goda förutsättningar att utföra t.ex. en räddningsinsats. Å andra sidan kommer det nu aktuella registret typiskt sett att innehålla uppgifter som kan vara av särskilt känslig art, såsom uppgifter om en persons hälsotillstånd. Det har också betydelse att insamlandet och registreringen av personuppgifter sker för att förmedla uppgifterna vidare till olika myndigheter och andra, som har ett berättigat intresse av att få ta del av uppgifterna. Personuppgiftsbehandlingen sker alltså i första hand inte för Rikspolisstyrelsens egen räkning, utan i syfte att sprida uppgifterna vidare till andra. Eftersom spridningen kan innebära en ökad risk för integritetsintrång är det bl.a. viktigt att ramarna för informationsutbytet regleras på ett tydligt sätt.

Med hänsyn till den situation som råder när det blir aktuellt att använda registret kan behovet av en snabb och effektiv hantering av personuppgifter allmänt sett sägas väga tungt. Detta har betydelse bl.a. för bedömningen av direktåtkomst, se nedan avsnitt 6.15.

110

Ds 2009:12 Överväganden och förslag

6.9Ändamålen med behandlingen

Förslag: Lagen ska innehålla en ändamålsbestämmelse som, så uttömmande som möjligt, anger vilken personuppgiftsbehandling som är tillåten. Av bestämmelsen ska framgå att personuppgifter får behandlas för att underlätta arbetet för berörda myndigheter att identifiera och söka efter de personer som har drabbats av en allvarlig kris, katastrof eller liknande händelse i utlandet, för att i övrigt underlätta arbetet för de myndigheter, kommuner och landsting som har till uppgift att på olika sätt hjälpa och bistå de som har drabbats av en sådan händelse och som därvid är i behov av personuppgifter, för att förmedla information om de som har drabbats till deras anhöriga och närstående, för att förmedla allmän information om händelsen, samt för att planera, följa upp och utvärdera den aktuella verksamheten. Personuppgifter som behandlas för de angivna ändamålen ska också få behandlas genom att lämnas ut till den registrerade själv, till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Behandling av uppgifter ska också få ske för diarieföring enligt 15 kap. sekretesslagen (1980:100). I övrigt ska 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) gälla.

Skälen för förslaget: Bestämmelser om för vilka ändamål uppgifter i statliga personregister får behandlas har en central roll i registerförfattningar och innebär en ram för hanteringen av uppgifter. Inte så sällan delas ändamålen in i primära och sekundära. De primära ändamålen avser myndighetens eget behov av att behandla personuppgifter, medan de sekundära ändamålen avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov.

Både dataskyddsdirektivet och personuppgiftslagen har bestämmelser som anger att personuppgifter endast får samlas in

111

Överväganden och förslag Ds 2009:12

för särskilda, uttryckligt angivna ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in (artikel 6.1 a och b i direktivet samt 9 § första stycket c och d personuppgiftslagen).

Ändamålsbestämmelsens utformning

Den föreslagna lagen utgör en speciallag som riktar sig mot en viss typ av verksamhet. I en sådan lag är det, till skillnad från i en ramlag som personuppgiftslagen utgör exempel på, naturligt att ange för vilka ändamål personuppgifter får behandlas. Dessutom talar integritetsskäl för att ändamålsangivelsen bör utformas på ett så uttömmande sätt som möjligt.

Det är emellertid inte alltid möjligt att åstadkomma en sådan uppräkning av ändamålen eftersom den verksamhet som lagen riktar sig mot kan vara mångskiftande och det inte alltid går att förutse alla tänkbara fall då personuppgifter bör få behandlas. I sådana fall har finalitetsprincipen, som 9 § första stycket d personuppgiftslagen ger uttryck för, ofta fått sätta den yttersta gränsen för vad som kan anses tillåtet (prop. 2008/09:96 s. 39 ff.).

I nu aktuellt fall är det möjligt att, i vart fall på ett mer övergripande plan, förutse vilken typ av personuppgiftsbehandling som bör ha stöd i lagen. Dessa ändamål anges nedan.

Ändamål som personuppgifter får behandlas för

Ändamålet med registret bör i första hand vara att skapa förutsättningar för en effektiv och välfungerande insats i samband en allvarlig händelse utomlands, alltså att hjälpa, undsätta och på olika sätt bistå drabbade personer. Det är inte bara sådan verksamhet som sker på platsen i form av vård, evakuering, eftersökningsarbete etc. som bör omfattas, utan även

112

Ds 2009:12 Överväganden och förslag

den hjälpande verksamhet som sker i anslutning till att en person som har drabbats av händelsen återvänder till Sverige.

En första åtgärd torde i de allra flesta fall vara att utreda vilka som kan vara drabbade av händelsen i fråga. Registreringsverksamheten bör därför syfta till att underlätta arbetet med att identifiera vilka personer med svensk anknytning som har drabbats av händelsen och att söka efter dessa.

Det närmare innehållet i registret bör återspegla det behov av uppgifter som berörda aktörer har för att kunna utföra sina författningsreglerade arbetsuppgifter på ett bra sätt. Vilka myndigheter som med dagens ordning kan antas ha ett sådant behov har redovisats i avsnitt 5.2. Det är alltså inte enbart Rikspolisstyrelsens, eller polismyndigheternas, behov av uppgifter som ska tillgodoses, utan det behov som finns vid all den verksamhet som bedrivs hos olika myndigheter i samband med aktuella händelser för att på olika sätt söka efter, identifiera och bistå dem som har drabbats Uppdelningen i primära och sekundära ändamål lämpar sig därför inte särskilt väl i sammanhanget.

En personuppgiftsbehandling bör också få ske för att planera, följa upp och utvärdera det utförda arbetet och den totala insatsen.

En annan viktig funktion hos registret är att utgöra underlag för att förmedla uppgifter till anhöriga till en drabbad person bl.a. om vad som har hänt denne och vilka insatser som vidtas för att hjälpa personen i fråga. Sådan personuppgiftsbehandling bör därför särskilt nämnas. Även en behandling som syftar till att förmedla mer övergripande information om händelsen till andra, såsom andra myndigheten, allmänheten och massmedia, bör anges.

Utöver det som sagts ovan måste personuppgifter alltid få behandlas så att Rikspolisstyrelsen kan uppfylla kravet på diarieföring i 15 kap. sekretesslagen. De inkommande uppgifterna kan således utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 15 kap. 1 § sekretesslagen gäller som huvudregel att allmänna handlingar som har kommit in till

113

Överväganden och förslag Ds 2009:12

eller upprättats hos en myndighet ska registreras, dvs. diarieföras, utan dröjsmål. Syftet med bestämmelserna är bl.a. att garantera allmänhetens rätt att få tillgång till allmänna handlingar. I 15 kap. 2 § sekretesslagen uppställs vissa minimikrav beträffande uppgifterna i registret, bl.a. att det ska framgå vilket datum handlingen kom in och i förekommande fall från vem den har kommit in.

Vidare bör de personuppgifter som har samlats in för att tillgodose de ovan nämnda ändamålen också få behandlas för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning (jfr prop. 2007/08:126 s. 59 f.).

Det kan vara svårt att på förhand förutse alla de olika tänkbara situationer för vilka behandling bör få ske. Ändamålsbestämmelsen bör därför även innehålla en hänvisning till 9 § första stycket d personuppgiftslagen (finalitetsprincipen). Det innebär att personuppgifter som har samlats in i syfte att behandlas för de särskilt angivna ändamålen får behandlas även för andra ändamål om dessa inte är oförenliga med de förra. Ändamålsbestämmelsen bör även innehålla en hänvisning till 9 § andra stycket personuppgiftslagen om behandling för historiska, statistiska eller vetenskapliga ändamål.

6.10De personuppgifter som får behandlas

Förslag: Endast sådana personuppgifter som behövs för att uppfylla registrets ändamål ska få behandlas enligt lagen. Utan hinder av 13 § personuppgiftslagen (1998:204) ska uppgifter om personer som har drabbats av en allvarlig kris, katastrof eller annan liknande händelse i utlandet och som rör hälsa eller som beskriver en persons utseende få behandlas, om det är nödvändigt med hänsyn till registrets ändamål. Personnummer eller samordningsnummer för samma personer ska få behandlas utan hinder av 22 § personuppgiftslagen.

114

Ds 2009:12 Överväganden och förslag

Skälen för förslaget: Från integritetssynpunkt är det enligt utredningen angeläget att inte andra eller fler personuppgifter behandlas än vad som är befogat utifrån den aktuella verksamhetens behov och krav. Utredningen har därför övervägt att i lagen närmare ange vilka uppgifter som får behandlas. Med hänsyn till den variation av händelser som kan aktualisera lagens tillämpning och de olika behov hos drabbade personer som dessa kan ge upphov till har utredningen emellertid funnit att det är olämpligt, och i princip omöjligt, att i lagtexten åstadkomma en sådan precisering. En sådan bestämmelse skulle också kunna leda till dels praktiska tillämpningsproblem, dels att fler personuppgifter än avsett kommer att behandlas. Utredningen anser därför att det bästa alternativet är att låta ändamålsbestämmelsen styra vilka personuppgifter som får samlas in och fortsättningsvis behandlas.

Hänsyn till skyddet av den personliga integriteten gör dock att lagen bör innehålla särskilda bestämmelser om vilka känsliga personuppgifter, dvs. sådana personuppgifter som avses i 13 § personuppgiftslagen, som ska få behandlas och under vilka förutsättningar det får ske. Dessutom föreslår utredningen att en särskild bestämmelse införs i sekretesslagen som ger uppgifter som kan hänföras till en drabbads personliga förhållanden ett starkt skydd.

Allmänna krav på personuppgifter

Personuppgiftslagens grundläggande krav på personuppgifter, som anges i 9 § första stycket e–g, ska gälla även vid behandlingen enligt den nu föreslagna lagen. Det innebär att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. Rikspolisstyrelsen ska också vidta alla rimliga åtgärder för att

115

Överväganden och förslag Ds 2009:12

rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen, se 9 § första stycket h personuppgiftslagen.

Det ligger i sakens natur att flera av de uppgifter som Rikspolisstyrelsen kommer att behandla är osäkra när de tas in i registret och senare kan visa sig vara felaktiga. Enligt utredningen innebär det förhållandet i sig inte att behandlingen skulle strida mot personuppgiftslagen.

En uppgift är riktig enligt 9 § första stycket g personuppgiftslagen om den stämmer överens med verkliga förhållanden. Vilka dessa är får bestämmas med ledning av ändamålet med behandlingen. Om avsikten med behandlingen enbart är att registrera uppgifter som kommer in så kan en uppgift sägas vara riktig om den stämmer överens med de inkomna uppgifterna, oavsett hur dessa förhåller sig till verkligheten. Som utgångspunkt är en uppgift inte heller oriktig, trots att den inte återger en korrekt bild av ett sakförhållande, om den korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i verksamheten (Sören Öman och Hans-Olof Lindblom, s. 168 ff.).

Bedömningen ska alltså ske mot bakgrund av vilka krav verksamheten ställer på uppgiftsbehandlingen. I praktiken torde det innebära att en uppgift som Rikspolisstyrelsen för in i registret får anses riktig om den överensstämmer med den uppgift som Rikspolisstyrelsen har mottagit.

Enligt utredningen är det rimligt att Rikspolisstyrelsen vidtar vissa åtgärder för att ”kvalitetssäkra” uppgifterna i registret, såsom att ta bort uppgifter som uppenbart har registrerats dubbelt eller kontrollera mot folkbokföringen att ett namn är rättstavat och att ett personnummer är korrekt angivet. Med hänsyn till situationen och behovet av en snabb och effektiv hantering får emellertid Rikspolisstyrelsen i övrigt anses ha begränsade möjligheter att kontrollera inkommande uppgifter eller att bedöma en uppgiftslämnares trovärdighet.

Sådana uppgifter som visar sig vara felaktiga bör naturligtvis plockas bort så fort som möjligt. Även en uppgift som inte

116

Ds 2009:12 Överväganden och förslag

längre behövs med hänsyn till ändamålet bör tas bort, se vidare avsnitt 6.18 angående gallring av uppgifter.

Krav på att uppgifterna är nödvändiga för ändamålet

Endast sådana uppgifter som behövs med hänsyn till registrets ändamål bör enligt utredningen få samlas in och i övrigt behandlas med stöd av lagen. Lagen bör därför innehålla ett uttryckligt krav på ett sådant behov, vilket innebär att endast sådana uppgifter som är nödvändiga för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas.

Behandling av känsliga personuppgifter och personnummer

Trots att det inte i förväg går att ange vilka närmare uppgifter registret kommer att omfatta kan man anta att det typiskt sett kommer att innehålla vissa uppgifter, såsom

namn, personnummer, adress och andra kontaktuppgifter avseende en drabbad person,

funktionshinder, fysiska kännetecken m.m. som kan ha betydelse för identifiering av en person,

uppgifter om pass eller annan id-handling,

uppgifter om utlandsvistelsen, bl.a. adress och resmål,

namn på anhöriga samt kontaktuppgifter till sådana personer,

namn på ressällskap,

en eventuell anmälares namn och kontaktuppgifter till denna,

uppgift om en person är saknad eller påträffad, skadad, sjuk eller på annat sätt nödlidande eller avliden, samt

uppgift om när den drabbade anländer till Sverige, till vilken plats det sker och eventuellt behov av insatser i samband med mottagandet.

Redogörelsen bygger vad de blanketter och register som i dag används i samband med räddningsinsatser, eftersöknings- och

117

Överväganden och förslag Ds 2009:12

identifieringsarbete innehåller. Uppräkningen är inte uttömmande utan utgör endast exempel på uppgifter som typiskt sett kan förekomma i ett register av nu aktuellt slag. Som redan påpekats är det ändamålsbestämmelsen som ska styra innehållet, vilket därmed kommer att variera beroende på vad som har inträffat och vilka insatser som krävs.

Av uppräkningen framgår att registret måste få omfatta uppgifter om en drabbad persons hälsa. En sådan uppgift utgör enligt 13 § personuppgiftslagen en känslig personuppgift. Enligt personuppgiftslagens bestämmelser är det som utgångspunkt förbjudet att behandla en sådan personuppgift. För att åstadkomma en säker identifiering av en drabbad person kan det även antas att uppgifter om personnummer regelmässigt behöver behandlas i registret. Även när det gäller behandling av personnummer uppställer personuppgiftslagen särskilda begränsningar, se 22 § personuppgiftslagen.

Som redovisats i mer allmänna ordalag under avsnitt 6.8 får intresset av att berörda aktörer kan utföra sina verksamhetsuppgifter på ett effektivt sätt anses väga tungt. För att t.ex. en drabbad person snabbt och effektivt ska kunna få rätt vård och hjälp på plats, och senare i samband med ett mottagande i Sverige, måste uppgifter om eventuella skador och vårdbehov få antecknas i registret. För att en saknad person ska kunna återfinnas och identifieras kan uppgifter om fysiska kännetecken och eventuella handikapp behöva behandlas i registret. Det ligger alltså även i den enskildes intresse att denna typ av personuppgifter kan behandlas.

Vid sidan av det som sagts ovan bör det av lagen framgå att uppgifter som beskriver en persons utseende bör utformas på ett objektivt sätt och med respekt för människovärdet.

