Ds 2009:8

Genomförandet av delar av Prümrådsbeslutet

Justitiedepartementet

Till statsrådet och chefen för Justitiedepartementet

Chefen för Justitiedepartementet, statsrådet Ask, beslutade den 9 juli 2008 att uppdra åt överåklagaren Gunnel Lindberg att bi- träda departementet dels med genomförandet av rådets ram- beslut 2006/960/RIF av den 18 december 2006 om förenklat in- formations- och underrättelseutbyte mellan de brottsbekäm- pande myndigheterna i Europeiska unionens medlemsstater (det s.k. svenska initiativet), dels med utarbetandet av en promemoria som behandlar genomförandet av de huvudsakliga delarna av rå- dets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terro- rism och gränsöverskridande brottslighet (det s.k. Prümrådsbe- slutet). Hovrättsassessorn Li Wallén har tjänstgjort som sekrete- rare.

I september 2008 överlämnandes promemorian Enklare in- formationsutbyte i brottsbekämpningen inom EU (Ds 2008:72).

Härmed överlämnas promemorian Genomförandet av delar av Prümrådsbeslutet.

Uppdraget är i och med detta i sin helhet slutfört.

Stockholm i mars 2009

Gunnel Lindberg

/Li Wallén

1

4.2Former för samarbete och informationsutbyte vid

4

Ds 2009:8 Innehåll

5

6

7.8Rättslig hjälp med provtagning och fastställande av

7

8

9

rådsbeslutet förutsätter ska kunna ske i andra medlemsstaters DNA-register i samband med brottsutredning kräver ny regle- ring. Detsamma gäller rätten att under vissa förutsättningar göra automatiska jämförelser av oidentifierade DNA-profiler. Även automatiska sökningar i fingeravtrycksregister för att förebygga eller utreda brott måste regleras. Förslagen innebär att särskilda kontaktställen i andra stater ges rätt att under vissa förhållanden genomföra sökningar i de svenska registren och att hämta infor- mation i form av referensuppgifter från dessa. Det krävs också regler som ger det svenska kontaktstället möjlighet att söka efter uppgifter i andra staters register.

Den nya lagstiftningen föreslås i huvudsak genomföras i polisdatalagen (1998:622), där DNA-register och fingeravtrycks- register regleras, och i lagen (2000:343) om internationellt polisi- ärt samarbete. Själva förfarandet vid utbyte av uppgifter bedöms kunna regleras i förordning. Promemorian innehåller, förutom lagförslagen, förslag till huvuddelen av de förordningsregler som krävs.

Informationsutbytet påverkar inte det grundläggande integ- ritetsskydd vid personuppgiftsbehandling som bl.a. polisdatala- gen och personuppgiftslagen ger. Vid sökningar i de svenska re- gistren ska de mera integritetskänsliga uppgifterna, DNA-profi- ler och fingeravtryck, aldrig kunna hänföras till en identifierbar person. På samma sätt som i dag måste den stat som vill ha upp- lysning om vem uppgiften avser begära rättslig hjälp. Sådan rätts- lig hjälp regleras inte i rådsbeslutet. Däremot föreslås en ny be- stämmelse i lagen (2000:562) om internationell rättslig hjälp i brottmål som reglerar rättslig hjälp med att samla in och analyse- ra DNA-prov från en person som vistas här i landet samt över- sända den DNA-profil som fastställts genom analysen till en annan stat. Det föreslås även en särskild regel om förstörande av sådana DNA-prov.

Genom rådsbeslutet utvecklas också formerna för att utbyta vissa uppgifter om fordon. Det som omfattas är uppgifter om fordon och fordons ägare eller innehavare. För att Sverige ska kunna leva upp till kraven i rådsbeslutet föreslås bl.a. att ända-

12

målsbestämmelsen i lagen (2001:558) om vägtrafikregister ut- vidgas så att andra stater kan ges direktåtkomst till vissa uppgif- ter i registret för att förebygga och utreda brott, undersöka vissa överträdelser eller för att upprätthålla allmän säkerhet.

Rådsbeslutet reglerar vidare bl.a. skyldigheten att vid större evenemang med gränsöverskridande verkningar översända per- sonuppgifter och andra uppgifter till en annan medlemsstat, om uppgifterna bedöms vara nödvändiga för att förebygga brott eller hot mot ordningen och säkerheten vid evenemanget. Detta in- formationsutbyte bedöms kunna regleras i förordning. Skyldig- heten att praktiskt bistå en annan medlemsstat för att förebygga brott eller förhindra ordningsstörningar vid evenemang med gränsöverskridande verkningar, katastrofer och allvarliga olyckor föreslås också genomföras i förordning.

Eftersom den information som utbyts ska kunna förses med villkor för användningen föreslås en ny bestämmelse som ger svenska myndigheter möjlighet att ställa villkor när uppgifter eller bevismaterial överlämnas till en utländsk myndighet eller mellanfolklig organisation inom ramen för internationellt polis- samarbete. Motsvarande gäller redan för en utländsk myndighet eller mellanfolklig organisation i förhållande till svenska myndig- heter.

Främst mot bakgrund av att Norge och Island har begärt att få delta i samarbetet enligt Prümrådsbeslutet och att förhand- lingar om associeringsavtal pågår, har lagförslagen utformats ge- nerellt, dvs. bestämmelserna ska kunna tillämpas i förhållande till en annan stat oavsett om staten är medlem i Europeiska unionen eller inte.

Allt informationsutbyte enligt rådsbeslutet ska gå genom ett nationellt kontaktställe. Rikspolisstyrelsen föreslås bli svenskt kontaktställe.

Informationsutbytet ska övervakas av nationella tillsynsmyn- digheter. Det föreslås att Datainspektionen utses till tillsyns- myndighet enligt rådsbeslutet.

13

3. bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Lagen gäller också behandling av sådana uppgifter som avses i 25 och 26 §§.

Lagen gäller inte för behandling av personuppgifter som företas med stöd av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem eller lagen (2006:444) om passa- gerarregister.

I lagen (2000:343) om inter- nationellt polisiärt samarbete och föreskrifter som har med- delats med stöd av den lagen finns särskilda bestämmelser om behandling av personuppgifter med stöd av Europeiska rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av ter- rorism och gränsöverskridande brottslighet som gäller utöver denna lag.

3 §

I denna lag avses med

underrättelseverksamhet: polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken, kriminalunderrättelseverksamhet: annan underrättelseverksam-

het än den som bedrivs av Säkerhetspolisen,

allvarlig brottslig verksamhet: verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver,

särskild undersökning: en undersökning i kriminalunderrättel- severksamhet som innebär insamling, bearbetning och analys av

16

23 §3

Ett DNA-register får inne- hålla uppgifter om resultatet av

DNA-analyser som har gjorts med stöd av bestämmelserna i 28 kap. rättegångsbalken och som avser personer som

1. genom lagakraftvunnen dom har dömts till annan på- följd än böter, eller

2. har godkänt ett straffö- reläggande som avser villkorlig dom.

3 Senaste lydelse 2005:877.

18

Ds 2009:8 Författningsförslag

Vad som anges i 24 § gäller också vid registrering i utred-

4Senaste lydelse 2005:877.

5Senaste lydelse 2005:877.

19

27 §6 Uppgifter i DNA-registret

skall gallras senast när uppgif- terna om den registrerade gall- ras ur belastningsregistret en- ligt lagen (1998:620) om be- lastningsregister.

Uppgifter i utredningsre- gistret skall gallras senast när uppgifterna om den registre- rade får föras in i DNA-re- gistret eller när förundersök- ning eller åtal läggs ned, åtal ogillas, åtal bifalls men påfölj- den bestäms till enbart böter eller när den registrerade god- känt ett strafföreläggande som avser enbart böter.

Uppgifter i spårregister skall gallras senast trettio år efter registreringen.

6 Senaste lydelse 2005:877.

20

Direktåtkomst

27 b §

I lagen (2000:343) om in- ternationellt polisiärt samarbete finns bestämmelser om direktåt- komst till uppgifter i DNA-re- gistret, utredningsregistret och spårregistret vid samarbete med stöd av Europeiska rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gräns- överskridande samarbete, sär- skilt för bekämpning av terro- rism och gränsöverskridande brottslighet.

29 §

För att underlätta identifiering av personer i samband med brott får Rikspolisstyrelsen behandla uppgifter i fingeravtrycks- och signalementsregister. Ett sådant register får användas för identifiering av okända personer även i andra fall.

Sådana uppgifter som avses i första stycket får även behandlas i förundersökningar och särskilda undersökningar.

Uppgifter i fingeravtrycksre- gister får också behandlas om detta är nödvändigt för fullgö- randet av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

22

Direktåtkomst

31 a §

I lagen (2000:343) om in- ternationellt polisiärt samarbete finns bestämmelser om direktåt- komst till uppgifter i fingerav- trycksregister vid samarbete med stöd av Europeiska rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gräns- överskridande samarbete, sär- skilt för bekämpning av terro- rism och gränsöverskridande brottslighet.

Denna lag träder i kraft den …

8 Senaste lydelse 2008:880.

23

2.2Förslag till

lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs

dels att 2, 3 och 11–13 §§ lagen (2000:343) om internationellt polisiärt samarbete ska ha följande lydelse,

dels att rubriken före 11 § ska ha följande lydelse,

dels att det i lagen ska införas sex nya paragrafer, 3 a och 16– 20 §§ av följande lydelse,

dels att det ska införas nya rubriker före 16, 18 och 20 §§ med följande lydelse.

2 §

I denna lag avses med

–utländska tjänstemän: utländska polismän och andra ut- ländska tjänstemän som har anmälts vara behöriga att utföra sådant gränsöverskridande arbete som avses i artikel 40 och 41 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen),

–förföljande tjänstemän: utländska tjänstemän som förföljer en person på svenskt territorium enligt denna lag,

–svenska tjänstemän: svenska polismän, tulltjänstemän eller kustbevakningstjänstemän när de enligt lag eller annan författ- ning har polisiära befogenheter,

–Öresundsförbindelsen: den fasta förbindelsen över Öresund som den definieras i artikel 2 i avtalet av den 6 oktober 1999 mellan Konungariket Sveriges regering och Konungariket Dan- marks regering om polisiärt samarbete i Öresundsregionen,

–Prümrådsbeslutet: Europe- iska rådets beslut 2008/615/RIF av den 23 juni 2008 om ett för-

24

Bestämmelserna i första stycket gäller också i fråga om överenskommelser med mellan- folkliga organisationer.

3 a §

Upplysningar eller bevisma- terial som en svensk brottsbe- kämpande myndighet lämnar till, eller gör tillgängligt för,

1. en annan stat, eller

2. en mellanfolklig organisa- tion

får i enskilda fall förenas med villkor som begränsar möj- ligheten att utnyttja materialet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bin- dande för Sverige.

26

Ds 2009:8 Författningsförslag

Att undantag kan göras från vapenlagens (1996:67) bestäm- melser, i fråga om rätt för företrädare för främmande stats myn- dighet att medföra skjutvapen och ammunition vid tillfällig

27

Samarbete med stöd av

Prümrådsbeslutet

Utbyte av DNA-profiler

16 §

Vid samarbete med stöd av Prümrådsbeslutet får ett kon- taktställe i en annan stat medges direktåtkomst till referensupp- gifter i DNA-registret, spårre- gistret och utredningsregistret.

Ett sådant kontaktställe får i samband med brottsutredning i ett enskilt fall behandla referens- uppgifter om DNA-profiler i dessa register. Efter överenskom- melse mellan Sverige och en annan stat får kontaktstället i en annan stat även göra automatisk jämförelse mellan egna oidenti- fierade DNA-profiler och refe- rensuppgifter avseende DNA-

28

profiler i svenska DNA-register. Rikspolisstyrelsen får ingå en sådan överenskommelse som

anges i andra stycket.

17 §

Vid förundersökning eller annan utredning enligt bestäm- melserna om förundersökning i brottmål får det svenska kon- taktstället i ett enskilt fall, för de ändamål och med de begräns- ningar som anges i 22–26 §§ polisdatalagen (1998:622), be- handla uppgifter i en annan stats DNA-register. Behandling får endast ske i den utsträckning den andra staten tillåter det.

Efter överenskommelse med en annan stat får det svenska kontaktstället göra en auto- matisk jämförelse mellan DNA- profiler i spårregistret och refe- rensuppgifter avseende DNA- profiler i den andra statens DNA-register.

Rikspolisstyrelsen får ingå en sådan överenskommelse som an- ges i andra stycket.

29

Utbyte av fingeravtryck

18 §

Vid samarbetet med stöd av Prümrådsbeslutet får ett kon- taktställe i en annan stat medges direktåtkomst till referensupp- gifter i svenska fingeravtrycks- register. Kontaktstället får i ett enskilt fall behandla referens- uppgifter för att förebygga och utreda brott.

19 §

För att förebygga eller utreda brott får, för de ändamål och med de begränsningar som anges i 29–31 §§ polisdatalagen (1998:622), det svenska kon- taktstället behandla uppgifter i en annan stats fingeravtrycksre- gister, i den utsträckning den andra staten tillåter det.

Övriga bestämmelser

20 §

Närmare bestämmelser om förfarandet vid samarbete med stöd av Prümrådsbeslutet finns i förordning.

Denna lag träder i kraft den …

30

2.3Förslag till

lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål

Härigenom föreskrivs att det i lagen (2000:562) om interna- tionell rättslig hjälp i brottmål

dels ska införas två nya paragrafer, 4 kap. 24 a och b §§, med följande lydelse,

dels ska införas nya rubriker omedelbart före 4 kap. 24 a och 24 b §§ med följande lydelse.

4 kap.

Framtagande av DNA-profil

24 a §

Pågår en brottsutredning el- ler något annat straffrättsligt förfarande i en annan stat mot en person som vistas i Sverige, ska, på begäran av den andra staten, rättslig hjälp ges med ta- gande av DNA-prov och analys av provet, om

1. DNA-profil på personen saknas,

2. den ansökande staten anger för vilket ändamål DNA- profilen behövs, och

3. det av ansökan framgår att det hade funnits förutsättningar för att vidta sådan åtgärd om

31

personen hade vistats i den an- sökande staten.

DNA-profilen översänds i form av siffror eller bokstäver.

Begäran om DNA-profil

24 b §

Under en förundersökning eller annan utredning enligt be- stämmelserna om förundersök- ning i brottmål, som rör en person som vistas i en annan stat, får rättslig hjälp begäras med tagande av DNA-prov från denne och med analys av provet. En sådan ansökan ska innehålla uppgifter om

1. att DNA-profil för perso- nen saknas,

2. det ändamål för vilket DNA-profilen behövs, och

3. huruvida det funnits förut- sättningar för att vidta en sådan åtgärd om personen hade vistats i Sverige.

Denna lag träder i kraft den …

32

2.4Förslag till

lag om ändring i lagen (2001:558) om vägtrafikregister

Härigenom föreskrivs att 2, 5 och 8 §§ lagen (2001:558) om vägtrafikregister ska ha följande lydelse.

Med personuppgifter avses i denna lag detsamma som i per- sonuppgiftslagen.

5 §1

1. verksamhet, för vilken staten eller en kommun ansvarar en- ligt lag eller annan författning, i fråga om

a)fordonsägare,

b)den som ansöker om, har eller har haft behörighet att

framföra fordon eller luftfartyg enligt körkortslagen (1998:488), yrkestrafiklagen (1998:490), luftfartslagen (1957:297) eller nå-

1 Senaste lydelse 2007:1159.

33

gon annan författning eller den som har rätt att utöva viss tjänst enligt luftfartslagen,

c)annan person om det behövs för att underlätta handlägg- ningen av ett körkorts- eller yrkestrafikärende,

d)den som ansöker om, har eller har haft tillstånd att bedriva yrkesmässig trafik enligt yrkestrafiklagen eller någon annan för- fattning eller biluthyrning enligt lagen (1998:492) om biluthyr- ning,

e)den som ansöker om, har eller har haft färdskrivarkort som avses i rådets förordning (EEG) nr 3821/85 av den 20 december 1985 om färdskrivare vid vägtransporter, eller

f)den som har eller har haft yrkeskompetens att utföra trans- porter enligt lagen (2007:1157) om yrkesförarkompetens eller genomgår utbildning för att få sådan kompetens,

2. försäkringsgivning eller annan allmän eller enskild verk- samhet där uppgifter om personer under 1 a), b) och d) utgör underlag för prövningar eller beslut,

3. information om fordonsägare för trafiksäkerhets- eller miljöändamål och för att i den allmänna omsättningen av fordon förebygga brott samt information om den som har behörighet att framföra fordon för att utreda trafikbrott i samband med automatisk trafiksäkerhetskontroll,

4. aktualisering, komplettering eller kontroll av information om fordonsägare som finns i kund- eller medlemsregister eller liknande register,

5. uttag av urval för direkt marknadsföring av information om fordonsägare, dock med den begränsning som följer av 11 § per- sonuppgiftslagen (1998:204), samt

6.en utländsk myndighets inhämtande, i enlighet med en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt, av uppgifter om fordon och fordons ägare eller innehavare, i syfte att användas i myndighetens verk-

34

2.5Förslag till

förordning om ändring i förordningen (2000:388) om internationellt polisiärt samarbete

Härigenom föreskrivs att det i förordningen (2000:388) om internationellt polisiärt samarbete

dels ska införas 19 nya paragrafer, 3–21 §§, med följande ly- delse,

dels ska införas nya rubriker omedelbart före 3, 4, 5, 7, 8, 9, 10, 14, 16, 19 och 20 §§, med följande lydelser.

Automatiskt meddelande

4 §

Vid behandling av uppgifter enligt 16 § andra stycket och 18 § lagen (2000:343) om in-

36

ternationellt polisiärt samarbete, ska ett automatiskt meddelande genereras om huruvida den sök- ta DNA-profilen eller det sökta fingeravtrycket förekommer i re- gistret eller inte.

Förekommer DNA-profilen eller fingeravtrycket ska kon- taktstället i den andra staten automatiskt få del av referens- uppgifter i form av den icke- kodifierade delen av DNA- profilen respektive fingerav- trycksuppgiften och en sifferbe- teckning.

Informationsutbyte vid större evenemang med gränsöver- skridande verkningar

5 §

Vid större nationella eller ut- ländska evenemang med gräns- överskridande verkningar ska det svenska kontaktstället på be- gäran av en annan stat, eller på eget initiativ, i brottsförebyggan- de eller ordningshållande syfte översända

1. personuppgifter gällande personer som det finns skäl att anta kan komma att begå brott vid evenemanget, eller som kan utgöra hot mot den allmänna ordningen och säkerheten vid

37

detta, eller

2. andra uppgifter som bedöms vara nödvändiga för att förebygga brott eller hot mot den allmänna ordningen och säker- heten vid evenemanget.

Första stycket gäller dock inte om uppgifterna enligt lag eller annan författning inte får lämnas ut.

6 §

Om en svensk myndighet i samband med större evenemang med gränsöverskridande verk- ningar från en annan stat mot- tar personuppgifter avseende personer som det finns skäl att anta kan komma att begå brott vid evenemanget, eller som kan utgöra hot mot den allmänna ordningen och säkerheten vid detta, får uppgifterna bevaras endast så länge de behövs för att uppnå det syfte för vilket de mottogs eller när detta syfte inte längre kan uppnås. Uppgifterna ska därefter utplånas. De får längst bevaras ett år efter över- sändandet.

38

Bistånd vid större evenemang, katastrofer och allvarliga olyckor

7 §

I syfte att förhindra brott el- ler upprätthålla allmän ordning och säkerhet vid större evene- mang och liknande viktiga hän- delser, katastrofer och allvarliga olyckor som har gränsöverskri- dande verkningar, ska det sven- ska kontaktstället så tidigt som möjligt underrätta en annan stat om situationen och förmedla vä- sentlig information om denna.

Berörd polismyndighet ska omedelbart underrätta Rikspo- lisstyrelsen om situationer med gränsöverskridande verkningar. Styrelsen ska samordna nöd- vändiga polisiära åtgärder.

Rikspolisstyrelsen får i såda- na situationer som anges i andra stycket, på begäran av den stat på vars territorium situationen uppstått, besluta om att polisvä- sendet ska tillhandahålla den andra staten tjänstemän, specia- lister och rådgivare samt nöd- vändig utrustning.

39

Allmänna bestämmelser om utplåning

8 §

Personuppgifter som med stöd av Prümrådsbeslutet har översänts från, eller gjorts till- gängliga av, en annan stat ska utplånas om uppgifterna

1.är felaktiga,

2.inte borde ha översänts,

3.har översänts och mottagits korrekt, men inte längre är nöd- vändiga för det ändamål för vil- ket de översändes, eller

4.har överskridit den längsta lagringstid som en utländsk myndighet i samband med över- sändandet har angett vara tillå- ten enligt den statens lagstift- ning.

Spärrning och märkning

9 §

I stället för att utplåna upp- gifter enligt 8 § 2–4 ska uppgif- terna förses med information om att de är spärrade, om utplå- ning skulle innebära skada för den person som uppgifterna rör. Sådana uppgifter får endast behandlas för samma syfte som förhindrade utplåning.

Personuppgifter ska märkas

40

på begäran av den person som uppgifterna rör, om han eller hon bestrider att personuppgif- terna är korrekta och uppgifter- nas korrekthet inte kan faststäl- las.

Registreringsskyldighet

10§

Personuppgifter som över-

sänds eller mottas med stöd av Prümrådsbeslutet ska registreras enligt 11 och 12 §§.

11§

Vid varje översändande eller

mottagande på annat sätt än genom direktåtkomst av sådana uppgifter som avses i 10 §, ska kontaktstället och det organ som administrerar databasen regis- trera

1.skälet till översändandet,

2.vilka uppgifter som har översänts eller mottagits,

3.datum för översändandet,

4.namn eller beteckning på det sökande organet, och

5.vem som administrerar databasen.

12 §

Vid varje översändande eller mottagande genom direktåt- komst av sådana uppgifter som

41

avses i 10 § ska kontaktstället och det organ som administrerar databasen registrera

1.om sökningen har lett till överensstämmelse med uppgift i registret eller inte,

2.vilka uppgifter som har översänts,

3.datum och exakt tidpunkt för översändandet,

4.namn eller beteckning på det sökande organet, och

5.vem som administrerar databasen.

Vid en sökning i ett register som förs av en annan stat ska kontaktstället registrera syftet med sökningen och vilken tjänsteman som beslutat om denna.

13§

Uppgifter som har registre-

rats enligt 11 eller 12 § ska gall- ras senast två år efter registre- ringen.

Underrättelse- och informa- tionsskyldighet

14§

Har det visat sig att uppgifter

som med stöd av Prümrådsbe- slutet har översänts från Sverige till en annan stat är felaktiga, eller att de inte borde ha över-

42

sänts, ska det svenska kontakt- stället underrätta mottagaren av uppgifterna.

En myndighet, som finner att sådana uppgifter som sägs i för- sta stycket är felaktiga eller inte borde ha översänts, ska under- rätta kontaktstället om detta.

15§

På begäran av kontaktstället

i en stat som översänt uppgifter, ska det svenska kontaktstället informera om behandlingen av mottagna uppgifter och de re- sultat som har erhållits.

På begäran av en berörd stats dataskyddsmyndighet ska det svenska kontaktstället, utan dröjsmål och senast inom fyra veckor, översända de uppgifter som registrerats enligt 11 och 12 §§.

Tillsynsmyndighetens uppgifter

16 §

Datainspektionen är tillsyns- myndighet.

Datainspektionen ska

1. utföra kontroller av be- handling med stöd av Prüm- rådsbeslutet, på eget initiativ eller efter anmodan av en data- skyddsmyndighet i en annan stat,

43

2.förvara resultaten av sådana kontroller i arton månader för att därefter omedelbart utplåna dessa, och

3.på begäran, utan dröjsmål och senast inom fyra veckor, översända uppgifter om resulta- ten av kontrollerna till en data- skyddsmyndighet i berörd stat.

17§

Om en personuppgift har

försetts med märkning enligt 9 § andra stycket och dess korrekthet har kunnat fastställas, får Data- inspektionen, på begäran av den som uppgiften rör eller den myndighet som bevarar uppgif- ten, besluta att märkningen ska avlägsnas.

18§

Datainspektionen får av en

myndighet i en annan stat, som med stöd av Prümrådsbeslutet har behandlat personuppgifter som härrör från Sverige, begära de uppgifter om behandlingen som ska registreras.

44

Datainspektionen får anmo- da en dataskyddsmyndighet i en annan stat att genomföra nöd- vändiga inspektioner för kon- troll av behandlingen av person- uppgifter som härrör från Sveri- ge och som sker med stöd av Prümrådsbeslutet.

Överklagande

19 §

Beslut enligt 17 § får över- klagas hos allmän förvaltnings- domstol enligt 22 a § förvalt- ningslagen (1986:223).

Övriga bestämmelser

20§

Rikspolisstyrelsen ska i sär-

skilda beslut ange vilka tjänste- män som får genomföra sök- ningar som anges i 17 § första och andra stycket och 19 § lagen (2000:343) om internationellt polisiärt samarbete.

På begäran av en svensk till- synsmyndighet eller en data- skyddsmyndighet i en annan stat ska kontaktstället lämna uppgift om vilka tjänstemän som är be- höriga.

45

21 §

Rikspolisstyrelsen får med- dela de ytterligare föreskrifter som behövs för verkställighet av 16–19 §§ lagen (2000:343) om internationellt polisiärt samar- bete samt 5, 7, 11–15 och 20 §§ denna förordning.

Denna förordning träder i kraft den…

46

fordonsregister som inte röjer någons identitet. Rådsbeslutet reglerar också utbyte av information vid större evenemang med gränsöverskridande verkningar och uppgiftsutbyte för att be- kämpa terrorism. Även möjligheten att genom gemensamma in- satser fördjupa polissamarbetet samt medlemsstaternas skyldig- het att bistå varandra praktiskt vid större evenemang, katastrofer och allvarliga olyckor behandlas i rådsbeslutet.

3.2Rådsbeslutets uppbyggnad

Rådsbeslutet är indelat i sju kapitel och omfattar 37 artiklar.

I preambeln framhålls att beslutet syftar till att införliva inne- börden av bestämmelserna i Prümfördraget med Europeiska uni- onens lagstiftning. Vidare hänvisas till bl.a. Haagprogrammet (se avsnitt 4.1) och rådets rambeslut 2006/960/RIF av den 18 de- cember 2006 om förenklat informations- och underrättelseutby- te mellan de brottsbekämpande myndigheterna i Europeiska uni- onens medlemsstater (det s.k. svenska initiativet, se avsnitt 4.2.4).

Preambeln betonar bl.a. att rådsbeslutet bygger på att man in- rättar nätverk mellan medlemsstaternas egna databaser och utgår från ett system med ”träff, icke träff” (”hit, no-hit”). Systemet innebär att endast icke identitetsanknutna (”anonyma”) finger- avtrycksuppgifter och DNA-profiler jämförs. Frågan om utbyte av ytterligare personuppgifter efter en träff regleras nationellt. På detta sätt, och med utgångspunkten att översändande av person- uppgifter till en annan medlemsstat förutsätter att dataskyddet i den mottagande medlemsstaten är tillfredsställande, ska skyddet av personuppgifter garanteras (skäl 10 och 18).

I rådsbeslutets kapitel 1 behandlas dess syfte och tillämp- ningsområde. I kapitel 2 finns bestämmelser om elektronisk till- gång till uppgifter om DNA-analyser, fingeravtrycksuppgifter och fordonsuppgifter. Kapitel 3 reglerar informationsutbyte i samband med större evenemang och kapitel 4 informationsut- byte för att förebygga terroristbrott. Kapitel 5 reglerar andra for-

48

mer av samarbete, bl.a. gemensamma polisiära insatser. Kapitel 6 behandlar dataskyddet för uppgifter som översänds eller har översänts. I kapitel 7 finns genomförande- och slutbestämmelser.

Med stöd av artikel 33 i rådsbeslutet har rådet, som nyss nämnts, meddelat bestämmelser för det administrativa och tek- niska genomförandet. Genomförandebeslutet reglerar framför allt det automatiska utbytet av uppgifter i DNA-, fingerav- trycks- och fordonsregister. I en bilaga till genomförandebeslu- tet finns detaljbestämmelser av teknisk karaktär.