Med hänsyn till skyddet för den personliga integriteten anser utredningen också att särskilda sökbegränsningar bör införas och att tillgången till uppgifter i registret ska begränsas på olika sätt, se nedan avsnitt 6.12 och 6.13.

118

Ds 2009:12 Överväganden och förslag

6.11Den enskildes inställning till personuppgiftsbehandlingen

Förslag: Sådan behandling som är tillåten enligt lagen ska få utföras även om den registrerade motsätter sig behandlingen.

Skälen för förslaget: Personuppgiftslagen utgår från att all personuppgiftsbehandling ska ske med den registrerades samtycke. För vissa särskilda fall föreskrivs undantag. Som utredningen har angett i samband med frågan om behovet av en särskild lagreglering kräver de speciella förhållanden som råder vid den nu aktuella registreringen att en personuppgiftsbehandling regelmässigt kan ske utan att samtycke behöver inhämtas från den registrerade. Det ligger i sakens natur att personuppgifter, i den situation som råder när registret används, ofta måste få antecknas utan att den registrerade över huvud taget är medveten om att så sker.

Enligt utredningen är det alltså befogat att i detta avseende avvika från personuppgiftslagen och frånfalla kravet på samtycke. Den behandling av personuppgifter som har stöd i lagen bör alltså få ske utan den registrerades samtycke. För andra fall, t.ex. när det gäller uppgifter om personnummer på någon annan än en drabbad person eller känsliga personuppgifter som inte omfattas av lagens särregel, bör personuppgiftslagen gälla.

Personuppgiftslagen ska alltså gälla utöver den nu aktuella lagen. Enligt utredningen bör även 12 § andra stycket personuppgiftslagen, som anger att en registrerad inte har rätt att motsätta sig behandling som är tillåten enligt personuppgiftslagen, gälla vid personuppgiftsbehandling enligt den nya lagen. Som Lagrådet tidigare har påpekat (prop. 2000/01:33 s. 346) medför emellertid utformningen av bestämmelsen i personuppgiftslagen att det är svårt att i en särskild registerförfattning hänvisa till den bestämmelse som grund för rätten att behandla personuppgifter när den enskilde motsätter sig det. Av detta skäl och i förtydligande syfte bör lagen innehålla en särskild

119

Överväganden och förslag Ds 2009:12

bestämmelse som anger att personuppgiftsbehandling som är tillåten enligt lagen får utföras även om den registrerade motsätter sig den.

6.12Tillgången till personuppgifter

Förslag: Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Skälen för förslaget: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det rör sig om känsliga uppgifter och påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem. Den nya lagen bör därför bygga på principen att enbart de som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör tas in i lagen.

Bestämmelsen bör gälla såväl för Rikspolisstyrelsen som för de myndigheter och andra som har direktåtkomst till uppgifterna (se nedan avsnitt 6.15). Som en följd av bestämmelsen kommer myndigheterna, kommunerna och landstingen att vara skyldiga att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter inte förekommer. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att lämna uppgifter vidare till den som inte behöver den för sitt arbete.

120

Ds 2009:12 Överväganden och förslag

6.13Sökbegrepp

Förslag: Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får som utgångspunkt inte användas som sökbegrepp. Uppgifter om en person som har eller kan befaras ha drabbats av en allvarlig kris, katastrof eller annan liknande händelse i utlandet och som rör hälsa eller som beskriver personens utseende, ska emellertid få användas som sökbegrepp om det behövs för att uppfylla syftet med behandlingen.

Skälen för förslaget: Från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifterna kan sökas fram och sammanställas. Ju större möjligheter det finns att genom olika sökningar och sammanställningar kartlägga enskildas privata förhållanden, desto större integritetsintrång kan personuppgiftsbehandlingen innebära. Sökningar på känsliga personuppgifter är typiskt sett ägnade att inge särskilda betänkligheter (jfr Ds 2007:43 s. 186).

Med sökbegrepp avses bokstäver, koder eller siffror med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd. Utan sökbegränsningar kan vilka sökningar och sammanställningar som helst göras. Sökbegränsningar innebär inte ett krav på att det ska vara tekniskt omöjligt att söka på visst sätt, utan att det inte är tillåtet att göra sådana sökningar (prop. 2007/08:126 s. 68).

För att ändamålet med det nu aktuella registret ska kunna uppfyllas måste det vara möjligt att utföra olika slag av sökningar och sammanställningar, i vissa fall även omfattande vissa känsliga personuppgifter. Vid en allvarlig händelse i utlandet kan det t.ex. finnas behov av att matcha ihop olika uppgifter i registret för att underlätta arbetet med att söka efter och identifiera en drabbad person. Man kan också förutse ett behov av att kunna sammanställa listor av olika slag, t.ex. med angivande av vilka drabbade

121

Överväganden och förslag Ds 2009:12

personer som ankommer till en viss plats vid ett visst tillfälle med vissa typer av skador, för att kunna förbereda eventuella vårdinsatser och transporter i samband med mottagandet. Som påpekats är uppgifter såsom namn och personnummer viktiga för identifieringen av en person. Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till, kan innebära särskilda risker från integritetssynpunkt.

Vid en avvägning mellan det intresse som motiverar registret och integritetshänsynen anser utredningen att det bör vara möjligt att inom relativt vida ramar utföra sökningar och upprätta sammanställningar av uppgifter i registret. När det rör sig om känsliga personuppgifter bör emellertid möjligheten att utföra sökningar begränsas. Med hänsyn till vad som har sagts ovan bör endast uppgifter om drabbade personer som rör hälsa eller som beskriver en drabbad persons utseende få användas som sökbegrepp, om det behövs för att uppfylla syftet med behandlingen.

6.14Skyldighet för vissa att lämna uppgifter till registret

Förslag: Regeringskansliet, utlandsmyndigheterna, polismyndigheterna, Myndigheten för samhällsskydd och beredskap, Socialstyrelsen samt landstingen ska åläggas en skyldighet att lämna sådana uppgifter till Rikspolisstyrelsen för införande i registret som de innehar och som kan vara av betydelse för registrets ändamål. Bestämmelsen ska utformas så att den bryter den sekretess som kan gälla för uppgifterna hos den myndighet eller det landsting som lämnar dessa. Även den som yrkesmässigt säljer resor eller transporterar passagerare ska omfattas av skyldigheten att lämna sådana uppgifter till Rikspolisstyrelsen. Uppgifterna ska lämnas till Rikspolisstyrelsen så snart som möjligt efter det att den

122

Ds 2009:12 Överväganden och förslag

uppgiftsskyldige fått vetskap om den händelse som föranlett registreringsverksamheten.

Skälen för förslaget: För att informationshanteringen ska fungera tillfredsställande och registret fylla den tänkta funktionen måste det på ett snabbt och effektivt sätt förses med relevanta uppgifter.

Rikspolisstyrelsen förfogar endast över en begränsad mängd uppgifter som kan vara aktuella att registrera. Det är därför viktigt att andra aktörer som innehar uppgifter av betydelse, snabbt och säkert vidarebefordrar dem till Rikspolisstyrelsen.

En uppgiftsskyldighet för vissa myndigheter, landstingen och vissa enskilda aktörer

För att säkerställa att uppgifter lämnas till Rikspolisstyrelsen, och därmed tillförs registret, bör de myndigheter som i sitt arbete kan förväntas få tillgång till uppgifter som är av betydelse för registret åläggas en skyldighet att förmedla dessa till Rikspolisstyrelsen. Enligt utredningen är det således mindre lämpligt att rapporteringen grundar sig på ett frivilligt åtagande. Av betydelse är här också behovet av en sekretessbrytande bestämmelse (se nedan).

I kapitel 3 har utredningen lämnat en beskrivning av den verksamhet som aktualiseras hos olika myndigheter vid en allvarlig händelse i utlandet och hur den allmänna katastrofhanteringen för närvarande är organiserad. Av beskrivningen framgår att utlandsmyndigheterna och Regeringskansliet, i första hand genom Utrikesdepartementet, i ett tidigt skede kan antas inneha uppgifter om drabbade och om händelsen i stort, bl.a. genom den information som snabbinsatsstyrkan får del av. Vidare kan samtliga de myndigheter som ingår i den s.k. stödstyrkan förväntas få tillgång till uppgifter som bör tillföras registret. Även polismyndigheterna kan i sin verksamhet, t.ex. i arbetet med personefterlysningar, komma att inneha sådana

123

Överväganden och förslag Ds 2009:12

uppgifter. Samtliga dessa myndigheter bör därför omfattas av en skyldighet att lämna uppgifter till Rikspolisstyrelsen. Även landstingen bör enligt utredningen omfattas av uppgiftsskyldigheten. Personal vid landstingen kan således komma att inneha relevanta uppgifter genom sitt deltagande vid katastrofmedicinska insatser.

En uppgiftsskyldighet bör gälla även för vissa andra aktörer som på grund av sin verksamhet kan antas ha tillgång till uppgifter av betydelse för registrets ändamål. Sådana uppgifter kan typiskt sett förväntas innehas av dem som yrkesmässigt säljer resor eller transporterar passagerare. Dessa aktörer bör alltså omfattas av en uppgiftsskyldighet.

Även andra aktörer kan komma att inneha vissa uppgifter som är av betydelse för registrets ändamål. Bland annat kan försäkringsbolag, genom den information som inkommer till deras larmcentraler, få tillgång till uppgifter om drabbade. Så kan också vara fallet för olika hjälporganisationer, t.ex. Röda Korset och Rädda Barnen som båda deltar i stödstyrkans arbete. Härtill kommer ett antal juridiska och fysiska personer som på olika sätt involveras i krisarbetet och därigenom har information som skulle kunna vara av värde för registret.

Utredningen har övervägt att låta uppgiftsskyldigheten omfatta ytterligare aktörer, bl.a. försäkringsbolag, men har gjort bedömningen att det saknas tillräckliga skäl att utvidga skyldigheten på detta sätt. Vid sidan av de ovan nämnda myndigheterna bör således skyldigheten omfatta endast dem som bedriver en verksamhet vars huvudsakliga inriktning är resande i någon form.

När ska uppgifter lämnas?

Inte minst när det gäller skyldigheten för andra än myndigheter att lämna uppgifter till Rikspolisstyrelsen är det angeläget att det redan av lagen på ett tydligt sätt framgår vad uppgiftsskyldig-

124

Ds 2009:12 Överväganden och förslag

heten innebär; vid vilken tidpunkt inträder skyldigheten och vilka uppgifter avses?

Det ligger i sakens natur att uppgifter av betydelse bör tillföras registret så fort som möjligt. Frågan är då hur detta krav på skyndsamhet bör komma till uttryck i lagtexten och om uppgifter ska lämnas självmant eller först efter en uppmaning av något slag. Enligt utredningens uppfattning är det inte rimligt att Rikspolisstyrelsen ska behöva avsätta resurser för att efterforska vilka aktörer som eventuellt kan tänkas inneha uppgifter av betydelse för att därefter kontakta dessa och infordra uppgifterna. I stället bör de myndigheter och andra som omfattas av uppgiftsskyldigheten självmant lämna dessa till Rikspolisstyrelsen.

Uppgiftsskyldigheten bör fullgöras så snart den uppgiftsskyldige fått vetskap om händelsen i fråga. Som framgått ovan innebär utredningens förslag att en registrering av uppgifter hos Rikspolisstyrelsen förutsätter ett beslut av Regeringskansliet om att en sådan verksamhet ska inledas. Innan ett sådant beslut har fattats finns alltså inte någon uppgiftsskyldighet. För att snabbt sprida kännedom om händelsen i fråga och om registreringsverksamheten är det lämpligt att Regeringskansliet omgående tillkännager ett sådant beslut. Till andra berörda än myndigheter bör detta lämpligen kunna ske genom att information om beslutet sänds till berörda branschorganisationer. Någon lagreglering av denna informationsverksamhet är inte nödvändig.

De uppgifter som omfattas av skyldigheten är sådana som de utpekade myndigheterna, landstingen, reseförsäljarna eller transportörerna innehar och alltså förfogar över på ett sådant sätt att de kan överlämnas.

De närmare formerna för fullgörandet av uppgiftsskyldigheten får regeringen, eller den myndighet som regeringen bestämmer, besluta om.

125

Överväganden och förslag Ds 2009:12

Sekretess för uppgifter hos den utlämnande myndigheten

Uppgifter som omfattas av den uppgiftsskyldighet som för vissa myndigheter och landsting föreslås i denna promemoria kan i flera fall träffas av bestämmelser i sekretesslagen hos den utlämnande myndigheten och därmed omfattas av ett sekretesskydd. De bestämmelser som i första hand kan bli tillämpliga vid ett utlämnande återfinns i 7 kap. och 9 kap. sekretesslagen.

I 7 kap. 1 § sekretesslagen anges allmänt att det hos myndighet gäller sekretess för en uppgift om enskilds hälsa. En förutsättning för att sekretess ska gälla är enligt bestämmelsen att ”det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs”. Sekretessen avgränsas alltså med ett s.k. rakt skaderekvisit, vilket innebär att det föreligger en stark presumtion för offentlighet. Bestämmelsen innebär ett minimiskydd för känsliga personuppgifter hos alla myndigheter.

För en enskilds bostadsadress, eller annan jämförbar uppgift, gäller sekretess enligt 7 kap. 1 a § sekretesslagen om det av särskild anledning kan antas att den enskilde eller någon honom eller henne närstående kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Bestämmelsen syftar alltså till att ge skydd åt en förföljd person. Skaderekvisitet innebär att typiskt sett harmlösa uppgifter, såsom en adressuppgift, som utgångspunkt ska kunna lämnas ut. En närmare skadebedömning behöver bara ske om det finns särskild anledning till det, t.ex. genom att det framkommit att den enskilde har en s.k. skyddad adress. Även denna sekretessbestämmelse gäller hos alla myndigheter.

Sekretessen i 7 kap. 1 b § sekretesslagen gäller för kopplingen mellan fingerade personuppgifter och den enskildes verkliga personuppgifter, om det inte står klart att uppgiften kan röjas utan att han eller hon eller någon närstående lider men.

Inom den verksamhet som är hänförlig till hälso- och sjukvården gäller enligt 7 kap. 1 c § sekretesslagen sekretess för uppgift om enskilds hälsotillstånd eller andra personliga

126

Ds 2009:12 Överväganden och förslag

förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Skaderekvisitet innebär att det råder en presumtionen för sekretess, vilket beror på att de uppgifter om enskilda som finns inom hälso- och sjukvården anses särskilt integritetskänsliga. Även den verksamhet som bedrivs vid katastrofmedicinska insatser utgör hälso- och sjukvård i bestämmelsens mening. Alla personer som deltar i sådan verksamhet omfattas således av sekretessen. Det spelar härvid ingen roll om deltagandet sker i utlandet eller i Sverige.

Sekretess gäller enligt 7 kap. 19 § sekretesslagen hos polismyndighet för sådan uppgift om enskilds personliga förhållanden som hänför sig till bl.a. sådan verksamhet som enbart innefattar hjälp eller annat bistånd åt enskild, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

En annan bestämmelse av betydelse i nu aktuellt sammanhang är 9 kap. 11 § första stycket sekretesslagen, enligt vilken sekretess gäller hos Utrikesdepartementet och utlandsmyndigheterna för uppgift om ekonomiskt bistånd eller annat liknande bistånd åt enskild om det kan antas att den enskilde eller någon honom eller henne närstående kan lida skada eller men om uppgiften röjs. Med ”annat liknande bistånd” avses bl.a. ärenden angående underrättelser om dödsfall till anhöriga och ärenden där utlandsmyndigheter försöker utröna om svenska medborgare kan ha drabbats av olyckor och naturkatastrofer som inträffat utomlands. Eftersom sekretessen begränsas genom ett rakt skaderekvisit gäller en presumtion för offentlighet.

Enligt andra stycket i samma bestämmelse gäller sekretess hos Utrikesdepartementet och utlandsmyndigheterna för uppgifter om enskilda som hänför sig till myndigheternas beredskapsplanering. I länder med mindre stabila förhållanden är de svenska utlandsmyndigheterna skyldiga att föra förteckningar över de svenska medborgare som finns inom landet. Förteckningarna behövs för att kunna lokalisera svenska medborgare om dessa behöver evakueras, t.ex. om en allvarlig olycka eller katastrof

127

Överväganden och förslag Ds 2009:12

skulle inträffa. Sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Det råder således en presumtion för sekretess.

Om en allvarlig händelse i utlandet har orsakats av ett mänskligt handlande med anknytning till Sverige kan det bli fråga om polisiära åtgärder, vilket innebär att uppgifter om enskilds personliga och ekonomiska förhållanden i vissa fall kan sekretessbeläggas med stöd av 9 kap. 17 § sekretesslagen.

Allmänna undantag från sekretess

Sekretess gäller alltså som utgångspunkt även mellan myndigheter, se 1 kap. 3 § sekretesslagen. Sekretesslagen innehåller emellertid även bestämmelser som innebär avsteg från denna grundprincip. I 1 kap. 5 § sekretesslagen anges ett allmänt undantag för det fall att ett utlämnande av uppgiften är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Paragrafen är avsedd att tillämpas restriktivt.

Om sekretess råder för en uppgift är utgångspunkten att en annan myndighet kan få del av uppgiften endast om uppgiftslämnandet är reglerat i lag eller förordning. Detta framgår av 14 kap. 1 § sekretesslagen. Fakultativa bestämmelser som föreskriver att en myndighet får lämna uppgifter till en annan innebär emellertid inte att sekretessen viker enligt bestämmelsen.

Enligt 14 kap. 3 § sekretesslagen, den s.k. generalklausulen, framgår att en sekretessbelagd uppgift får lämnas till myndighet om det är uppenbart att intresset för att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen är emellertid inte utan undantag. Av andra stycket framgår att bestämmelsen inte ska gälla i fråga om sekretess enligt t.ex. 7 kap. 1 c § sekretesslagen (hälso- och sjukvårdssekretessen), eller om utlämnandet strider mot lag eller förordning.

128

Ds 2009:12 Överväganden och förslag

Generalklausulen hindrar inte att ett rutinmässigt informationsutbyte sker mellan myndigheter även utan särskild författningsreglering i form av en uppgiftsskyldighet i lag eller förordning. Sekretesslagen bygger dock på att rutinmässigt uppgiftslämnande i regel ska vara författningsreglerat. När sådan reglering saknas får den i generalklausulen angivna intresseavvägningen ske i förhand och då utgå från den mottagande myndighetens behov av uppgifterna och det intresse som sekretesskyddet typiskt sett ska tillgodose.

Behovet av en sekretessbrytande bestämmelse

Av det sagda följer att ett utlämnande av uppgifter till Rikspolisstyrelsen kan aktualisera tillämpningen av flera olika bestämmelser i sekretesslagen. Vissa uppgifter skyddas av ett starkt sekretesskydd, medan det för andra råder en presumtion för offentlighet. Enligt nuvarande reglering måste ett utlämnande av en uppgift till Rikspolisstyrelsen föregås av en sekretessprövning utifrån den för uppgiften aktuella bestämmelsen. I flera fall kan en sådan prövning antas leda till att uppgiften kan lämnas ut, men i vissa fall kan en sekretessprövning vålla problem och inte självklart resultera i att uppgiften utan vidare kan lämnas ut. När det t.ex. gäller en uppgift som omfattas av hälso- och sjukvårdssekretessen i 7 kap. 1 c § sekretesslagen råder som nämnts en presumtion för sekretess. För att ett utlämnande ska kunna ske måste det alltså stå klart att uppgiften kan lämnas ut utan skada för den enskilde. Mot bakgrund härav och av att generalklausulen inte är tillämplig när det gäller sekretess enligt 7 kap. 1 c § sekretesslagen torde ett utlämnande av uppgifter för dessa fall förutsätta ett samtycke från den enskilde.

Enligt 1 kap. 5 § sekretesslagen utgör sekretess inte hinder mot att uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Som framkommit är bestämmelsen avsedd att tillämpas restriktivt. Sekretessen får efterges bara i sådana fall då ett

129

Överväganden och förslag Ds 2009:12

utlämnande av sekretessbelagda uppgifter är en nödvändig förutsättning för att en myndighet ska kunna fullgöra ett visst åliggande.

Över huvud taget leder det enligt utredningen till en otillfredsställande ordning att myndigheterna och landstingen ska behöva ägna sig åt omfattande skadeprövningar i samband med ett utlämnande av uppgifter till Rikspolisstyrelsen. En sådan ordning riskerar att leda till praktiska tillämpningsproblem som i sin tur kan fördröja och i några fall helt förhindra att uppgifter kan tillföras registret. De drabbades intresse av att snabbt och effektivt erhålla hjälp väger enligt utredningen tyngre än intresset av att behålla en sådan ordning.

Med hänvisning till det som sagts ovan bör bestämmelsen om uppgiftslämnande till Rikspolisstyrelsen utformas så att den bryter den sekretess som kan gälla för uppgifterna hos den myndighet och det landsting som lämnar dem.

6.15Utlämnande av uppgifter från registret

Förslag: Rikspolisstyrelsen ska lämna ut uppgifter ur registret om det begärs av Regeringskansliet, utlandsmyndigheterna, polismyndigheterna, Rättsmedicinalverket, Socialstyrelsen, kommunerna eller landstingen och uppgifterna behövs för den verksamhet som omfattas av lagens ändamålsbestämmelse. Samma krets ska även få beviljas direktåtkomst till registret och de uppgifter som behovet avser. Utlämnande av uppgifter på medium för automatiserad behandling ska endast få ske när det gäller enstaka uppgifter om inte regeringen, eller den myndighet som regeringen bestämmer, beslutar annat.

Skälen för förslaget: Rikspolisstyrelsens uppgift blir att hantera uppgifter genom att i huvudsak samla in, registrera och förmedla dessa. För att registrets ändamål ska uppfyllas krävs att

130

Ds 2009:12 Överväganden och förslag

uppgifterna inte stannar hos Rikspolisstyrelsen utan lämnas vidare till myndigheter och andra för att användas i deras verksamhet. Eftersom en spridning av uppgifter aktualiserar frågor om skyddet för den personliga integriteten och sekretess, bör lagen innehålla bestämmelser som reglerar utlämnandet. Enligt utredningen bör i vissa fall ett utlämnande regelmässigt kunna ske på ett snabbt och effektivt sätt utan hinder av sekretess. I andra fall bör de allmänna bestämmelserna i tryckfrihetsordningen och sekretesslagen gälla.

Sekretess gäller mellan myndigheter

Myndigheter kan inte åberopa handlingsoffentligheten i 2 kap. tryckfrihetsförordningen till stöd för en begäran om utlämnande av uppgifter från en annan myndighet. En sådan begäran får bedömas enligt sekretesslagen och förvaltningslagen.

Enligt 1 kap. 3 § sekretesslagen får en uppgift som en myndighet innehar och som omfattas av sekretess enligt en bestämmelse i sekretesslagen, inte röjas för annan myndighet i andra fall än som särskilt anges i sekretesslagen, eller i en lag eller förordning som sekretesslagen hänvisar till. Detsamma gäller i förhållande mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra.

Som utgångspunkt gäller alltså sekretess även mellan myndigheter. Samtidigt är det givet att myndigheter har behov av att utbyta information med varandra, däribland personuppgifter. Sedan länge har det ansetts vara en självklar princip att alla myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning som det kan ske. Principen kommer till uttryck i bl.a. 6 § förvaltningslagen (1986:223). I 15 kap. 5 § sekretesslagen anges också att en myndighet på begäran av en annan myndighet ska lämna uppgifter som den förfogar över i den mån hinder inte möter på grund av bestämmelser om sekretess eller av hänsyn till arbetets behöriga gång.

131

Överväganden och förslag Ds 2009:12

En författningsreglerad rätt för vissa myndigheter, kommunerna och landstingen att få del av uppgifter i registret

Som framgått är det viktigt att uppgifter i registret kommer vissa myndigheter till handa, utan hinder av sekretess eller andra bestämmelser. Det finns för myndigheternas del ett starkt intresse av ett effektivt informationsutbyte av personuppgifter för att kunna utföra sina verksamhetsuppgifter. Enligt utredningen strider det intresset inte mot den enskildes intresse. Tvärtom leder ett effektivt informationsutbyte mellan myndigheterna i detta fall till fördelar för den enskilde. Med hänsyn till den personliga integriteten är det emellertid viktigt att det förenas med tydliga regler för vad som är tillåtet och i vilka former det får ske.

Genom utredningens kartläggning, som bygger på uppgifter från myndigheterna själva, har det framkommit vilka myndigheter som med hänsyn till sin verksamhet kan anses ha ett påtagligt och legitimt behov av att få del av olika personuppgifter från registret, nämligen Regeringskansliet, utlandsmyndigheterna, polismyndigheterna, Socialstyrelsen, Rättsmedicinalverket (ID-kommissionen) samt kommunerna och landstingen (se ovan avsnitt 5.2 och 5.3). Även Rikskriminalpolisen kan inom ramen för sin medverkan i stödstyrkan behöva ha tillgång till uppgifter i registret. Eftersom Rikskriminalpolisen utgör en del av Rikspolisstyrelsen behöver ett sådant utlämnande emellertid inte författningsregleras.

För att möjliggöra ett effektivt utlämnande av uppgifter till myndigheterna, kommunerna och landstingen bör den nya lagen innehålla en särskild bestämmelse som reglerar uppgiftslämnandet.

132

Ds 2009:12 Överväganden och förslag

Olika former av elektroniskt utlämnande

Ett effektivt informationsutbyte förutsätter att uppgifterna kan lämnas ut på elektronisk väg. Personuppgiftslagen innehåller inte några bestämmelser som anger hur personuppgifter får lämnas ut. Sådana bestämmelser finns däremot ofta i registerförfattningar och innebär begränsningar av elektroniskt utlämnande av personuppgifter i form av bestämmelser om direktåtkomst och utlämnande på medium för automatiserad behandling.

Ett utlämnande på medium för automatiserad behandling kan innebära t.ex. att elektronisk information överförs via e-post, genom utlämnande av uppgifter på diskett, cd-rom, DVD, USB- minne eller genom direkt överföring från ett datorsystem till ett annat via allmänna kommunikationsnät. I sådana fall tar den utlämnande myndigheten i varje enskilt fall ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet.

Utlämnande på medium för automatiserad behandling innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen (prop. 2006/07:46 s. 78).

Den teknik som idag används för överföring på medium för automatiserad behandling innebär normalt att data utbyts på natten och begärd information skickas från de interna registren till en brevlåda hos uppgiftslämnaren. Den fördröjning i uppgiftslämnandet som är inbyggd i tekniken innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, sker i praktiken i samband med att förbindelsen upprättas.

Det finns inte någon legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är vanligtvis att någon har direkt tillgång till någon annans register

133

Överväganden och förslag Ds 2009:12

eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Mottagare med direktåtkomst kan i regel också kopiera informationen och därefter bearbeta den (prop. 2006/07:46 s. 79).

I begreppet ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande i varje enskilt fall. I stället måste en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid den förhandsprövning som ska ske vid beviljande av direktåtkomst måste sekretesslagens bestämmelser beaktas. En myndighet kan inte tillåta en annan myndighet att få direktåtkomst till ett register, om uppgifterna i registret omfattas av sekretess som innebär att den mottagande myndigheten vid en prövning enligt sekretesslagen inte med säkerhet skulle ha rätt att ta del av uppgifterna. I och med att direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilken uppgift den vill ta del av blir uppgiften nämligen att anse som röjd i sekretesslagens mening i och med att direktåtkomsten finns. Detsamma måste anses gälla mellan självständiga verksamhetsgrenar inom en myndighet, eftersom sekretess gäller mellan sådana verksamhetsgrenar på samma sätt som mellan skilda myndigheter.

Eftersom en bestämmelse om direktåtkomst inte har någon sekretessbrytande effekt i sig är en förutsättning för att direktåtkomst ska kunna tillåtas därför att åtkomsten antingen endast avser offentliga uppgifter eller att den avser sådana sekretessbelagda uppgifter som enligt lag eller förordning ska

134

Ds 2009:12 Överväganden och förslag

lämnas ut till den som har direktåtkomst (se 14 kap. 1 sekretesslagen) eller uppgifter som med stöd av generalklausulen i 14 kap. 3 § sekretesslagen får lämnas ut rutinmässigt efter en på förhand gjord intresseavvägning (prop. 2006/07:46 s. 79).

Huruvida en myndighet bör få ha direktåtkomst till information som finns hos en annan myndighet måste bedömas genom en avvägning mellan de skäl som talar för en sådan åtkomst och de integritetsskäl som talar mot det. Vid bedömningen får hänsynen till den personliga integriteten vägas mot bl.a. behovet av ökad effektivitet hos myndigheterna. Det är naturligtvis också av betydelse vilka uppgifter som ska omfattas av en eventuell direktåtkomst och hur integritetskänsliga dessa uppgifter är (prop. 2007/08:160 s. 59).

Även om personuppgiftslagen inte direkt reglerar hur utlämnandet får ske anses vissa bestämmelser i personuppgiftslagen innebära begränsningar i möjligheten att lämna ut uppgifter genom direktåtkomst. Så är fallet med bl.a. 9 § första stycket e och f, som alltså ska gälla även vid en behandling av personuppgifter enligt den nu aktuella lagen, och som anger att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen (prop. 2007/08:160 s. 58).

Bestämmelser om direktåtkomst är ofta begränsade på så sätt att direktåtkomst bara medges till vissa typer av uppgifter. För att den mottagande myndigheten ska kunna utnyttja direktåtkomsten i alla de fall som kan bli aktuella måste dock myndigheten ofta rent tekniskt ha tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas genom direktåtkomst i myndighetens verksamhet (se prop. 2007/08:160 s. 69 och 13 kap. 3 a § sekretesslagen, som tar sikte på uppgifter som är tekniskt tillgängliga vid direktåtkomst).

En myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen kan enligt förarbetena till personuppgiftslagen inte anses oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in (se prop. 1997/98:44 s. 44). Regler om

135

Överväganden och förslag Ds 2009:12

ändamålsbegränsningar i särskilda registerförfattningar anses inte heller i sig inskränka myndigheters skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (SOU 2004:4 s. 246). Med hänsyn härtill har regeringen intagit ståndpunkten att sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för en myndighet är att anses som förvarade hos myndigheten och därmed allmänna handlingar hos den myndigheten, om sammanställningarna kan göras med tillgängliga rutinbetonade åtgärder, se 2 kap. 3 § andra stycket tryckfrihetsförordningen, och utan användning av förbjudna sökbegrepp (prop. 2007/08:160 s. 69 f.).