I det följande redovisas i första hand innehållet i rådsbeslutet. Avgränsningen av uppdraget (se bilaga 1) medför att rådsbeslu- tets fakultativa bestämmelser om gemensamma insatser kommer att utredas i särskild ordning (främst artiklarna 17 och 19 och delar av artikel 21). Genomgången i detta avsnitt omfattar trots detta hela rådsbeslutet. Även genomförandebeslutet behandlas i vissa delar.

3.3Syfte och tillämpningsområde

Artikel 1 lägger fast rådsbeslutets syfte och tillämpningsområde. Genom rådsbeslutet har medlemsstaterna för avsikt att fördjupa det gränsöverskridande samarbete som omfattas av avdelning VI i fördraget om Europeiska unionen (bestämmelser om polissam- arbete och straffrättsligt samarbete), särskilt i fråga om utbyte av information mellan myndigheter som är ansvariga för att före- bygga och utreda brott.

3.4Åtkomst on-line och begäran om uppföljning

Artiklarna 2–7 reglerar i huvudsak nationella register för DNA- analyser och utbyte av uppgifter ur sådana register.

49

3.4.1DNA-profiler

Nationella DNA-register

I varje medlemsstat ska det finnas nationella register med DNA- analyser för brottsutredningar (artikel 2.1). Den behandling som krävs enligt rådsbeslutet ska utföras enligt bestämmelserna i be- slutet och i överensstämmelse med nationell rätt.

Medlemsstaterna ska bereda varandra tillgång till referensupp- gifter i sina DNA-register (artikel 2.2). Det ska inte vara möjligt att omedelbart kunna identifiera vilken person referensuppgif- terna hänför sig till. Referensuppgifterna får därför enbart inne- hålla DNA-profiler från den icke-kodifierade delen av DNA:t och en sifferbeteckning. Referensuppgifter som inte kan kopplas till en viss person (oidentifierade DNA-profiler) ska kunna identifieras som sådana.

De sifferbeteckningar som avses ska enligt genomförandebe- slutet bestå av en kombination av dels en kod som gör det möj- ligt för medlemsstaterna att, om en överensstämmelse konstate- rats, hämta personuppgifter och ytterligare information från sina databaser för eventuell vidarebefordran till en, flera eller samtliga medlemsstater, dels en kod för att ange DNA-profilens natio- nella ursprung, dels en kod för att ange typen av DNA-profil (artikel 6 genomförandebeslutet).

Medlemsstaterna ska underrätta rådets generalsekretariat om vilka nationella register över DNA-analyser som omfattas av artiklarna 2–6 (artikel 2.3).

Automatisk sökning

En automatisk sökning innebär att medlemsstaterna ska ge var- andra tillträde till DNA-profiler med tillhörande sifferuppgift i DNA-register (artikel 3.1). Den utländska myndigheten ska ges direktåtkomst till en annan medlemsstats databas och en förfrå- gan ska besvaras automatiskt (se vidare definitionen i artikel 24).

50

Sökningar får dock endast göras i samband med brottsutred- ningar, i enskilda fall och enligt lagstiftningen i den medlemsstat som genomför sökningen. Utbytet ska ske genom särskilt ut- sedda nationella kontaktställen.

Den myndighet som har gjort sökningen ska automatiskt underrättas om en träff, och i så fall få referensuppgifter, eller i stället få besked om att ingen träff uppkommit (artikel 3.2). Detta s.k. ”träff, ingen träff-system” eller ”hit, no hit-system” utvecklas närmare i artiklarna 9 och 10 i genomförandebeslutet.

I artikel 8 i genomförandebeslutet preciseras vilken informa- tion en begäran om automatisk sökning enligt artikel 3 och ett svar ska innehålla.

Automatisk jämförelse

För att det ska vara möjligt att jämföra ett lands samtliga oiden- tifierade DNA-profiler (s.k. öppna spår) med referensuppgif- terna i ett annat lands DNA-register får också automatiska jäm- förelser göras (artikel 4). Till skillnad från en automatisk sök- ning (artikel 3) sker jämförelsen inte i enskilda fall. Jämförelsen förutsätter att en överenskommelse först har träffats mellan be- rörda stater samt att sökningar sker genom att profilerna över- sänds och jämförs automatiskt (artikel 4.1). Sökningen ska göras i samband med brottsutredning och vara tillåten i den ansökande medlemsstaten. Om en träff uppkommer med en DNA-profil i ett register, ska referensuppgifterna för den aktuella profilen översändas utan dröjsmål (artikel 4.2 och artikel 11 i genomfö- randebeslutet).

I artiklarna 8 och 11 i genomförandebeslutet preciseras vilken information en begäran om automatisk jämförelse enligt artikel 4 och ett svar ska innehålla.

51

Andra bestämmelser om utbyte av DNA-uppgifter

När en automatisk sökning eller en automatisk jämförelse leder till en träff reglerar den anmodade medlemsstatens lagstiftning, inkluderande reglerna om rättslig hjälp, vilka personuppgifter och vilken ytterligare information som får översändas (artikel 5).

Varje medlemsstat ska utse ett nationellt kontaktställe för förmedlingen av uppgifter (artikel 6.1). Kontaktställets befogen- heter regleras nationellt.

Insamling av DNA-prov och översändande av DNA-profiler

Om det i en stat pågår en brottsutredning eller ett straffrättsligt förfarande mot en person som vistas i en annan medlemsstat och om DNA-profil saknas för vederbörande, ska den medlemsstat där personen befinner sig under vissa förutsättningar på begäran ge en annan medlemsstat rättslig hjälp genom att ta ett DNA- prov från personen och analysera detta (artikel 7). Analysresul- tatet, DNA-profilen, ska översändas som en kombination av siff- ror och bokstäver till den ansökande medlemsstaten. Förutsätt- ningarna för sådan rättslig hjälp är att den ansökande staten an- ger för vilket ändamål provtagning behövs, att det hade funnits förutsättningar för motsvarande åtgärd om personen i stället hade vistats i den staten, och att lagstiftningen i den anmodade staten tillåter insamling och analys av DNA-prov och översän- dande av DNA-profilen.

3.4.2Fingeravtrycksuppgifter

Artiklarna 8–11 reglerar utbyte av uppgifter ur fingeravtrycksre- gister och automatiserad sökning i sådana register. I genomfö- randebeslutet preciseras principerna för utbyte av fingerav- trycksuppgifter (artikel 12), sökningskapaciteten (artikel 13) och

52

vad som ska gälla för begäran och svar angående fingeravtrycks- uppgifter (artikel 14).

Automatisk sökning av fingeravtrycksuppgifter

Medlemsstaterna ska se till att referensuppgifter i nationella fingeravtrycksregister, bestående av fingeravtrycksuppgifter och en sifferbeteckning, hålls tillgängliga (artikel 8). Sifferbeteck- ningen ska bestå av en kombination av en kod som, vid överens- stämmelse, gör det möjligt att hämta personuppgifter och ytter- ligare information från databaserna för vidarebefordran samt en kod för fingeravtrycksuppgifternas nationella ursprung (artikel 6 genomförandebeslutet). Referensuppgifterna får inte innehålla uppgifter som gör det möjligt att identifiera den berörda perso- nen. Referensuppgifter som inte är kopplade till en viss person (s.k. oidentifierade fingeravtrycksuppgifter) ska kunna urskiljas som sådana.

Medlemsstaterna ska ge andra medlemsstaters kontaktställen tillträde till referensuppgifterna, dvs. fingeravtryck med tillhö- rande sifferuppgift (artikel 9). I enskilda fall, och enligt lagstift- ningen i den ansökande medlemsstaten, ska utländska myndig- heter tillåtas göra automatiska sökningar i registren (artikel 9.1). Kontaktställets förfrågan ska besvaras automatiskt (se definitio- nen i artikel 24). De tekniska detaljerna för sökförfarandet fast- ställs i artikel 12 och 13 i genomförandebeslutet.

Kontaktstället i den ansökande staten ska automatiskt sända referensuppgifter som kan bekräfta att de översända fingerav- trycksuppgifterna överensstämmer med en träff (artikel 9.2).

Översändande av övriga personuppgifter och ytterligare informa- tion

Om det vid en automatisk sökning konstateras att fingerav- trycken överensstämmer, regleras översändandet av övriga per-

53

sonuppgifter och ytterligare information av den anmodade med- lemsstatens lagstiftning, inkluderande bestämmelser om rättslig hjälp (artikel 10).

Varje stat ska utse ett nationellt kontaktställe för förmedling av uppgifter (artikel 11.1). Dess befogenheter regleras nationellt.

3.4.3Uppgifter ur fordonsregister

I artikel 12 regleras utbyte av fordonsuppgifter. I syfte att före- bygga och utreda brott, för undersökning av vissa överträdelser samt för att upprätthålla allmän säkerhet ska medlemsstaterna ge övriga medlemsstaters nationella kontaktställen tillgång till vissa uppgifter i de nationella fordonsregistren, med rätt att i enskilda fall göra automatiska sökningar (artikel 12.1). De uppgifter som omfattas är uppgifter om fordons ägare och innehavare samt om fordonet. Sökningarna ska ske genom angivande av fordonets fullständiga chassinummer eller registreringsnummer och vara tillåten enligt den ansökande medlemsstatens lagstiftning.

Varje stat ska utse ett nationellt kontaktställe för förmedling av uppgifter (artikel 12.2). Kontaktställets befogenheter regleras nationellt.

De tekniska förfarandereglerna fastställs i genomförandebe- slutet. Principerna för automatisk sökning i fordonsregister reg- leras i artikel 15 i genomförandebeslutet. Där framgår bl.a. att medlemsstaterna ska använda en särskild version av programva- ran för det europeiska informationssystemet avseende fordon och körkort (EUCARIS).

3.5Samarbete vid större evenemang

Artiklarna 13–15 behandlar informationsutbyte i samband med större evenemang med gränsöverskridande verkningar. Som exempel på större evenemang nämns betydande idrottsevene- mang och Europeiska rådets möten.

54

3.5.1Översändande av andra uppgifter än personuppgifter

För att förebygga brott och upprätthålla allmän ordning och säkerhet i samband med större evenemang med gränsöverskri- dande verkningar, ska medlemsstaterna på begäran eller eget ini- tiativ sända varandra nödvändiga, icke personrelaterade, uppgif- ter (artikel 13). Uppgiftsutbytet ska ske enligt den översändande medlemsstatens nationella lagstiftning.

Varje stat ska utse ett nationellt kontaktställe för förmedling av uppgifter (artikel 15). Dess befogenheter regleras nationellt.

3.5.2Översändande av personuppgifter

För att förebygga brott och upprätthålla allmän ordning och sä- kerhet i samband med större evenemang med gränsöverskri- dande verkningar ska medlemsstaterna både på begäran och på eget initiativ sända varandra personuppgifter under vissa angivna förutsättningar (artikel 14.1). Utbytet av personuppgifter förut- sätter att det – på grundval av lagakraftvunna domar eller andra fakta – finns skäl att anta att de personer som uppgifterna avser kommer att begå brott vid det berörda evenemanget eller att de utgör ett hot mot den allmänna ordningen och säkerheten. Ut- bytet ska vara tillåtet enligt lagstiftningen i den medlemsstat som sänder uppgifterna.

Översända personuppgifter får enbart behandlas för nyss an- givna ändamål i samband med det aktuella evenemanget (artikel 14.2). När syftet med översändandet är uppnått, eller inte längre kan uppnås, ska uppgifterna utplånas. Uppgifterna ska alltid ut- plånas senast inom ett år.

Varje stat ska utse ett nationellt kontaktställe för förmedling av uppgifter (artikel 15). Dess befogenheter regleras nationellt.

55

3.6Åtgärder för att förebygga terroristbrott

I syfte att förebygga terroristbrott får medlemsstaterna i en- skilda fall, även utan föregående förfrågan, utbyta vissa person- uppgifter i enlighet med nationell rätt. Detta regleras i artikel 16. De uppgifter som avses är efternamn, förnamn, födelsetid och födelseort samt uppgifter om varför det finns misstankar om att personen i fråga kommer att göra sig skyldig till terroristbrott (artikel 16.1 och 16.2). Uppgifterna får utbytas om det på grund av särskilda omständigheter finns anledning att anta att de per- soner som uppgifterna gäller kommer att göra sig skyldiga till sådana brott som avses i artiklarna 1–3 i terrorismrambeslutet4.

Varje stat ska utse ett nationellt kontaktställe för förmedling av uppgifter (artikel 16.3). Dess befogenheter regleras nationellt.

Den översändande medlemsstaten får ställa upp villkor för hur de översända uppgifterna får användas (artikel 16.4). Sådana villkor är bindande för den mottagande medlemsstaten.

3.7Andra former av samarbete

3.7.1Gemensamma insatser

Gemensamma insatser behandlas i artiklarna 17 och 19–23. För att upprätthålla allmän ordning och säkerhet och förebygga brott samt för att fördjupa polissamarbetet får behöriga myndigheter i en medlemsstat inrätta gemensamma patruller och genomföra andra gemensamma insatser där tjänstemän från en eller flera medlemsstater deltar på en annan medlemsstats territorium (artikel 17.1).

Den medlemsstat där de gemensamma insatserna företas (värdstaten), får enligt sin lagstiftning och med den utsändande statens medgivande, ge andra medlemsstaters tjänstemän rätt att

4 Rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism, EGT L 164, 22.6.2002, s. 3. Se även rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism, EUT L 330, 9.12.2008, s. 21.

56

utöva verkställande befogenheter (artikel 17.2). Befogenheterna får endast utövas under överinsyn av, och i regel i närvaro av, värdstatens tjänstemän. Samtliga tjänstemän lyder under värd- statens lagstiftning och värdstaten ansvarar för de utländska tjänstemännens handlingar. Dessa ska iaktta de anvisningar som meddelas av värdstatens myndigheter (artikel 17.3).

I artikel 19 fastställs vad tjänstemän som vid en gemensam in- sats vistas på en annan medlemsstats territorium får medföra och använda. Tjänstemännen får använda sin nationella tjänsteuni- form. De får också inneha tjänstevapen, ammunition och annan utrustning enligt sin stats lagstiftning. Värdstaten kan emellertid förbjuda de utländska tjänstemännen att medföra vissa typer av tjänstevapen och viss ammunition eller utrustning (artikel 19.1). Vid all användning av tjänstevapen, ammunition och övrig ut- rustning ska värdstatens lagstiftning iakttas (artikel 19.2). Om en tjänsteman använder fordon på en annan medlemsstats terri- torium ska samma trafikregler gälla som för värdstatens tjänste- män (artikel 19.3).

Värdstaten är skyldig att skydda och bistå tjänstemän från andra medlemsstater på samma sätt som sina egna tjänstemän (artikel 20).

I artikel 21 regleras hur skadeståndsansvaret fördelas mellan värdstaten och tjänstemannens hemstat, om det uppstår skador i samband med insatsen.

Tjänstemän som verkar på annan medlemsstats territorium jämställs straffrättsligt med den andra statens tjänstemän (artikel 22). Detta gäller såväl i fråga om brott som tjänstemännen själva begår som brott som begås mot dem. Disciplinärt lyder tjänste- männen däremot under det egna landets lagstiftning (artikel 23).

3.7.2Bistånd vid större evenemang, katastrofer och all- varliga olyckor

Medlemsstaterna ska enligt artikel 18 på olika sätt bistå varandra vid större evenemang och liknande viktiga händelser, katastrofer

57

och allvarliga olyckor, i syfte att förhindra brott och upprätthålla allmän ordning och säkerhet. Biståndet ska bestå i att medlems- staterna så tidigt som möjligt underrättar varandra om situatio- ner som har gränsöverskridande verkningar och förmedlar väsentliga uppgifter som hänför sig till dem och i sådana situa- tioner genomför och samordnar nödvändiga polisiära åtgärder inom sitt territorium. Biståndet kan även bestå i att tillhandahålla tjänstemän, specialister och rådgivare samt nödvändig utrust- ning.

3.8Bestämmelser om dataskydd

I artiklarna 24–32 finns bestämmelser om dataskydd och datasä- kerhet.

3.8.1Definitioner

I artikel 24.1 definieras vissa begrepp i rådsbeslutet.

Med ”behandling av personuppgifter” avses all behandling av personuppgifter eller en räcka av behandlingar med eller utan hjälp av automatiska förfaranden. Som exempel anges bl.a. in- samling, registrering, lagring, bearbetning och spridning.

Med ”automatisk sökning” avses direkt tillgång till ett annat organs automatiska databas så att förfrågan besvaras fullständigt automatiskt.

”Förseende med en beteckning” innebär märkning av regi- strerade personuppgifter som inte syftar till att begränsa den framtida behandlingen av dem, till skillnad från ”spärrande” som är märkning i syfte att begränsa framtida behandling av person- uppgifter.

58

3.8.2Dataskyddsnivå

En lägsta dataskyddsnivå gäller för behandling av personuppgif- ter som översänds eller har översänts i enlighet med rådsbeslutet (artikel 25.1). Varje medlemsstat ska garantera att skyddet för sådana uppgifter motsvarar åtminstone den nivå som har fast- ställts i Europarådets konvention den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och i tilläggsprotokollet den 8 november 2001. Rekommenda- tion nr R (87) 15 den 17 september 1987 från Europarådets ministerkommitté till medlemsstaterna om polisens användning av personuppgifter ska också beaktas. Det sagda gäller även när uppgifterna inte behandlas automatiskt.

Uppgiftsutbytet med stöd av rådsbeslutet får inledas först när dataskyddsbestämmelserna har införlivats i nationell lagstiftning (artikel 25.2). Rådet beslutar enhälligt när denna förutsättning kan anses uppfylld. De medlemsstater som redan har inlett in- formationsutbytet inom ramen för Prümfördraget undantas från bestämmelsen (artikel 25.3).

3.8.3Rätten att behandla uppgifter

Rätten att behandla personuppgifter är begränsad. Behandling får endast ske för de syften för vilka uppgifterna har översänts i en- lighet med beslutet (artikel 26.1). Behandling för andra syften är tillåten endast om den medlemsstat som administrerar uppgif- terna på förhand tillåter en sådan behandling och beslutet grun- dar sig på den mottagande medlemsstatens nationella lagstift- ning. Tillstånd till annan behandling kräver vidare att lagstift- ningen i den medlemsstat som administrerar uppgifterna medger behandling för sådana andra syften.

För behandling av uppgifter om DNA och fingeravtryck samt referensuppgifter som översänds genom det automatiska sök- förfarandet gäller ytterligare restriktioner. Sådana uppgifter får behandlas endast för att fastställa om jämförda DNA-profiler

59

eller fingeravtrycksuppgifter överensstämmer eller för att utar- beta och lämna en begäran om rättslig hjälp samt för registrering (artikel 26.2). Den medlemsstat som administrerar registren får behandla uppgifter som har översänts endast om det är nödvän- digt för att göra en jämförelse, svara på en automatisk sökning eller för registrering. När jämförelsen har avslutats, eller den automatiska sökningen har besvarats, ska uppgifterna omedel- bart utplånas, om det inte är nödvändigt att behandla dem ytter- ligare för att utarbeta en begäran om rättslig hjälp eller för regi- strering.

Även för behandling av fordonsuppgifter som översänds genom det automatiska sökförfarandet gäller begränsningar. Den medlemsstat som administrerar uppgifterna får använda uppgif- ter som har översänts endast om det är nödvändigt för att be- svara en automatisk sökning eller för registrering (artikel 26.3). När den automatiska sökningen har besvarats, ska de översända uppgifterna omedelbart utplånas, om det inte är nödvändigt med ytterligare behandling för registrering. Den sökande medlems- staten får använda de uppgifter som har erhållits under sökning- en endast för det förfarande som legat till grund för denna.

Kretsen av myndigheter som får hantera översända uppgifter begränsas till brottsbekämpande eller brottsbeivrande myndig- heter samt de organ som administrerar registren (artikel 27). Översända uppgifter får lämnas vidare till andra myndigheter endast med tillstånd på förhand från den översändande myndig- heten.

3.8.4Uppgifternas korrekthet, aktualitet och lagringstid

Medlemsstaterna ska säkerställa att personuppgifterna är kor- rekta och aktuella (artikel 28.1). Om det visar sig att felaktiga uppgifter eller sådana uppgifter som inte borde ha översänts har sänts, ska den eller de medlemsstater som har mottagit uppgif- terna underrättas om detta. Uppgifterna ska då rättas eller utplå- nas av mottagaren. Även i övrigt ska översända personuppgifter

60

rättas om det framgår att de är felaktiga. Den mottagande myn- digheten är skyldig att underrätta den översändande myndighe- ten om att det finns skäl att anta att uppgifterna är felaktiga eller bör utplånas.

Uppgifter som enligt berörd person inte är korrekta, och vars korrekthet eller felaktighet inte kan fastställas, ska på dennes begäran märkas i enlighet med nationell lagstiftning (artikel 28.2). Märkningen får avlägsnas endast med den berörda perso- nens medgivande eller genom beslut av en behörig domstol eller en oberoende dataskyddsmyndighet.

Översända personuppgifter ska utplånas om de inte borde ha översänts eller mottagits (artikel 28.3). Även personuppgifter som har översänts och mottagits korrekt ska utplånas om upp- gifterna aldrig varit eller inte längre är nödvändiga för det syfte för vilket de översändes (artikel 28.3.a). Korrekt översända och mottagna uppgifter ska också utplånas sedan den tidsfrist som fastställts för lagring av uppgifterna enligt den översändande medlemsstatens nationella rätt har löpt ut. Detta förutsätter dock att den översändande myndigheten i samband med upp- giftsutbytet har informerat den mottagande myndigheten om lagringstiden (artikel 28.3.b). Om det finns skäl att anta att den berörda personens intressen skulle skadas om uppgifterna utplå- nas ska uppgifterna i stället spärras i enlighet med nationell rätt. Spärrade uppgifter får endast översändas eller användas i det syfte som ledde till att utplåningen förhindrades.

3.8.5Dataskydd och datasäkerhet

Personuppgifterna ska skyddas mot oavsiktlig eller otillåten ut- plåning, oavsiktlig förlust, obehörig tillgång, obehörig eller oav- siktlig ändring och obehörigt offentliggörande (artikel 29.1). De närmare reglerna i genomförandebeslutet ska garantera att den senaste tekniken används för att säkerställa dataskydd och data- säkerhet, särskilt uppgifternas konfidentialitet och integritet (artikel 29.2). Godkända metoder för kryptering och autentise-

61

ring ska användas när allmänt tillgängliga kommunikationsnät utnyttjas.

3.8.6Bestämmelser om registrering, dokumentation m.m.

I rådsbeslutet finns särskilda bestämmelser om registrering och dokumentation av översända och mottagna uppgifter både i fråga om automatiskt och icke-automatiskt översändande (artikel 30).

Artikel 30.1 behandlar registrering av icke-automatiskt över- sändande och mottagande av personuppgifter. Varje medlemsstat ska garantera att översändning och mottagande registreras hos den myndighet som administrerar databasen och hos den sökan- de myndigheten för kontroll av att sändningen är tillåten. Regist- reringen ska omfatta skälet till översändandet, de översända upp- gifterna, datum för översändandet samt namn eller beteckning på den myndighet som genomför sökningen och den myndighet som administrerar databasen.

En automatisk sökning eller jämförelse får genomföras endast av de tjänstemän vid nationella kontaktställen som särskilt har bemyndigats att göra detta (artikel 30.2). En förteckning över dessa tjänstemän ska på begäran lämnas till dataskyddsmyndig- heterna och de övriga medlemsstaterna. Även för automatiska sökningar gäller att varje översändande och mottagande ska regi- streras, tillsammans med uppgift om huruvida sökningen har lett till träff eller inte, av den myndighet som administrerar databa- sen och av den sökande. Registreringen ska omfatta översända uppgifter, datum och tidpunkt för översändandet samt namn eller beteckning på den myndighet som genomför sökningen och den myndighet som administrerar databasen. Den sökande myn- digheten ska dessutom registrera syftet med sökningen eller översändandet samt vilken tjänsteman som initierade förfarandet (artikel 30.2.b).

Den registreringskyldiga myndigheten ska på begäran, utan dröjsmål och senast inom fyra veckor, delge den berörda med- lemsstatens dataskyddsmyndigheter de registrerade uppgifterna

62

(artikel 30.3). Uppgifterna får endast användas för övervakning av dataskyddet och för att garantera datasäkerheten. De ska lag- ras i två år och därefter utplånas (artikel 30.4).

Artikel 30.5 reglerar kontrollen över informationsutbytet. Den ska utövas av oberoende dataskyddsmyndigheter eller de rättsliga myndigheterna i respektive medlemsstat. Var och en kan hos dessa myndigheter ansöka om en granskning av laglig- heten av behandlingen av sina personuppgifter enligt nationell rätt. De registreringsskyldiga ska göra stickprov och kontrollera översändningarnas laglighet. Resultaten av kontrollerna ska för granskningsändamål förvaras i 18 månader, varefter de ska utplå- nas.

En dataskyddsmyndighet kan av en annan medlemsstats data- skyddsmyndighet anmodas att genomföra nödvändiga inspek- tioner för kontroll av den personuppgiftsbehandling som sker med stöd av rådsbeslutet. Kontrollmyndighetens befogenheter regleras nationellt. Myndigheterna ska utföra de inspektioner som är nödvändiga för det ömsesidiga samarbetet.

3.8.7Rätten till information och skadestånd

På begäran ska en person, enligt nationell rätt, få information om de uppgifter om honom eller henne som har varit föremål för behandling (artikel 31.1). Informationen ska lämnas utan oskä- liga avgifter, i en förståelig form och utan dröjsmål. Den ska även innehålla uppgifternas ursprung, mottagare eller kategori av mottagare, det avsedda ändamålet med behandlingen och, när så krävs i nationell lagstiftning, dess rättsliga grund. Den berörda personen ska också ha rätt att kräva att felaktiga uppgifter korri- geras och att uppgifter som behandlats på ett otillbörligt sätt ut- plånas. Personer, vars dataskyddsrättigheter har kränkts, ska ha möjlighet att överklaga hos en oavhängig domstol eller hos en oberoende tillsynsmyndighet och kräva skadestånd eller annan ersättning (artikel 31.1). Förfarandet ska följa nationell rätt i den medlemsstat där personen hävdar sina rättigheter.

63

När en myndighet i en medlemsstat har översänt personupp- gifter med stöd av rådsbeslutet, kan den mottagande myndig- heten i en annan medlemsstat inte hänvisa till att de översända uppgifterna var felaktiga för att undgå sitt ansvar mot den skade- lidande (artikel 31.2). Om en mottagande myndighet döms att betala skadestånd till följd av att den har använt felaktigt över- sända uppgifter ska den översändande myndigheten ersätta denna.

En mottagande stat ska på begäran informera översändande stat om behandlingen av de översända uppgifterna och de resul- tat som har erhållits (artikel 32).

3.9Genomförande och slutbestämmelser

Artiklarna 33–37 innehåller bestämmelser om genomförandet av rådsbeslutet.

Varje medlemsstat ansvarar själv för de driftskostnader som dess egna myndigheter ådrar sig i samband med tillämpningen av rådsbeslutet (artikel 34).

I artikel 35 redovisas hur rådsbeslutet förhåller sig till andra internationella överenskommelser. De medlemsstater som har ratificerat Prümfördraget ska tillämpa rådsbeslutet i stället för fördragets bestämmelser.

Medlemsstaterna ska genomföra beslutet inom ett år från det att beslutet har trätt i kraft (artikel 36.1), med undantag för be- stämmelserna om automatisk sökning och jämförelse i register, där medlemsstaterna ges tre år för att vidta nödvändiga åtgärder.

Rådsbeslutet trädde i kraft tjugo dagar efter offentliggörandet i Europeiska unionens officiella tidning (artikel 37). Rådsbeslu- tet publicerades den 6 augusti 2008 och gäller därmed från den 26 augusti 2008. Det innebär att de obligatoriska delarna av be- slutet till stora delar ska vara genomförda den 26 augusti 2009.

64

programmet konstateras också att metoderna för informations- utbyte bör bygga på användning av ny teknik och anpassas till varje typ av information, i förekommande fall genom ömsesidig tillgång till eller kompatibilitet med nationella databaser eller i annat fall genom direkt tillgång till befintliga centrala databaser i Europeiska unionen. Nya centraliserade europeiska databaser bör, enligt vad rådet uttalade, inrättas endast på grundval av stu- dier som har visat deras mervärde.

Sedan Haagprogrammet beslutades har ett stort antal instru- ment som reglerar samarbetet mellan medlemsstaternas brotts- bekämpande myndigheter vuxit fram. Flera rättsakter rör infor- mationsutbyte och påverkar bl.a. medlemsstaternas personupp- giftsbehandling i olika avseenden. Samarbetet sker inom ramen för den s.k. tredje pelaren och är därmed mellanstatligt.14

4.2Former för samarbete och informationsutbyte vid bekämpning och lagföring av brott

4.2.1Europol

Det fördjupade gränsöverskridande polisiära samarbetet och ut- bytet av information påverkas i hög grad av utvecklingen av det polisiära samarbetet inom ramen för Europeiska unionens gemensamma polisbyrå, Europol. En av Europols viktigaste upp- gifter är att samla in och bearbeta information om allvarlig gräns- överskridande brottslighet av visst slag och att förmedla denna information vidare till medlemsstaterna.

Europols verksamhet bygger på möjligheten att från med- lemsstaterna hämta in och analysera underrättelseinformation

14 Genom Lissabonfördraget den 13 december 2007 om ändring av fördraget om Europe- iska unionen och fördraget om upprättandet av Europeiska gemenskapen ändras dock stora delar av den nuvarande primärrätten; bl.a. försvinner den nuvarande indelningen i tre olika pelare. Det straffrättsliga samarbetet och polissamarbetet kommer att bli före- mål för gemensamt beslutsfattande (se vidare prop. 2007/08:168 s. 45 och 54 f.). Detta innebär bl.a. att beslutanderätten i dessa delar förs över till unionen och att medlemssta- ternas genomförande av de gemensamma besluten kommer att omfattas av kommissio- nens kontrollbefogenheter.

66

om viss grov gränsöverskridande brottslighet och sedan återföra resultatet av analyserna till medlemsstaterna. För svenskt vid- kommande tillämpas 7 § första stycket polisdatalagen (1998:622) vid informationsutbytet. Genom ett förslag till rådsbeslut i juni 2008, som ska ersätta Europolkonventionen och dess ändrings- protokoll, förändras den rättsliga grunden för Europols verk- samhet från ett mellanstatligt samarbete till att Europol blir ett EU-organ. Europol ges bl.a. möjlighet att upprätta och driva nya system för informationsbehandling, t.ex. avseende terroristbe- kämpning. Utkastet till rådsbeslut innehåller bl.a. vissa nya be- stämmelser om dataskydd, t.ex. inrättande av ett oberoende upp- giftsskyddsombud. Riksdagen har godkänt utkastet till rådsbe- slut.15 Rådsbeslutet är ännu inte antaget.

4.2.2Eurojust

Åklagarsamarbetet inom Europeiska unionen bedrivs primärt inom ramen för Eurojust, som inrättades år 2002 och har status som EU-organ.16 Eurojusts huvuduppgift är att främja och för- bättra samordningen mellan medlemsstaternas brottsbekäm- pande myndigheter vid bekämpningen av grov gränsöverskri- dande brottslighet. I dess uppdrag ingår bl.a. att hjälpa medlems- staterna i frågor om internationell rättslig hjälp och utlämning.

I Eurojust ingår en nationell medlem från varje stat. Om medlemmen har några rättsliga befogenheter i förhållande till sin hemstat avgörs av den staten.

Eurojust kan uppmana rättsliga myndigheter i en medlemsstat som berörs av ett ärende att genomföra brottsutredning och väcka åtal och kan vidare anmana berörda myndigheter att sam- ordna utredningar. Eurojust saknar emellertid egna rättsliga be-

15Prop. 2008/09:14, bet. 2008/09:JuU6, rskr. 2008/09:63.

16Se rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet och rådets beslut 2003/659/RIF av den 18 juni 2003 om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kam- pen mot grov brottslighet, EGT L 63, 6.3.2002, s. 1 och EUT L 245, 29.9.2003, s. 44.

67

fogenheter. Beslut i brottsutredningar fattas alltid på nationell nivå och med tillämpning av nationell lagstiftning.

4.2.3European Judicial Network

European Judicial Network (EJN) inrättades år 1998 efter beslut av Europeiska rådet.17 Nätverket består av företrädare för natio- nella myndigheter (kontaktpunkter) som arbetar med interna- tionellt straffrättsligt samarbete. Kontaktpunkterna är aktiva mellanhänder för att underlätta det rättsliga samarbetet mellan medlemsstaterna, framför allt när det gäller att bekämpa grov brottslighet. Kontaktpunkterna har dagliga kontakter, vanligtvis per telefon eller e-post, i konkreta brottsutredningar. Dessutom träffas de ett antal gånger per år för att utbyta erfarenheter och diskutera praktiska och rättsliga problem.

För att effektivisera det rättsliga nätverket och tydliggöra fördelningen av ärenden mellan Eurojust och nätverket har ett nytt rådsbeslut antagits som ersätter rådsbeslutet från år 1998.18

4.2.4Det svenska initiativet

Den tillgänglighetsprincip som är väsentlig i Europeiska unio- nens arbete för att utveckla informationsutbytet är en av grund- stenarna i rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Rambeslutet, som kom till efter ett svenskt initi- ativ, innebär att brottsbekämpande myndigheter i medlemssta- terna redan på underrättelsestadiet, och över myndighetsgrän- serna, snabbt ska kunna utbyta befintlig information och befint- liga underrättelser. Genom rambeslutet åtar sig medlemsstaterna

17EGT L 191, 7.7.1998, s. 4.

18Rådets beslut 2008/976/RIF av den 16 december 2008 om det europeiska rättsliga nätverket, EUT L 348, 24.12.2008, s. 130.

68

bl.a. att dels lämna viss information på begäran av annan stat, dels spontant lämna vissa uppgifter. Medlemsstaterna ska ha ge- nomfört bestämmelserna i rambeslutet senast den 19 december 2008. I en departementspromemoria, som innehåller en bedöm- ning av vilka författningsändringar som behövs för att genom- föra rambeslutet i svensk rätt, föreslogs en ny förordning i an- ledning av samarbetet.19 Den nya förordningen trädde i kraft den 1 februari 2009.20

4.2.5Utbyte av uppgifter i kriminalregister

Uppgifter om brottmålsdomar utbyts i dag med stöd av 1959 års europeiska konvention om ömsesidig rättslig hjälp i brottmål. Systemet har visat sig ha betydande brister och domstolar med- delar ofta dom enbart med beaktande av tidigare domar som finns upptagna i deras nationella register, men utan kunskap om eventuella domar i andra medlemsstaters register. För att för- bättra och underlätta informationsutbytet mellan Europeiska unionens medlemsstater presenterade kommissionen därför i december 2005 ett förslag till rådets rambeslut om organisatio- nen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll.21 I utkastet till rambeslut föreslås att varje medlemsstat som meddelar en dom mot en medborgare i en annan medlemsstat ska informera medborgarstaten om domen. Medborgarstaten ska därefter lagra informationen. Utkastet till rambeslut lägger också bl.a. grunden för nästa steg i arbetet med att effektivisera informationsutbytet och möjliggöra elektronisk uppgiftsöverföring.22 Riksdagen har godkänt utkastet till ram- beslut.23 Rambeslutet är ännu inte antaget.

19Se Ds 2008:72.

20Förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen.

21KOM (2005) 690 slutlig.

22Ett datoriserat system för utbyte av uppgifter i kriminalregistret föreslås komma till stånd genom inrättandet av ett europeiskt informationssystem för utbyte av uppgifter ur kriminalregister (Ecris), se vidare förslag till rådets beslut om inrättande av Europeiska

69

4.2.6Schengens informationssystem

Information utbyts också genom Schengens informationssystem (SIS). SIS har tillkommit genom Schengenkonventionen. Denna innehåller bestämmelser om praktiska åtgärder för att uppnå Schengenavtalets syfte. Bestämmelserna gäller bl.a. polissamar- bete, rättsligt samarbete, dataskydd, samarbete om narkotikabe- kämpning, harmoniserad viseringspolitik och enhetliga yttre gränskontroller. SIS, som är ett datasystem som fungerar som ett efterlysningshjälpmedel, och i viss mån även som ett spanings- hjälpmedel, utgör en del av Schengensamarbetet. SIS är nu före- mål för förändring inom ramen för ”den andra generationen av SIS”, benämnd SIS II. Datasystemet SIS II är, i likhet med SIS, främst ett efterlysnings- och spaningsregister som till exempel gör det möjligt för polisen att efterlysa brottslingar och för- svunna personer inom Schengenområdet. Förutom tekniska för- ändringar innebär SIS II bl.a. att nya kategorier av uppgifter ska kunna registreras i syfte att effektivisera brottsbekämpningen. Dessutom kommer kontrollen av att registrerade uppgifter an- vänds på föreskrivet sätt att bli effektivare, vilket stärker skyddet för enskildas personliga integritet. Det nuvarande systemet anses vara tekniskt föråldrat och klarar inte kommande behov.24

I SIS kan varje Schengenstat föra in uppgifter om personer samt om fordon eller andra föremål som är efterlysta eller på an- nat sätt eftersökta. Denna stat kan samtidigt begära att en viss åtgärd ska vidtas om personen eller föremålet påträffas vid en gränskontroll eller i en annan Schengenstat. I varje Schengenstat finns ett s.k. Sirenekontor som ansvarar för registreringarna i SIS och lämnar viss kompletterande information till varandra.

informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris) i enlighet med rambeslut 2008/XX/RIF, KOM (2008) 332 slutlig.

23Se prop. 2008/09:18, bet. 2008/09:JuU11, rskr. 2008/09:33.

24Se vidare prop. 2006/07:33, bet. 2006/07:JuU3, rskr. 2006/07:95 och Ds 2008:81.

70

4.2.7VIS

Utvecklingen av uppgiftsutbytet mellan medlemsstaterna rör också bl.a. viseringsområdet. År 2004 inrättades informations- systemet för viseringar (VIS) som ett system för utbyte av vi- seringsuppgifter mellan medlemsstaterna.25 Samma år presente- rade kommissionen ett förslag till förordning om VIS och utby- tet av uppgifter mellan medlemsstaterna om viseringar för kor- tare vistelser (VIS-förordningen). Europaparlamentet och rådet har nu gemensamt antagit ett reviderat förslag till VIS-förord- ning.26 VIS-förordningen kompletteras av ett tredjepelarbeslut i form av ett beslut av rådet.27 Enligt detta rådsbeslut ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna samt Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begä- ran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller ut- reda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att in- hämtandet av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds.

25Rådets beslut 2004/512/EG om inrättande av Informationssystemet för viseringar (VIS), EUT L 213, 15.6.2004, s. 5.

26Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av upp- gifter om viseringar för kortare vistelse, EUT L 218, 13.8.2008, s. 60.

27Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott, EUT L 218, 13.8.2008, s. 129.

71

Regeringen har på ett övergripande plan övervägt vilka lag- ändringar som kan bli nödvändiga med anledning av rådsbeslutet. Riksdagen har godkänt utkastet till rådsbeslut.28

4.3Dataskyddsrambeslutet

Det stora antalet nya EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informa- tionsutbyte har föranlett ett rambeslut om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (det s.k. dataskyddsrambeslutet). Data- skyddsrambeslutet förpliktar medlemsstaterna att behandla upp- gifter som utbyts mellan staterna inom ramen för det angivna samarbetet på sådant sätt att skyddet för enskildas integritet vär- nas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs. Rambeslutet utgör ett komplement till andra instrument om informationsut- byte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen (se vidare avsnitten 6.2.5 och 6.3.1). Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla utbytta personuppgifter.

Regeringen har på ett övergripande plan övervägt vilka lag- ändringar som kan bli nödvändiga med anledning av det utkast till rådsbeslut som lagts fram. Riksdagen har godkänt utkastet till rambeslut,29 som nu också har antagits av rådet.30

28Prop. 2007/08:132, bet. 2007/08:JuU27, rskr. 2007/08:250.

29Prop. 2008/09:16, bet. 2008/09:JuU7, rskr. 2008/09:41.

30Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgif- ter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, EUT L 350, 30.12.2008, s. 60.

72

4.4Eurodac

Ett system för att identifiera asylsökande inrättades i januari 2003. För detta ändamål finns en europeisk databas med finger- avtryck, Eurodac.31 Som en del av ett rutinförfarande vid begäran om asyl tas fingeravtryck på alla sökande över 14 år. Fingerav- trycken skickas i digital form till en central enhet vid Europeiska kommissionen, där de automatiskt jämförs med andra avtryck som lagrats i databasen. När en medlemsstat skickar en uppsätt- ning fingeravtryck till Eurodac får den genast besked om dessa stämmer överens med andra fingeravtryck som redan finns i databasen. Om så är fallet, kan staten välja att skicka tillbaka per- sonen till det land dit han eller hon först kom eller där personen först ansökte om asyl. Myndigheterna i denna stat ansvarar då för att fatta beslut om den sökandes rätt att stanna. Om finger- avtrycken inte förekommer i databasen, handlägger den stat som skickat in fingeravtrycken ärendet.

Den europeiske datatillsynsmannen (EDPS) utövar tillsyn över behandlingen av personuppgifter i den centrala databasen. De nationella dataskyddsmyndigheterna utövar tillsyn över na- tionell hantering av Eurodac-uppgifter och överföringen av upp- gifter till den centrala databasen.

31 Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventio- nen, EGT L 316, 15.12.2000, s. 6.

73

och undersökning av sådana prov (28 kap. 12 § rättegångsbal- ken).

För andra prov än salivprov tillämpas 28 kap. 12 § rättegångs- balken. Den som är skäligen misstänkt för ett brott på vilket fängelse kan följa får kroppsbesiktigas bl.a. för att utröna om- ständigheter som kan vara av betydelse för utredning om brottet. I samband med det kan DNA-prov tas. Förutsättningarna är att provet behövs för att klarlägga den misstänktes del i brottet. Analysen av provet kan givetvis även fria från misstanke.

Med stöd av 28 kap. 12 a § rättegångsbalken får salivprov tas från den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa. Syftet med provtagning enligt denna bestäm- melse är att göra en DNA-analys av provet och registrera upp- gifter om resultatet av analysen i det utredningsregister eller det DNA-register som förs med stöd av polisdatalagen (prop. 2005/06:29 s. 39). Sådana prov får, till skillnad mot prov som tas med stöd av den allmänna regeln i 28 kap. 12 § rättegångsbalken, tas även om det inte behövs för utredningen av det aktuella brottet. Om den misstänkte redan finns i DNA-registret eller om prov redan har tagits under utredningen av brottet, bör nå- gon ny provtagning inte ske. Övriga bestämmelser i 28 kap. rät- tegångsbalken om kroppsbesiktning är tillämpliga. Således är proportionalitetsprincipen i 3 a § tillämplig, vilket innebär att det vid varje enskilt provtagningstillfälle ska övervägas om åtgärden är proportionerlig (prop. 2005/06:29 s. 39). Det är därför t.ex. knappast aktuellt att ta DNA-prov i de fall där det brott som misstanken avser ter sig så bagatellartat att påföljden kan antas komma att stanna vid böter.

Enligt 28 kap. 12 b § första stycket rättegångsbalken får saliv- prov också tas från personer som inte är misstänkta för brott eller där misstanken ligger på en lägre nivå än skälig misstanke. Förutsättningarna för att få ta ett sådant prov är att dels att syf- tet är att underlätta identifiering vid utredning av brott på vilket fängelse kan följa, dels att det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet. Begreppet ”synnerlig anledning” tolkas i praxis så att det ska föreligga fak-

76

tiska omständigheter som påtagligt visar att man med fog kan förvänta sig att uppnå det avsedda resultatet med åtgärden (SOU 1995:47 s. 298). Det är således inte tillåtet att slentrianmässigt besluta om kroppsbesiktning av en stor mängd personer. I de fall där DNA-prov har tagits från någon som inte är skäligen miss- tänkt får analysresultatet inte jämföras med uppgifter i DNA- register. Provresultatet får inte heller i övrigt användas för något annat ändamål än det för vilket det togs.

Enligt 36 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och 28 kap. 12 b § tredje stycket rättegångs- balken får DNA-prov inte tas på den som är under 15 år.

5.2.2Analys och registrering

DNA-registren

När polisregisterlagstiftningen ändrades år 1999 infördes regler om DNA-register (prop. 1997/98:97, bet. 1997/98:JuU20). Sam- tidigt inrättades två register, DNA-registret och spårregistret, medan utredningsregistret tillkom när möjligheterna till provtag- ning utvidgades år 2006 (prop. 2005/06:29, bet. 2005/06:JuU7). Reglerna om DNA-register placerades i polisdatalagen för att ge polisen möjlighet att utnyttja DNA-tekniken redan på spanings- stadiet, innan misstankar kunnat riktas mot en viss person, och för att kunna jämföra spåranalyser t.ex. från en brottsplats med DNA-profilerna i registret (prop. 1997/98:97 s. 133 f.).

Uppgifter om resultat av DNA-analyser får behandlas endast för att underlätta identifiering av personer i samband med utred- ning av brott. Med stöd av 22 § polisdatalagen för Rikspolissty- relsen ett DNA-register, ett utredningsregister och ett spårre- gister.

DNA-registret innehåller uppgifter om resultatet av DNA- analyser som har gjorts med stöd av bestämmelserna i 28 kap. rättegångsbalken och som avser personer som genom lagakraft- vunnen dom har dömts till annan påföljd än böter eller har god-

77

känt ett strafföreläggande som avser villkorlig dom (23 § polis- datalagen). Registreringen av analysresultat ska begränsas till uppgifter som ger information om den registrerades identitet. Resultat som kan ge upplysning om personliga egenskaper får inte registreras (24 § första stycket polisdatalagen). DNA-re- gistret får utöver ovanstående uppgifter endast innehålla upp- lysning om i vilket ärende analysen har gjorts och vem analysen avser (24 § andra stycket polisdatalagen).

Utredningsregistret omfattar personer som är skäligen miss- tänkta för brott på vilket fängelse kan följa (24 a § polisdatala- gen). Samma regler gäller för registrering av uppgifter i utred- ningsregistret som för DNA-registret.

Spårregistret innehåller uppgifter om DNA-analyser som har gjorts under utredning av brott och som inte kan hänföras till en identifierbar person. Uppgifterna som registreras avser spår från en brottsplats eller från en målsägandes kläder eller kropp, om man inte kan utröna vem som har avsatt spåret. En uppgift som har förts in i spårregistret ska tas bort så snart det finns infor- mation som visar vem det analyserade spåret härrör från (prop. 1997/98:97 s. 140). Utöver uppgifter om analysresultat får detta register enbart innehålla upplysningar som visar i vilket ärende analysen har gjorts (25 § polisdatalagen). Analysresultat från DNA-prov får i vissa fall jämföras med uppgifter i spårregistret (26 § polisdatalagen). Om analysresultatet är ett ”spår”, dvs. till- hör en oidentifierad person, får för det första en jämförelse göras med andra analysresultatet i spårregistret. Om resultatet där- emot avser en identifierad person får en jämförelse endast ske med uppgifter i DNA-registret eller om personen är skäligen misstänkt för brott.

Enligt 11 § polisdataförordningen får Statens kriminaltek- niska laboratorium (SKL), polismyndigheter och åklagarmyn- digheter ha direktåtkomst till DNA-registret, utredningsre- gistret och spårregistret.

Bestämmelserna om innehållet i registren och regleringen i övrigt ändras inte enligt det förslag till lag om behandling av per- sonuppgifter i polisens brottsbekämpande verksamhet som för

78

närvarande bereds inom Regeringskansliet (Ds 2007:43 s. 279 f. och s. 460 f.).

Analys, registrering och träffrapport

SKL analyserar DNA-prov och tar fram en DNA-profil som re- gistreras samt jämförs med andra DNA-profiler.

Vid en kriminalteknisk DNA-analys undersöks en liten del av arvsmassan med inriktning på olika analyser av vad som benämns STR-områden (Short Tandem Repeats). Typbestämningen av ett antal sådana STR-områden presenteras som en sifferkombina- tion, en DNA-profil. DNA-profilen utgör alltså resultatet av DNA-analysen.

I DNA-registren får enbart resultatet av sådana DNA-analy- ser som har gjorts med stöd av bestämmelserna i 28 kap. rätte- gångsbalken tas in. Det betyder bl.a. att resultatet av DNA-prov som har tagits med stöd av samtycke inte får registreras i vare sig DNA-registret eller utredningsregistret (23 och 24 a §§ polisda- talagen samt prop. 2005/06:29 s. 31).

Registreringen av ett analysresultat ska begränsas till uppgif- ter som ger information om den registrerades identitet. Analys- resultat som kan ge upplysning om den registrerades personliga egenskaper får, som tidigare nämnts, inte registreras (24 § polis- datalagen). I praktiken innebär det att enbart en sifferkombina- tion registreras och används för jämförelse med andra registre- ringar.32 Den del av DNA:t som typbestäms hör till den icke- kodifierade delen av DNA:t. Det finns därför inga personliga egenskaper kopplade till dessa. Uppgifter om kön registreras inte i dag.

För närvarande är cirka 50 000 personer registrerade i de svenska DNA-registren. Rikspolisstyrelsen har emellertid pekat på att antalet registrerade personer i framtiden kan bli minst det dubbla.

32 Rikspolisstyrelsen, Polisens användning av salivprov för DNA-analys, Inspektionsrap- port 2008:1, s. 9.

79

Inom ett ärende jämförs först de framtagna DNA-profilerna mot varandra. Det innebär att spår från en brottsplats och en misstänkt gärningsman jämförs mot varandra. Om dessa stäm- mer överens behöver DNA-profilerna från brottsplatsspåren inte läggas in i spårregistret, eftersom de har knutits till en person. Kan resultatet däremot inte hänföras till en identifierbar person läggs DNA-profilerna in i spårregistret.

DNA-profilerna i spårregistret jämförs regelbundet med regi- strerade DNA-profiler i utrednings- och DNA-registret. Vid en automatisk jämförelse mellan DNA-profiler i de olika registren redovisas resultatet i en träffrapport. En träffrapport kan inne- hålla en eller flera träffar mellan DNA-profiler från de olika re- gistren. Det anges inte i vilket av registren DNA-profilerna finns. Varje träff har ett unikt "träff ID" och är SKL:s interna löpnummer på träffen. Det finns ingen "träffhistorik" eftersom spåren alltid gallras vid träff mot en person.

Ett sökprov utgörs av den DNA-profil som är senast registre- rad. Per träffrapport redovisas ett sådant sökprov. Detta prov kan komma från en person eller ett spår. Träffprov är den eller de DNA-profiler som finns registrerade sedan tidigare och som vid sökning träffar mot en ny DNA-profil som registrerats, dvs. sökprovet. Träffprovet kan komma från en person eller ett spår.

En registerträff består av en kombination av ett sökprov och ett träffprov som har en gemensam DNA-profil. Den gemen- samma DNA-profilen för sök- och träffprov är underlaget för den statistiska beräkningen av risken för slumpmässig överens- stämmelse, vilket i sin tur utgör underlaget för slutsatsen om DNA-uppgifterna stämmer överens.

Gallring

Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsregistret enligt lagen om belastningsregister (27 § första stycket polisdatalagen). Detta innebär för en icke-frihetsberövande påföljd tio år efter det att

80

dom har meddelats och vid frihetsberövande påföljd tio år efter det att påföljden har verkställts. Om nya domar tillkommer un- der tiden förlängs gallringsfristen. Har en DNA-profil registre- rats efter den 1 januari 2006 görs en kontroll mot misstankere- gistret innan gallring sker. Skulle personen vara registrerad i misstankeregistret flyttas DNA-profilen från DNA-registret till utredningsregistret.

I utredningsregistret ska DNA-profilen gallras senast när den registrerade personen döms till annan påföljd än böter. Uppgif- terna förs då i stället över till DNA-registret. Uppgiften gallras om förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade godkänner ett strafföreläggande som avser enbart böter (27 § andra stycket polisdatalagen).

Som framgått ovan gallras inte uppgifterna i DNA-registret och utredningsregistret om det finns en anteckning om personen i belastnings- eller misstankeregistret. Anteckningen måste gälla ett brott som i sig medger registrering i DNA-registret, men den behöver inte avse det brott som föranledde provtagningen. För att uppgifterna ska ligga kvar i utredningsregistret måste en ny misstanke dels ha registrerats i misstankeregistret innan den misstanke som föranledde registreringen har avförts, dels gälla ett brott på vilket fängelse kan följa. Hanteringen sker automa- tiskt eftersom DNA-registret och utredningsregistret har för- bindelse med belastningsregistret och misstankeregistret.33

Spår från brottsplatser i form av DNA-profiler gallras (rade- ras) från spårregistret när träff uppkommer mot en person, dvs. när man vet från vem spåret härrör. I övriga fall gallras DNA- profilerna senast 30 år efter registreringen (27 § tredje stycket polisdatalagen). SKL ska underrättas av den polismyndighet som skickade in spåret för analys när brottet är uppklarat eller provet är irrelevant.

33 Se vidare Rikspolisstyrelsen, Polisens användning av salivprov för DNA-analys, Inspektionsrapport 2008:1, s. 9.

81

5.3Fingeravtrycksregister

5.3.1Tagande av fingeravtryck

Fingeravtryck, som avsätts av papillarlinjemönstret, utgörs i princip av naturliga utsöndringsprodukter från olika körtlar i kroppen och föroreningar från omgivningen. Enligt 28 kap. 14 § rättegångsbalken samt förordningen (1992:824) om fingerav- tryck m.m. ska fingeravtryck och fotografi alltid tas av den som häktats. I vissa uppräknade fall ska fingeravtryck också tas av den som är anhållen. Enligt 2 § andra stycket förordningen om fingeravtryck m.m. får, om det behövs för att utreda brott på vilket fängelse kan följa, fingeravtryck tas också av den som misstänks för brottet utan att vara anhållen eller häktad för detta samt av den som inte är misstänkt för brottet.

Fingeravtryck som tagits med stöd av dessa bestämmelser ska skyndsamt sändas till Rikspolisstyrelsen (7 § förordningen). Nationella fingeravtrycksavdelningen vid Rikskriminalpolisen ansvarar för registrering och kvalitetssäkring av fingeravtryck.

Vad som sagts angående fingeravtryck gäller även handav- tryck.

5.3.2Analys och identifiering

Det huvudsakliga arbetet med analyser av fingeravtryck bedrivs vid SKL och Nationella fingeravtrycksavdelningen vid Rikskri- minalpolisen. Dessa framkallar och säkrar spår i form av finger- avtryck på olika typer av undersökningsmaterial. Fingeravtryck måste ges egenskaper som ger en kontrast mot bakgrunden. Därför penslas fingeravtrycket med t.ex. kolpulver eller fram- kallas genom infärgning. Även andra metoder, t.ex. att få fram en reaktionsprodukt, används. Ett framkallat fingeravtryck säkras genom fotografering.

För att identifiera fingeravtrycket, eller handavtryck, sker en uppkoppling mot en databas benämnd Automatiskt fingerav-

82

trycksidentifikationssystem (Automated Fingerprint Identifica- tion System, AFIS). AFIS är ett bildhanteringssystem som an- vänds för att lagra, söka och spåra finger- och handflateavtryck. Systemet gör en digital "karta" över varje fingeravtryck genom att skapa unika matematiska algoritmer baserade på förhållandet mellan olika karakteristika i avtrycket. Sökningar i databasen efter matchande fingeravtryck underlättar analysen av de avtryck som slutligen verifieras manuellt.

5.3.3Registrering

Den rättsliga regleringen

I 29–31 §§ polisdatalagen finns bestämmelser om bl.a. fingerav- trycksregister. Rikspolisstyrelsen får behandla uppgifter i finger- avtrycksregister för att underlätta identifiering av personer i samband med brott. Uppgifterna får också användas för identifi- ering av okända personer i andra fall. De får vidare behandlas i förundersökningar och särskilda undersökningar (29 §). Finger- avtrycksregister får endast innehålla uppgifter om den som är misstänkt eller dömd för brott eller som har fått lämna fingerav- tryck med stöd av en viss bestämmelse i lagen om särskild utlän- ningskontroll. Sådana register får inte innehålla uppgifter om fingeravtryck från den som är under femton år. Endast uppgifter om fingeravtryck, signalement, identifieringsuppgifter och ären- denummer får antecknas(30 §).