Utlämnande av uppgifter på medium för automatiserad behandling

Den tekniska utvecklingen har lett till att skillnaden mellan direktåtkomst och annat utlämnande på automatiserad väg har blivit så små att det ibland kan vara svårt att dra en gräns mellan dessa former för utlämnande (prop. 2007/08:160 s. 58). Även ett utlämnande av uppgifter på medium för automatiserad behandling innebär alltså särskilda risker från integritetssynpunkt bl.a. med hänsyn till mottagarens möjlighet att bearbeta informationen t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Av det skälet, och för att en bestämmelse om direktåtkomst inte ska kringgås, anser utredningen att förutsättningarna för utlämnande av personuppgifter på medium för automatiserad behandling bör författningsregleras.

Enligt utredningen är det rimligt att enstaka uppgifter eller handlingar kan lämnas ut av Rikspolisstyrelsen på medium för automatiserad behandling, när förutsättningarna för ett utlämnande i övrigt är uppfyllda. När det gäller möjligheten att lämna ut större mängder uppgifter i elektroniskt form bör de närmare förutsättningarna för det anges genom föreskrifter i förordning. Det bör också finnas utrymme för regeringen att i ett enskilt fall besluta om att uppgifter får lämnas ut på medium

136

Ds 2009:12 Överväganden och förslag

för automatiserad behandling i större omfattning (jfr Ds 2007:43 s. 253 f. och prop. 2006/07:46 s. 77 f.).

Direktåtkomst för vissa myndigheter, kommuner och landsting

Med utnyttjande av modern teknik ökar möjligheten för myndigheterna att skapa överblick och samordning i den hjälpande verksamheten vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet. En möjlighet till direktåtkomst till uppgifterna bidrar alltså till att förutsättningarna för ett framgångsrikt katastrofarbete förbättras eftersom uppgifterna då kommer behövande myndigheter till handa på ett snabbt, enkelt och effektivt sätt.

För en möjlighet till direktåtkomst talar i viss mån även kostnads- och säkerhetsskäl. Det är inte kostnadseffektivt att Rikspolisstyrelsen eller den mottagande myndigheten avsätter resurser för att manuellt administrera ett informationsutbyte när behovet av ett sådant utbyte kan konstateras redan på förhand. Utlämnande på annat sätt än genom direktåtkomst, exempelvis via fax eller e-post, innebär också allmänt sett ett mindre säkert överförande av uppgifter, eftersom obehöriga då lättare kan få tillgång till dem.

Mot det nu sagda måste dock integritetsskyddet vägas. Typiskt sett innebär direktåtkomst att känsliga uppgifter blir tillgängliga för en större krets personer och att den personuppgiftsansvariga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Ju fler personer som har tillgång till en personuppgiftssamling, desto mer påtagligt torde intrånget i den personliga integriteten uppfattas av den enskilde.

En viktig aspekt vid den avvägning som måste göras är sekretesskyddet för uppgifterna hos den mottagande myndigheten. Om sekretesskyddet hos myndigheten är lika långtgående som sekretesskyddet hos den utlämnande myndigheten, behöver ett utlämnande av uppgifterna genom direktåtkomst inte innebära någon ökning av integritetsriskerna i förhållande till

137

Överväganden och förslag Ds 2009:12

allmänheten. En annan viktig aspekt är hur uppgifterna sprids och används inom myndigheten.

Av det sagda följer att en eventuell möjlighet till direktåtkomst bör begränsas till att omfatta endast de myndigheter vars verksamhetsuppgifter typiskt sett föranleder ett skyndsamt behov av tillgång till fler än enstaka personuppgifter. Enligt utredningens bedömning måste samtliga de myndigheter som föreslås få en författningsreglerad rätt att ta del av uppgifter i registret anses ha ett sådant berättigat behov av direktåtkomst. Detsamma gäller för kommunerna och landstingen. Åtkomsten bör emellertid alltid begränsas till de uppgifter som behövs för fullgörandet av myndighetens, kommunens eller landstingens arbetsuppgifter och, inom den mottagande enheten, till att avse de tjänstemän som behöver ha tillgång till uppgifterna för att fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt.

Med hänsyn till att myndighetsstrukturen kan förändras på olika sätt, nya myndigheter kan tillkomma och verksamhetsuppgifter överflyttas från en myndighet till en annan, kan regeringen behöva meddela föreskrifter om att även andra myndigheter ska ha rätt att få tillgång till uppgifter ur registret utan hinder av sekretess.

Bestämmelser som anger de närmare förutsättningarna för direktåtkomsten, t.ex. vad gäller krav på informationssäkerhet eller särskild behörighet för tjänstemän med tillgång till registret, bör meddelas av regeringen eller den myndighet som regeringen bestämmer.

Utlämnande av uppgifter till enskilda

En enskild person har enligt 2 kap. tryckfrihetsförordningen rätt att ta del av en allmän handling. Vad som utgör en allmän handling framgår av 2 kap. 3 § tryckfrihetsförordningen. Enligt bestämmelsen förstås med handling en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel. En handling är allmän

138

Ds 2009:12 Överväganden och förslag

om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten.

En ADB-upptagning anses förvarad hos myndigheten om upptagningen är tillgänglig för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Sammanställningen anses emellertid inte förvarad hos myndigheten om den innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Det innebär t.ex. att om det finns en bestämmelse i en registerförfattning som begränsar möjligheten att söka ibland uppgifter, så kan bestämmelsen medföra att en upptagning inte är att anse som en allmän handling hos en myndighet.

Ett elektroniskt dokument anses ha inkommit till en myndighet när dokumentet når mottagarens dator. När det gäller register och förteckningar som förs fortlöpande anses det upprättat hos myndigheten när handlingen har färdigställts för anteckning eller införing.

Den som vill ta del av en allmän handling ska vända sig till den myndighet som förvarar handlingen. Enligt 15 kap. 4 § sekretesslagen ska en myndighet på begäran av en enskild lämna ut en uppgift ur en allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

Av det ovan sagda följer att en uppgift som omfattas av registret kan anses förvarad hos Rikspolisstyrelsen, men också hos andra myndigheter som har tillgång till registret t.ex. genom direktåtkomst. Om det rör sig om en uppgift som lämnas in till Rikspolisstyrelsen för införande i registret torde den vara att anse som inkommen dit. Annars är en uppgift upprättad hos myndigheten i och med att den förs in i registret. Tidpunkten för när upptagningen/uppgiften kan anses utgöra en allmän

139

Överväganden och förslag Ds 2009:12

handling bör i princip sammanfalla, eftersom en uppgift i praktiken bör införas i registret samtidigt som den mottas av Rikspolisstyrelsen, eller i vart fall omgående därefter. Rikspolisstyrelsen är alltså som regel skyldig att lämna ut en uppgift i registret, om den inte omfattas av sekretess.

Som framgår av avsnitt 6.17 gör utredningen bedömningen att uppgifter i registret som rör personliga förhållanden bör omfattas av en särskild sekretessbestämmelse och att utgångspunkten bör vara att det råder sekretess för sådana uppgifter. Utredningen har valt att inte föreslå någon särbestämmelse när det gäller utlämnande av uppgifter till anhöriga eller närstående till en drabbad person. Samtidigt framgår det av ändamålen att registreringen bl.a. sker för att kunna lämna uppgifter till dessa, vilket bör vägas in vid en prövning av om uppgiften ska lämnas ut eller inte. Det bör också påpekas att sekretess till skydd för den enskilde som utgångspunkt inte gäller i förhållande till den enskilde själv enligt 14 kap. 4 § sekretesslagen och att sekretessen helt eller delvis kan efterges av honom eller henne enligt samma bestämmelse.

6.16Uppgiftslämnande till utlandet

Bedömning: Det har inte framkommit något påtagligt behov av en särskild reglering när det gäller utlämnande av personuppgifter till ett annat land.

Skälen för bedömningen: En utgångspunkt i sekretesslagen är att en uppgift som omfattas av sekretess inte får röjas för en utländsk myndighet eller mellanfolklig organisation. I 1 kap. 3 § tredje stycket sekretesslagen finns dock bestämmelser som innebär att en sekretesskyddad uppgift får röjas för en utländsk myndighet eller mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker i enlighet med en särskild föreskrift i lag eller författning. Den andra är när uppgiften i motsvarande

140

Ds 2009:12 Överväganden och förslag

fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas. Den sistnämnda bestämmelsen är, som framgår av lydelsen, avsedd att tillämpas restriktivt.

Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland, dvs. ett land utanför EU, föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet omfattar även överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i tredjelandet. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland, men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen.

Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring. Enligt 35 § första stycket personuppgiftslagen får regeringen meddela undantag från förbudet när överföringen sker till vissa stater. Regeringen har i 13 § personuppgiftsförordningen utnyttjat sin behörighet i detta avseende och föreskrivit att personuppgifter får föras över till tredje land om och i den utsträckning EG-kommissionen har konstaterat att landet har en adekvat nivå för skyddet av personuppgifter. Vilka dessa är framgår av en bilaga till personuppgiftsförordningen.

Vidare anges i 35 § andra stycket personuppgiftslagen att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet att föra över

141

Överväganden och förslag Ds 2009:12

personuppgifter till tredje land, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Av tredje stycket framgår att undantag får medges också i enskilda fall.

Regeringen har genom 14 § personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela föreskrifter om undantag om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

De uppgifter som kan komma att antecknas i registret kommer att avse svenska intressen såtillvida att de som är drabbade ska vara endera svenska medborgare eller bosatta här. Överlag torde det ofta saknas anledning att lämna ut uppgifter av detta slag till myndigheter i andra länder. I den mån det för något fall skulle finnas ett sådant behov kan ett utlämnande ske efter en prövning i det enskilda fallet och med en tillämpning av de bestämmelser som har nämnts ovan. Mot bakgrund härav anser utredningen att det inte finns något behov av särregler i denna del.

6.17En ny bestämmelse i sekretesslagen

Förslag: Sekretess ska gälla för uppgift om enskilds personliga förhållanden i den verksamhet som avser förande av eller uttag ur det register som nu föreslås, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. I fråga om uppgift i allmän handling ska sekretessen gälla i högst sjuttio år.

Skälen för förslaget: Registret kommer att omfatta ett antal olika personuppgifter varav vissa med känsligt innehåll. Som framgått har flera av uppgifterna, före utlämnandet till Rikspolisstyrelsen, omfattats av sekretessbestämmelser i sekretesslagen och i vissa fall har bestämmelserna innehållt ett s.k. omvänt skaderekvisit, dvs. sekretess har gällt som presumtion (se ovan

142

Ds 2009:12 Överväganden och förslag

under avsnitt 6.14). Frågan är hur uppgifterna är och bör vara skyddade när de behandlas i registret.

Sekretess enligt nuvarande reglering

Enligt nuvarande reglering kan registrets uppgifter i första hand aktualisera tillämpningen av vissa bestämmelser i 7 kap. och 9 kap. sekretesslagen. I avsnitt 6.14 har utredningen redogjort för de primära sekretessbestämmelser som återfinns i 7 kap. 1–1 b §§ sekretesslagen och som avser uppgift om hälsa, bostadsadress och vissa andra personuppgifter. Även bestämmelsen i 7 kap. 19 § sekretesslagen, som gäller hos polismyndighet för uppgift om enskilds personliga förhållanden och som hänför sig till verksamhet som enbart innefattar hjälp eller annat bistånd åt enskild, har berörts ovan. Bestämmelsen har i praxis tillämpats bl.a. vid begäran om att från Rikspolisstyrelsen få ut listor med namn över efterlysta personer och över personer som befunnit sig på platsen för flodvågskatastrofen i Sydostasien (se RÅ 1988 not 776 och RÅ 2005:27).

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Det som ska prövas är alltså om det kan antas att sökandens behandling av personuppgifter efter ett utlämnande skulle stå i strid med personuppgiftslagen. Risk för sådan skada som anges i bestämmelsen torde i praktiken aktualiseras bara vid massuttag i någon form (Sören Öman och Hans-Olof Lindblom s. 499). En översyn av bestämmelsen sker för närvarande av den s.k. E- offentlighetskommittén (Dir. 2008:26), som ska redovisa sitt uppdrag senast den 31 december 2009.

143

Överväganden och förslag Ds 2009:12

Behov av kompletterande sekretesskydd

Vid en jämförelse av det sekretesskydd som vissa uppgifter omfattas av före ett utlämnande till Rikspolisstyrelsen och det sekretesskydd som kommer att gälla för samma uppgifter hos Rikspolisstyrelsen kan man konstatera att detta skiljer sig åt. Den sekretess som har skyddat uppgifterna hos de utlämnande myndigheterna överförs inte till Rikspolisstyrelsen och i den mån uppgifterna inte omfattas av någon primär sekretessbestämmelse där blir uppgifterna alltså offentliga. Även om det finns en primär sekretessbestämmelse som är tillämplig för uppgifterna hos Rikspolisstyrelsen kan den bestämmelsen ge uppgifterna ett mindre starkt skydd än hos den utlämnande myndigheten. Så är fallet t.ex. när det gäller uppgifter som rör en drabbad persons hälsa och som lämnas till Rikspolisstyrelsen av personal som omfattas av hälso- och sjukvårdssekretessen.

Det är enligt utredningen otillfredsställande att uppgifter som är integritetskänsliga och i behov av ett sekretesskydd, förlorar det skyddet när uppgiften förs in i registret, eller att sekretessskyddet försvagas. Det förhållande att känsliga personuppgifter regelmässigt ska få behandlas utan samtycke från den registrerade är också något som enligt utredningen motiverar ett särskilt skydd för uppgifterna. Härtill kommer att uppgifter som man först inte hade anledning att ifrågasätta riktigheten av senare kan visa sig vara felaktiga.

Enligt utredningen utgör det som sagts ovan skäl för att införa en särskild sekretessbestämmelse i sekretesslagen som syftar till att skydda uppgifterna i registret.

Sekretessens föremål, räckvidd och styrka

En sekretessbestämmelse kan förenklat sägas bestå av tre delar uppbyggda kring tre olika rekvisit; föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka. De första två rekvisiten avgränsar sekretessbestämmelsens tillämpningsområde

144

Ds 2009:12 Överväganden och förslag

genom att ange vilka uppgifter som omfattas av sekretess och hur långt sekretessen sträcker sig, t.ex. inom en viss verksamhet eller hos en viss myndighet. Inom det området utgör bestämmelsen en primär sekretessregel. Sekretessen kan emellertid med stöd av överföringsbestämmelser spridas utanför det primära sekretessområdet. Detta kallas sekundär sekretess.

Sekretessens styrka anges genom ett skaderekvisit som antingen kan vara ”rakt” och innebära en presumtion för offentlighet, eller ”omvänt” och innebära en presumtion för sekretess.

Det raka skaderekvisitet innebär att tillämparen kan göra sin bedömning inom ganska vida ramar. Avsikten är att skadebedömningen i dessa fall i huvudsak ska kunna göras med utgångspunkt i själva uppgiften. Det innebär att frågan huruvida sekretess gäller eller inte i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. Avgörande är i stället om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, ska den alltså normalt anses falla utanför sekretessen. Det innebär att man sällan behöver frångå den till offentlighetsprincipen hörande grundsatsen att den som begär att få ta del av en uppgift hos en myndighet inte ska behöva legitimera sig eller tala om varför han vill ta del av uppgifterna.

Det omvända skaderekvisitet utgår från sekretess som huvudregel. Det innebär att tillämparen har ett relativt begränsat utrymme för sin bedömning. I praktiken innebär det att tillämparen många gånger inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och dennes avsikter med uppgiften.

145

Överväganden och förslag Ds 2009:12

Den nya bestämmelsens utformning

I registret kan finnas både sådana uppgifter som normalt sett anses vara integritetskänsliga och därför i behov av ett särskilt skydd, och sådana som normalt sett betraktas som harmlösa och därför sällan skyddas med mer än ett rakt skaderekvisit. I det sammanhang som uppgifterna förekommer anser utredningen emellertid att även typiskt sett harmlösa uppgifter, såsom en uppgift om en drabbad persons bostadsadress, förtjänar ett särskilt skydd. Registret kan komma att omfatta många olika uppgifter om en drabbad person som tillsammans kan ge en god bild av personens livssituation, familjeförhållanden osv. Registret kan också komma att omfatta samma typ av uppgifter om många olika personer, vilka kan sammanställas till listor av olika slag, t.ex. en förteckning över drabbade personer med hemvist i ett visst område, deras bostadsadresser och uppgift om planerad hemkomst till Sverige. Enligt utredningen finns det en betydande risk att sådana uppgifter kan missbrukas och användas i olagliga syften om de, i den rådande situationen, lämnas ut efter en prövning som utgår från en sekretessbestämmelse med ett rakt skaderekvisit.

Enligt utredningen har det också betydelse att uppgifter som tillförs registret lämnas i en situation som präglas av kaos och stress. Det finns därför inte alltid tid att överväga vilka konsekvenser ett införande av en uppgift i registret kan innebära. För att registret ska fungera effektivt och i enlighet med sitt syfte är det viktigt att det finns ett allmänt förtroende för verksamheten och att drabbade, anhöriga och andra utan vidare kan känna att de kan lämna uppgifter till Rikspolisstyrelsen för införande i registret (jfr prop. 2004/05:83 s. 13 ff. och lagrådsremiss från Försvarsdepartementet, Några frågor om sekretess och tillgång till register, beslutad den 4 december 2008, s. 26 ff.).

Med hänvisning till det som redovisats ovan är utredningens ståndpunkt att utgångspunkten bör vara att det råder sekretess för uppgifterna i registret. Den nya bestämmelsen i sekretesslagen bör därför innehålla ett omvänt skaderekvisit som omfattar

146

Ds 2009:12 Överväganden och förslag

en drabbad persons samtliga personliga förhållanden. Det innebär att Rikspolisstyrelsen ska göra en individuell skadebedömning varje gång ett utlämnande av uppgifterna aktualiseras, och att uppgifternas karaktär som typiskt sett harmlösa eller integritetskänsliga inte har samma betydelse som vid ett rakt skaderekvisit. Det innebär också att det har betydelse vem den uppgiftssökande är och vad uppgifterna ska användas till. Är det t.ex. en anhörig eller närstående som vill få del av uppgifter om en drabbad person, bör normalt sett ett utlämnande kunna ske (jfr registrets ändamål).

Det bör i sammanhanget anmärkas att det för att en enskild person ska lida skada eller men av att en uppgift röjs krävs att uppgifterna är hänförliga till en viss individ. Rikspolisstyrelsen bör alltså i allmänhet kunna lämna ut avidentifierade uppgifter utan risk för att skada eller men uppkommer.

När det gäller sekretessens räckvidd anser utredningen att bestämmelsen bör gälla i den verksamhet som avser förande av eller uttag ur registret (jfr t.ex. formulering i 7 kap. 17 § sekretesslagen och vad som sägs i prop. 2007/08:38 s. 26). Formuleringen innebär att den sekretess som gäller hos den registrerande myndigheten, i detta fall Rikspolisstyrelsen, blir tillämplig också hos direktanslutna myndigheter, så länge uppgiften är kvar i registret. Görs ett utdrag ur registret eller används detta på annat sätt i den direktanslutna myndighetens verksamhet, blir de sekretessbestämmelser som kan finnas för den verksamheten i stället tillämpliga.

En sekretessbrytande bestämmelse för att möjliggöra informationsutbyte

Enligt utredningens förslag bör alltså uppgifterna i registret att omfattas av en sekretessbestämmelse med ett omvänt skaderekvisit. Presumtionen är således att uppgifterna är hemliga. Samtidigt har utredningen flera gånger framhållit betydelsen av ett informationsutbyte mellan myndigheter och av att uppgifter

147

Överväganden och förslag Ds 2009:12

kommer behövande myndigheter till del. Sekretessbestämmelsen bör naturligtvis inte hindra ett sådant utlämnande. Den bestämmelse i författningsförslaget som föreskriver en rätt för vissa myndigheter att få ut uppgifter ur registret utgör således en sekretessbrytande bestämmelse enligt 14 kap. 1 § sekretesslagen, vilket innebär att uppgifterna ska lämnas ut till myndigheterna utan hinder av den föreslagna bestämmelsen. Det möjliggör också den föreskrivna rätten till direktåtkomst.

Sekretessen har alltså en räckvidd som omfattar även sådana uppgifter i registret som en myndighet tar del av vid direktåtkomst, så länge uppgifterna är kvar i registret. Dessutom finns numera en kompletterande bestämmelse i 13 kap. 3 a § sekretesslagen som innebär att om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och om uppgiften i denna upptagning är sekretessreglerad där, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.

Bestämmelsen är avsedd att skydda alla uppgifter som den mottagande myndigheten får tekniskt tillgång till hos den utlämnande myndigheten vid direktåtkomst till register. Ofta begränsas direktåtkomsten till de uppgifter som den mottagande myndigheten behöver i en viss verksamhet eller i viss typ av verksamhet. För att den mottagande myndigheten ska kunna utnyttja direktåtkomsten i alla de fall som kan bli aktuella måste dock myndigheten ofta rent tekniskt ha tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas. Även detta ”överskott” av uppgifter kan emellertid utgöra en allmän handling hos den mottagande myndigheten (se prop. 2007/08:160 s. 67 ff.). Genom bestämmelsen i 13 kap. 3 a § sekretesslagen får även denna typ av uppgifter ett skydd hos den mottagande myndigheten genom att den sekretess som gällde hos den utlämnande myndigheten överförs till den mottagande myndigheten. Detta gäller emellertid inte om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten (13 kap. 6 §). Om det finns en sekretessbestämmelse som är primärt tillämplig hos den

148

Ds 2009:12 Överväganden och förslag

mottagande myndigheten är det således den bestämmelsen som ska tillämpas i stället för den överförda sekretessen, oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen (se prop. 2007/08:160 s. 75).

Alla de uppgifter som myndigheten har tillgång till genom direktåtkomsten omfattas alltså av den föreslagna sekretessbestämmelsen, så länge de behandlas i registret. Om den mottagande myndigheten för ut uppgifter ur registret, för att t.ex. behandla uppgifterna i ett ärende i verksamheten, omfattas de inte längre av bestämmelsens skydd. Det kan i sin tur innebära att uppgifter som har varit hemliga hos Rikspolisstyrelsen blir offentliga hos den mottagande myndigheten.

Det förhållandet att uppgifterna, så länge de befinner sig i registret, omfattas av en sekretessbestämmelse som medför ett starkt sekretesskydd innebär enligt utredningen inte i sig att uppgifterna bör ha samma skydd hos den mottagande myndigheten. En grundtanke i sekretesslagen är att en och samma uppgift kan erhålla olika starkt skydd hos olika myndigheter beroende på hur pass stort insynsintresset är hos de olika myndigheterna. Som framgått utgör det sammanhang som uppgifterna förekommer i när de finns i registret ett starkt skäl för sekretessens styrka, vilket inte gör sig gällande på samma sätt när uppgifterna behandlas i den löpande verksamheten hos myndigheterna. Eftersom utredningens förslag inte är avsett att leda till att en myndighet får tillgång till nya typer av uppgifter, utan endast syftar till att på ett effektivt sätt förmedla sådana uppgifter som myndigheten, kommunen eller landstinget behöver för sina befintliga verksamhetsuppgifter, får den sekretess som gäller hos den mottagande enheten anses ge uppgifterna ett tillräckligt skydd där.

149

Överväganden och förslag Ds 2009:12

Bestämmelsens placering, meddelarfrihet m.m.

Den föreslagna bestämmelsen tar sikte på uppgifter som rör enskilds personliga förhållanden. Den bör därför placeras i 7 kap. sekretesslagen.

I likhet med vad som gäller för de flesta sekretessbestämmelserna i 7 kap. bör sekretesstiden för uppgift i allmän handling vara högst 70 år. Det bör emellertid noteras att uppgifter i registret som huvudregel ska gallras långt dessförinnan.

Det finns inte anledning att låta sekretessen ha företräde framför meddelarfriheten.

6.18Bevarande och gallring

Förslag: En personuppgift i registret ska gallras senast ett år efter det att den registrerades. Regeringen eller den myndighet som regeringen bestämmer får dock dels meddela föreskrifter om att uppgifter ska bevaras längre om de behövs för historiska, statistiska eller vetenskapliga ändamål, eller för att möjliggöra en sådan planering, uppföljning och utvärdering som avses i ändamålsbestämmelsen, dels i ett enskilt fall besluta att en uppgift ska bevaras längre om det finns synnerliga skäl för det.

Skälen för förslaget: I personuppgiftslagen saknas uttryckliga regler om gallring. Däremot anges i 9 § första stycket personuppgiftslagen att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Därefter måste personuppgifterna alltså avidentifieras eller utplånas (Sören Öman och Hans-Olof Lindblom, s. 172). Av bestämmelsens tredje stycke framgår dock att personuppgifter får bevaras under längre tid för historiska, statistiska och vetenskapliga ändamål, dock inte längre tid än vad som behövs för dessa ändamål.

150

Ds 2009:12 Överväganden och förslag

Personuppgifter som utgör allmänna handlingar kan dock enligt 8 § andra stycket personuppgiftslagen arkiveras och bevaras utan hinder av lagens övriga bestämmelser, vilket då i stället sker under de förutsättningar som anges i arkivlagen (1990:782). Enligt 3 § i den lagen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt för forskningens behov. Allmänna handlingar får enligt 10 § samma lag endast gallras om återstående arkivmaterial kan tillgodose dessa ändamål.

Arkivlagens utgångspunkt är således att allmänna handlingar ska bevaras. Av integritetsskyddsskäl har man i flera registerförfattningar valt att vända på den princip som arkivlagen ger uttryck för och i stället ange att personuppgifter i elektronisk form ska gallras om det inte finns särskilda föreskrifter eller beslut om bevarande (Söran Öman, Gallring i allmänna handlingar av integritetsskyddsskäl, s. 39–48, skrifter utgivna av Riksarkivet nr 21, 2004). Ofta är dessa gallringsbestämmelser utformade så att personuppgifterna i fråga ska gallras inom en viss tid efter att uppgifterna har samlats in eller att ärendet som uppgifterna tillhör har avslutats, om inte undantag har föreskrivits i registerförfattningen eller i bestämmelse meddelad med stöd av denna.

Frågan är om personuppgiftslagens och arkivlagens bestämmelser angående hur länge personuppgifter ska bevaras bör gälla för uppgifter i registret eller om det behövs en särskild gallringsbestämmelse. Behovet av att avvika från arkivlagens huvudregel måste avgöras efter en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet.

När personuppgifter behandlas automatiserat uppstår helt andra möjligheter att söka och sammanställa information, vilket ökar risken för integritetskränkningar. Regeringen har tidigare gett uttryck för ståndpunkten att det i fråga om sådan behandling av personuppgifter är nödvändigt med regler om gallring med hänsyn till integritetsintresset (se prop. 2008/09:96 s. 70).

151

Överväganden och förslag Ds 2009:12

Enligt utredningen är det från integritetssynpunkt angeläget att personuppgifterna i registret gallras när de inte längre behövs med hänsyn till ändamålet med behandlingen, särskilt med tanke på att det kan komma att omfatta ett stort antal känsliga personuppgifter. Utredningen anser därför att det i en särskild bestämmelse i lagen bör anges att gallring som huvudregel ska ske av personuppgifter som omfattas av registret.

Utredningens förslag innebär vidare att det i lagen anges en huvudregel för när gallring ska ske. Lösningen innebär en tydlig reglering av vad som gäller och bidrar till att öka förutsebarheten för den registrerade samtidigt som det underlättar den praktiska hanteringen hos Rikspolisstyrelsen. Gallringsfristen utgör en maximitid. I den mån det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse för den hjälpande verksamheten ska de gallras redan då. Detta följer av lagens allmänna bestämmelser, bl.a. ändamålsbestämmelserna. Det kan emellertid inte krävas att Rikspolisstyrelsen fortlöpande kontrollerar om en uppgift bör gallras eller inte före gallringsfristens utgång. Det är först när det av någon anledning står klart att en uppgift inte längre behövs i den hjälpande verksambeten som en skyldighet bör uppkomma för myndigheten att gallra uppgiften före gallringsfristens utgång.

Eftersom ändamålet med registret i första hand är att förse andra aktörer med nödvändig information kommer de flesta uppgifter som omfattas av registret ganska snart efter att registreringen har skett, att ha lämnats ut till de myndigheter som behöver ha tillgång till dem. Dessa myndigheter har sedan att ta hand om uppgifterna i enlighet med de föreskrifter som reglerar verksamheten där. Registret har alltså till syfte att i tiden underlätta verksamheten i nära anslutning till den händelse som utlöser registreringsverksamheten och behovet av att uppgifterna finns tillgängliga hos Rikspolisstyrelsen är begränsat till den perioden. Det talar enligt utredningen för att en gallring av uppgifterna bör kunna ske efter en relativt kort period. Enligt utredningen bör uppgifterna i registret som regel gallras senast ett år efter det att de har förts in i registret.

152

Ds 2009:12 Överväganden och förslag

För det nationella kulturarvets skull bör ändå ett visst urval av personuppgifter få bevaras. Med hänsyn härtill bör regeringen, eller den myndighet som regeringen bestämmer, ha möjlighet att besluta om undantag som innebär att vissa personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Genom en sådan reglering tillgodoses arkivlagens ändamål.

Vidare kan uppgifter behöva behandlas under en längre tid för att tillgodose ändamålet att planera, följa upp och utvärdera den verksamhet som händelsen har föranlett. Även i ett sådant fall bör det vara möjligt att frångå huvudregeln om gallring.

Slutligen bör det även finnas en möjlighet för regeringen, eller en myndighet efter delegation, att även i andra fall besluta om undantag från huvudregeln när det finns synnerliga skäl för det.

6.19Rättelse och skadestånd

Förslag: Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd ska gälla vid behandling av personuppgifter som utförs i registret.