Bestämmelserna i 29–31 §§ polisdatalagen har emellertid i praktiken inte börjat tillämpas. Enligt punkten 2 i övergångsbe- stämmelserna till polisdatalagen gäller datalagen (1973:289) för de personregister som den 24 oktober 1998 fördes med Datain- spektionens tillstånd. Övergångsbestämmelserna har förlängts flera gånger och senast till den 31 december 2009 (prop. 2008/09:15). Datalagen är således tillämplig, tillsammans med Datainspektionens tillstånd, på fingeravtrycksregistret fram till utgången av detta år, medan bestämmelserna i 29–31 §§ polisda-

83

talagen inte ska tillämpas. Regleringen av fingeravtrycksregistret överensstämmer dock i stort med polisdatalagens bestämmelser om ändamål och innehåll samt gallring.

Sökningen

I realiteten görs fyra olika typer av sökningar i fingeravtrycks- registret. En sökning kan utgå från ett fingeravtryck som polisen har tagit för att se om personen finns i registret. En annan sök- metod är att utgå från personens fingeravtryck för att knyta ve- derbörande till okända fingeravtryck som har säkrats på en brottsplats. Vidare kan ett okänt fingeravtryck från en brotts- plats användas för en sökning i registret efter en viss person. Ett okänt fingeravtryck kan också kopplas mot andra befintliga okända fingeravtryck.

Det finns vissa möjligheter för svensk polis att söka efter fingeravtryck i en annan medlemsstats register över fingerav- tryck. I dessa fall skickar polismyndigheten en kopia av en blan- kett med personens fingeravtryck, en s.k. 10-fingersblankett, till Rikskriminalpolisens Internationella polisenhet (IPO). IPO scannar in fingeravtrycken från blanketten och sänder dem per e- post till motsvarande myndighet i den andra staten. Om en sök- ning i det utländska registret ger träff skickas relevanta uppgifter via e-post tillbaka till IPO, som vidarebefordrar uppgifterna till den berörda polismyndigheten.

Gallring

För fingeravtrycksregistret gäller särskilda gallringsbestämmelser som meddelats av Datainspektionen.34 Bestämmelserna överens- stämmer i sak med 31 § polisdatalagen. En misstänkt person ska gallras ur registret när förundersökning eller åtal mot personen

34 Datainspektionens beslut den 1 december 2005, dnr 698-2005, meddelat med stöd av 6 och 18 §§ datalagen.

84

läggs ned eller åtal mot personen ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade ska be- handlas med stöd av polisdatalagens regler om behandling av uppgifter om kvarstående misstankar. Om den registrerade döms, ska uppgifterna gallras senast när uppgifterna gallras ur belastningsregistret.

Under år 2008 gjorde Rikskriminalpolisen en omfattande gallring i sitt fingeravtrycksregister sedan Datainspektionen kri- tiserat den bristande gallringen av uppgifter.35 Närmare 100 000 personer, hälften av alla registrerade, gallrades bort enligt uppgift från polisen. Registret gallras nu en gång per månad.

5.4Fordonsregister

5.4.1Vägtrafikregistret

I lagen (2001:558) och förordningen (2001:650) om vägtrafikre- gister finns bl.a. bestämmelser om behandling av personuppgifter i samband med registrering av fordon. Regleringen ligger till grund för det vägtrafikregister som sedan den 1 januari 2009 förs av Transportstyrelsen (tidigare Vägverket). Lagen innehåller be- stämmelser om registrering av uppgifter om personer samt om motordrivna fordon och släpfordon i ett särskilt register.

Enligt 12 § lagen om vägtrafikregister ska som huvudregel ett motorfordon vara registrerat för att få användas. Uppgift om vem som äger fordonet är ett krav för att fordonet ska kunna registreras (6 §). I 8 § lagen om vägtrafikregister anges att direkt- åtkomst till personuppgifter får medges endast för sådana ända- mål som anges i 5 § 1–3 samma lag och i enlighet med föreskrif- ter meddelade av regeringen. Närmare villkor för direktåtkomst till vägtrafikregistret finns i 4 kap. 3–5 §§ förordningen om väg- trafikregister, som bl.a. reglerar behörighets- och säkerhetsfrågor samt sökbegrepp. Direktåtkomst till uppgifter i vägtrafikre-

35 Datainspektionens beslut den 1 december 2005, Dnr 698-2005, och den 19 november 2007, Dnr 1093-2007.

85

gistret får endast medges om den utgör en tillåten behandling av personuppgifter enligt personuppgiftslagen (4 kap. 4 § första stycket förordningen).

Eftersom vägtrafikregisterförfattningarna utgör speciallag- stiftning har de bestämmelser som reglerar bevarande och gall- ring av uppgifter, och som i dag finns intagna i förordningen om vägtrafikregister, företräde framför personuppgiftslagen. Beträff- ande rättelse och skadestånd gäller dock reglerna i personupp- giftslagen (11 § lagen om vägtrafikregister).

5.4.2EUCARIS

Mellan vägtrafikregistermyndigheterna i vissa av Europeiska uni- onens medlemsstater, däribland Sverige, förekommer ett auto- matiskt informationsutbyte genom den tekniska plattformen EUCARIS (European Car and Driving License Information Sy- stem). EUCARIS är ett samarbete baserat på ett avtal som in- gicks av femton av medlemsstaterna i juni 2000.

EUCARIS är ett kommunikationsnätverk och således inget självständigt register. Genom säker inloggning kan vägtrafikre- gistermyndigheterna i de stater som omfattas av samarbetet göra förfrågningar via nätverket. Svarsformulären är standardiserade.

Uppgifter som omfattas av informationsutbytet är tillverkare och bilmodell, typ av fordon, färg, vilken typ av bränsle fordonet använder och en statussignal som bl.a. indikerar om bilen är stu- len eller skrotad. Vissa stater, dock inte Sverige, utbyter även körkortsuppgifter.

När Prümrådsbeslutet ska börja tillämpas kommer enbart en anpassning av vilka uppgifter som lämnas i svarsformuläret att behövas.

86

I två avseenden är konventionen av särskild betydelse för per- sonuppgiftsbehandling. Det gäller dels rätten till skydd för bl.a. privat- och familjeliv (artikel 8), dels möjligheten för var och en vars i konventionen angivna fri- och rättigheter har kränkts att få tillgång till ett effektivt rättsmedel inför en nationell myndighet (artikel 13). Bestämmelserna gäller även om det är en offentlig myndighet som inskränkt åtnjutandet av rättigheten eller kränkt någons fri- och rättigheter. En inskränkning är dock tillåten om den sker med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

6.2.2Dataskyddskonventionen

Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskon- ventionen) brukar ses som en precisering av artikel 8 i Europa- konventionen (se föregående avsnitt). Konventionen trädde i kraft den 1 oktober 1985 och har ratificerats av samtliga med- lemsstater i Europeiska unionen.

Konventionen syftar till att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Konventionsstaterna är skyldiga att uppfylla vissa principer för dataskydd i sin nationella lagstiftning. Detta innebär att medlemsstaterna ska ha en natio- nell reglering som föreskriver att personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål, att uppgifterna måste vara relevanta och förenliga med ändamålen och att upp- gifterna ska vara riktiga och aktuella samt inte får bevaras längre än vad som är nödvändigt för ändamålen. Känsliga personupp- gifter, t.ex. uppgifter om enskildas ras, politiska tillhörighet eller

88

religiösa tro samt uppgifter om brott, får behandlas endast om nationell lagstiftning ger ett tillfredsställande skydd.

Konventionen föreskriver att lämpliga skyddsåtgärder ska vidtas för att hindra avsiktlig eller otillåten förstörelse m.m. Vi- dare finns bestämmelser om registrerade personers möjligheter till insyn i register och rätt att få uppgifter rättade.

Ett tilläggsprotokoll till dataskyddskonventionen antogs av Europarådets ministerkommitté år 2001. Detta innehåller be- stämmelser om dataskyddsmyndigheter och överföring av per- sonuppgifter mellan länder. Sverige har ratificerat tilläggsproto- kollet.

6.2.3Europarådets rekommendation No. R (87) 15

Europarådet har tagit fram en särskild rekommendation som reglerar användningen av personuppgifter inom polissektorn. Rekommendationen (No. R [87] 15) innehåller skyddsregler för sådana personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande upp- giftssamlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

89

6.2.4Dataskyddsdirektivet

Dataskyddsdirektivet36 syftar till att skapa en gemensam hög nivå på integritetsskyddet och att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna.

Direktivet innehåller ett flertal materiella bestämmelser som reglerar all hantering av personuppgifter, bl.a. generella regler om vilka krav som ställs vid behandling av personuppgifter.

Direktivet är inte tillämpligt på sådan behandling av person- uppgifter som faller utanför gemenskapsrätten, vilket bl.a. inne- bär att straffrätt och polisverksamhet inte omfattas av tillämp- ningsområdet.

Dataskyddsdirektivet genomfördes i svensk rätt genom infö- randet av personuppgiftslagen (se avsnitt 6.3.1).

En närmare beskrivning av direktivet finns i bl.a. Ds 2008:30 s. 34 f.

6.2.5Europiska unionens stadga om de grundläggande rättigheterna

Europeiska unionens stadga om de grundläggande rättigheterna från år 2000 är en politisk viljeförklaring som syftar till att kodi- fiera de grundläggande fri- och rättigheter som unionen erkän- ner. Även om stadgan inte är rättsligt bindande för medlemssta- terna nationellt så binder den unionens egna organ och institu- tioner samt medlemsstaterna när de tillämpar unionsrätten.

Enligt stadgan har var och en rätt till skydd av de personupp- gifter som rör honom eller henne (artikel 8). Uppgifterna ska behandlas lagenligt, för bestämda ändamål och med den berörda personens samtycke eller någon annan legitim eller lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter

36 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.

90

som rör honom eller henne och att få uppgifterna rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

6.3Svensk lagstiftning

6.3.1Personuppgiftslagen

Lagens tillämpningsområde

Som nämnts ovan har dataskyddsdirektivet införlivats med svensk lagstiftning genom personuppgiftslagen (1998:204). La- gen ersatte den tidigare datalagen (1973:289) och är generellt tillämplig. Den upphävda datalagen gäller dock fortfarande för vissa register på polisområdet, bl.a. fingeravtrycksregistret (se avsnitt 5.3.3).

Personuppgiftslagen ger ett grundläggande integritetsskydd och reglerar hanteringen av personuppgifter. Lagen är subsidiär i förhållande till annan författningsreglering (2 §).

Lagen gäller för all sådan behandling som är helt eller delvis automatiserad (5 §). Den gäller också för annan behandling av personuppgifter om uppgifterna ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen kompletteras av personuppgiftsförord- ningen (1998:1191).

Samtidigt som personuppgiftslagen infördes tillskapades sär- skilda lagar och förordningar, s.k. registerförfattningar, som reg- lerar behandlingen av personuppgifter inom ett visst verksam- hetsområde, för en viss typ av register eller för ett bestämt re- gister. Det finns särreglering för behandling av personuppgifter i brottsbekämpningen, som till stora delar ersätter personupp- giftslagen. Utgångspunkten har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska

91

regleras i lag, även om det inte är nödvändigt med lagform enligt grundlagarna.37

Grundläggande krav på behandlingen

Bestämning av ändamålen med behandling av personuppgifter är av central betydelse för enskildas integritet. Med behandling av- ses i sammanhanget varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automati- serad väg eller inte. Som exempel kan nämnas insamling, regi- strering, organisering, lagring, bearbetning eller ändring, återvin- ning, inhämtande, användning, utlämnande genom översän- dande, spridning eller annat tillhandahållande av uppgifter, sam- manställning eller samkörning, blockering, utplåning eller förstöring (3 § personuppgiftslagen).

I 9 § personuppgiftslagen anges grundläggande krav på be- handling av personuppgifter som en personuppgiftsansvarig all- tid måste följa. Den personuppgiftsansvarige, som oftast är den organisation där personuppgifterna behandlas, ska bl.a. se till att personuppgifterna bara behandlas om det är lagligt och att de alltid behandlas på ett korrekt sätt och i enlighet med god sed (9 § första stycket a och b). Därutöver ska de uppgifter som be- handlas vara riktiga och, om det är nödvändigt, aktuella (9 § för- sta stycket g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (9 § första stycket h). Personuppgifter får endast bevaras så länge det är nödvändigt med hänsyn till ändamålen med behand- lingen (9 § första stycket i). De får vidare endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De in- samlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samla- des in (9 § första stycket c och d). Sistnämnda krav ger uttryck

37 Prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11.

92

för den s.k. finalitetsprincipen. Det finns dock inget som hindrar att insamling sker för flera ändamål samtidigt. Eftersom finali- tetsprincipen kan tolkas så att den medger behandling av alla så- dana uppgifter som inte är oförenliga med det ändamål för vilka de samlades in kan det finnas skäl att i en registerförfattning ange om de angivna ändamålen är uttömmande.38

Förhållandet till offentlighetsprincipen

Bestämmelserna i personuppgiftslagen ska inte tillämpas om de inskränker en myndighets skyldigheter enligt 2 kap. tryckfrihets- förordningen att lämna ut personuppgifter med stöd av offent- lighetsprincipen (8 § första stycket). Bestämmelserna i person- uppgiftslagen hindrar vidare inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket). Det förutsätts inte att bevarandet är föreskrivet i författning, utan det är tillräckligt att det är fråga om allmänna handlingar.39

Tillåten och otillåten behandling

Lagen reglerar uttömmande under vilka förutsättningar behand- ling av personuppgifter är tillåten (10–12 §§). Vidare föreskrivs att behandling av känsliga personuppgifter som huvudregel är förbjuden (13 §). Känsliga personuppgifter definieras i lagen som uppgifter som avslöjar ras eller etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning samt uppgifter som rör hälsa eller sexualliv. Från förbudet att behandla känsliga uppgifter görs bl.a. undantag för viss nöd- vändig behandling för att den registrerades eller annans vitala intressen ska kunna skyddas (se vidare 14–19 §§). Det finns också ett bemyndigande för regeringen, eller den myndighet

38Se Sören Öman i Festskrift till Peter Seipel, s. 704 f.

39Prop. 1997/98:44 s. 119 f.

93

regeringen bestämmer, att meddela föreskrifter om ytterligare undantag från förbudet, om det behövs med hänsyn till ett vik- tigt allmänt intresse (20 §). Sådana föreskrifter finns i 8 § per- sonuppgiftsförordningen.

Som huvudregel är det förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Uppgifter om per- sonnummer och samordningsnummer får behandlas utan sam- tycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).

Information och rättelse

Flera bestämmelser i personuppgiftslagen syftar till att trygga den enskildes rätt till information och olika kontrollmöjligheter.

Om uppgifterna samlats in från någon annan än den enskilde, ska den registrerade som huvudregel informeras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 §). Sådan information behöver dock inte lämnas om det finns bestämmelser om registreringen eller utlämnande av uppgifterna i lag eller författning eller om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats att informera. I en särskild bestämmelse preciseras vad informationen ska omfatta (25 §). Den personuppgiftsansvarige är skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka upp- gifter om sökanden som behandlas, ändamålet med behand- lingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 §). Från uppgiftsskyldigheten undantas dock bl.a. sådana uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 §).

Utöver den personuppgiftsansvariges allmänna skyldighet enligt 9 § att se till att de personuppgifter som behandlas är ade-

94

kvata och relevanta i förhållande till ändamålen med behand- lingen kan den registrerade begära att den personuppgiftsansva- rige snarast ska rätta, blockera eller utplåna sådana personupp- gifter som inte har behandlats i enlighet med personuppgiftsla- gen eller i enlighet med föreskrifter som har meddelats med stöd av lagen (28 §). Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.

Säkerhet vid behandlingen

I 30–32 §§ finns allmänna bestämmelser om säkerheten vid be- handling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla upp- gifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten. Tillsynsmyndigheten kan bl.a. i en- skilda fall besluta om vilka säkerhetsåtgärder som den person- uppgiftsansvarige ska vidta.

Överföring av personuppgifter till tredje land

Det är som huvudregel förbjudet att till tredje land föra över personuppgifter under behandling, eller för behandling, om lan- det inte har en adekvat skyddsnivå för personuppgifter (33 §). Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständligheter som har samband med överföringen. Ett antal omständigheter som anses speciellt viktiga räknas upp särskilt.

Av 34 § följer bl.a. att det är tillåtet att föra över personupp- gifter för användning enbart i en stat som har anslutit sig till Eu- roparådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Ytterligare undantag från kravet på viss skyddsnivå kan beslutas efter bemyndigande (35 §). I bilagor till personuppgiftsförordningen anges vissa län-

95

der som enligt särskilt beslut av Europeiska gemenskapernas kommission anses ha en adekvat skyddsnivå för behandlingen av personuppgifter eller som har slutit avtal med Europeiska unio- nen om överföring av vissa slags uppgifter.

Tillsyn

Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen (2 § personuppgiftsförordningen). Inspektionen är även tillsynsmyndighet enligt de särskilda registerförfattningarna.

För sin tillsyn har Datainspektionen rätt att på begäran få till- gång till de personuppgifter som behandlas och upplysningar och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (43 §). Om tillsynsmyndigheten efter begä- ran inte kan få tillräckligt underlag för att konstatera att behand- lingen är laglig, får myndigheten vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på annat sätt än att lagra dem (44 §). Tillsynsmyndigheten har vidare bl.a. rätt att hos länsrätten ansöka om att sådana personuppgifter som har behandlats på ett felaktigt sätt ska utplånas (47 §).

Sanktioner

En personuppgiftsansvarig är skadeståndsskyldig i de fall be- handling av personuppgifter i strid med personuppgiftslagen or- sakar den registrerade skada (48 §). Skadeståndsansvaret är i princip strikt. Den registrerade ska visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne.

Lagen innehåller också en straffbestämmelse (49 §). Till böter eller fängelse i högst sex månader döms bl.a. den som uppsåtli- gen eller av grov oaktsamhet behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter

96

eller för över personuppgifter till tredjeland i strid med bestäm- melserna i 33–35 §§.

Lagen beskrivs närmare i bl.a. Ds 2008:30 s. 36 f.

6.3.2Polisdatalagen

Allmänt

Polisdatalagen innehåller både allmänna regler om behandling av personuppgifter i polisiärt arbete och regler om vissa särskilda register. Den gäller utöver personuppgiftslagen vid behandling av personuppgifter i polisens verksamhet och i polisverksamhet vid Ekobrottsmyndigheten för att

-förebygga brott och andra störningar av den allmänna ordningen och säkerheten,

-övervaka den allmänna ordningen och säkerheten,

-hindra störningar av den allmänna ordningen och säkerhe- ten samt ingripa när något sådant inträffat, eller

-bedriva spaning och utredning i fråga om brott som hör

under allmänt åtal (1 §).

Lagen gäller inte för behandling av personuppgifter med stöd av lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem eller lagen (2006:444) om passagerarregister (1 § tredje stycket).

I 5 § regleras vilken behandling av känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning (13 § personuppgifts- lagen) som är tillåten. Vidare finns bestämmelser om utlämnande av uppgifter (6–8 §§). I detta sammanhang är den bestämmelse som reglerar möjligheten att lämna ut uppgifter till utländska myndigheter och mellanfolkliga organisationer av särskilt in- tresse (7 §). Som huvudregel får uppgifter lämnas ut om utläm- nandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Regeringen får vidare

97

meddela föreskrifter om att uppgifter på begäran får lämnas till en polis- eller åklagarmyndighet i en stat som är ansluten till In- terpol, om det behövs för att myndigheten ska kunna förebygga, upptäcka, utreda eller beivra brott. Sådana föreskrifter finns i 18 § polisdataförordningen. Regleringen är sekretessbrytande.

Därutöver finns bestämmelser om rättelse och skadestånd (9 §) som i princip gäller även för behandling av personuppgifter i register som inte är automatiserade (2 §).

Information till den registrerade, säkerhet vid behandlingen, rättelse och skadestånd

Eftersom polisdatalagen inte innehåller några regler om infor- mation till den registrerade, säkerhet vid behandling, rättelse och skadestånd gäller beträffande dessa frågor de allmänna reglerna i personuppgiftslagen. I 9 § polisdatalagen finns en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd.

Register som regleras särskilt i polisdatalagen

Det finns ett antal register som regleras särskilt i lagen. Detta gäller bl.a. kriminalunderrättelseregister (17–21 §§) och Säker- hetspolisens s.k. SÄPO-register (32–35 §§). Även DNA-register (22–28 §§) samt fingeravtrycks- och signalementsregister (29– 31 §§) regleras särskilt.

Avsnitt 5 innehåller en redovisning av bl.a. reglerna om DNA-register och fingeravtrycksregister.

6.3.3Sekretesslagen

I sekretesslagen (1980:100) finns bestämmelser som gör det möjligt för myndigheter att utbyta uppgifter trots att dessa om- fattas av sekretess.

98

En utgångspunkt i sekretesslagen är att en uppgift som om- fattas av sekretess inte får röjas för en utländsk myndighet eller mellanfolklig organisation. I två situationer får dock sådana upp- gifter röjas (1 kap. 3 § tredje stycket). Den ena är när utlämnan- det sker i enlighet med en särskild föreskrift i lag eller annan författning. En uttrycklig bestämmelse om att uppgifter får läm- nas till en utländsk myndighet eller mellanfolklig organisation bryter alltså sekretess enligt 1 kap. 3 § tredje stycket. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas. Sistnämnda regel är avsedd att tillämpas restriktivt.

Sekretessbelagda uppgifter får vidare lämnas ut från en myn- dighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (1 kap. 5 §). Denna sekretessbrytande bestämmelse är också avsedd att tilläm- pas restriktivt. Något sekretessgenombrott medges inte på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet.

Inom vissa myndighetsområden, bl.a. polisens brottsbekäm- pande verksamhet, är det i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter för att över huvud taget kunna genomföra exempelvis förhör. I ett internationellt per- spektiv är ett typiskt exempel att svenska myndigheter i samband med begäran om rättslig hjälp i en förundersökning lämnar upp- gifter som omfattas av sekretess enligt 5 kap. 1 § och 9 kap. 17 § till en utländsk åklagar- eller polismyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att denna ska kunna fullgöra sin egen verksamhet står det i regel klart att det är för- enligt med svenska intressen att lämna ut uppgifterna.

Med stöd av en sekretessbrytande bestämmelse i 9 kap. 17 § kan uppgifter vidare lämnas ut enligt vad som föreskrivs i bl.a. polisdatalagen och i förordningar som meddelats med stöd av den lagen (9 kap. 17 § sjätte stycket 3). Bestämmelsen infördes i samband med att den absoluta sekretessen för polisregister av-

99

skaffades.40 Det bakomliggande syftet var bl.a. att myn- digheterna inte skulle behöva förlita sig på en sekretessprövning i de fall där det i författning anges att uppgifter får lämnas ut. I 6– 8 §§ polisdatalagen finns bestämmelser om att uppgifter får läm- nas ut. Sådana bestämmelser finns även i polisdataförordningen (se bl.a. 8, 10, 17, 17 a och 18 §§).

Ytterligare sekretessbrytande bestämmelser finns i 14 kap. sekretesslagen. Om en uppgiftsskyldighet följer av lag eller för- ordning hindrar sekretess inte att uppgifter lämnas ut till en an- nan myndighet (14 kap. 1 §). Vidare kan uppgifter, med vissa undantag, lämnas ut när de behövs i bl.a. förundersökningar (14 kap. 2 §).

Av den s.k. generalklausulen i 14 kap. 3 § första stycket följer vidare att sekretessbelagda uppgifter som huvudregel får lämnas ut till en annan myndighet efter en intresseavvägning som inne- bär att det ska vara uppenbart att intresset av att uppgiften läm- nas ut har företräde framför det intresse som sekretessen ska skydda.

Bedömningen av om en uppgift kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnan- debestämmelsen har konstruerats så att uppgiften alltid ska läm- nas ut om det begärs.

Generellt gäller vidare att en myndighet på begäran av en an- nan ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång (15 kap. 5 §). Det inne- bär att sådana uppgifter som en myndighet begär att få del av från en annan myndighet ska lämnas ut om någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämpliga eller om de begärda uppgifterna är offentliga.

40 Prop. 1997/98:97.

100

6.3.4Lagen om internationellt polisiärt samarbete

Lagen (2000:343) om internationellt polisiärt samarbete reglerar samarbetet mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i Europeiska unionen samt Norge och Island. Schengensamarbetet, men även visst övrigt polissamarbete som är konventionsbundet, regleras i lagen. Lagen omfattar inte bara polismän utan även tulltjänste- män och kustbevakningstjänstemän, när de enligt lag eller annan författning har polisiära befogenheter.

I lagen finns bl.a. en bestämmelse som reglerar hur uppgifter som har mottagits från andra stater får användas (3 §), vad som brukar kallas användningsbegränsning. Om en svensk myndighet har fått upplysningar eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott eller vid utredning av brott, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att utnyttja materialet, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Detta gäller även för överenskommelser med mellanfolkliga organisationer.

Det informationsutbyte som sker inom ramen för Schengen- samarbetet regleras i huvudsak i lagen om Schengens informa- tionssystem (se avsnitt 6.3.8).

6.3.5Lagen om vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar genomför bl.a. rådets rambeslut 2002/465/RIF av den 13 juni 2002 om gemensamma utredningsgrupper (1 §).

Syftet med rambeslutet är att förbättra det polisiära och straffrättsliga samarbetet mellan Europeiska unionens medlems- stater i kampen mot den gränsöverskridande brottsligheten. Ge- nom en överenskommelse får behöriga myndigheter i två eller flera medlemsstater inrätta en gemensam utredningsgrupp för

101

brottsutredningar. Lagen tillämpas när det finns en sådan över- enskommelse mellan en eller flera myndigheter i Sverige och motsvarande myndigheter i en eller flera andra medlemsstater. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.41

I lagen finns bl.a. särskilda bestämmelser om användningsbe- gränsningar för uppgifter som mottas eller lämnas. Har en svensk myndighet fått uppgifter genom en gemensam utred- ningsgrupp som inrättats med stöd av lagen och gäller på grund av en överenskommelse villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet följa villkoren oavsett vad som annars är föreskrivet i lag eller författning (5 §). Om uppgifter eller bevismaterial överlämnas från en svensk myndighet till en sådan utredningsgrupp får överlämnandet för- enas med de villkor som är nödvändiga av hänsyn till enskilds rätt eller från allmän synpunkt (6 §). Villkor som strider mot en överenskommelse enligt 1 § får dock inte ställas upp. Den svenska myndighet som har överlämnat material med villkor får på begäran av en myndighet i en annan stat medge undantag från villkoren (7 §). Detsamma gäller för villkor som följer direkt av en överenskommelse som träffats med stöd av 1 §.

6.3.6Lagen om internationellt tullsamarbete

Tullverkets samarbete med tullmyndigheter och andra behöriga myndigheter i andra stater regleras i lagen (2000:1219) om inter- nationellt tullsamarbete. I syfte att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser ska Tullverket eller annan behörig svensk myndighet bistå utländsk myndighet och mellanfolklig organisation. Förutom Tullverket är Rikspolissty- relsen, polismyndigheter, Kustbevakningen och Statens jord- bruksverk behöriga myndigheter (1 kap. 5 §). Tullverket har an-

41 Detta gäller t.ex. gemensamma utredningsgrupper som upprättats med stöd av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbetet mellan tullförvaltningar (tullsamarbetskonventionen).

102

svaret för samordningen av samarbetet. De svenska myndighe- terna kan agera endast inom ramen för sina befogenheter enligt nationell rätt (1 kap. 3 §).

Tullsamarbetet består bl.a. i att staterna självmant eller efter ansökan delger varandra uppgifter som behövs för samarbetet. Svensk myndighet har också rätt att inleda utredning om över- trädelse av tullbestämmelser i en annan stat. I en sådan utredning får en utländsk tjänsteman närvara. Åtgärder får inte vidtas med stöd av samarbetet om dessa strider mot svensk författning eller svenska allmänna rättsprinciper.

Lagen innehåller särskilda användningsbegränsande bestäm- melser som dels ålägger svenska myndigheter att följa de villkor om användning av lämnade uppgifter som andra länder kan ställa upp, dels ger svenska myndigheter möjlighet att på motsvarande sätt ställa upp villkor för användandet av uppgifter som lämnas ut (2 kap. 7 § och 4 kap. 2 §). Regleringen ska tillämpas restrik- tivt och villkoren ska vara nödvändiga.42

6.3.7Lagen om internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål fö- reskrivs skyldighet att på en utländsk myndighets begäran genomföra bl.a. förhör under förundersökning, bevisupptagning, telefonförhör, husrannsakan och vissa andra tvångsmedel (1 kap. 2 §). Vidare regleras hur Sverige kan begära rättslig hjälp utom- lands (3 kap.).

I förordningen (2000:704) om internationell rättslig hjälp i brottmål finns verkställighetsbestämmelser.

Lagen är med något undantag generell och gäller i förhållande till alla stater, även om dessa inte har tillträtt samma konventio- ner om rättslig hjälp i brottmål som Sverige.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan

42 Prop. 1999/2000:122 s. 43.

103

vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas även om den misstänkta gär- ningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förunder- sökning eller rättegång (2 kap. 10 §).

I lagen finns särskilda användningsbegränsande bestämmelser. Dessa gäller såväl om en svensk myndighet i ett ärende om rätts- lig hjälp mottar uppgifter eller bevisning från en annan stat med villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen (5 kap. 1 §) som i de fall där en svensk myndighet lämnar rättslig hjälp och då ställer upp villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

6.3.8Lagen om Schengens informationssystem

I en särskild databas, Schengens informationssystem (SIS), som beskrivits i avsnitt 4.2.6, kan varje medlemsstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks, tillsammans med en begäran om att en viss åtgärd ska vidtas om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av per- sonuppgifter i den nationella delen av SIS. Lagen gäller utöver personuppgiftslagen och innehåller bl.a. regler om vilka uppgif- ter som får registreras och i vilka syften detta får ske (3 och 4 §§), en särskild bestämmelse om att känsliga uppgifter inte får registreras (7 §) samt bestämmelser om gallring, rättelse och ska- destånd (11–13 §§).

Lagen innehåller också en regel om användningsbegränsning (10 §). En svensk myndighet får inte utnyttja en uppgift i re- gistret för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har

104

lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.

6.4Aktuella översyner och lagstiftningsärenden

6.4.1Ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet

Ett förslag till en ny reglering, som ska ersätta polisdatalagen och polisdataförordningen, har presenterats i departementsprome- morian Behandling av personuppgifter i polisens brottsbekäm- pande verksamhet (se Ds 2007:43). Promemorian har remissbe- handlats och en proposition planeras.

Den föreslagna lagen är heltäckande och reglerar, med något undantag, all polisens behandling av personuppgifter i den brottsbekämpande verksamheten vid Rikspolisstyrelsen, polis- myndigheterna och Ekobrottsmyndigheten, dvs. hos de myndig- heter som bedriver polisverksamhet. Lagen är däremot inte till- lämplig i fråga om annan verksamhet som polisen bedriver, t.ex. hjälpande verksamhet eller verksamhet för upprätthållande av ordning och säkerhet utan anknytning till brottsbekämpning. För behandling av personuppgifter i sådan verksamhet gäller per- sonuppgiftslagen. Precis som nu faller lagen om belastningsregis- ter, lagen om misstankeregister, lagen om Schengens informa- tionssystem och lagen om passagerarregister utanför lagens till- lämpningsområde.

Den föreslagna regleringen bygger på en uppdelning mellan å ena sidan ”behandling av gemensamt tillgängliga uppgifter” och å andra sidan annan behandling. Begreppet ”gemensamt tillgäng- liga” har införts som ett nytt teknikneutralt begrepp i stället för begreppen register och databas som tidigare använts för att defi- niera uppgifter som har gjorts tillgängliga för en större krets. Uppgifter som endast ett fåtal bestämda personer har rätt att ta del av anses inte vara gemensamt tillgängliga, medan däremot uppgifter som en annan brottsbekämpande myndighet har till-

105

gång till genom direktåtkomst alltid är gemensamt tillgängliga. I fråga om uppgifter om resultat av DNA-analyser föreslås att uppgifterna inte får göras gemensamt tillgängliga (se 3 kap. 2 § andra stycket). Uppgifterna får däremot, om förutsättningarna i övrigt är uppfyllda, behandlas i särskilda register enligt 4 kap. i den föreslagna lagen. Vidare får ett utlåtande över den eventuella identifiering som har gjorts och vad som förekommit vid analysarbetet göras gemensamt tillgängligt.

I lagförslaget regleras ett antal register särskilt (4 kap.), bl.a. de DNA-register som finns i dag och fingeravtrycksregister. För behandling av uppgifter om resultat av DNA-analyser föreslås en reglering som gör tydlig skillnad mellan å ena sidan behandling av DNA-profiler och å andra sidan den eventuella identifiering som DNA-analysen leder fram till. Utöver behandling i DNA- register föreslås behandling av DNA-profiler få förekomma en- dast inom ramen för förundersökning. För de särskilda DNA-re- gistren, där DNA-profiler och DNA-spår registreras, föreslås inga stora förändringar. Samma myndigheter som i dag har direktåtkomst till de register som innehåller resultat av DNA- analyser (DNA-register, utredningsregister och spårregister) föreslås få det även i framtiden (jfr 11 § polisdataförordningen). Vidare ska polismyndigheter och åklagarmyndigheter även fort- sättningsvis ha begränsad åtkomst till uppgifter om en person förekommer i registret eller inte. När det gäller uppgifter i fing- eravtrycks- och signalementsregister föreslås samtliga brottsbe- kämpande myndigheter, med undantag för åklagare, medges direktåtkomst till personuppgifter. I den nya lagen ges också utrymme för regeringen att meddela föreskrifter om direktåt- komst till vissa uppgifter i polisens register i de fall där det finns folkrättsligt bindande åtaganden som riksdagen godkänt att medge sådan åtkomst. Vidare föreslås regler om sekretessgenom- brott för uppgifter i bl.a. DNA-register och fingeravtrycksregis- ter. Utan hinder av sekretess enligt 9 kap. 17 § sekretesslagen ska uppgifter ur fingeravtrycksregister kunna lämnas till Rikspolis- styrelsen, polismyndighet, Ekobrottsmyndigheten, Åklagarmyn- digheten, Tullverket, Kustbevakningen eller Skatteverket, om

106

myndigheten behöver uppgiften i sin brottsbekämpande verk- samhet. Vidare ska uppgift om huruvida någon förekommer i register med uppgifter om DNA-analyser under samma förut- sättningar lämnas ut till polis- och åklagarmyndigheter. I den mån andra sekretessbestämmelser aktualiseras måste emellertid enligt förslaget, precis som i dag, göras en bedömning i det en- skilda fallet av om sekretessen hindrar att uppgifterna lämnas till en annan brottsbekämpande myndighet.

6.4.2Ny offentlighets- och sekretesslag

Regeringen överlämnade i oktober 2008 en remiss till Lagrådet om en ny offentlighets- och sekretesslag. Lagrådet yttrade sig den 21 januari 2009. Utgångspunkten för lagrådsremissen är vissa förslag av Offentlighets- och sekretesskommittén (SOU 2003:99). Lagrådsremissen innehåller bl.a. en redaktionell omar- betning av sekretesslagen, förändringar av sekretessbestämmel- sernas skaderekvisit och förslag till en teknikneutral bestämmel- se om sekretessmarkering. Den nya lagen föreslås träda i kraft den 30 juni 2009.

Beträffande den sekretessreglering som behandlats i avsnitten ovan innebär regeringens förslag inga sakliga förändringar. Be- stämmelserna har dock omarbetats. Detta gäller bl.a. 9 kap. 17 § sekretesslagen som föreslås ersättas av dels en bestämmelse om sekretess i förundersökning m.m. (17 kap. 1 § i lagförslaget), dels en bestämmelse om sekretess i underrättelseverksamhet m.m. (17 kap. 2 § i lagförslaget).

6.4.3Vägtrafikregisterutredningen

Regeringen beslutade den 15 maj 2008 att tillkalla en särskild utredare med uppgift att se över lagen (2001:558) om vägtrafik- register med tillhörande förordning och föreslå mer ändamålsen- liga regler (dir. 2008:53 och tilläggsdir. 2009:2). Huvudsyftet är

107

att förenkla, modernisera och effektivisera regelverket. Utreda- ren ska särskilt beakta de behov som finns hos registerhållande myndighet (i dag Transportstyrelsen) av att behandla uppgifter och personuppgifter i ett trafikregister eller en trafikdatabas och de behov som finns hos andra myndigheter eller berörda aktörer av att på olika sätt ta del av eller behandla sådana uppgifter och personuppgifter.

Uppdraget ska redovisas den 4 januari 2010.

108

De uppgifter som kan anses vara mest integritetskänsliga, DNA-profiler och fingeravtrycksuppgifter, får dock bara kon- trolleras och jämföras utan att några identitetsuppgifter röjs. I de fortsatta kontakterna mellan staterna ska reglerna om interna- tionell rättslig hjälp tillämpas. Det nya informationsutbytet ger således stora fördelar samtidigt som den enskildes integritet vär- nas.

Genomförandet av rådsbeslutet kräver svenska lagstiftnings- åtgärder. I propositionen om godkännande av Prümrådsbeslutet övervägde regeringen på ett allmänt plan vilka lagändringar som aktualiseras (prop. 2007/08:83). I detta avsnitt redovisas de för- fattningsändringar som bedöms vara nödvändiga och lämpliga för att genomföra de obligatoriska delarna av rådsbeslutet i svensk rätt. Utöver förslag till lagändringar presenteras också förslag till vissa förordningsändringar, i syfte att ge en mer hel- täckande bild av den framtida regleringen.

7.1.2Dispositionen av avsnittet

Inledningsvis redovisas rådsbeslutets allmänna bestämmelser (avsnitten 7.2–7.4). Sedan behandlas frågor med anknytning till DNA-register och utbyte av DNA-profiler (avsnitten 7.5–7.8), utbyte av fingeravtrycksuppgifter (avsnitt 7.9) samt fordonsupp- gifter (avsnitt 7.10). I avsnitt 7.11 avhandlas svenska myndighe- ters möjlighet att få tillgång till uppgifter i andra medlemsstaters register. Därefter tas vissa gemensamma frågor upp. Avsnitt 7.12 behandlar sekretess. Förslag till svenskt kontaktställe för för- medling av uppgifter redovisas i avsnitt 7.13. I avsnitt 7.14 redo- visas informationsutbytet inför vissa större evenemang. Avsnitt 7.15 behandlar skyldigheten att bistå en annan medlemsstat med praktisk hjälp eller expertis och avsnitt 7.16 andra former av gränsöverskridande samarbete. I de följande avsnitten behandlas frågor rörande skyddet av den enskildes integritet (7.17), korri- gering och bevarande av personuppgifter (7.18), kontroll och tillsyn över behandlingen (7.19) samt rätten för enskilda att

110

överklaga och begära skadestånd vid felaktig personuppgiftsbe- handling (7.20). Sist behandlas rådsbeslutets effekter på andra myndigheter än polisen (avsnitt 7.21 och 7.22) samt kraven på teknisk anpassning (7.23).

7.2Rådsbeslutets syfte och tillämpningsområde

Bedömning: Rådsbeslutets allmänna bestämmelser om syfte och tillämpningsområde innehåller inga förpliktelser för med- lemsstaterna. Några lagstiftningsåtgärder krävs därför inte.

Skälen för bedömningen: Rådsbeslutets första kapitel innehåller allmänna bestämmelser som inte ålägger medlems- staterna några särskilda skyldigheter. Bestämmelserna avgränsar emellertid rådsbeslutets tillämpningsområde. Av artikel 1 följer att informationsutbytet i första hand omfattar myndigheter som ansvarar för att förebygga och utreda brott. Vidare avgränsas till- lämpningsområdet till bestämmelser om villkoren och förfaran- det för:

•automatisk överföring av DNA-profiler, fingeravtrycks- uppgifter och vissa uppgifter ur nationella fordons- register,

•översändande av uppgifter i samband med större evene- mang med gränsöverskridande verkningar,

•översändande av uppgifter för att förebygga terrorist- brott, och

•ett fördjupat gränsöverskridande polissamarbete. Rådsbeslutet omfattar i viss del enbart polisiärt samarbete

(artikel 17), men är i huvudsak generellt och omfattar allt rätts- ligt samarbete inom beslutets tillämpningsområde (jfr pream- beln).

Med hänsyn till rådsbeslutets syfte och tillämpningsområde kan det antas att genomförandet i första hand påverkar polisens internationella samarbete och i mindre utsträckning motsvarande

111

verksamhet vid Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket (se vidare avsnitt 7.21). Rådsbeslutet kommer framför allt att påverka det arbete med DNA-analyser och jämförelse av fingeravtryck som sker vid SKL respektive på Nationella fingeravtrycksavdelningen vid Rikskriminalpolisen och som har beskrivits närmare i avsnitt 5.

Eftersom bestämmelserna angående syfte och tillämpnings- område inte innehåller några bindande förpliktelser kräver de inga lagstiftningsåtgärder.

7.3Författningsregleringen

Bedömning: Den lagstiftning som rådsbeslutet kräver ska i huvudsak genomföras i polisdatalagen, lagen om internatio- nellt polisiärt samarbete och lagen om vägtrafikregister. Dessutom krävs viss reglering i förordning.

Skälen för bedömningen: I propositionen om godkännande av Prümrådsbeslutet redovisade regeringen en preliminär bedöm- ning av i vilken utsträckning nuvarande lagstiftning måste ändras (prop. 2007/08:83). Eftersom propositionen inte innehöll några lagförslag diskuterades inte närmare var de nya bestämmelserna skulle placeras.

Det är uppenbart att det krävs vissa författningsändringar för att genomföra rådsbeslutet, framför allt vad gäller utbyte av in- formation i DNA-, fingeravtrycks- och vägtrafikregister. Den nya regleringen kan knytas till flera olika författningar.

Polisdatalagen (1998:622) reglerar behandling av personupp- gifter i polisens verksamhet, däribland ändamålen med DNA- och fingeravtrycksregister och villkoren för behandling av upp- gifter i sådana register. Lagen (2001:558) om vägtrafikregister med tillhörande förordning reglerar behandling av personupp- gifter i vägtrafikregistret. Polisdatalagen är sedan flera år föremål för en genomgripande översyn (se Ds 2007:43 och avsnitt 6.4.1)

112

och även vägtrafikregisterregleringen ses över (se avsnitt 6.4.3). Gällande rätt måste trots detta anpassas till kraven i rådsbeslutet, eftersom detta ska vara genomfört innan översynerna har resul- terat i ny lagstiftning. Vissa ändringar krävs alltså i dessa författ- ningar.

Givetvis måste den behandling av personuppgifter som följer av rådsbeslutet fogas in i den nationella lagstiftning som redan gäller för sådan behandling, dvs. personuppgiftslagen (1998:204) och särbestämmelser i förhållande till den lagen. Personupp- giftslagen är generellt tillämplig på behandling av personuppgif- ter, om det inte finns avvikande bestämmelser i särskild författ- ning (2 § personuppgiftslagen). Både polisdatalagen och lagstift- ningen om trafikregister innehåller bestämmelser som avviker från personuppgiftslagen och gäller utöver denna. Genomföran- det av rådsbeslutet kräver speciella detaljbestämmelser om be- handling av personuppgifter som avviker från de generella regler- na i polisdatalagen. De nya reglerna låter sig också svårligen in- ordnas i den lagen. Det är därför bättre att samla reglerna om Prümrådssamarbetet i någon av de lagar som behandlar interna- tionellt samarbete. Om bestämmelser om behandling av person- uppgifter i polisens verksamhet ska gälla utöver polisdatalagen måste detta framgå. Med tanke på det pågående lagstiftningsar- betet har valts en lösning som i minsta möjliga utsträckning på- verkar den generella författningsregleringen i polisdatalagen och som innebär att detaljerna regleras i andra författningar. Därmed måste det i polisdatalagen klargöras att det finns särskilda be- stämmelser i annan lag som gäller utöver bl.a. lagens gallrings- regler. En sådan lagstiftningsteknik är naturligtvis inte optimal, men den enda möjliga i sammanhanget, eftersom rådsbeslutets specifika reglering måste genomföras i svensk rätt.

Vad som nu har sagts om svårigheten att förena de nya be- stämmelserna om personuppgiftsbehandling med regleringen i polisdatalagen gäller också för regleringen beträffande vägtrafik- register. Även där pågår utredningsarbete som siktar till att er- sätta den nuvarande lagstiftningen, varför samma lösning bör väljas i det fallet.

113

Rådsbeslutet skapar också möjligheter för svenska myndighe- ter att söka i andra medlemsstaters register samt reglerar visst polisiärt samarbete över gränserna i övrigt. Bestämmelser om internationellt polisiärt samarbete finns i olika lagar. Delar av det polisiära samarbetet, främst Schengensamarbetet och det poli- siära samarbetet i Öresundsregionen, regleras i lagen (2000:343) om internationellt polisiärt samarbete. I lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar regleras bl.a. formerna för inrättande av och deltagande i utred- ningsgrupper mellan myndigheter i en eller flera medlemsstater i Europeiska unionen. Reglerna om rättsligt bistånd finns huvud- sakligen i lagen (2000:562) om internationell rättslig hjälp i brottmål (LIRB) med tillhörande förordning.

Utöver vissa nödvändiga ändringar i polisdatalagen och lagen om vägtrafikregister finns det inte någon på förhand given plats för nya bestämmelser om utländska myndigheters tillgång till uppgifter i svenska register och svenska myndigheters tillgång till utländska myndigheters registeruppgifter. Varken lagen om internationellt polisiärt samarbete, lagen om vissa former av in- ternationellt samarbete i brottsutredningar eller någon annan författning framstår som en självklar plats att införliva rådsbe- slutets förpliktelser i. Det skulle i och för sig vara möjligt att pla- cera bestämmelserna i en helt ny lag. Det som talar för en sådan lösning är att den svenska lagstiftning som genomför rådsbeslu- tet då skulle finnas samlad, vilket normalt ger överskådlighet. För att en ny lag ska bli fullständig torde emellertid krävas att fler bestämmelser än annars ges lagform. Vidare skulle det leda till en dubbelreglering i vissa frågor i förhållande till de lagar som reglerar respektive register. Reglerna om polisiärt och rättsligt samarbete är redan spridda i ett flertal författningar. Det är där- för trots allt tveksamt om en helt ny författning skulle leda till bättre överskådlighet. Något som också talar mot en ny författ- ning är att rådsbeslutets reglering visserligen spänner över ett brett fält, men har beröringspunkter framför allt med samarbetet enligt Schengenkonventionen. Vid en samlad bedömning väger

114

skälen för att genomföra rådsbeslutet i någon av de befintliga lagarna tyngst.

Övervägande skäl talar för att den anpassning av lagstift- ningen som rådsbeslutet kräver i huvudsak bör genomföras i la- gen om internationellt polisiärt samarbete. Sistnämnda lag till- lämpas på polisiärt samarbete mellan brottsbekämpande myn- digheter i Sverige och i andra stater anslutna till Schengenkon- ventionen, dvs. andra medlemsstater i Europeiska unionen samt Norge och Island. Lagen är inte begränsad till samarbete i brottsutredningar, vilket är fallet med lagen om vissa former av internationellt samarbete i brottsutredningar. Eftersom rådsbes- lutet har ett vidare tillämpningsområde än sistnämnda lag, nämli- gen ordningshållning och förebyggande terrorismbekämpning, ligger det närmare till hands att i huvudsak införa den nya regle- ringen i lagen om internationellt polisiärt samarbete. Viss regle- ring i LIRB aktualiseras också. Utöver lagändringar krävs kom- pletterande reglering i förordning.

På sikt förefaller en samlad översyn av de olika författning- arna om internationellt polisiärt samarbete och utbyte av infor- mation, i syfte att åstadkomma en mera enhetlig och lättillämpad reglering, inte bara önskvärd utan nödvändig. Brottslighetens ökade internationalisering och den snabba utvecklingen av det polisiära samarbetet mellan medlemsstaterna i Europeiska unio- nen talar för detta. Ju fler nya samarbetsformer som överens- koms, desto angelägnare blir det att se över regelverket.

7.4Definitioner

Bedömning: De begrepp som definieras i rådsbeslutet kräver inga lagstiftningsåtgärder.

Skälen för bedömningen: I rådsbeslutet definieras begreppen behandling av personuppgifter, automatisk sökning, förseende

115

med en beteckning och spärrande (se artikel 24.1). I genomfö- randebeslutet finns vissa ytterligare definitioner (artikel 2).

Definitionen av behandling av personuppgifter (artikel 24.1 a) har en direkt motsvarighet i svensk rätt. Med det begreppet avses i rådsbeslutet all behandling av personuppgifter eller en räcka av behandlingar med eller utan hjälp av automatiska förfaranden, t.ex. insamling, registrering, lagring, bearbetning och spridning. I 3 § personuppgiftslagen finns en i sak motsvarande definition. Övriga definitioner har inte någon direkt motsvarighet i svensk rätt.

Enligt rådsbeslutet avses med automatisk sökning ett förfa- rande varigenom det nationella kontaktstället ges direkt tillgång till ett annat organs automatiska databas så att en förfrågan be- svaras fullständigt automatiskt (artikel 24.1 b). Definitionen ute- sluter behandling i manuella register. I den svenska lagstift- ningen motsvaras den närmast av begreppet direktåtkomst. I dag används begreppet direktåtkomst i olika registerförfattningar, men med något varierande innebörd. Det som enligt vedertagen uppfattning karaktäriserar direktåtkomst är främst att den som är ansvarig för informationen inte har kontroll över vilka upp- gifter som en mottagare vid ett visst tillfälle tar del av, s.k. auto- matiserad tillgång, och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som hanterar informationen (se t.ex. prop. 2004/05:164 s. 83 och 2007/08:126 s. 74).

Innebörden av förseende med en beteckning är att registrerade personuppgifter märks, dock inte i syfte att begränsa den fram- tida behandlingen av dem (artikel 24.1 c). Begreppet spärrande innebär däremot att registrerade personuppgifter märks i syfte att begränsa den framtida behandlingen av uppgifterna (artikel 24.1 d). I 3 § personuppgiftslagen definieras begreppet ”blocke- ring”, som innebär ”en åtgärd som vidtas för att personuppgif- terna ska vara förknippade med information om att de är spär- rade och om anledningen till spärren och för att personuppgif- terna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.” Som regeringen tidigare har

116

konstaterat är blockering ett något snävare begrepp än rådsbe- slutets definition av spärrande (se prop. 2007/08:83 s. 39). Det väsentliga är dock att svensk lagstiftning i sak kan garantera att uppgifter ”spärras” på det sätt och i de situationer som rådsbe- slutet förutsätter.

Det kan konstateras att vilka begrepp som används är en na- tionell angelägenhet, så länge rådsbeslutets förpliktelser uppfylls och uppgiftsutbytet mellan medlemsstaterna inte försvåras. Nå- got sakligt skäl att införa nya begrepp med anledning av Prüm- rådsbeslutet finns inte, men däremot måste de förfaranden som avses ha motsvarigheter i svensk rätt. Begreppen som definieras i rådsbeslutet kräver därför inga lagstiftningsåtgärder i sig. Det finns dock anledning att återkomma till vissa begrepp i avsnitt 7.18.

7.5DNA-register

Bedömning: Befintliga svenska DNA-register, dvs. DNA-re- gistret, utredningsregistret och spårregistret, uppfyller råds- beslutets krav på att medlemsstaterna ska ha nationella regis- ter med DNA-analyser för brottsutredningar.

Förslag: Sverige ska underrätta rådets generalsekretariat om att DNA-registret, utredningsregistret och spårregistret omfattas av rådsbeslutet.

Skälen för förslaget och bedömningen: Rådsbeslutet föreskriver att medlemsstaterna ska ha egna nationella databaser med DNA-analyser för brottsutredningar (artikel 2.1). Utbytet av uppgifter med stöd av rådsbeslutet är decentraliserat och bygger – till skillnad från bl.a. Eurodac43– på en kommunika- tionsmodell som benämns ”alla–till–alla” (”any–to–any”). Det

43 Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublin- konventionen. Se avsnitt 4.4.

117

innebär att det inte finns någon central databas eller server. Uppgifterna hämtas i stället direkt från medlemsstaternas nationella databaser.

Begreppet databas definieras inte i rådsbeslutet, men tar sikte på strukturerade uppgifter av visst slag som finns samlade och som har gjorts tillgängliga för en större krets. I sak motsvarar det begreppet register.

Regleringen i polisdatalagen utgår från att uppgifter om re- sultatet av DNA-analyser ska behandlas i särskilda register (se avsnitt 5.2.2). Det finns ett DNA-register med uppgifter om dömda (23 och 24 §§ polisdatalagen), ett utredningsregister med uppgifter om skäligen misstänkta personer (24 a §) och ett spår- register med uppgifter om DNA-spår från oidentifierade perso- ner (25 och 26 §§). Spårregistret innehåller framför allt oidentifi- erade DNA-profiler från spår på eller i nära anslutning till brottsplatser. Det förhållandet att spårregistret enbart innehåller DNA-profiler från oidentifierade personer innebär att kravet i artikel 2.2 på att oidentifierade DNA-profiler ska kunna särskil- jas är uppfyllt.

I förslaget till ny reglering av behandlingen av personuppgif- ter i polisens brottsbekämpande verksamhet föreslås att de nu aktuella registren ska regleras på i huvudsak samma sätt som i dag (se Ds 2007:43 s. 279 f. och 460 f.).

I Sverige finns redan de DNA-register som behövs för att uppfylla kraven i rådsbeslutet. Några nya databaser behöver därför inte inrättas. I sammanhanget kan det finnas skäl att se till att DNA-registren konsekvent benämns DNA-registret, utred- ningsregistret och spårregistret. Inget hindrar att ett sådant re- gister innehåller olika delar, med delvis samma innehåll, om detta bedöms vara en lämplig och ändamålsenlig lösning för att möj- liggöra direktåtkomst för kontaktställen i andra stater.

Förutsättningarna för att behandla uppgifter i registren regle- ras enligt rådsbeslutet i nationell rätt (artikel 2.1). Det innebär att det även i fortsättningen är svensk rätt som reglerar bl.a. vilka personuppgifter som får registreras och de närmare förutsätt- ningarna för detta.

118

Enligt rådsbeslutet ska medlemsstaterna underrätta rådets generalsekretariat om de nationella register över DNA-analyser som omfattas av detta (artikel 2.3). Underrättelsen bör för svensk del omfatta DNA-registret, utredningsregistret och spår- registret.

7.6Begreppet DNA-profil

Förslag: I definitionen av begreppet DNA-analys görs ett tillägg som klargör att lagen endast omfattar analys av prov från människor. Vidare införs en definition av begreppet DNA-profil. Av denna ska framgå dels att det är fråga om re- sultatet av en DNA-analys, dels att resultatet presenteras som en kombination av siffror eller bokstäver.

Skälen för förslaget: Begreppet DNA-profil används genomgående i rådsbeslutet, men definieras inte. I polisdatalagen används begreppet ”DNA-analys” för att beteckna det förfarande som leder fram till en DNA-profil och det som registreras benämns ”resultatet av DNA-analyser”. Att föra in nya begrepp i registerförfattningar eller att ändra i befintliga sådana bör normalt undvikas. I vissa fall är det emellertid nödvändigt att se över begreppsbilden.

De uppgifter som efter en DNA-analys får registreras anges i 24, 24 a och 25 §§ polisdatalagen. Vid polisdatalagens tillkomst framhölls vikten av att begränsa rätten att spara resultat av DNA-analyser till sådana mer allmänna upplysningar som inte kan ge upplysning om den registrerades personliga egenskaper. Det som får registreras begränsas därför till uppgifter som ger information om den registrerades identitet, samt uppgifter om i vilket ärende analysen har gjorts och vem analysen avser (prop. 1997/98:97 s. 143 f.). Några ändringar i detta avseende gjordes inte i samband med att användningen av DNA-teknik inom brottsbekämpningen utvidgades (prop. 2005/06:29). I dag regi-

119

streras uppgifter om det aktuella ärendet och vem analysen avser samt brottskod och misstankenummer. Brottskoden används för statistiska ändamål och misstankenumret för att säkerställa spår- barheten i de fall där personuppgifterna är osäkra eller misstänks vara falska. DNA-profilerna i registren presenteras som en kom- bination av siffror eller bokstäver.

En DNA-profil består, enligt artikel 2 c i genomförandebe- slutet, av en bokstavs- eller nummerkod som representerar en rad identifikationsuppgifter i den icke-kodifierade delen av mänskligt DNA. Definitionen motsvarar de DNA-profiler som registreras i de svenska DNA-registren.