Skälen för förslaget: Enligt 28 § personuppgiftslagen gäller att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har meddelats med stöd av lagen. Vidare gäller att när en sådan rättelse görs av den personuppgiftsansvarige ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär detta eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse kan dock underlåtas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Personuppgiftslagens bestämmelser om rättelse bör gälla även vid behandling som har utförts i strid med den nu föreslagna

153

Överväganden och förslag Ds 2009:12

regleringen. Reglerna i personuppgiftslagen om rätt för den registrerade att få uppgifter rättade m.m. gäller emellertid endast uppgifter som inte har behandlats i enlighet med den lagen eller de föreskrifter som meddelats med stöd av lagen. Uppgifter som har behandlats i strid mot föreskrifter i särskilda registerförfattningar omfattas sålunda inte om inte behandlingen också strider mot personuppgiftslagen eller mot föreskrifter som har meddelats med stöd av denna. Enligt utredningen bör en registrerad ha samma möjlighet att få personuppgifter rättade om behandlingen strider mot bestämmelserna i den nu föreslagna författningen som i andra fall. För att uppnå det krävs att författningen innehåller en egen bestämmelse om rättelse.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid med den lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning som det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Skillnaden mellan de särskilda bestämmelserna i personuppgiftslagen och de allmänna bestämmelserna i skadeståndslagen (1972:207) består främst i att ersättning enligt personuppgiftslagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning inte har begåtts. En annan viktig skillnad är att personuppgiftslagens skadeståndsbestämmelser bygger på ett strikt skadeståndsansvar medan skadeståndsskyldighet enligt skadeståndslagens bestämmelser kräver ett vårdslöst handlande från skadevållarens sida.

Utredningen anser att personuppgiftslagens bestämmelser om skadestånd bör gälla även för behandling som har utförts i strid mot den nu föreslagna regleringen. En regel med denna innebörd nör tas in i den nya lagen.

154

Ds 2009:12 Överväganden och förslag

6.20Information till den registrerade och tillsynsmyndighetens befogenheter

Förslag: Information enligt 23 § personuppgiftslagen behöver inte lämnas om det med hänsyn till omständigheterna inte finns tid till det. Förbud enligt 44 och 45 §§ personuppgiftslagen (1998:204) ska inte få förenas med vite.

Skälen för förslaget: Enligt utredningen finns det skäl att avvika från bestämmelserna i personuppgiftslagen om information till den registrerade och om tillsynsmyndighetens befogenhet att använda vite som sanktionsmedel mot den personuppgiftsansvarige, i detta fallet Rikspolisstyrelsen.

Information till registrerad

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den registrerade själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad

155

Överväganden och förslag Ds 2009:12

gäller särskilda bestämmelser. Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

Enligt utredningen bör personuppgiftslagens bestämmelser om information som ska lämnas efter ansökan av den registrerade tillämpas även vid behandling av personuppgifter i registret. I lagen bör dock införas ett undantag från informationsskyldighet enligt 23 §. Enligt utredningens mening är det således inte rimligt att kräva att Rikspolisstyrelsen ska vara skyldig att lämna information om behandling när en person lämnar uppgifter i en akut situation (jfr. SOU 2006:18 s. 235 och Ds 2007:43 s. 114 ff.). Dels riskerar en sådan skyldighet att leda till praktiska problem och negativa konsekvenser för verksamheten i stort, dels kan man ifrågasätta vilket värde informationen har för den enskilde i den rådande situationen. Enligt utredningen innebär det en rimlig avvägning att Rikspolisstyrelsen inte behöver lämna en registrerad information enligt 23 § personuppgiftslagen, om det med hänsyn till omständigheterna inte finns tid till det. Regleringen leder till att en bedömning av om information ska lämnas får göras från fall till fall.

Tillsynsmyndighetens befogenheter

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen i egenskap av tillsynsmyndighet vissa befogenheter gentemot de personuppgiftsansvariga. Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Bestämmelsen bör enligt utredningen gälla även för Rikspolisstyrelsen vid den nu aktuella personuppgiftsbehandlingen.

156

Ds 2009:12 Överväganden och förslag

Däremot bör det inte vara möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel inte bör användas mellan statliga myndigheter (se bl.a. Ds 2007:43 s. 121, prop. 2004/05:164 s. 54 och prop. 2006/07:46 s. 105).

157

7 Övriga frågor

I kommittéförordningen (1998:1474) finns bestämmelser om bl.a. vilka kostnadsberäkningar och andra konsekvensbeskrivningar som ett betänkande ska innehålla. Vad som sägs i förordningen bör tjäna som utgångspunkt även för det uppdrag som nu är aktuellt.

Om förslagen i ett utredningsbetänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas (14 §). Skulle förslagen innebära samhällsekonomiska konsekvenser i övrigt, ska också dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting ska utredningen även föreslå en finansiering.

Vidare följer av 15 § kommittéförordningen att om förslagen har betydelse för den kommunala självstyrelsen ska konsekvenserna i det avseendet anges i betänkandet, liksom om förslagen har betydelse för brottslighet och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar eller för andra särskilt angivna intressen.

Om ett betänkande innehåller förslag till nya eller ändrade regler, ska enligt 15 a § förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

159

Övriga frågor Ds 2009:12

7.1Ekonomiska konsekvenser

Bedömning: De kostnader som förslaget ger upphov till kan i första hand finansieras med medel avsatta i befintligt budgetanslag och i andra hand inom den ordinarie budgetprocessen.

Skälen för bedömningen: Vid de kontakter som utredningen under hand har haft med Rikspolisstyrelsen har framkommit att det inom myndigheten har inletts ett arbete angående framtagande av ett IT-system för behandling av information vid allvarligare händelser inom landet. En utgångspunkt bör enligt utredningen vara att den registreringsskyldighet som den nu föreslagna lagen medför på något sätt bör samordnas med de lösningar som blir resultatet av det redan inledda arbetet hos Rikspolisstyrelsen. Utredningens förslag innebär således inte, trots att den föreslagna lagen utgår från begreppet register, någon begränsning när det gäller den tekniska miljö i vilken uppgifterna ska registreras.

Även om en samordning kan ske kommer förslaget att ge upphov till kostnader för Rikspolisstyrelsen bl.a. avseende samordningen i sig, införande av nya arbetsmetoder, framtagandet av en organisation för hantering av uppgiften att föra registret inklusive personal, utbildning och övningar. Vid en situation där registret tas i bruk kommer vidare kostnader att tillkomma, bl.a. för personal, och som kommer att variera beroende på händelsens omfattning och varaktighet.

Det är svårt att bedöma storleken av de initiala kostnadsposterna för Rikspolisstyrelsen eftersom de är beroende av flera osäkra faktorer. Till exempel kan kostnaderna variera en del beroende på hur det tekniska systemet utformas. Som jämförelse har i SOU 2003:119, låt vara på ett annat område, bedömningen gjorts att kostnaderna för att utveckla en helt ny och rikstäckande databas för trafikföreskrifter kan uppskattas till omkring 10 miljoner kr. I SOU 2008:88 har uppskattats att investeringskostnaderna för att ta fram en ny databas för

160

Ds 2009:12 Övriga frågor

kungörande av lagar och förordningar kommer att uppgå till omkring fem miljoner kr.

Även om en helt ny IT-lösning behöver tas fram bör kostnaderna för denna inte överstiga 10 miljoner kr, inklusive de övriga initiala kostnadsposter som nämnts ovan. Vid en integrering i den befintliga IT-miljön bör kostnaderna bli betydligt lägre.

När det sedan gäller kostnader för den löpande driften kan noteras att registret endast kommer att tas i bruk vid sådana särskilda händelser som lagen omfattar. Det är alltså inte fråga om någon verksamhet som kommer att pågå fortlöpande från dag till annan. Vissa kostnader torde ändå, beroende på hur systemet byggs upp, uppkomma för att säkerställa att det hela tiden fungerar och vid behov kan tas i bruk. Om det utvecklas ett helt nytt system bör dessa kostnader understiga en miljon kr per år. I annat fall, dvs. om systemet integreras i den befintliga miljön, bör några beaktansvärda merkostnader inte uppstå.

Den skyldighet som följer av lagen kommer att medföra kostnader inte bara för Rikspolisstyrelsen, utan även för de övriga myndigheter, kommuner och landsting som omfattas av lagen, låt vara att dessa kommer att vara av mindre omfattning.

Utredningen bedömer sammantaget att kostnaderna för berörda myndigheter inte kommer att vara större än att de kan finansieras i första hand med medel avsatta i befintligt budgetanslag och i andra hand inom ramen för den ordinarie budgetprocessen.

Som nämnts ovan kommer vid en situation där registret tas i bruk kostnader att tillkomma, bl.a. för personal. Hur stora dessa kostnader blir kommer att variera kraftigt beroende på händelsens omfattning och varaktighet. Utredningen har inte ansett det meningsfullt att nu försöka uppskatta hur ofta man har anledning att anta att registret kommer att tas i bruk och mellan vilka intervaller man för olika händelser då kan tänka sig att kostnaderna kommer att hamna.

161

Övriga frågor Ds 2009:12

7.2Övriga konsekvenser

Bedömning: Förslaget kommer inte att ge upphov till några väsentliga kostnadsökningar eller föra med sig någon större tidsåtgång för företagen. Förslagen kommer inte heller att leda till att företagen behöver göra några investeringar eller omorganisera sin verksamhet. I övrigt bedöms förslagen inte ha några konsekvenser för de intressen som anges i kommittéförordningen (1998:1474).

Skälen för bedömningen: Förslaget innebär bl.a. en skyldighet för den som yrkesmässigt säljer resor eller transporterar passagerare att skyndsamt till Rikspolisstyrelsen lämna sådana uppgifter som kan vara av betydelse för registrets ändamål och som de innehar. Regleringen kan därför sägas få effekter för företags arbetsförutsättningar (jfr 7 § förordningen [2007:1244] om konsekvensutredning vid regelgivning).

Såväl stora som små företag kan komma att omfattas av uppgiftsskyldigheten. Skyldigheten tar sikte på uppgifter som företagen redan innehar på grund av sin verksamhet och innebär alltså inte att företagen åläggs en skyldighet att inhämta några andra eller nya uppgifter. Trots det kan rapporteringsskyldigheten, beroende på omständigheterna i det enskilda fallet, komma att innebära visst merarbete och därmed även kostnader för företagen. Samtidigt bör noteras att en registrering enligt den föreslagna lagen endast kommer att bli aktuell vid extraordinära händelser som sett över tid får förutsättas inträffa relativt sällan. Utredningen bedömer mot bakgrund härav att förslaget inte kommer att ge upphov till några väsentliga kostnadsökningar eller föra med sig någon större tidsåtgång för företagen.

Förslagen bedöms alltså inte leda till att företagen behöver göra några investeringar eller omorganisera sin verksamhet. Lagförslaget innehåller inte heller några särskilda bestämmelser om på vilket sätt uppgifterna ska föras över till Rikspolis-

162

Ds 2009:12 Övriga frågor

styrelsen. En utgångspunkt bör vara att det ska kunna ske på ett för företagen så enkelt och kostnadseffektivt sätt som möjligt.

I övrigt bedöms förslagen inte ha några konsekvenser för de intressen som anges i kommittéförordningen.

7.3Ikraftträdande

Förslag: Den nya lagstiftningen ska träda i kraft den 1 juli 2010.

Skälen för förslaget: Mot bakgrund av de brister som framkommit i det nuvarande systemet för behandling av personuppgifter i samband med aktuella händelser i utlandet är det angeläget att den nya lagstiftningen träder i kraft så snart som möjligt. Enligt utredningen bör de nya bestämmelserna kunna träda i kraft den 1 juli 2010.

163

8 Författningskommentar

8.1Förslaget till lag om Rikspolisstyrelsens register för personuppgifter vid vissa händelser i utlandet

Förutsättningar för registrering av personuppgifter

1 § Vid en allvarlig kris, katastrof eller annan liknande händelse i utlandet där många människor som är svenska medborgare eller som är bosatta i Sverige har drabbats eller kan befaras ha drabbats, ska Rikspolisstyrelsen, efter beslut av Regeringskansliet, med hjälp av automatiserad behandling föra ett register med personuppgifter i enlighet med vad som anges i denna lag.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitten 6.1–6.3 och 6.5.

I första stycket anges de förutsättningar som gäller för att Rikspolisstyrelsen ska få föra registret. För det första ska det vara fråga om en händelse som kan betecknas som en allvarlig kris, katastrof eller liknande händelse i utlandet. Det ska alltså vara fråga om en på detta sätt extraordinär händelse som inträffar utanför Sveriges territorium. Begreppet innefattar en rad olika situationer, bl.a. jordbävningar och andra naturkatastrofer, omfattande olyckor av olika slag samt vålds- och terrorhandlingar. Bestämmelsen är dock inte begränsad till vissa särskilda typer av händelser. Vid avgörandet av om en händelse är sådan

165

Författningskommentar Ds 2009:12

som avses i paragrafen bör en utgångspunkt vara de följder som händelsen ger upphov till i form av bl.a. behov av skydd, vård, evakuering och andra åtgärder. Dessa ska alltså sammantaget vara sådana att normala resurser långt ifrån räcker till.

En andra förutsättning för att registret ska få föras är att många människor har drabbats eller befaras ha drabbats. Dessa ska dessutom vara svenska medborgare eller vara bosatta i Sverige. Vad som avses med många människor får bedömas från fall till fall (jfr 1 § lagen [2008:552] om katastrofmedicin som en del av svenska insatser utomlands). När det gäller kravet på anknytning till Sverige får den som omfattas av bosättningsbegreppet i 2 kap. socialförsäkringslagen (1999:799) även anses bosatt här enligt den nu aktuella bestämmelsen.

Ytterligare en förutsättning för att registret ska få föras är att Regeringskansliet fattar ett beslut om det. Det är alltså Regeringskansliet som ska ta ställning till frågan om en registreringsverksamhet ska inledas, dvs. om paragrafens rekvisit är uppfyllda. Av naturliga skäl kan beslutsunderlaget vara mycket osäkert till sitt innehåll. Eftersom ett syfte med registret är just att klarlägga hur många och vilka som drabbats av händelse samt vilket hjälpbehov som föreligger bör bedömningen av när registret ska tas i bruk vara förhållandevis generös. För att registret ska tas i bruk bör det räcka att det finns en i förhållande till omständigheterna välgrundad anledning att tro att paragrafens rekvisit är uppfyllda.

Om Regeringskansliet finner att registret bör användas ska beslutet kommuniceras med Rikspolisstyrelsen, som därefter har att påbörja arbetet med att registrera och i övrigt behandla personuppgifter i enlighet med lagen. Utredningens överväganden i denna del redovisas i avsnitten 6.1, 6.3 och 6.5.

Det förhållandet att bestämmelsen anger att Rikspolisstyrelsen ska föra ett register innebär inte något ställningstagande när det gäller en eventuell samordning med ett system för registrering av personuppgifter vid en liknande nationell händelse (se även vad som anges under kapitel 7). Bestämmelsen

166

Ds 2009:12 Författningskommentar

är således inte avsedd att påverka i vilken teknisk miljö som Rikspolisstyrelsen ska registrera uppgifterna.

Av andra stycket framgår att lagen, till skillnad från personuppgiftslagen (1998:204), även ska tillämpas på uppgifter som är hänförliga till en drabbad person som har avlidit.