Det finns goda skäl för att låta begreppet ”DNA-profil” er- sätta beteckningen ”uppgifter om resultat av DNA-analyser” i polisdatalagen. Ett skäl är att begreppet används i rådsbeslutet. Ett annat är att det är missvisande att, som i dag, i polisdatalagen ange innehållet i registren som ”uppgifter om resultatet av DNA-analyser” när det som registreras enbart är DNA-profilen samt uppgifter om den undersöktes identitet, om den är känd, (se prop. 2005/06:29 s. 22) och vissa administrativa uppgifter.

Termen DNA-profil bör således införas. Då är det också nödvändigt att definiera vad som avses med DNA-profil. Av de- finitionen ska framgå dels att det är fråga om resultatet av en DNA-analys, dels att resultatet presenteras som en kombination av siffror eller bokstäver. För att tydliggöra att polisdatalagen enbart reglerar DNA-analys av prov från människor bör vidare ett tillägg göras i definitionen av begreppet DNA-analys så att det framgår att begreppet endast omfattar analys av prov från en människa.

120

7.7Utbyte av DNA-profiler

7.7.1Automatisk sökning och jämförelse i svenska register

Förslag: I polisdatalagen införs en bestämmelse som öppnar möjlighet att behandla vissa uppgifter i DNA-register om det krävs för att uppfylla en internationell överenskommelse som riksdagen har godkänt. I lagen om internationellt polisiärt samarbete och i förordning regleras under vilka förutsätt- ningar ett utländskt kontaktställe får söka i svenska DNA- register samt hur automatisk sökning i registren och automa- tisk jämförelse av DNA-profiler ska gå till.

Skälen för förslagen

Innehållet i rådsbeslutet

Medlemsstaterna ska enligt rådsbeslutet ges direkt tillträde till referensuppgifter i varandras DNA-register. De ska också ha rätt att behandla uppgifter i form av DNA-profiler genom automa- tiska sökningar i dessa (artikel 3.1 och 24). Sökningarna får göras i enskilda fall och i överensstämmelse med den nationella lag- stiftningen i den ansökande medlemsstaten. Sökningarna ska göras av ett nationellt kontaktställe. Om en träff uppkommer, dvs. om det konstateras att två DNA-profiler överensstämmer, ska den ansökande medlemsstaten automatiskt få del av referens- uppgifter bestående av DNA-profilen från den icke-kodifierade delen av DNA:t med en tillhörande sifferuppgift (artikel 2.2). Referensuppgifterna röjer alltså inte identiteten på den person som DNA-profilen härrör från. I de fall där det inte konstateras någon överensstämmelse ska den ansökande medlemsstaten automatiskt underrättas om detta. Om den DNA-profil som sökningen avser härrör från en oidentifierad person, och någon överensstämmelse inte konstateras, får DNA-profilen översän- das till övriga medlemsstaters databaser.

121

Utöver för registrering i dataskyddssyfte, får referensuppgif- terna enbart behandlas för att fastställa om jämförda DNA-pro- filer överensstämmer och för att utarbeta eller lämna in en begä- ran om rättslig hjälp med kompletterande uppgifter. Genom den valda lösningen uppstår inga risker från integritetssynpunkt, eftersom identiteten på den person som DNA-profilen tillhör inte avslöjas. Man kan uttrycka det så att det alltid är fråga om jämförelse mellan anonyma DNA-profiler.

Efter en gemensam överenskommelse mellan berörda stater får DNA-profiler också jämföras automatiskt, om den ansökande medlemsstatens nationella lagstiftning tillåter det. Detta sökför- farande innebär att en medlemsstats samtliga oidentifierade DNA-profiler jämförs med referensuppgifter i andra medlems- staters nationella DNA-register (artikel 4.1). Om en översänd DNA-profil motsvarar en profil som ingår i en annan stats data- baser, ska de referensuppgifter som överensstämmer utan dröjs- mål tillställas den sökande medlemsstatens kontaktställe (artikel 4.2). Inte heller i dessa fall avslöjas identiteten på den som DNA-profilen tillhör.

Enligt rådsbeslutet är det en förutsättning, oavsett sökförfa- rande, att sökningen görs ”i samband med brottsutredningar”.

Nya regler om sökning i DNA-registren

Rådsbeslutet förbättrar medlemsstaternas möjligheter att snabbt och enkelt utbyta DNA-profiler i samband med brottsutred- ningar. Som regeringen redovisar i propositionen om godkän- nande av Prümrådsbeslutet visade det sig omgående att tillämp- ningen av Prümfördraget ledde till att ett antal DNA-profiler som fanns registrerade i en medlemsstat kom till användning i en annan medlemsstats brottsbekämpning (prop. 2007/08:83 s. 61).

Genomförandet av rådsbeslutet förutsätter att svensk rätt medger uppgiftsbehandling i de svenska DNA-registren i enlig- het med rådsbeslutets två sökförfaranden. Båda dessa saknar motsvarighet i dagens lagstiftning. Det kan i och för sig hävdas

122

att uppgiftsbehandling med anledning av en utländsk brottsut- redning omfattas av ändamålsbestämmelsen i 22 § polisdatalagen (se regeringens analys i prop. 2007/08:83 s. 12). I förtydligande syfte bör dock paragrafen ändras så att det klart framgår att be- handling som består i att kontaktstället i en annan stat söker i svenska DNA-register har rättsligt stöd.

För att andra stater, under de förutsättningar som i övrigt gäller enligt svensk rätt, ska kunna söka i de svenska DNA-re- gistren och automatiskt få uppgift om en översänd DNA-profil stämmer överens med någon DNA-profil i registren (automatisk sökning) krävs att staterna ges direktåtkomst till uppgifter i re- gistren. Dagens lagstiftning medger inte detta, varför rådsbeslu- tet kräver nya regler som möjliggör sådan direktåtkomst.

Den generella rätten att kunna behandla uppgifter i DNA-re- gistret, utredningsregistret och spårregistret bör regleras i polis- datalagen, medan bestämmelser om åtkomst och sökförfarande bör placeras i lagen om internationellt polisiärt samarbete och i förordning. I polisdatalagen bör man införa en regel som tillåter sådan behandling som krävs för att uppfylla förpliktelserna i en internationell överenskommelse som riksdagen har godkänt. För närvarande pågår förhandlingar med Norge och Island om att dessa länder ska få delta i Prümsamarbetet (se avsnitt 8). På sikt kan det inte uteslutas att även andra stater kommer att ansöka om deltagande i samarbetet. Den nya regleringen bör därför inte begränsas enbart till utbyte av DNA-profiler med andra med- lemsstater i Europeiska unionen, utan utformas generellt så att den omfattar varje stat med vilken det finns en bindande överenskommelse om samarbete av detta slag. Med en regel som kräver att riksdagen har godkänt överenskommelsen, får man en flexibel reglering utan att ge avkall på rättssäkerheten.

Regleringen måste vidare utformas så att den säkerställer att kontaktstället i den andra staten inte kan identifiera den person som DNA-profilen tillhör. Enligt rådsbeslutet ska nämligen andra medlemsstaters direkta tillgång till uppgifter i DNA-re- gister begränsas till uppgifter som inte röjer identiteten på den person som DNA-profilen härrör från. Detta är en fråga som får

123

lösas tekniskt, genom begränsad åtkomst till uppgifterna i DNA-registren (se även avsnitt 7.23). Lagstiftningen bör utfor- mas så att det tydligt framgår att rätten till direktåtkomst endast omfattar sådana registeruppgifter som inte röjer identiteten på den person som uppgifterna avser (referensuppgifter). Sökning- en ska resultera i ett automatiskt meddelande om den sökta DNA-profilen finns i registren eller inte. Även detta är i första hand en teknisk fråga.

En särskild fråga är hur man ska hantera den situationen att det finns behov av att på förfrågan från den mottagande staten skicka viss kompletterande information. Som exempel kan näm- nas kurvor som åskådliggör analysresultaten (s.k. elektrofero- gram) eller andra uppgifter som verifierar analysresultaten, men som inte röjer identiteten på den person uppgifterna hänför sig till. Sådana uppgifter torde kunna överlämnas inom ramen för Prümrådssamarbetet, så länge det är fråga om uppgifter som har karaktären av referensuppgifter, dvs. uppgifter som inte gör att den som DNA-profilen härrör från kan identifieras. När det gäller identitetsuppgifter och annan information rörande den person som DNA-profilen tillhör aktualiseras i stället rättslig hjälp i annan form (se avsnitt 7.7.2).

Automatiska jämförelser förutsätter att svensk rätt medger att andra medlemsstaters oidentifierade DNA-profiler (s.k. öppna spår), efter överenskommelse mellan staterna (”by mutual con- sent” enligt den engelska texten), får behandlas i de svenska DNA-registren och jämföras automatiskt med referensuppgif- terna i dessa. Oidentifierade DNA-profiler hanteras för svensk del i spårregistret (se avsnitt 5.2.2). Automatiska jämförelser måste emellertid omfatta sökningar i samtliga svenska DNA-re- gister för att kraven i rådsbeslutet ska uppfyllas. I 26 § polisdata- lagen regleras uttömmande hur uppgifter i det svenska spår- registret får behandlas. Uppgifterna i registret får jämföras med analysresultat i de svenska registren som inte kan hänföras till en identifierbar person (dvs. med andra analysresultat i spårre- gistret), med uppgifter som finns i DNA-registret och med upp- gifter som kan hänföras till en person som är skäligen misstänkt

124

för brott (dvs. uppgifter i undersökningsregistret). Eftersom rådsbeslutet förutsätter att uppgifter i andra medlemsstaters re- gister kan jämföras generellt med uppgifter i bl.a. spårregistret måste paragrafen som reglerar det registret ändras. Det bör infö- ras en bestämmelse som gör det möjligt att jämföra utländska spår med uppgifter i spårregistret. Någon förändring av möjlig- heterna för svenska myndigheter att söka i registret är däremot inte aktuell. Eftersom det inte finns några motsvarande begräns- ningar för sökning i de andra två registren behöver de bestäm- melserna inte ändras.

Förutsättningarna för automatiska jämförelser mellan DNA- profiler bör också regleras i lagen om internationellt polisiärt samarbete och i förordning. De nya reglerna bör ange under vilka förutsättningar kontaktställen i andra stater får göra auto- matisk jämförelse av sina staters oidentifierade DNA-profiler med svenska DNA-profiler. Regleringen bör även här göras generell, dvs. inte begränsas till enbart samarbete mellan med- lemsstater i Europeiska unionen, eftersom man som tidigare nämnts kan förutse att även andra stater i framtiden kan komma att associeras till rådsbeslutet genom särskilt avtal.

Även om andra stater ges rätt till direktåtkomst till vissa upp- gifter i DNA-register ska sökningarna kanaliseras via det natio- nella kontaktstället. Den valda lösningen underlättar möjlighe- terna att i efterhand kontrollera att uppgiftsbehandlingen har varit korrekt. I avsnitt 7.13 diskuteras vilken myndighet som ska vara svenskt kontaktställe.

Svenska myndigheters möjligheter att göra sökningar i andra staters register behandlas i avsnitt 7.11.

7.7.2Den fortsatta handläggningen

Om det vid en automatisk sökning eller en automatisk jämfö- relse konstateras att översända DNA-profiler överensstämmer med DNA-profiler i svenska register regleras frågan om vilka personuppgifter och vilken ytterligare information som får över-

125

sändas uteslutande av den tillfrågade medlemsstatens lagstift- ning, inkluderande reglerna om internationell rättslig hjälp (arti- kel 5). Det innebär att samma regler som gäller för informa- tionsutbyte i allmänhet tillämpas vid bedömningen av i vilken omfattning namn och andra personuppgifter som är direkt kopp- lade till DNA-profilen ska översändas till en annan medlemsstat, t.ex. födelsetid och adress. I prop. 2007/08:83 s. 15–17 finns en utförlig beskrivning av vilka uppgifter som kan bli aktuella. Ut- över namn, personnummer och adressuppgifter, som är direkt kopplade till DNA-profilen, kan det bl.a. bli aktuellt att lämna uppgifter ur belastningsregistret och misstankeregistret; se 11 och 12 §§ lagen (1998:620) om belastningsregister samt 9 och 10 §§ lagen (1998:621) om misstankeregister. Eftersom all hand- läggning i detta skede faller utanför rådsbeslutet aktualiseras inte några lagändringar.

7.8Rättslig hjälp med provtagning och fastställande av DNA-profil

Förslag: Genom ett tillägg i lagen om internationell rättslig hjälp i brottmål ska åklagare under vissa förutsättningar kunna besluta om rättslig hjälp med att samla in och analysera DNA-prov från en person som vistas här i landet samt till en annan stat översända den DNA-profil som fastställts genom analysen. En särskild regel om förstörande av DNA-proven införs.

Skälen för förslaget

Innehållet i rådsbeslutet

Om det i en annan medlemsstat pågår en brottsutredning eller ett straffrättsligt förfarande angående en person och det saknas

126

en DNA-profil för vederbörande i den staten, ska enligt rådsbe- slutet under vissa förutsättningar rättslig hjälp kunna ges med att samla in och analysera DNA-prov, om personen vistas i en annan medlemsstat (artikel 7). DNA-profilen ska därefter sändas till den begärande staten. Skyldigheten att ge sådan rättslig hjälp förutsätter att den ansökande medlemsstaten meddelar för vilket ändamål DNA-profilen behövs, att det av ansökan framgår att det hade funnits förutsättningar för insamling och undersökning av materialet om personen hade vistats i den ansökande staten samt att nationell rätt i den anmodade staten medger både att DNA-prov samlas in och analyseras för ändamålet och att DNA-profilen översänds.

Nuvarande möjligheter att ge rättslig hjälp

Frågor om internationell rättslig hjälp i brottmål regleras framför allt i lagen om internationell rättslig hjälp i brottmål (LIRB).

En uttalad målsättning med LIRB är att svenska domstolar och åklagare ska kunna lämna rättslig hjälp i brottmål till utländ- ska myndigheter med alla de åtgärder som kan vidtas i en svensk förundersökning eller rättegång (prop. 1999/2000:61 s. 79 f.). Att staterna ska bistå varandra med rättslig hjälp i så stor ut- sträckning som möjligt är också en utgångspunkt för 1959 års Europarådskonvention om ömsesidig rättslig hjälp i brottmål (artikel 1), som Sverige har tillträtt, och för konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (2000 års konvention).

LIRB omfattar bl.a. hjälp med åtgärder som avses i 28 kap. rättegångsbalken (1 kap. 2 § 5 LIRB). DNA-prov tas genom kroppsbesiktning enligt 28 kap. 12, 12 a eller 12 b § rättegångs- balken (se avsnitt 5.2.1). Förutsättningarna för att lämna rättslig hjälp beror på vad som gäller för en motsvarande åtgärd i en svensk förundersökning eller rättegång (2 kap. 1 § LIRB). Regle- ringen i LIRB innebär således att DNA-prov i och för sig kan tas på begäran av en utländsk myndighet.

127

Enligt huvudregeln om kroppsbesiktning i 28 kap. 12 § rätte- gångsbalken får prov tas från den som är skäligen misstänkt för ett brott på vilket fängelse kan följa för att utröna omständighe- ter som är av betydelse för utredningen av brottet. Salivprov för DNA-analys (men inte andra prov) får enligt 28 kap. 12 b § rät- tegångsbalken tas vid misstanke om brott på vilket fängelse kan följa från personer som över huvud taget inte är misstänkta eller där misstanken inte når upp till nivån skälig misstanke. För så- dana prov krävs dels att det finns synnerlig anledning att anta att provet är av betydelse för utredningen av brottet, dels att provet tas i identifieringssyfte. Dessa regler kan tillämpas vid rättslig hjälp.

Även 28 kap. 12 a § rättegångsbalken innehåller en regel om tagande av DNA-prov i form av salivprov. Sådana prov får tas från den som är skäligen misstänkt, men enligt den paragrafen är syftet enbart att registrera personens DNA-profil. Den bestäm- melsen kan dock inte tillämpas vid rättslig hjälp, eftersom prov endast får tas i syfte att göra en DNA-analys av provet och regi- strera uppgifter om resultatet av analysen i det utredningsregis- ter eller det DNA-register som förs med stöd av polisdatalagen (prop. 2005/06:29 s. 38 f.). Den nuvarande lagstiftningen tillåter alltså inte sådan provtagning om syftet är att en utländsk myn- dighet ska kunna registrera DNA-profilen.

Det finns inte heller någon regel som ger stöd för att svenska myndigheter ska kunna bearbeta provet, dvs. göra en DNA- analys på begäran av en annan stat. Den föreslagna regeln i 22 § polisdatalagen tar enbart sikte på behandlingen av DNA-profiler.

En ny regel om framtagande av DNA-profil

Utbytet av DNA-profiler mellan stater bör ses mot bakgrund av att det kommer att effektivisera brottsbekämpningen. Som tidi- gare nämnts har det visat sig vara effektivt att kontrollera de DNA-profiler som finns registrerade, men det finns även behov av att kunna få hjälp med att fram nya DNA-profiler från perso-

128

ner som befinner sig i andra stater. Eftersom rättslig hjälp i form av kroppsbesiktning för tagande av DNA-prov, i likhet med andra straffprocessuella tvångsmedel, regleras i LIRB är det na- turligt att annan rättslig hjälp med anknytning till sådana prov också regleras där.

Det bör införas en särskild regel i LIRB om rättslig hjälp med framtagande av DNA-profil. Från integritetssynpunkt är det till fördel om DNA-analysen görs i det land där provet tas och att DNA-profilen sänds över, eftersom den inte är möjlig att tyda utan tillgång till särskild expertis och inte innehåller någon annan genetisk information. Regeln om rättslig hjälp med framtagande av DNA-profil bör därför vara generell, dvs. kunna tillämpas gentemot alla stater. En sådan lösning har också den fördelen att en svensk myndighet som har behov av ett DNA-prov och fram- ställning av DNA-profil från någon som befinner sig i en annan stat alltid kan utlova motsvarande hjälp.

För närvarande finns det inte några enhetliga regler för DNA- analys, men arbete pågår för att i första hand medlemsstater i Europeiska unionen ska närma sig varandra i detta avseende. Eftersom olika stater tillämpar skilda kriterier för DNA-analys kan visserligen hävdas att det praktiska behovet av en generell regel inte är så stort. Trots detta är emellertid en enhetlig regle- ring av möjligheterna att bistå med rättslig hjälp att föredra.

Kravet på att rättslig hjälp ska kunna lämnas aktualiserar också frågan om dubbel straffbarhet, dvs. om det ska krävas att gärningen ska vara straffbar även i Sverige för att rättslig hjälp ska ges. Dubbel straffbarhet förutsätter inte att den gärning som ansökan avser direkt ska kunna hänföras under en viss svensk straffbestämmelse. Det är tillräckligt att den aktuella gärningsty- pen är kriminaliserad i Sverige.

Den nuvarande regleringen i LIRB innebär att rättslig hjälp med tvångsmedel enbart ges i de fall där det föreligger dubbel straffbarhet, om det inte finns någon avvikande bestämmelse i lagen. Frågan är om detta ska gälla även för rättslig hjälp med tagande av DNA-prov enligt rådsbeslutet. Såväl integritetsskäl som att detta krav redan gäller för rättslig hjälp i Sverige i form

129

av kroppsbesiktning (2 kap. 2 § LIRB och prop. 1999/2000:61 s. 108 och 190) talar för att kravet på dubbel straffbarhet bör upprätthållas. Rådsbeslutet hindrar inte detta. För att rättslig hjälp med DNA-prov ska kunna ges med stöd av rådsbeslutet krävs alltså att den gärning som den andra statens begäran base- ras på är kriminaliserad i Sverige.

Genom den tidigare föreslagna ändringen i 22 § polisdatala- gen blir översändandet av DNA-profilen tillåtet. Däremot får den framtagna profilen inte registreras i något svenskt DNA- register.

En särskild fråga är hanteringen av de DNA-prov som tas för en annan stats räkning. Enligt 27 a § polisdatalagen ska ett DNA-prov förstöras senast sex månader efter det att provet togs. I vissa fall ska provet förstöras tidigare, men de bestämmel- serna har knutits till utfallet av sådan utredning och lagföring som sker i Sverige. Ett DNA-prov innehåller mer integritets- känslig information än själva DNA-profilen, eftersom det ur provet är möjligt att analysera fram uppgifter om en person och dennes egenskaper. Av integritetsskäl bör därför DNA-prov inte bevaras längre än nödvändigt (se prop. 2005/06:29 s. 33). Sådana prov som har tagits som ett led i rättslig hjälp bör i princip kunna förstöras så snart analysen av provet har färdigställts. Med tanke på att det för närvarande inte finns någon gemensam stan- dard för DNA-analys och DNA-profiler skulle det dock kunna inträffa att analysen behöver göras om i något avseende för att den ska vara användbar i den andra staten. Sakliga skäl talar där- för för att DNA-proven bör bevaras en kortare tid efter analy- sen. En sådan ordning får anses vara mindre integritetskränkande för den enskilde än att provtagningen i form av kroppsbesiktning kanske måste göras om och värnar dessutom rättssäkerheten ge- nom möjligheten att komplettera och verifiera uppgifter. Den tid som proven sparas bör vara så kort som möjligt. När det gäller DNA-prov som tas i svenska förundersökningar är huvudregeln att proven ska förstöras senast sex månader efter provtagningen, men i vissa fall tidigare med hänsyn till utgången av det ärende i vilket provet har tagits. Om den regeln skulle göras tillämplig på

130

prov som tas som ett led i Prümsamarbetet skulle alla prov i praktiken kunna sparas i sex månader. Med hänsyn till det be- gränsade praktiska behovet av att spara proven, att proven av in- tegritetsskäl alltid bör sparas kortast möjliga tid och att det inte finns någon enhetlig bevarandetid, bör det införas en särskild regel om förstörande av DNA-prov som har tagits på begäran av annan stat. En lämplig avvägning kan vara att proven ska förstö- ras inom två månader efter det att de har tagits.

Svenska myndigheter bör givetvis ha samma möjligheter att begära rättslig hjälp i andra stater med tagande av DNA-prov och genomförande av DNA-analys som dessa har att få rättslig hjälp i Sverige. En särskild regel om detta bör införas i LIRB.

7.9Fingeravtrycksuppgifter

7.9.1Sökning i svenska fingeravtrycksregister

Förslag: I polisdatalagen införs en bestämmelse som öppnar möjlighet att behandla uppgifter i fingeravtrycksregister om det krävs för att uppfylla förpliktelserna i en internationell överenskommelse som riksdagen har godkänt. Vidare ändras övergångsbestämmelserna till polisdatalagen så att lagen blir tillämplig även på fingeravtrycksregister. I lagen om interna- tionellt polisiärt samarbete regleras under vilka förutsätt- ningar ett utländskt kontaktställe får söka i svenska fingerav- trycksregister och hur automatiska sökningar ska ske.

Skälen för förslaget: Enligt rådsbeslutet ska medlemsstaterna ges tillgång till referensuppgifter i varandras fingeravtrycksre- gister (artikel 8 och 9). Med referensuppgifter avses fingerav- trycksuppgifter och en sifferbeteckning, men däremot inte upp- gifter som röjer identiteten på den som avtrycken härrör från. Med fingeravtryck jämställs handavtryck (artikel 2 i genomfö- randebeslutet). Automatiska sökningar ska enligt beslutet få gö-

131

ras i syfte att förebygga och utreda brott. Vad som avses med automatisk sökning förklaras närmare i artikel 24. Referensupp- gifterna får enbart behandlas för att fastställa om jämförda fing- eravtrycksuppgifter överensstämmer eller för att utarbeta eller lämna in en begäran om rättslig hjälp i de fall där fingeravtrycken överensstämmer. Dessutom får uppgifterna behandlas för regi- strering i dataskyddssyfte (artikel 26.2).

I genomförandebeslutet preciseras de tekniska förutsättning- arna för utbyte och sökning av fingeravtrycksuppgifter (artikel 12–14). Bestämmelserna reglerar bl.a. kvaliteten på översända fingeravtrycksuppgifter, säkerheten vid översändandet av upp- gifter och sökningskapacitet. Den mottagande staten ska utan dröjsmål kontrollera kvaliteten på översända uppgifter genom ett helt automatiskt förfarande. Är uppgifterna inte lämpliga för en automatisk jämförelse, ska den anmodade medlemsstaten ome- delbart underrätta den begärande medlemsstaten. Vidare före- skrivs att en begäran ska behandlas inom 24 timmar genom ett helt automatiskt förfarande (artikel 14.2 i genomförandebeslu- tet).

Som redovisats i avsnitt 5.3.3 är det inte polisdatalagen, utan den numera upphävda datalagen (1973:289) tillsammans med Datainspektionens tillstånd, som reglerar behandlingen av per- sonuppgifter i fingeravtrycksregister (se punkten 2 i övergångs- bestämmelserna till polisdatalagen samt prop. 2000/01:91 s. 9). Denna reglering medger inte att utländska myndigheter ges direktåtkomst till fingeravtrycksregister på det sätt som rådsbe- slutet föreskriver. Eftersom datalagen är upphävd kan den inte ändras. Det är inte heller möjligt att genom författning ändra i villkoren för Datainspektionens tillstånd. Genomförandet av rådsbeslutet kräver därför andra åtgärder.

I avvaktan på en ny lagstiftning om behandling av personupp- gifter i polisens brottsbekämpande verksamhet torde den enda möjliga lagstiftningsmetoden för att anpassa regleringen rörande fingeravtrycksregister till rådsbeslutets bestämmelser vara att ändra övergångsbestämmelserna till polisdatalagen och göra lagen tillämplig på de fingeravtrycksregister som nu förs med

132

Datainspektionens tillstånd. Endast då kan den övriga reglering som behövs för genomförandet möjliggöras. I praktiken torde skillnaden inte bli så stor, eftersom Datainspektionens tillstånd motsvarar regleringen i polisdatalagen om fingeravtrycksregister. Bestämmelserna i polisdatalagen ger emellertid inte stöd för den speciella form av direktåtkomst som rådsbeslutet föreskriver. Därför krävs en ny bestämmelse i polisdatalagen som möjliggör sådan behandling i fingeravtrycksregister som krävs för att upp- fylla förpliktelserna i en internationell överenskommelse, i detta fall Prümrådsbeslutet. Rådsbeslutet förutsätter att behandlingen kan ske både för brottsutredning och för att förebygga brott. Någon utvidgning av ändamålen med fingeravtrycksregistret bör inte göras, eftersom rådsbeslutet inte syftar till att ändra den na- tionella behandlingen och den nyss nämnda regeln täcker de sökningar som görs av utländska kontaktställen.

Konsekvenserna av förslaget är att den behandling som i dag sker med stöd av Datainspektionens tillstånd måste anpassas till bestämmelserna i den nuvarande polisdatalagen (jfr prop. 2007/08:6 och 2008/09:15). Ur rättssäkerhetssynpunkt är det en fördel om behandlingen i fingeravtrycksregister, som omfattar ett stort antal personer, sker med stöd av en modernare lagstift- ning än datalagen och Datainspektionens tillstånd. Vad som kan tala mot lösningen att genom ändringar i övergångsbestämmel- serna nu göra polisdatalagen tillämplig är dock att det kan anses olämpligt att i avvaktan på det pågående lagstiftningsarbetet ändra i befintlig reglering (se bl.a. regeringens bedömning i prop. 2005/06:29 s. 32). För att uppfylla skyldigheterna i rådsbeslutet inom föreskriven tid är det emellertid nödvändigt med omedel- bara författningsändringar. Det är således inte möjligt att avvakta att en ny lagstiftning för polisens behandling av personuppgifter beslutas, särskilt som det finns skäl att anta att det krävs en inte obetydlig övergångsperiod innan den lagstiftningen kan träda i kraft. Mot denna bakgrund är den enda möjliga lösningen att ändra övergångsbestämmelserna och göra polisdatalagen tillämp- lig på de fingeravtrycksregister som i dag förs med stöd av Data- inspektionens tillstånd.

133

Den bestämmelse om direktåtkomst som föreslås ligger i linje med förslaget till ny lagstiftning om behandling av personupp- gifter i polisens brottsbekämpande verksamhet. Enligt det för- slaget bemyndigas regeringen att meddela föreskrifter om att utländska myndigheter får medges direktåtkomst till fingerav- trycks- och signalementsregister om det följer av internationella åtaganden (4 kap. 13 §; se Ds 2007:43 s. 223 f. och 464).

Förutsättningarna för direktåtkomst och behandling i svenska register bör regleras i lagen om internationellt polisiärt samar- bete och i förordning. På samma sätt som när det gäller tillgång till DNA-profiler (se avsnitt 7.7.1) ska sökningarna i fingerav- trycksregister kanaliseras via det svenska kontaktstället. I avsnitt 7.13 diskuteras vilken myndighet som ska vara svenskt kontakt- ställe.

Svenska myndigheters möjligheter att göra sökningar i andra staters fingeravtrycksregister behandlas i avsnitt 7.11.

7.9.2Den fortsatta handläggningen

Om det kan konstateras en överensstämmelse mellan fingerav- trycksuppgifter regleras frågan om vilka personuppgifter och vilken ytterligare information som får översändas av den tillfrå- gade medlemsstatens lagstiftning, inkluderande reglerna om rättslig hjälp i brottmål (artikel 10). Det innebär att samma reg- ler som gäller för informationsutbyte i allmänhet tillämpas vid bedömningen av i vilken omfattning namn och andra personupp- gifter ska översändas. Eftersom all handläggning i detta skede faller utanför rådsbeslutet aktualiseras inte några lagändringar.

134

7.10Fordonsuppgifter

Förslag: Ändamålsbestämmelsen i lagen om vägtrafikregister utvidgas i syfte att andra stater ska kunna ges direktåtkomst till vissa uppgifter i registret, för att förebygga och utreda brott, undersöka vissa överträdelser eller för att upprätthålla allmän säkerhet. En förutsättning är att uppgiftsinhämtandet sker i enlighet med en internationell överenskommelse som riksdagen har godkänt. Uppgifterna får endast avse vem som är ett fordons ägare och innehavare samt uppgifter om själva fordonet.

Skälen för förslaget: Genom sina nationella kontaktställen ska medlemsstaterna kunna göra automatiska sökningar i varandras register över fordonsuppgifter. Kontaktställena ska ha direkt tillgång till vissa uppgifter, om behandlingen sker för att förebygga och utreda brott, för undersökning av vissa överträdelser samt för att upprätthålla allmän säkerhet (artikel 12.1). De uppgifter som ska utbytas är uppgifter om vem som är ägare och innehavare av fordon samt uppgifter om fordonet. Rådsbeslutet får i denna del uppfattas så att angivna registeruppgifter omfattas i den utsträckning de förekommer i de nationella registren. Endast fordonets fullständiga chassi- nummer eller fullständiga registreringsnummer får användas för sökning i andra medlemsstaters register. I kap. 3 i bilagan till genomförandebestämmelserna finns detaljerade regler för utby- tet av sådana uppgifter.

Redan i dag förekommer ett omfattande informationsutbyte mellan de europeiska myndigheter som ansvarar för nationella register över fordonsuppgifter. Informationsutbytet sker till viss del automatiskt genom EUCARIS (se avsnitt 5.4.2). Utbytet rör i första hand uppgifter om tillverkare och bilmodell, men syste- met indikerar också om ett fordon är anmält stulet. Uppgifterna har stor betydelse bl.a. för ursprungskontroller samt fiskala och

135

administrativa kontroller. Informationsutbytet omfattar emeller- tid inte polisiärt samarbete.

Transportstyrelsen (tidigare Vägverket, se prop. 2008/09:31) för vägtrafikregistret, som innehåller uppgifter om fordon och deras ägare. Lagstiftningen om vägtrafikregister genomgår för närvarande en översyn, bl.a. avseende ändamålen för registret och behandlingen av personuppgifter i detta (se avsnitt 6.4.3).

Vägtrafikregistret innehåller bl.a. uppgifter om motordrivna fordon och släpfordon och om ägare till dessa (6 § 1 lagen [2001:558] om vägtrafikregister). Med ägare jämställs innehava- ren, när det är fråga om fordon som innehas på grund av kredit- köp med förbehåll om återtaganderätt, eller med nyttjanderätt för en bestämd tid om minst ett år (4 §). Den som på detta sätt innehar ett fordon enligt avbetalnings- eller leasingkontrakt be- handlas alltså i registreringshänseende som fordonsägare (prop. 2000/01:95 s. 77 f.). De uppgifter som finns i vägtrafikregistret får anses motsvara det uppgiftsutbyte som rådsbeslutet förut- sätter, dvs. uppgifter om ägare och innehavare samt uppgifter om fordonet.

I 5 § lagen om vägtrafikregister regleras för vilka ändamål per- sonuppgifterna i registret får behandlas. Det är inte tillåtet att behandla uppgifterna för andra ändamål än de som uttryckligen anges. Registret får tillhandahålla personuppgifter för verksam- het för vilken staten eller en kommun ansvarar enligt lag eller annan författning bl.a. i fråga om fordonsägare och olika typer av tillstånd att föra fordon (5 § 1–5). Rådsbeslutets bestämmelser om tillhandahållande av uppgifter till andra medlemsstater ryms inte i ändamålsbestämmelserna i den paragrafen. Den måste såle- des ändras. Ändringen görs lämpligen genom att man inför ytterligare en punkt i 5 § som upptar det nya ändamålet. Ända- målsbestämmelserna styr emellertid också möjligheterna till direktåtkomst. I 8 § lagen om vägtrafikregister föreskrivs att direktåtkomst till personuppgifter får medges endast för sådana ändamål som anges i 5 § 1–3 samma lag. Även bestämmelsen om direktåtkomst i 8 § måste därför ändras.

136

Eftersom lagen om vägtrafikregister enbart reglerar övergri- pande frågor förutsätter genomförandet av rådsbeslutet även ändringar i förordningen (2001:650) om vägtrafikregister (väg- trafikregisterförordningen).

Vägtrafikregisterförordningen innehåller bl.a. närmare be- stämmelser om direktåtkomst (4 kap. 3–5 §§). Direktåtkomsten begränsas genom en hänvisning till den ovan redovisade ända- målsbestämmelsen i 5 § lagen om vägtrafikregister (4 kap. 3 § vägtrafikregisterförordningen med däri gjord hänvisning till 8 § lagen om vägtrafikregister). Genom den föreslagna ändringen av 5 § lagen om vägtrafikregister kommer möjligheten till direktåt- komst att omfatta alla de uppgifter rådsbeslutet föreskriver. Direktåtkomst förutsätter att behandlingen av personuppgifter är tillåten enligt personuppgiftslagen. Vidare får direktåtkomst till vägtrafikregistret medges först sedan Transportstyrelsen har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt (4 kap. 4 § vägtrafikregisterförordningen). Nu redovisade krav riskerar inte att hamna i konflikt med rådsbeslutet och dess reglering av- seende dataskydd och datasäkerhet.

Enligt 4 kap. 12 § vägtrafikregisterförordningen får uppgifter ur vägtrafikregistret lämnas ut till en utländsk myndighet om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt. Bestämmelsen, som är tillämplig på rådsbe- slutet, är sekretessbrytande.

Svenska myndigheters möjligheter att behandla uppgifter i andra medlemsstaters fordonsregister redovisas i det följande avsnittet.

137

7.11Svenska sökningar i andra staters register

Förslag: De grundläggande förutsättningarna för att det svenska kontaktstället ska få söka efter uppgifter i andra sta- ters register regleras i lagen om internationellt polisiärt sam- arbete. Närmare bestämmelser meddelas i förordning.

Skälen för förslaget: Informationsutbytet med stöd av råds- beslutet bygger på att kontaktstället, inte enskilda myndigheter, inhämtar uppgifter i andra medlemsstaters DNA-, fingerav- trycks- och fordonsregister. Vi återkommer i avsnitt 7.13 till vil- ken myndighet som ska fungera som svenskt kontaktställe och förmedla uppgifter med stöd av rådsbeslutet.

Rådsbeslutet förutsätter, som tidigare nämnts, att automa- tiska sökningar och automatiska jämförelser kan genomföras i andra medlemsstaters register. Uppgifter i DNA-registren får enligt rådsbeslutet, oavsett sökförfarande, enbart behandlas ”i samband med brottsutredningar” (artikel 3 och 4). Automatisk sökning av fingeravtrycksuppgifter får förekomma både i brotts- förebyggande och brottsutredande syfte (artikel 9). Utbyte av uppgifter i fordonsregister får ske för nyssnämnda ändamål, men även för att undersöka vissa andra överträdelser och för att upp- rätthålla allmän säkerhet (artikel 12). Det krävs regler som gör det möjligt för tjänstemän vid det svenska kontaktstället att genomföra sökningar och behandla uppgifter i utländska register för nu angivna ändamål. Eftersom det svenska rättssystemet bygger på att alla överträdelser av strafflagstiftning utreds i brottmålsförfarande finns det dock inget behov av att, som i vissa andra länder, kunna inhämta uppgifter för alternativa utred- ningsförfaranden.

Huvudprinciperna för sökning och automatiska jämförelser i utländska register bör läggas fast i lag, lämpligen lagen om inter- nationellt polisiärt samarbete, medan den närmare regleringen bör ske i förordning (se avsnitt 7.3). I den mån det krävs be- handling i svenska register för att genomföra sökning i utländska

138

register, t.ex. för att få fram en DNA-profil som ska jämföras med uppgifter i andra staters DNA-register, måste detta också ha stöd i lagstiftningen.

Enligt rådsbeslutet är det den ansökande medlemsstatens lag- stiftning som, med de begränsningar som följer av rådsbeslutet, avgör om en sökning får ske i en annan medlemsstats register (se artikel 3.1, 4.1 och 9.1). De möjligheter rådsbeslutet ger att söka i andra medlemsstaters register påverkar därför inte vilka be- handlingar som är tillåtna enligt svensk rätt. Det innebär t.ex. att analysresultat från DNA-prov som tagits från andra personer i en brottsutredning än de som är misstänkta för brott, t.ex. måls- ägande, inte får jämföras med uppgifter i andra staters DNA- register (se avsnitt 5.2). Däremot kan en sökning i en annan medlemsstats register innebära att tillgång ges till uppgifter som inte skulle kunna behandlas i svenska register. Så kan t.ex. vara fallet om längre gallringsfrister tillämpas i den andra medlems- staten för personer som frikänts för brott eller om man registre- rar uppgifter rörande någon som enligt svensk lag inte är straff- myndig.

Beträffande fingeravtryck bör påpekas att svenska myndig- heters behandling av sådana uppgifter för att förebygga brott enligt polisdatalagen enbart får ske i förundersökningar eller sär- skilda undersökningar inom kriminalunderrättelseverksamheten. Detta torde täcka de praktiska behov som finns att behandla fingeravtrycksuppgifter. Enligt förslaget till ny lagstiftning om behandling av personuppgifter i polisens brottsbekämpande verksamhet kommer personuppgifter i bl.a. fingeravtrycksregis- ter att kunna behandlas även i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet (2 kap. 5 §; se Ds 2007:43 s. 130 f. och 409 f.). I avvaktan på att en ny reglering träder i kraft finns det inte skäl att nu ändra ändamålen för behandling av person- uppgifter i fingeravtrycksregister.

139

7.12Sekretess

Bedömning: Det krävs inga nya sekretessregler för att upp- fylla rådsbeslutets bestämmelser.

Skälen för bedömningen: Andra staters rätt att behandla uppgifter i svenska register kan inte baseras på offentlig- hetsprincipen, eftersom den har annat syfte och uppgifterna dessutom kan omfattas av sekretess. För att Sverige ska uppfylla kraven i rådsbeslutet måste säkerställas att sekretessregleringen inte utgör hinder mot att uppgifterna lämnas ut till kontaktstäl- lena i andra medlemsstater i Europeiska unionen.

De uppgifter som enligt rådsbeslutet får utbytas kan bl.a. omfattas av sekretess till skydd för brottsbekämpningen enligt 5 kap. 1 § sekretesslagen. Sådan sekretess gäller t.ex. för uppgift som hänför sig till förundersökning i brottmål, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller att den framtida verksamheten skadas om uppgiften röjs. Sekre- tessen gäller i varierande grad i pågående, avslutade och nedlagda förundersökningar. Bestämmelsen omfattar dock inte utred- ningar i ärenden om internationell rättslig hjälp i brottmål, där i stället 5 kap. 7 § kan vara tillämplig. Sekretess enligt 5 kap. 1 § sekretesslagen omfattar även annan verksamhet vid brottsbe- kämpande myndigheter än brottsutredning, exempelvis brottsfö- rebyggande åtgärder. Om åtal väcks upphör normalt sekretessen enligt den paragrafen.

Vidare kan sekretess gälla för uppgift om enskilds personliga och ekonomiska förhållanden i utredning enligt reglerna om för- undersökning i brottmål (9 kap. 17 § första stycket 1 sekretess- lagen). Den paragrafen har ett vidare tillämpningsområde än 5 kap. 1 §. Sekretessen gäller bl.a. för användning av straffproces- suella tvångsmedel och internationell rättslig hjälp i brottmål. Sekretess till skydd för enskild gäller också för uppgifter hos brottsbekämpande myndigheter för deras verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott (9 kap. 17 § för-

140

sta stycket 4). Sekretessen gäller vidare för uppgifter i vissa regis- ter som förs av Rikspolisstyrelsen med stöd av polisdatalagen eller som annars behandlas där med stöd av samma lag (9 kap. 17 § första stycket 6). DNA-register och fingeravtrycksregister tillhör de register som faller under bestämmelsen.

En sekretessbelagd uppgift får röjas för en utländsk myndig- het eller mellanfolklig organisation bl.a. om utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning (1 kap. 3 § tredje stycket sekretesslagen). Enligt 7 § polisdatalagen får upp- gifter lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om utlämnandet följer av en internationell över- enskommelse som Sverige efter riksdagens godkännande har tillträtt. Regeringen får vidare meddela föreskrifter om att upp- gifter på begäran får lämnas till polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndig- heten eller organisationen ska kunna förebygga, upptäcka, utreda eller beivra brott. En sådan bestämmelse finns i 18 § polisdata- förordningen (1999:81).

I de fall där det finns en regel om direktåtkomst till uppgifter i ett register anses uppgiften i princip vara utlämnad redan när direktåtkomsten medges. Detta gäller oavsett om myndigheten faktiskt tar del av uppgiften eller inte. Det betyder att en förut- sättning för att direktåtkomst ska kunna medges är att åtkoms- ten antingen endast avser offentliga uppgifter eller enbart om- fattar uppgifter som får lämnas ut till mottagaren med stöd av någon sekretessbrytande bestämmelse (se Ds 2007:43 s. 228).

Eftersom uppgiftslämnande enligt rådsbeslutet uppfyller kra- vet i 7 § polisdatalagen kan direktåtkomst medges. För sådana uppgifter som andra medlemsstater får tillgång till genom direkt- åtkomst utgör sekretessregleringen således inget hinder.

Uppgifter som rör allmän ordning och säkerhet omfattas i betydligt mindre utsträckning av sekretess och i de fallen ska uppgiftslämnandet inte ske automatiserat. Sekretessregleringen bör därför inte heller i de fallen utgöra något hinder. I de fall där det finns en bindande förpliktelse att lämna information är 7 § polisdatalagen tillämplig. Däremot måste en sekretessprövning

141

göras i det enskilda fallet när uppgifter lämnas på svenskt initia- tiv utan någon sådan förpliktelse.

De aktuella uppgifterna i vägtrafikregistret är offentliga.

7.13Nationellt kontaktställe

Förslag: Begreppet kontaktställe definieras i lagen om inter- nationellt polisiärt samarbete. Rikspolisstyrelsen utses till svenskt kontaktställe för att förmedla förfrågningar med stöd av rådsbeslutet. Kontaktstället ska både hantera registersök- ningar, uppgifter som utbyts i samband med större evene- mang med gränsöverskridande verkningar och uppgifter som utbyts i syfte att förebygga terroristbrott. Frågor som rör det praktiska arbetet regleras i förordning.

Skälen för förslaget: Enligt rådsbeslutet ska ett nationellt kontaktställe utses för förmedling av uppgifter som utbyts mellan medlemsstaterna (artikel 6.1, 11.1, 12.2, 15 och 16.3). Kontaktställets befogenheter regleras i nationell rätt.

DNA- och fingeravtrycksregister hanteras av Rikspolissty- relsen och SKL. Styrelsen är personuppgiftsansvarig för förande av registren och ansvarar för driften av fingeravtrycksregister. SKL sköter i egenskap av personuppgiftsbiträde DNA-registren och hanterar således det praktiska arbetet kring dessa. Myndig- heten gör också analysen av DNA-prov och bedömningarna av DNA-profiler. Det praktiska arbetet kring fingeravtryck hante- ras till stor del av SKL, men också av Nationella fingeravtrycks- avdelningen vid Rikskriminalpolisen.

Kontaktstället ska fungera som en länk för uppgiftsutbytet med andra medlemsstater i Europeiska unionen och ansvara för sökningar i andra medlemsstaters register. Rikspolisstyrelsen har redan nu i uppdrag att vara nationell enhet för den internatio- nella kriminalpolisorganisationen (Interpol) och den europeiska polisbyrån (Europol). Styrelsen ansvarar vidare för den natio-

142

nella delen av Schengens informationssystem (SIS) och är natio- nell kontaktpunkt för SIS genom Sirenekontoret (2 § andra stycket förordningen [1989:773] med instruktion för Rikspolis- styrelsen). Det elektroniska utbytet enligt rådsbeslutet förutsätts ske genom kommunikationsnätet Testa II, vilket Rikspolissty- relsen redan arbetar i vid sina internationella kontakter. Vidare kan anmärkas att Finland har pekat ut Centralkriminalpolisen som kontaktställe för sina kontakter enligt rådsbeslutet (se RP 243/2006 rd s. 17 f.).

Det sagda talar för att Rikspolisstyrelsen är mest lämpad att fungera som svenskt kontaktställe för förmedling av DNA-pro- filer och uppgifter i fingeravtrycksregister. Uppgiften kan regle- ras i förordning. Det är emellertid viktigt att framhålla att även om styrelsen pekas ut som svenskt kontaktställe förändrar detta inte SKL:s roll vare sig när det gäller analysarbetet eller rollen som personuppgiftsbiträde för DNA-registren. Hur det prak- tiska arbetet närmare ska bedrivas och på vilket sätt uppgifterna fördelas kräver inte någon lagstiftning.

Ett nationellt kontaktställe ska också utses för förmedling av uppgifter ur vägtrafikregistret (artikel 12.2). Vägtrafikregistret förs som tidigare nämnts av Transportstyrelsen. Det skulle där- för kunna te sig naturligt att utse styrelsen till nationellt kon- taktställe. Syftet med informationsutbytet är emellertid att före- bygga och utreda brott, att undersöka vissa andra överträdelser samt att upprätthålla allmän säkerhet. Uppgiften som nationellt kontaktställe måste därför läggas på en brottsbekämpande myn- dighet. Redan en förfrågan från en utländsk myndighet kan om- fattas av sekretess till skydd för utländsk brottsbekämpning. Sekretess enligt 5 kap. 7 § sekretesslagen förekommer endast hos brottsbekämpande myndigheter. Det finns därför skäl att utse Rikspolisstyrelsen till nationellt kontaktställe också vid informa- tionsutbyte avseende fordonsuppgifter.

Nationella kontaktställen ska utses också för övrigt informa- tionsutbyte enligt rådsbeslutet (artikel 15 och 16.3). I proposi- tionen om godkännande av rådsbeslutet konstaterade regeringen att samma organ som utses till nationellt kontaktställe för för-

143

medling av DNA- och fingeravtrycksuppgifter lämpligen bör utses till nationellt kontaktställe också för förmedling av upp- gifter i samband med större evenemang (prop. 2007/08:83 s. 27). Det finns inte skäl att nu göra någon annan bedömning.

Det lämpligaste är givetvis att endast ha ett nationellt kon- taktställe. Rikspolisstyrelsen bör därför pekas ut som kontakt- ställe också för uppgifter som utbyts mellan staterna i syfte att förebygga terroristbrott. Visserligen är det främst en uppgift för Säkerhetspolisen att bekämpa terrorism (se 2 § andra stycket förordningen [2002:1050] med instruktion för Säkerhetspoli- sen). Säkerhetspolisen för också det s.k. SÄPO-registret som bl.a. har till ändamål att underlätta spaning i syfte att bekämpa terrorism (32 § polisdatalagen). Från effektivitetssynpunkt finns det emellertid fördelar med ett enda kontaktställe för informa- tionsutbyte enligt rådsbeslutet. Eftersom Säkerhetspolisen ingår i Rikspolisstyrelsen kan styrelsen se till att den information som ska vidarebefordras till Säkerhetspolisen tas om hand på lämpligt sätt.

En viktig uppgift för kontaktstället blir att ansvara för de sökningar i utländska register som rådsbeslutet ger möjlighet till. Särskilda tjänstemän ska utpekas för uppgiften (se vidare avsnitt 7.19.2).

Som framhållits tidigare ska regelverket om rättslig hjälp till- lämpas för det fortsatta informationsutbytet sedan det konstate- rats att en DNA-profil eller ett fingeravtryck finns i något av de svenska registren. Det innebär bl.a. att de fortsatta kontakterna inte ska gå via kontaktstället.

144

7.14Informationsutbyte vid större evenemang

7.14.1Översändande av personuppgifter till en annan stat

Förslag: Det svenska kontaktställets skyldighet att vid större nationella eller utländska evenemang med gränsöverskridande verkningar översända personuppgifter till en annan stat, i syfte att förebygga brott och ordningsstörningar, regleras i förordning.

Skälen för förslaget: Rådsbeslutet föreskriver skyldighet för medlemsstaterna att på begäran eller på eget initiativ översända personuppgifter till en annan medlemsstat i samband med ”större evenemang med gränsöverskridande verkningar” (artikel 14.1). Informationsutbytet ska syfta till att förebygga brott eller att upprätthålla allmän ordning och säkerhet. För att personupp- gifter ska sändas över krävs att det på grundval av lagakraftvunna domar eller andra fakta finns skäl att anta att de personer som uppgifterna avser kommer att begå brott vid det berörda evene- manget eller att de utgör ett hot mot ordningen och säkerheten. Det ska alltså finnas en konkret grund för misstanken om att personen kommer att begå brott eller störa ordningen. Även underrättelseuppgifter kan aktualiseras, men dessa måste i så fall bygga på konkreta fakta.

De uppgifter som översänds får enbart användas för att före- bygga brott och upprätthålla ordningen vid det utpekade evene- manget. Användningsbegränsningar behandlas i avsnitt 7.17.4.

Rådsbeslutet exemplifierar ”större evenemang med gräns- överskridande verkningar” med betydande idrottsevenemang och Europeiska rådets möten. Andra tänkbara evenemang är vissa internationella sammankomster som behandlar kontroversiella frågor och större möten i ett NATO-organ, om dessa i det en- skilda fallet kan antas leda till brott eller allvarliga ordningspro- blem. Liknande problem vid statsbesök eller besök av internatio- nellt välkända personer är andra exempel. Artikeln bör uppfattas

145

så att den avser såväl nationella som utländska evenemang, så länge evenemanget i fråga är gränsöverskridande. Informations- utbyte förefaller aktualiseras främst vid sådana tilldragelser som berör ett stort antal personer och som kan antas beröra flera län- ders polisverksamhet.

I samband med vissa större evenemang utbyts redan i dag uppgifter mellan stater om personer som förekommer i polisens eller andra brottsbekämpande myndigheters register. Detta sam- arbete utvecklas genom det uppgiftsutbyte som rådsbeslutet föreskriver. Behandlingen av sådana uppgifter regleras i huvud- sak av polisdatalagen, när den sker som ett led i polisens verk- samhet. Bestämmelserna i lagen om belastningsregister kan också aktualiseras. Bestämmelser om utlämnande av uppgifter till en utländsk myndighet finns bl.a. i 7 § polisdatalagen, 11 § lagen om belastningsregister och 24 § förordningen (1999:1134) om belastningsregister (se även prop. 2008/09:18 s. 24 f. angående utbyte av uppgifter ur kriminalregister). Gällande rätt medger alltså att uppgifter översänds till andra medlemsstater i enlighet med rådsbeslutet, men föreskriver ingen sådan skyldighet som rådsbeslutet får anses förutsätta (se regeringens tolkning av artikel 14 i prop. 2007/08:83 s. 26). En sådan skyldighet bör därför införas genom en ny bestämmelse i förordning. Någon särskild reglering för det fall utbytet skulle avse uppgifter som omfattas av sekretess krävs inte, eftersom de tidigare nämnda bestämmelserna är sekretessbrytande (se avsnitt 7.12).

146

7.14.2Översändande av icke personrelaterade uppgifter till en annan stat

Förslag: Det svenska kontaktställets skyldighet att vid större nationella eller utländska evenemang med gränsöverskridande verkningar översända andra uppgifter än personuppgifter, om dessa bedöms vara nödvändiga för att förebygga brott eller hot mot ordningen och säkerheten vid evenemanget, regleras i förordning.

Skälen för förslaget: I samband med större evenemang med gränsöverskridande verkningar är medlemsstaterna också skyl- diga att sända andra medlemsstater nödvändiga icke personrela- terade uppgifter (artikel 13). I fråga om sådana uppgifter krävs endast att uppgifterna är nödvändiga för att förebygga brott eller upprätthålla ordning och säkerhet vid evenemanget. Den be- dömningen får göras i varje enskilt fall. Det kan t.ex. röra sig om uppgifter att en grupp icke identifierade personer, som misstänks vara våldsbenägna, kan komma att bevista evenemanget. Ett an- nat exempel är allmän information om vissa utpekade grupper som kan komma att störa evenemanget, t.ex. underrättelseinfor- mation som inte innehåller några personuppgifter.

Bestämmelsen är formulerad som en obligatorisk förpliktelse för medlemsstaterna att kunna sända varandra sådana uppgifter, samtidigt som den hänvisar till att uppgiftsutbytet ska ske i en- lighet med nationell rätt i den översändande staten. Regeringen har tidigare tolkat bestämmelsen så att den föreskriver en skyl- dighet för svenska myndigheter att översända uppgifter till andra länder i samband med större evenemang, men att medlemssta- terna råder över den närmare utformningen av reglerna och de begränsningar som ska gälla (se prop. 2007/08:83 s. 25). Det saknas skäl att nu göra någon annan bedömning. Även skyldig- heten att sända staterna andra uppgifter än personuppgifter krä- ver en ny bestämmelse, vilken kan tas in i förordning. Någon

147

särskild reglering för det fall utbytet skulle avse uppgifter som omfattas av sekretess krävs inte (se avsnitt 7.12).

7.14.3Utplåning av personuppgifter som översänts till Sverige

Förslag: Skyldigheten att utplåna personuppgifter som erhål- lits från en annan stat inom ramen för Prümsamarbetet regle- ras i förordning.

Skälen för förslaget: Rådsbeslutet begränsar inte bara medlemsstaternas rätt att behandla sådana uppgifter som översänts från en annan medlemsstat inför ett större evenemang (se avsnitt 7.14.1), utan begränsar också hur länge uppgifterna får bevaras. Enligt artikel 14.2 ska personuppgifter som översänts i samband med större evenemang med gränsöverskridande verkningar utplånas omedelbart när syftet med mottagandet har uppnåtts eller inte längre kan uppnås. Under alla förhållanden ska personuppgifterna utplånas senast inom ett år.

Eftersom huvudsyftet med informationsutbytet är att före- bygga och förhindra brott och allvarliga ordningsstörningar lig- ger det i sakens natur att de flesta personuppgifter som översänts ska utplånas när evenemanget är över. Varken polisdatalagen eller någon annan nu aktuell författning innehåller någon be- stämmelse som motsvarar den i rådsbeslutet. Det kan visserligen hävdas att huvudregeln är att personuppgifter som inte längre behövs för sitt ursprungliga ändamål ska gallras (13 § polisdata- lagen), men som utvecklas närmare i det följande (avsnitt 7.18) finns det ändå utrymme för att bevara vissa uppgifter. Det bör därför i förordning föreskrivas att nu aktuella personuppgifter ska utplånas senast efter ett år.

148

7.15Bistånd

Förslag: Skyldigheten att, inom ramen för Prümrådssamar- betet, bistå en annan stat, i syfte att förhindra brott och upp- rätthålla ordning och säkerhet vid större evenemang och lik- nande viktiga händelser, katastrofer och allvarliga olyckor med gränsöverskridande verkningar, regleras i förordning. Det svenska kontaktstället ska så tidigt som möjligt underrät- ta andra berörda stater om situationen och förmedla väsentlig information om denna. Rikspolisstyrelsen ska samordna nöd- vändiga polisiära åtgärder och kunna besluta om att ställa tjänstemän, specialister och rådgivare samt nödvändig utrust- ning till en annan stats förfogande.