Förhållande till personuppgiftslagen

2 § Om inte annat följer av denna lag, eller föreskrift som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i registret.

Övervägandena finns i avsnitt 6.6.

I paragrafen anges förhållandet mellan den nya lagen och personuppgiftslagen. Innebörden av bestämmelsen är att personuppgiftslagen gäller utöver den nya lagen, i den mån inte annat följer av lagen eller föreskrift som har meddelats med stöd av lagen.

Personuppgiftsansvar

3 § Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

En myndighet, en kommun eller ett landsting som har direktåtkomst till uppgifter enligt denna lag ansvarar för att åtkomsten begränsas enligt 8 §.

Övervägandena finns i avsnitt 6.7.

Av första stycket framgår att Rikspolisstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret.

Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Med personuppgiftsansvaret följer en rad skyldigheter. Den person-

167

Författningskommentar Ds 2009:12

uppgiftsansvarige ska bl.a. se till att behandlingen av uppgifter sker på ett korrekt och säkert sätt samt att uppgifter gallras i rätt tid.

Av andra stycket, tillsammans med 8 §, följer att en myndighet, en kommun eller ett landsting som har direktåtkomst till uppgifter som Rikspolisstyrelsen behandlar med stöd av denna lag har motsvarande ansvar som Rikspolisstyrelsen när det gäller att begränsa åtkomsten till uppgifterna. Se även kommentaren till 8 § och avsnitt 6.15.

Ändamål

4 § Personuppgifter får behandlas för att

1.underlätta arbetet för berörda myndigheter att identifiera och söka efter de personer som har drabbats av en sådan händelse som avses i 1 §,

2.i övrigt underlätta arbetet för de myndigheter, kommuner och landsting som har till uppgift att på olika sätt hjälpa och bistå de som har drabbats av en sådan händelse och som därvid är i behov av personuppgifter,

3.förmedla information om de som har drabbats till deras anhöriga och närstående,

4.förmedla allmän information om händelsen, samt

5.planera, följa upp och utvärdera den verksamhet som avses i punkterna 1–4.

Personuppgifter som behandlas enligt första stycket får också behandlas genom att lämnas ut till den registrerade själv, till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. En behandling får också ske för diarieföring enligt 15 kap. sekretesslagen (1980:100). I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Övervägandena finns i avsnitt 6.9.

168

Ds 2009:12 Författningskommentar

Paragrafen anger de ändamål för vilka personuppgifter får behandlas i registret. Paragrafen innebär en avvikelse från 10 § personuppgiftslagen och reglerar när personuppgifter får behandlas i registret. I förhållande till personuppgiftslagen innebär bestämmelsen bl.a. att behandling av uppgifter för de angivna ändamålen inte förutsätter ett samtycke från den registrerade. Se även avsnitt 6.11.

Av första stycket, första punkten, framgår att personuppgifter får behandlas för att underlätta arbetet för berörda myndigheter att identifiera och söka efter de personer som har drabbats av en allvarlig kris, katastrof eller annan liknande händelse i utlandet. Således omfattas allt utredningsarbete som syftar till att klarlägga vilka personer som faktiskt har drabbats av händelsen och som därmed kan vara föremål för olika typer av insatser.

När man vet vilka de drabbade är kan man avgöra vilka åtgärder som bör vidtas och vilka hjälpinsatser som krävs. Utredningsarbetet och hjälparbetet sker naturligtvis i praktiken parallellt. I första stycket, andra punkten, anges att registret ska ha till ändamål att främja all den verksamhet som sker genom olika myndigheter och, när det gäller katastrofmedicinska insatser, genom landstingen, för att hjälpa den enskilde. Vilka åtgärder och vilken typ av verksamhet det kan röra sig om beror på händelsen och de drabbades behov. Det är emellertid troligt att det ofta rör sig om insatser i form av evakuering och transporter, vård, skydd och inkvartering. Eftersom verksamheten kan variera beroende på omständigheterna i den aktuella situationen, kan olika myndigheter vara involverade i verksamheten med skilda behov av uppgifter för respektive verksamhet. Andra punkten omfattar också den hjälp och vård som berörda kommuner och landsting ska tillhandahålla i samband med att en person som har drabbats av händelsen återvänder till Sverige.

Av första stycket, tredje punkten, framgår att registret också ska syfta till att förbättra möjligheten att lämna information till en drabbad persons anhöriga och närstående om dennes tillstånd m.m. Med anhörig eller närstående person avses detsamma som

169

Författningskommentar Ds 2009:12

när begreppen används i andra sammanhang, se t.ex. sekretesslagen (1980:100).

Medan de första tre punkterna i paragrafen tar sikte på personuppgifter avser de följande två punkterna information av mer allmän karaktär som kan tas fram med ledning av de uppgifter som registret omfattar. Även ett förmedlande av sådan typ av information förutsätter alltså en personuppgiftsbehandling.

I första stycket, fjärde punkten, anges att registret även ska ha som ändamål att skapa förutsättningar för att kunna förmedla relevant information om händelsen till de som har ett berättigat intresse av att få ta del av sådan information. Det är alltså inte uppgifter om drabbade personer som avses, utan allmän information om vad som har inträffat, omfattningen av händelsen m.m. Sådan information kan förväntas efterfrågas av vissa myndigheter, men även av andra aktörer och inte minst av allmänheten.

Enligt första stycket, femte punkten, får uppgifter behandlas i registret för att planera, följa upp och utvärdera den verksamhet som omfattas av de ovanstående punkterna i paragrafen.

Paragrafens andra stycke anger att personuppgifter som behandlas för något av de i första stycket angivna ändamålen får behandlas genom att lämnas ut till den registrerade själv, till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till annan (jfr 14 kap. 1 § sekretesslagen). Med annan avses såväl myndigheter som enskilda. Dessutom får insamlade personuppgifter behandlas för att Rikspolisstyrelsen ska kunna uppfylla sina skyldigheter enligt 15 kap. sekretesslagen. I andra stycket klargörs vidare genom en uttrycklig hänvisning till personuppgiftslagen att den s.k. finalitetsprincipen gäller även vid personuppgiftsbehandling enligt lagen. Att finalitetsprincipen är tillämplig innebär att personuppgifter som redan finns i registret får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare. Genom hänvisningen klargörs vidare att insamlade personupp-

170

Ds 2009:12 Författningskommentar

gifter också får behandlas för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter som får behandlas

5 § Behandling av personuppgifter som enligt denna lag är tillåten får utföras även om den enskilde motsätter sig behandlingen.

Övervägandena finns i avsnitt 6.11.

Sådan personuppgiftsbehandling som sker med stöd av lagen kräver inte den registrerades samtycke. Detta följer av ändamålsbestämmelsen i 4 §. I förevarande paragraf anges, i enlighet med vad som föreskrivs i 12 § andra stycket personuppgiftslagen, att personuppgifter får behandlas enligt lagen även om den registrerade motsätter sig behandlingen.

6 § Endast sådana personuppgifter som behövs för de ändamål som anges i 4 § får behandlas.

Regeringen meddelar närmare föreskrifter om vilka personuppgifter som registret får innehålla.

Övervägandena finns i avsnitt 6.10.

Enligt paragrafens första stycke får endast sådana personuppgifter som behövs för de ändamål som anges i 4 § samlas in och i övrigt behandlas med stöd av lagen. Kravet på ett behov innebär att endast sådana uppgifter som är nödvändiga för att uppfylla de aktuella ändamålen får behandlas.

Behandlingen av sådana personuppgifter som omfattas av 13 och 21 §§ personuppgiftslagen, dvs. känsliga personuppgifter och uppgifter om personnummer, regleras i 7 §.

När det gäller frågan vilka personuppgifter som får behandlas måste även personuppgiftslagens grundläggande krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen iakttas. Kraven innebär också att inte fler personuppgifter får behandlas än vad som är

171

Författningskommentar Ds 2009:12

nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter ska vara riktiga och, om nödvändigt, aktuella, se 9 § första stycket e och g personuppgiftslagen. Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas.

I andra stycket anges att regeringen kan meddela närmare föreskrifter om de uppgifter som får behandlas i registret.

7 § Uppgifter om sådana personer som avses i 1 § och som rör hälsa eller som beskriver en persons utseende får behandlas utan hinder av 13 § personuppgiftslagen (1998:204), om det är nödvändigt med hänsyn till registrets ändamål. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektiv sätt med respekt för människors lika värde.

Uppgifter om personnummer eller samordningsnummer för sådana personer som avses i första stycket får behandlas utan hinder av 22 § personuppgiftslagen.

Övervägandena finns i avsnitt 6.10.

Paragrafen anger i vilken utsträckning känsliga personuppgifter får behandlas i registret utan hinder av vad som föreskrivs i 13 § personuppgiftslagen.

Av första stycket framgår att uppgifter om drabbade personer som rör deras hälsa får behandlas. Det innebär att uppgifter som direkt tar sikte på en drabbad persons hälsotillstånd, såsom en uppgift om skador, får behandlas i registret, men även sådana uppgifter som indirekt rör en drabbad persons hälsotillstånd, t.ex. uppgifter om behov av olika hjälpmedel.

I första stycket anges vidare att uppgifter som beskriver en drabbad persons utseende får behandlas i registret. En sådan uppgift kan annars falla under förbudet i 13 § personuppgiftslagen, t.ex. för att den avslöjar något om personens politiska uppfattning eller religiösa övertygelse. I paragrafen anges särskilt att en uppgift som beskriver en persons utseende alltid ska utformas på ett objektivt sätt med respekt för människovärdet.

172

Ds 2009:12 Författningskommentar

Av andra stycket framgår att 22 § personuppgiftslagen inte ska tillämpas när det gäller uppgifter om personnummer eller samordningsnummer för en drabbad person. Sådana uppgifter får alltså behandlas i registret utan hinder av vad som sägs i den paragrafen.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter i registret ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Övervägandena finns i avsnitt 6.12.

I paragrafen anges att tillgången till personuppgifter alltid ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Med tillgång avses både direktåtkomst och annan tillgång till uppgifter i skriftlig eller muntlig form. Bestämmelsen riktar sig därigenom inte bara till de tjänstemän som beslutar om systemen för personuppgiftsbehandling och till dem som beslutar om behörighet att ta del av uppgifter, utan även till de enskilda tjänstemän som har tillgång till uppgifterna. För de sistnämnda innebär bestämmelsen att de inte får lämna uppgifterna vidare till andra än de som behöver uppgifterna i sitt arbete.

Sökbegrepp

9 § Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om sådana personer som avses i 1 § och som rör hälsa eller som beskriver en persons utseende, om det behövs för att uppfylla syftet med behandlingen.

Övervägandena finns i avsnitt 6.13.

173

Författningskommentar Ds 2009:12

Första stycket innehåller ett förbud mot att använda känsliga personuppgifter som grund för sökningar i registret. I andra stycket finns vissa undantag till förbudet. Enligt bestämmelsen får uppgifter som rör en drabbad persons hälsa liksom uppgifter som beskriver en persons utseende användas som sökbegrepp, om det behövs för att uppfylla syftet med behandlingen. Det är alltså bara när det krävs för att uppfylla ändamålet med registret som uppgifterna får användas som sökbegrepp.

Skyldighet att lämna uppgifter till registret

10 § Följande myndigheter ska till Rikspolisstyrelsen lämna sådana uppgifter som de innehar och som kan vara av betydelse för registrets ändamål.

1.Regeringskansliet,

2.utlandsmyndigheterna,

3.polismyndigheterna,

4.Myndigheten för samhällsskydd och beredskap samt

5.Socialstyrelsen.

Samma skyldighet gäller för landstingen samt för den som yrkesmässigt säljer resor eller transporterar passagerare.

Uppgiftsskyldigheten enligt första och andra styckena ska fullgöras så snart som möjligt efter det att den uppgiftsskyldige fått vetskap om att en sådan händelse som avses i 1 § har inträffat.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om uppgiftsskyldigheten.

Övervägandena finns i avsnitt 6.14.

För att fungera effektivt måste registret snabbt fyllas med relevanta uppgifter. I första stycket anges därför att vissa uppräknade myndigheter, som genom sin verksamhet typiskt sett får tillgång till uppgifter som kan vara av betydelse för registrets ändamål, ska lämna uppgifterna till Rikspolisstyrelsen för införande i registret. Vilka uppgifter som ska lämnas får bedömas utifrån registrets ändamål och den aktuella händelsen.

174

Ds 2009:12 Författningskommentar

Den föreskrivna rapporteringsskyldigheten innebär att uppgifterna kan lämnas utan hinder av sekretess (jfr 14 kap. 1 § sekretesslagen).

Även vissa privata aktörer kan med hänsyn till sin verksamhetsinriktning förutses inneha uppgifter som typiskt sett är av betydelse för registret. Av andra stycket framgår att det även åligger den som yrkesmässigt säljer resor eller transporterar passagerare att lämna uppgifter till Rikspolisstyrelsen när en händelse i utlandet har inträffat som föranleder lagens tillämpning. Vilka som är skyldiga att lämna uppgifter beror huvudsakligen på var händelsen har inträffat. Bestämmelsen är avsedd att omfatta bl.a. researrangörer och resebyråer som har sålt resor till den aktuella platsen vid tillfället för händelsen och som därigenom innehar uppgifter om vilka resenärerna är, var de ska befinna sig under vistelsen osv. På motsvarande sätt är den avsedd att omfatta de som yrkesmässigt har tillhandhållit passagerartransporter via land eller med hjälp av flyg eller sjöfart, och som bl.a. genom tillgängliga passagerarlistor innehar uppgifter om vilka personer med svensk anknytning som kan befinna sig i området.

I tredje stycket anges att rapporteringsskyldigheten inträder när den som omfattas av första och andra styckena har fått vetskap om händelsen i fråga. Det kan förutsättas att berörda myndigheter och majoriteten av övriga som omfattas av bestämmelsen kommer att ha sådan vetskap inom kort tid efter det att händelsen har inträffat. Eftersom en förutsättning för registrets förande är att Regeringskansliet har beslutat om det (se 1 §), kan uppgiftsskyldigheten aldrig inträda innan ett sådant beslut har meddelats. Regeringskansliets beslut bör på lämpligt sätt ges tillkänna för de myndigheter och andra som berörs av det.

Av fjärde stycket framgår att regeringen, eller den myndighet som regeringen bestämmer, kan meddela närmare föreskrifter om uppgiftsskyldigheten och hur den ska fullgöras.

175

Författningskommentar Ds 2009:12

Utlämnande av uppgifter från registret

11 § Uppgifter ur registret ska lämnas ut om det begärs av 1. Regeringskansliet,

2 .utlandsmyndigheterna,

3.polismyndigheterna,

4.Rättsmedicinalverket,

5.Socialstyrelsen,

6.kommunerna samt

7.landstingen.

Regeringen meddelar ytterligare föreskrifter om vilka andra myndigheter som ska kunna få ut uppgifter ur registret.

Den uppgiftsskyldighet som följer av första stycket, eller av föreskrifter som har meddelats i enlighet med andra stycket, omfattar endast sådana uppgifter som berörda myndigheter, kommuner eller landsting är i behov av enligt 4 §.

Övervägandena finns i avsnitt 6.15.

Paragrafen innehåller en bestämmelse som bryter den sekretess som annars skulle ha gällt för uppgifterna i registret (se förslaget till ny bestämmelse i sekretesslagen).

Enligt första stycket har vissa uppräknade myndigheter samt kommunerna och landstingen en rätt att få del av uppgifter från registret och Rikspolisstyrelsen en motsvarande skyldighet att lämna ut uppgifterna till dem.

Med hänsyn till de förändringar som kan ske när det gäller myndigheters verksamhet, t.ex. kan nya myndigheter tillkomma och verksamhetsuppgifter överföras från en myndighet till en annan, kan det finnas skäl för regeringen att i en förordning medge även andra myndigheter rätt att få tillgång till uppgifter i registret. Andra stycket innehåller en upplysningsbestämmelse om regeringens möjlighet att meddela sådana föreskrifter.

Av tredje stycket framgår att uppgiftsskyldigheten endast omfattar sådana uppgifter som de som anges i första stycket, eller som omfattas av en föreskrift meddelad av regeringen, behöver för sina verksamhetsuppgifter i samband med händel-

176

Ds 2009:12 Författningskommentar

sen. Fler uppgifter än vad som är nödvändigt för att uppfylla de i 4 § angivna ändamålen kan alltså inte lämnas ut med stöd av paragrafen.

Utlämnande av uppgifter på medium för automatiserad behandling

12 § Endast enstaka uppgifter i registret får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får lämnas ut på sådant medium även i andra fall.

Övervägandena finns i avsnitt 6.15.

Paragrafen reglerar under vilka förutsättningar uppgifter får lämnas ut i elektronisk form, t.ex. i ett e-postmeddelande eller via ett lagringsmedium av något slag. Bestämmelsen har inte någon sekretessbrytande verkan.

Direktåtkomst

13 § De myndigheter och andra som anges i 11 § första stycket får ha direktåtkomst till sådana personuppgifter i registret som de har behov av enligt 4 §.

Regeringen meddelar ytterligare föreskrifter om vilka andra myndigheter som får ha direktåtkomst till personuppgifter i registret. Även i ett sådant fall ska direktåtkomsten begränsas till att avse de personuppgifter som myndigheten är i behov av enligt 4 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Övervägandena finns i avsnitt 6.15.

Paragrafen innehåller bestämmelser om direktåtkomst.

177

Författningskommentar Ds 2009:12

Enligt första stycket får de myndigheter som med stöd av 11 § har rätt att få del av uppgifter från registret, medges direktåtkomst till uppgifterna. Bestämmelsen innebär inte att myndigheterna har en absolut rätt till direktåtkomst, utan Rikspolisstyrelsen får i varje fall pröva om direktåtkomst bör beviljas eller ej.

Som angetts i kommentaren till 11 § andra stycket kan det finnas skäl för regeringen att meddela föreskrifter som kompletterar den bestämmelsen och därigenom möjliggöra även för andra myndigheter att få ut uppgifter ur registret. I sådana fall kan det även finnas behov av att medge myndigheterna direktåtkomst till registret. Andra stycket i nu aktuell bestämmelse innehåller en upplysning om regeringens möjlighet att meddela föreskrifter om detta.

Av tredje stycket framgår att närmare föreskrifter om direktåtkomst samt om behörighet och säkerhet enligt första stycket kan finnas i förordning som meddelas av regeringen.

En bestämmelse om direktåtkomst anger endast i vilken form uppgifter får lämnas ut. Med hänsyn till den sekretess som föreslås gälla för uppgifterna i registret måste ett sådant utlämnande alltså även ha stöd i den sekretessbrytande bestämmelsen i 11 §.

Gallring

14 § En personuppgift i registret ska gallras senast 12 månader efter det att den registrerades.

Vad som sägs i första stycket hindrar inte att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, eller för att möjliggöra en sådan planering, uppföljning och utvärdering som avses i 4 § första stycket 5.

Vad som sägs i första stycket hindrar inte heller att regeringen eller den myndighet som regeringen bestämmer i ett enskilt fall får besluta att en uppgift ska bevaras längre om det finns synnerliga skäl för det. Ett sådant beslut ska omprövas varje år.

178

Ds 2009:12 Författningskommentar

Övervägandena finns i avsnitt 6.18.

I första stycket anges att personuppgifter i registret ska gallras senast ett år efter att uppgiften registrerades. Gallring kan och ska alltså ske tidigare, om det visar sig att uppgifterna saknar betydelse för registrets ändamål.

Av andra stycket framgår att regeringen eller den myndighet regeringen bestämmer, trots vad som sägs i första stycket, kan meddela föreskrifter om att personuppgifter får bevaras dels för historiska, statistiska eller vetenskapliga ändamål, dels om det är nödvändigt för att planera, följa upp och utvärdera den verksamhet som händelsen föranlett och som omfattas av ändamålsbestämmelsen.

I tredje stycket öppnas en möjlighet att i ett enskilt fall besluta att uppgifter som annars skulle ha gallrats får bevaras. För ett sådant beslut krävs synnerliga skäl, vilket innebär att skälen ska vara mycket starka. En sådan undantagssituation kan t.ex. föreligga om en drabbad person ännu inte har återfunnits ett år efter händelsen och det på grund därav kvarstår ett behov av att bevara uppgifterna i registret.

Ett beslut enligt tredje stycket om att uppgifter ska bevaras trots att den normala gallringsfristen har löpt ut bör dokumenteras, eftersom beslutet ska kunna omprövas.

Information till den registrerade

15 § Information enligt 23 § personuppgiftslagen (1998:204) behöver inte lämnas av Rikspolisstyrelsen, om det med hänsyn till omständigheterna inte finns tid till det.

Övervägandena finns i avsnitt 6.20.

Paragrafen innehåller ett undantag från informationsplikten enligt 23 § personuppgiftslagen.

Information enligt 23 § behöver enligt bestämmelsen inte lämnas om det med hänsyn till omständigheterna inte finns tid till det. Så kan vara fallet t.ex. om en drabbad person kontaktar

179

Författningskommentar Ds 2009:12

Rikspolisstyrelsen från platsen för händelsen och befinner sig i en akut hjälpsituation. Över huvud taget torde det ofta komma att röra sig om brådskande fall när Rikspolisstyrelsen tar emot uppgifter från drabbade personer. Så kan vara fallet även då en uppgift om en drabbad person lämnas av annan. I alla de fall en efterfrågad och nödvändig åtgärd skulle kunna försenas eller på annat sätt påverkas negativt av att informationen lämnas är undantaget från informationsplikten avsett att vara tillämpligt. För sådana fall behöver informationen inte heller lämnas i efterhand.

Rättelse och skadestånd

16 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd ska gälla vid behandling av personuppgifter som utförs i registret.

Övervägandena finns i avsnitt 6.19

Av paragrafen framgår att personuppgiftslagens bestämmelser om rättelse och skadstånd ska tillämpas även vid behandling av personuppgifter i registret.

Tillsyn

17 § Förbud enligt 44 och 45 §§ personuppgiftslagen (1998:204) får inte förenas med vite.

Övervägandena finns i avsnitt 6.20.

Förbud enligt 44 och 45 §§ personuppgiftslagen får normalt förenas med vite. I paragrafen föreskrivs att vite inte får användas vid tillsynen enligt denna lag.

180

Ds 2009:12 Författningskommentar

8.2Förslaget till lag om ändring i sekretesslagen (1980:100)

7 kap.

53 § Sekretess gäller i den verksamhet som avser förande av eller uttag ur Rikspolisstyrelsens register för personuppgifter vid vissa händelser i utlandet för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Övervägandena finns i avsnitt 6.17.

I bestämmelsen, som är ny, föreskrivs sekretess för uppgift om enskilds personliga förhållanden i verksamhet som avser förande eller uttag ur Rikspolisstyrelsens register för personuppgifter vid vissa händelser i utlandet, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgifterna röjs.

Uppgifter om en enskilds personliga förhållanden kan t.ex. handla om enskilds fysiska eller psykiska hälsotillstånd eller om familjeförhållanden. Även uppgifter om en persons ekonomi faller in under begreppet personliga förhållanden.

Genom att sekretessen avser förande eller uttag ur registret är bestämmelsen tillämplig hos alla de myndigheter som är direktanslutna till registret. Bestämmelsen är däremot inte tillämplig när en myndighet tar ut en uppgift från registret för att använda den i sin egen verksamhet. Uppgifterna omfattas under sådana förhållanden av den eventuella sekretess som gäller för andra motsvarande uppgifter hos den mottagande myndigheten.

Ett s.k. omvänt skaderekvisit ska tillämpas vid sekretessprövningen. Uppgifter får alltså lämnas ut endast om det står klart att det kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

181

Bilaga 1

Uppdragsbeskrivning, Ju 2007/10948/P

Enheten för polisfrågor samt allmän ordning och säkerhet, Justitiedepartementet

PM 2007-12-17

Informationshantering i en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet.

Bakgrund

Vid en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet har förmågan att samordna berörda myndigheters registrering och hantering av information om drabbade personer blivit föremål för diskussion.

2005 års katastrofkommission drog efter sina analyser slutsatsen att det är vissa oklarheter i ansvarsfördelningen mellan utrikesförvaltningen och polisen i en situation då många människor med hemvist i Sverige drabbas av en allvarlig olycka eller katastrof i utlandet samt att det är angeläget att dessa klaras ut. Katastrofkommissionen skriver att det naturliga är att den myndighet som har ansvaret för en viss verksamhet under normala omständigheter behåller detta ansvar vid händelser som förutsätter utrikes kontakter. Detta innebär enligt kommissionen att polisen bör ha det grundläggande ansvaret för registrering av saknade personer oavsett om de saknas i hemlandet eller utomlands. Därutöver bör allmänhetens kontakter

183

Bilaga 1 Ds 2009:12

för att lämna uppgifter eller ställa frågor om saknade dirigeras till polisen och inte till Regeringskansliet. Utrikesförvaltningen bör få till uppgift att stödja polisen vid registrering i utlandsfallen (SOU 2005:104).

Behovet av en utredning

Om en allvarlig olycka eller katastrof i utlandet som berör Sverige skulle inträffa igen finns alltså enligt 2005 års katastrofkommission en kvarstående risk för bristande samordning och oklarheter i ansvarsfördelningen mellan i första hand Rikspolisstyrelsen och Utrikesdepartementet. Frågan bör därför utredas.

Uppdraget

En utredare skall kartlägga vilka myndigheter som vid en allvarlig olycka eller katastrof i utlandet som berör Sverige har ett behov av att registrering i stor skala genomförs avseende information om drabbade personer. Utredaren skall utifrån detta arbete föreslå åtgärder som syftar till att ansvaret för sådan registrering klaras ut på ett sätt som säkerställer god tillgång till information för dessa myndigheter vid en sådan större händelse. Utredaren skall särskilt beakta att det i verksamheten kan bli nödvändigt att i viss utsträckning registrera s.k. känsliga personuppgifter enligt personuppgiftslagen och integritetskänsliga uppgifter i övrigt. Utredaren bör vidare ta ställning till om det finns anledning att föreslå någon förändring i befintlig sekretessreglering.

I uppdraget ingår att i tillämpliga delar lämna förslag till fullständiga författningsändringar och andra förändringar som bedöms nödvändiga.

Utredaren skall analysera och redovisa vilka ekonomiska konsekvenser förslagen kan komma att medföra och föreslå hur kostnaderna skall finansieras.

184

Ds 2009:12 Bilaga 1

Utredaren bör under arbetet samråda med relevanta pågående utredningar inom området kris- och katastrofberedskap, t.ex. Utredningen om en nationell krishanteringsfunktion (FA2007/510/JA) och med Rikspolisstyrelsen, Rättsmedicinalverket, Statens räddningsverk, Socialstyrelsen, Styrelsen för psykologiskt försvar och Regeringskansliet (Utrikesdepartementet och Förvaltningsavdelningen). Vid behov bör utredaren även samråda med andra myndigheter som kan komma att beröras av förslag som utredaren avser att lämna.

Uppdraget skall redovisas senast den 31 mars 2008.

185

Bilaga 2

Justitiedepartementet

Promemoria § 444

2008-10-06 Ju2008/8089/P

Informationshantering vid olyckor och katastrofer i utlandet

Bakgrund

I samband med en allvarlig olycka eller katastrof i utlandet där många människor med hemvist i Sverige drabbats eller befaras ha drabbats är det angeläget att ansvarsfördelningen mellan myndigheterna är klar. Som uttalades av 2005 års katastrofkommission är det polisen som bör ha det grundläggande ansvaret för registrering av saknade personer oavsett om de saknas i hemlandet eller utomlands (SOU 2005:104 s. 331). Därutöver bör allmänhetens kontakter för att lämna uppgifter eller ställa frågor om saknade hanteras av polisen och inte av Regeringskansliet.

Mot denna bakgrund gav Regeringskansliet (Justitiedepartementet) i december 2007 i uppdrag till en utredare att kartlägga vilka myndigheter som vid en allvarlig olycka eller katastrof i utlandet som berör Sverige har behov av att registrering i stor skala genomförs avseende information om drabbade personer

187

Bilaga 2 Ds 2009:12

(Ju2007/10948/P). Utredaren skulle bl.a. föreslå åtgärder som syftar till att ansvaret för en sådan registrering klaras ut på ett sätt som säkerställer god tillgång till information för dessa myndigheter vid en större händelse.

Utredaren redovisade uppdraget i en promemoria som presenterades för departementet den 31 mars 2008. Promemorian innefattar bl.a. en genomgång av de myndigheter som vid en allvarlig olycka eller katastrof i utlandet som berör Sverige har behov att registrera uppgifter om drabbade personer. I promemorian föreslås att det vid Rikspolisstyrelsen inrättas ett särskilt datasystem för informationshantering vid en större olycka, kris, katastrof eller annan extraordinär händelse utomlands då svenska medborgare eller personer med hemvist i Sverige har blivit eller befaras ha blivit drabbade. Enligt promemorian ska registreringen i datasystemet regleras av en ny lag om informationshantering vid olyckor och katastrofer.

Behovet av en utredning

Promemorians förslag innebär att Rikspolisstyrelsen får ett samlat ansvar för registreringen av svenska medborgare eller personer med hemvist i Sverige som drabbats eller befaras ha drabbats till följd av en katastrof eller annan extraordinär händelse utomlands. I promemorian föreslås som ovan nämnts att en sådan registrering regleras i en ny lag.

I promemorian tas emellertid upp frågor som behöver analyseras ytterligare innan förslagen kan läggas till grund för en författningsreglering. Det gäller framför allt de rättsliga frågor som förslagen kan aktualisera, exempelvis om personuppgiftsansvar och direktåtkomst. Även frågor om skyddet av enskildas personliga integritet måste analyseras närmare.

188

Ds 2009:12 Bilaga 2

Uppdraget

En utredare ges i uppdrag att analysera de rättsliga och författningstekniska frågor som aktualiseras av promemorians överväganden och förslag. Utredaren ska, med utgångspunkt i de överväganden som redan gjorts, lämna förslag till de författningsändringar som bedöms nödvändiga och lämpliga. Utredaren ska även, om det är ändamålsenligt, och med de justeringar som kan komma att krävas, lägga samman promemorians överväganden och förslag med sina egna.

Utredaren bör under arbetet samråda med berörda myndigheter.

Uppdraget ska redovisas senast den 31 januari 2009.

189