Skälen för förslaget: Medlemsstaterna är skyldiga att, enligt nationell rätt, på olika sätt bistå varandra vid större evenemang med gränsöverskridande verkningar och liknande händelser, katastrofer och allvarliga olyckor (artikel 18). Biståndet begrän- sas genom att syftet ska vara att förhindra brott och upprätthålla allmän ordning.

En form av bistånd är att så tidigt som möjligt informera andra medlemsstater om situationer med gränsöverskridande verkningar samt förmedla väsentliga uppgifter om dem (arti- kel 18 a). Denna skyldighet kan t.ex. aktualiseras vid evenemang där man kan förutse att det finns risk för våldshandlingar eller allvarliga ordningsstörningar.

Medlemsstaterna är vidare skyldiga att i situationer med gränsöverskridande verkningar genomföra och samordna nöd- vändiga polisiära åtgärder på sitt territorium (artikel 18 b). I den mån det är möjligt ska också, på begäran av den berörda staten, tjänstemän, specialister och rådgivare samt nödvändig utrustning ställas till förfogande (artikel 18 c).

Skyldigheten att, inom ramen för Prümrådssamarbetet, på be- gäran bistå en annan stat vid större evenemang och liknande händelser, katastrofer och allvarliga olyckor begränsas till vad

149

som är tillåtet enligt svensk lagstiftning. I fråga om bistånd med tjänstemän, specialister, rådgivare och utrustning gäller den ytterligare begränsningen ”i den mån det är möjligt”. Trots dessa begränsningar får bestämmelsen betraktas som ett åliggande för Sverige att lämna bistånd till andra stater i de situationer som omfattas (prop. 2007/08:83 s. 31 f.), även om det inte är någon absolut skyldighet. Exempel på bistånd kan vara att polisfordon med särskild utrustning lånas ut eller att en polishelikopter med personal tillfälligt ställs till en annan stats disposition. Liknande skyldigheter förekommer i andra sammanhang, bl.a. grundade på bi- eller multilaterala avtal om räddningstjänst och miljörädd- ningstjänst till sjöss. Regeringen eller den myndighet regeringen bestämmer kan t.ex. enligt 9 kap. 1 § andra stycket lagen (2003:778) om skydd mot olyckor begära eller lämna internatio- nellt bistånd vid räddningsinsatser enligt internationella över- enskommelser som Sverige ingått. Bemyndigandet gäller enbart räddningsinsatser, vilket får anses motsvara rådsbeslutets be- grepp katastrofer och allvarliga olyckor, men däremot inte bi- stånd vid större evenemang och liknande viktiga händelser. Det krävs därför en ny bestämmelse som reglerar förpliktelsen att på begäran bistå en annan stat i ordningshållande och brottsföre- byggande syfte. Denna skyldighet kan regleras i förordning, lik- som skyldigheten att samordna nödvändiga polisiära åtgärder i Sverige om det uppstår situationer med gränsöverskridande verkningar som direkt berör vårt land. Samordningsansvaret bör läggas på Rikspolisstyrelsen. Eftersom det inte på förhand går att förutse vilka samordningsbehov som kan aktualiseras och dessa kan komma att beröra flera polismyndigheter har Rikspolissty- relsen en viktig samordningsfunktion. Styrelsen kan givetvis när det är lämpligt överlämna till en polismyndighet att ansvara för samordningen, t.ex. i de fall där endast en polismyndighet be- rörs.

Bistånd med personalresurser kan i enstaka fall innebära att svenska tjänstemän behöver föra ut skjutvapen och ammunition ur Sverige (artikel 19.1). Enligt 6 § lagen (1992:1300) om krigs- materiel krävs som huvudregel tillstånd för att föra ut krigsmate-

150

riel ur Sverige. Krigsmateriel är enligt 1 § samma lag vapen, ammunition och annat för militärt bruk utformad materiel som enligt regeringens föreskrifter utgör krigsmateriel. I en bilaga till förordningen (1992:1303) om krigsmateriel förtecknas sådan materiel och dit kan också höra viss polisiär utrustning. Som re- geringen konstaterat i propositionen om godkännande av Prüm- rådsbeslutet finns det för närvarande inget generellt undantag som ger svenska polismän rätt att medföra skjutvapen och am- munition till ett annat land (prop. 2007/08:83 s. 33). Skulle be- hov av detta uppkomma kan emellertid tillstånd meddelas efter en prövning i det enskilda fallet (6 § lagen om krigsmateriel). Det får anses vara tillräckligt att förlita sig på en sådan prövning.

Rådsbeslutet föreskriver som huvudregel att värdstaten ska ersätta de eventuella skador som orsakas av utländska tjänstemän som bistår en annan medlemsstat vid större evenemang, kata- strofer och allvarliga olyckor (artikel 21.4). Vidare föreskrivs regressrätt för värdstaten i förhållande till den stat som tillhanda- håller tjänstemännen, för skada som dessa orsakat genom grov oaktsamhet eller avsiktlig försummelse (artikel 21.5). Skade- ståndsansvar kan därför aktualiseras endast i undantagsfall. Re- gressrätten är en fråga av mellanstatlig karaktär som inte direkt berör den skadelidande eller tredje man, eller påverkar deras möj- ligheter att få skadestånd. Mot den bakgrunden krävs ingen lag- reglering.

7.16Andra former av gränsöverskridande samarbete

Bedömning: Övriga bestämmelser i rådsbeslutet om gräns- överskridande polissamarbete föranleder inga lagstiftnings- förslag inom ramen för detta uppdrag.

Skälen för bedömningen: I syfte att fördjupa det polisiära samarbetet innehåller rådsbeslutet en fakultativ reglering angående bistånd genom gemensamma patruller och gemen-

151

samma insatser. Den innebär att utländska tjänstemän kan ges rätt att tillsammans med en annan stats tjänstemän tjänstgöra uniformerade och beväpnade på den statens territorium (artikel 17 och 19). En stat kan också ge tjänstemän från andra stater rätt att utöva verkställande befogenheter på sitt territorium (artikel 17.2). Sådana befogenheter får dock endast utövas under överin- syn av och i regel i närvaro av värdstatens tjänstemän. Rådsbe- slutet förskriver att andra medlemsstaters tjänstemän ska ha samma straffrättsliga ansvar och samma skydd som statens egna tjänstemän (artikel 20 och 22). Rådsbeslutet innehåller också allmänna bestämmelser om skadeståndsansvar (artikel 21).

Enligt det uppdrag som denna promemoria grundar sig på ska innehållet i de nu redovisade artiklarna utredas särskilt (Justitie- departementet, dnr Ju2008/5996/P). Det är därför inte aktuellt att i detta sammanhang göra några ytterligare överväganden an- gående dessa artiklar.

7.17Integritetsskydd

7.17.1Allmänt om integritetsskyddet

Utbyte av information kan innebära risker för enskildas integri- tet. Det bör emellertid framhållas att det är stora skillnader mel- lan olika typer av uppgifter. Generellt sett är t.ex. uppgifter i vägtrafikregistret betydligt mindre integritetskänsliga än uppgif- ter i DNA-registren.

Informationsutbytet enligt rådsbeslutet påverkar inte det grundläggande integritetsskydd vid personuppgiftsbehandling som bl.a. polisdatalagen och personuppgiftslagen ger. Dessutom är det viktigt att erinra om att myndigheterna redan utbyter den typ av information som Prümrådsbeslutet tar sikte på (se vidare avsnitt 7.1.1). Det nya sättet att arbeta innebär därför i första hand att den som efterfrågar viss information snabbare får veta om det finns några uppgifter av intresse. Eftersom de mera inte- gritetskänsliga uppgifterna inte kan hänföras till en identifierbar

152

person är risken att skada någon person genom oförsiktig eller felaktig behandling av uppgifterna i princip undanröjd. På samma sätt som i dag måste den stat som vill ha närmare uppgifter vända sig till den andra staten med en begäran om rättslig hjälp. Vidare innehåller rådsbeslutet bestämmelser om grundläggande data- skydd och användningsbegränsningar som syftar till att förstärka integritetsskyddet. Denna reglering behandlas närmare i det föl- jande.

Det förhållandet att medlemsstaterna får tillgång till vissa uppgifter i varandras register innebär alltså inte i sig att riskerna för integritetsintrång ökar.

7.17.2Grundläggande dataskyddsnivå

Bedömning: Den svenska lagstiftningen uppfyller rådsbeslu- tets krav på viss grundläggande dataskyddsnivå.

Skälen för bedömningen: Rådsbeslutet föreskriver att behandling av uppgifter som översänds eller har översänts minst ska motsvara den dataskyddsnivå som dataskyddskonventionen föreskriver (artikel 25 och avsnitt 6.2.2). Detta gäller all behand- ling av personuppgifter. Konventionens krav i fråga om översän- dande av uppgifter mellan stater och om ömsesidigt bistånd mellan staterna ska beaktas. För de stater som inte redan utbyter information med stöd av Prümfördraget är det en förutsättning för att uppgifter ska få översändas att dataskyddsbestämmelserna har införlivats nationellt (artikel 25.2 och 25.3). Även principer- na i Europarådets ministerkommittés rekommendation R (87) 15 av den 17 september 1987 ska iakttas (se vidare avsnitt 6.2.3).

Enligt rådsbeslutet ska samma dataskyddsnivå gälla oavsett om uppgifter behandlas automatiskt eller manuellt (artikel 25.1). Det framgår emellertid inte om detta skydd avser all manuell be- handling av uppgifter eller om det bara gäller sådan behandling som sker i register. I andra rättsakter, och i svensk rätt, omfattar

153

dataskyddet enbart sådan manuell behandling som sker i register (se prop. 2007/08:83 s. 40). Det finns inte anledning att tolka rådsbeslutet på annat sätt. Det innebär att rådsbeslutet i detta hänseende motsvaras av regleringen i personuppgiftslagen (5 § andra stycket personuppgiftslagen). De allmänna skyddsreglerna i 9 § första stycket personuppgiftslagen – som bl.a. föreskriver en lagenlig och korrekt behandling av personuppgifter, men också att uppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt inte får behandlas för nå- got ändamål som är oförenligt med det för vilket de samlades in

– har i tidigare lagstiftningsärenden bedömts uppfylla den all- männa skyddsnivå som dataskyddskonventionen kräver (se bl.a. prop. 1999/2000:64 s. 147 f.). I propositionen om godkännande av rådsbeslutet har samma bedömning gjorts (prop. 2007/08:83 s. 40). Det krävs således inga lagstiftningsåtgärder, eftersom svensk rätt redan uppfyller rådsbeslutets krav på att det ska fin- nas en grundläggande dataskyddsnivå.

7.17.3Datasäkerhet och annat dataskydd

Bedömning: Den svenska lagstiftningen uppfyller rådsbeslu- tets krav på datasäkerhet och annat dataskydd.

Skälen för bedömningen: Översändande och mottagande myndigheter ska enligt rådsbeslutet vidta åtgärder så att person- uppgifter skyddas effektivt mot oavsiktlig eller otillåten utplå- ning, oavsiktlig förlust, obehörig tillgång, obehörig eller oavsikt- lig ändring och obehörigt offentliggörande (artikel 29.1). När det gäller direktåtkomst och det automatiska sökförfarandet fastställs olika säkerhetsåtgärder i genomförandebeslutet, som exempelvis vad som ska gälla i fråga om kryptering.

Allmänna krav på säkerhet vid behandling av personuppgifter regleras i 31 § personuppgiftslagen. Enligt den bestämmelsen ska den personuppgiftsansvarige bl.a. vidta lämpliga tekniska och

154

organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Bestämmelsen är tillämplig också på enskilda register eftersom det i stort sett saknas avvikande regler. Datainspektio- nen har gett ut allmänna råd om säkerhet för personuppgifter. Vidare finns särskilda bestämmelser i 3, 5 och 6 §§ arkivlagen (1990:782) om hur arkivhandlingar och arkiv ska hanteras, vilka är av betydelse för bevarande av förundersökningar (prop. 1997/98:44 s. 92). Det bör också nämnas att Europolkonventio- nen och Schengenkonventionen innehåller en reglering som motsvarar den i rådsbeslutet och att man vid genomförandet av dessa konventioner har bedömt att de allmänna skyddsreglerna i personuppgiftslagen uppfyller de säkerhetskrav som ställs (prop. 1996/97:164 s. 46, 1999/2000:64 s. 148 och 2006/07:33 s. 11). Samma bedömning har gjorts i propositionen om godkännande av Dataskyddsrambeslutet (prop. 2008/09:16 s. 52 f.). Det finns inte skäl att göra någon annan bedömning i detta lagstiftnings- ärende. Eftersom svensk rätt uppfyller kraven på datasäkerhet och annat dataskydd i rådsbeslutet krävs inte några lagändringar i detta avseende.

7.17.4Användningsbegränsningar

Förslag: Skyldigheten enligt lagen om internationellt polisiärt samarbete för svenska myndigheter att iaktta användningsbe- gränsningar som en annan stat har förelagt utvidgas, så att även uppgifter som har översänts i syfte att upprätthålla all- män ordning och säkerhet omfattas.

En ny bestämmelse införs som ger svenska myndigheter möjlighet att i enskilda fall ställa villkor för användandet av uppgifter som lämnas till en annan stat eller en mellanfolklig organisation, om villkor krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot svenska internationella åtaganden.

155

Skälen för förslaget

Villkor för användning av uppgifter som mottas

Rådsbeslutet begränsar staternas rätt att behandla personupp- gifter som har översänts. En begränsning ligger i den grundlägg- ande ändamålsbestämmelsen. Behandling hos en mottagande stat får bara ske för de syften för vilka uppgifterna har översänts (artikel 26.1). Behandling för andra syften är tillåten endast om det finns förhandstillstånd från den medlemsstat som admini- strerar uppgifterna, dvs. den stat som översänder eller gör upp- gifterna tillgängliga. Vidare begränsas kretsen av myndigheter som får hantera översända uppgifter till behöriga myndigheter, dvs. brottsbekämpande myndigheter och domstolar (artikel 27). För att en utländsk uppgift ska få lämnas vidare till en annan myndighet krävs att den översändande myndigheten på förhand lämnar tillstånd till detta och att den mottagande medlemssta- tens lagstiftning inte hindrar att uppgifterna behandlas av annan myndighet.

Rådsbeslutet begränsar alltså möjligheten att behandla upp- gifter och vissa av artiklarna får därför betraktas som en använd- ningsbegränsande reglering (se bl.a. prop. 1990/91:131 s. 25 och 2008/09:16 s. 40).

Svenska myndigheter som inom ramen för polisiärt samarbete får uppgifter från en annan stat är skyldiga att följa eventuella villkor som begränsar användningen, oavsett vad som annars är föreskrivet i lag eller annan författning. Bestämmelser om detta finns i 3 § lagen om internationellt polisiärt samarbete. Regle- ringen omfattar dock enbart uppgifter som överlämnats för an- vändning i underrättelseverksamhet om brott, vid utredning av brott eller i ett rättsligt förfarande med anledning av brott. Ut- byte av uppgifter med stöd av rådsbeslutet kan emellertid också komma att ske för andra syften än de nu nämnda. Uppgifter ska t.ex. kunna översändas för upprätthållande av allmän ordning och säkerhet vid vissa större evenemang med gränsöverskridande verkningar (artikel 13 och 14, se avsnitt 7.14). För att svenska

156

myndigheter ska vara skyldiga att iaktta de användningsbegräns- ningar som föreskrivs i rådsbeslutet beträffande uppgifter som översänts i syfte att upprätthålla ordning och säkerhet krävs att 3 § lagen om internationellt polisiärt samarbete ändras.

Villkor för användning av uppgifter som översänds

Rådsbeslutet aktualiserar också svenska myndigheters möjlighet att på motsvarande sätt ställa villkor för uppgifter som översänds till eller görs tillgängliga för brottsbekämpande myndigheter i andra medlemsstater (artikel 16.4). I dag kan villkor för använd- ningen ställas vid internationell rättslig hjälp (5 kap. 2 § LIRB) och internationellt tullsamarbete (2 kap. 7 § lagen om interna- tionellt tullsamarbete), men däremot inte vid internationellt polissamarbete. Eftersom det kan finnas lika starka skäl att ställa upp villkor för användningen av uppgifter som lämnas till en ut- ländsk stat som ett led i internationellt polissamarbete behöver regleringen göras heltäckande. Förfrågningar som görs av t.ex. Europol kan också aktualisera behov av användningsbegränsande villkor. Även i det informationsutbyte som sker med stöd av förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen kan en svensk myndighet behöva ställa upp villkor för användningen av uppgifter som utbyts (Ds 2008:72 s. 63 f.). Eftersom behovet av att kunna ställa sådana villkor är generellt bör det införas en regel om detta i lagen om internationellt polissamarbete. En svensk myndighet som översänder uppgifter eller gör uppgifter tillgäng- liga för en annan stat eller en mellanfolklig organisation ska såle- des få ställa upp villkor för användningen. Begreppet mellanfolk- lig organisation anses omfatta Europeiska unionens institutioner. Villkor som står i strid med våra internationella åtaganden får givetvis inte ställas upp. Det innebär att om en viss överens- kommelse inte tillåter att informationsutbytet begränsas genom villkor för användningen måste det respekteras. Den myndighet som har ställt ett villkor för användningen ska även kunna medge

157

undantag från villkoret. Någon särskild bestämmelse om detta krävs dock inte.

7.18Korrigering och bevarande av personuppgifter

Förslag: I förordning meddelas regler om i vilka situationer personuppgifter som inom ramen för Prümsamarbetet har översänts från eller gjorts tillgängliga av en annan stat ska utplånas, spärras eller märkas samt under vilka förutsättningar märkning ska kunna avlägsnas.

Bedömning: Rådsbeslutets reglering i fråga om rättelse krä- ver ingen lagstiftningsåtgärd.

Skälen för förslagen och bedömningen

Innehållet i rådsbeslutet

Rådsbeslutet anvisar flera metoder för att säkerställa att uppgif- ter som utbyts är korrekta och aktuella (artikel 28). Häri ingår särskilda bestämmelser om hur länge uppgifter får bevaras och i vilka fall de ska utplånas.

Felaktiga uppgifter eller uppgifter som inte borde ha över- sänts ska antingen rättas eller utplånas (artikel 28.1 och 28.3). Skyldigheten omfattar både sådana uppgifter som har översänts av en myndighet i annan stat och uppgifter som en svensk myn- dighet har inhämtat genom sökning i en annan medlemsstats re- gister.

När utplåning aktualiseras ska hänsyn tas till om det finns skäl att anta att utplåning skulle skada den berörda personens intressen (artikel 28.3). Om så är fallet ska uppgifterna i stället spärras, dvs. förses med anteckning om att uppgifterna inte får användas fritt. Uppgifter som har spärrats får därefter endast översändas eller användas i det syfte som ledde till att uppgif-

158

terna spärrades i stället för att utplånas. Det närmare förfarandet vid spärrning ska enligt rådsbeslutet regleras nationellt.

Om en berörd person bestrider att personuppgifterna är kor- rekta och det inte är möjligt att fastställa om så är fallet, kan uppgifterna på begäran av den personen i stället märkas i enlighet med nationell rätt (artikel 28.2). Sådan märkning får, enligt reg- ler i nationell rätt, avlägsnas endast om den person som uppgif- terna rör har lämnat sitt medgivande eller efter beslut av en be- hörig domstol eller en oberoende myndighet som ansvarar för övervakningen av dataskyddet. Märkning hindrar, i motsats till spärrning, inte att uppgifterna används (artikel 24 c).

När det gäller vilken av de anvisade metoderna som ska väljas, får rådsbeslutet uppfattas så att delvis felaktiga uppgifter normalt ska rättas. I fråga om uppgifter som i sin helhet är felaktiga, som inte borde ha översänts eller mottagits, som inte längre behövs för det syfte för vilka de översändes eller som inte längre får be- varas därför att den tidsfrist som fastställts för lagring av upp- gifterna i den översändande staten har löpt ut (artikel 28.3), är det inte lika givet hur rådsbeslutet ska tolkas. Bestämmelser av motsvarande slag har i tidigare lagstiftningsärenden tolkats så, att den personuppgiftsansvarige avgör vilken metod som ska använ- das för korrigering (prop. 1997/98:44 s. 87). Typiskt sett anses myndigheter inte, i strid med offentlighetsprincipen och arkiv- lagstiftningen, ha rätt att vidta åtgärder som innebär att uppgifter i allmänna handlingar raderas. Det vanliga är att felaktiga upp- gifter rättas och kompletteras. Uppgifter som inte längre behövs kan ofta gallras.

Utplåning av uppgifter

Utplåning av uppgifter kan, som framgått ovan, aktualiseras av fyra olika skäl enligt bestämmelserna i artikel 28. Rådsbeslutet föreskriver vidare att när ett kontaktställe i en annan stat har gjort en sökning i vägtrafikregistret, ska de fordonsuppgifter som har översänts från den staten utplånas när den automatiska

159

sökningen har besvarats och någon ytterligare behandling inte är nödvändig för registrering (artikel 26.3).

I rådsbeslutet används genomgående begreppet utplåning. I den engelska texten används begreppet ”delete”. Det finns skäl att inledningsvis uppehålla sig något vid terminologin.

När personuppgifter utplånas innebär det att uppgifterna för- störs eller behandlas på annat sätt, så att de inte längre kan an- vändas eller återskapas. Syftet är alltså att göra personuppgifterna oåtkomliga för alltid. Begreppet utplåna förekommer i person- uppgiftslagen (9 och 26 §§). I arkivsammanhang används i stället begreppet ”gallring” (2 kap. tryckfrihetsförordningen och 10 § arkivlagen). Gallring kan innebära förstörande (t.ex. att pappers- handlingar kastas). Även byte av datamedium räknas i vissa sammanhang som gallring, trots att informationen finns kvar. I bl.a. 27 kap. 24 § rättegångsbalken används uttrycket ”förstöra”. Den paragrafen reglerar hur upptagningar och uppteckningar som härrör från användning av hemliga tvångsmedel ska hante- ras. Det finns således inte några entydiga begrepp. I detta sam- manhang är det dock mest naturligt att välja samma uttryck som i rådsbeslutet, dvs. utplåna.

Vad gäller frågan om hur rådsbeslutet förhåller sig till svensk rätt kan vidare följande konstateras. Att utplåna personuppgifter på den grunden att uppgifterna är felaktiga motsvaras delvis av skyldigheten enligt 9 § första stycket h personuppgiftslagen att vidta alla rimliga åtgärder för att utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Däremot finns det inte någon regel om ut- plåning av uppgifter som inte borde ha sänts. Möjligen kan skyl- digheten att utplåna felaktigt översända uppgifter betraktas som ett generellt användningsbegränsande villkor. I 3 § lagen om in- ternationellt polisiärt samarbete regleras hur sådana villkor ska behandlas. Eftersom bestämmelserna om användningsbegräns- ningar syftar till begränsningar av ett mer aktivt förfarande, dvs. att använda erhållna uppgifter, är dock en sådan tolkning tvek- sam (jfr regeringens bedömning i prop. 2007/08: 83 s. 47). Dess- utom aktualiseras villkoret först i efterhand, vilket också stäm-

160

mer mindre väl med regleringen angående användningsbegräns- ningar. När det däremot gäller uppgifter som överskridit den längsta tillåtna tiden för bevarande rör det sig om ett villkor som är känt redan vid översändandet och som därmed kan sägas ut- göra ett villkor för att uppgifterna ska få användas. Därmed torde svenska myndigheter vara skyldiga att utplåna uppgifterna enligt 3 § lagen om internationellt polisiärt samarbete. Den svenska lagstiftningen kan därför anses uppfylla rådsbeslutets krav i sistnämnda hänseende.

Enligt rådsbeslutet ska vidare uppgifter utplånas om de i och för sig översänts korrekt, men inte längre är nödvändiga för det syfte för vilket de översändes. Enligt 13 § polisdatalagen ska person- uppgifter gallras om de inte längre behövs för sitt ändamål. För uppgifter i förundersökningar gäller i stället bestämmelserna i arkivlagen. Arkivlagen föreskriver dock inte någon allmän skyl- dighet att gallra uppgifter.

För de av polisens register som berörs av rådsbeslutet finns särskilda gallringsregler. För uppgifter i fingeravtrycksregister gäller Datainspektionens föreskrifter om gallring, vilka i sak överensstämmer med 31 § polisdatalagen.44 Enligt föreskrifterna ska uppgifter i fingeravtrycksregistret om en misstänkt person gallras när förundersökning eller åtal mot personen läggs ned eller när åtal ogillas. Uppgifterna får dock besvaras längre om andra uppgifter om den registrerade behandlas med stöd av 10 eller 11 § polisdatalagen. När sistnämnda uppgifter gallras ska även uppgifterna i fingeravtrycksregistret gallras. Om den regi- strerade döms ska uppgifterna i registret gallras senast vid den tidpunkt då uppgifterna gallras ur belastningsregistret.

Polisdatalagen innehåller olika gallringsbestämmelser för de tre DNA-registren. Uppgifter i DNA-registret ska gallras senast när uppgifterna om den registrerade gallras ur belastningsre- gistret. Uppgifter i utredningsregistret ska gallras senast när upp- gifterna om den registrerade får föras in i DNA-registret eller

44 Datainspektionens beslut den 1 december 2005, Dnr 698-2005, meddelat med stöd av punkten 2 i övergångsbestämmelserna till polisdatalagen samt 6 och 18 §§ datalagen.

161

när förundersökning eller åtal läggs ned, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade godkänner ett strafföreläggande som avser enbart böter. Det in- nebär att uppgifterna i utredningsregistret förs över till DNA-re- gistret om den misstänkte döms till annan påföljd än böter och att uppgifterna tas bort om någon lagföring inte sker, åtalet ogillas eller påföljden stannar vid böter. Uppgifter i spårregistret ska gallras senast trettio år efter registreringen.

Även om gällande lagstiftning innehåller gallringsbestämmel- ser som till vissa delar motsvarar rådsbeslutets krav ger den ut- rymme för att uppgifter kan bevaras även efter det att syftet med behandlingen har tillgodosetts. Detta gäller bl.a. uppgifter i för- undersökningar som i stället gallras enligt arkivlagstiftningen. Den nuvarande regleringen ska ses mot bakgrund av den grund- lagsskyddade offentlighetsprincipen och allmänhetens rätt att ta del av allmänna offentliga handlingar. För att uppfylla kraven i rådsbeslutet bör man därför också reglera kravet på att utplåna uppgifter som inte längre behövs för det ändamål för vilket de översändes.

För att få en samlad reglering bör en bestämmelse införas som ger tydligt stöd för att utplåna översända personuppgifter i alla de nu aktuella situationerna. Regleringen bör kunna tas in i förordning, eftersom den till stor del utgör en specialreglering för Prümrådssamarbetet och därmed enbart kompletterar be- fintliga bestämmelser.

Spärrning

Ibland kan det ligga i den registrerades intresse att personupp- gifter bevaras, trots att de enligt huvudregeln i rådsbeslutet skulle ha utplånats. Detta beaktas i rådsbeslutet genom att det ges möjlighet att i stället spärra uppgifter, om utplåning skulle innebära skada för den person uppgifterna rör (artikel 28.3).

Eftersom spärrning utgör ett alternativ till utplåning kan spärrning aktualiseras i samtliga situationer där uppgifter ska

162

utplånas. Det innebär att uppgifter kan spärras om de är felak- tiga, inte borde ha översänts, inte längre behövs för det ur- sprungliga ändamålet eller när den översändande statens längsta tillåtna tid för bevarande har löpt ut. För att uppfylla kraven i rådsbeslutet måste en särskild regel om spärrning införas i för- ordning.

Ett beslut om spärrning begränsar möjligheterna till fortsatt behandling. Spärrning torde dock inte hindra att uppgifterna lämnas ut enligt bestämmelserna i 2 kap. tryckfrihetsförord- ningen.

Märkning

Som redovisats ovan kan märkning aktualiseras på begäran av den person som uppgifterna rör, om personen bestrider uppgifternas korrekthet och det inte är möjligt att fastställa om de är korrekta eller felaktiga (artikel 28.2). Sådan märkning får, enligt närmare regler i nationell rätt, avlägsnas endast om den person som upp- gifterna rör har lämnat sitt medgivande eller efter beslut av en behörig domstol eller en oberoende myndighet som ansvarar för övervakningen av dataskyddet.

Det finns inga tillämpliga regler om märkning i svensk rätt. I propositionen om godkännande av rådsbeslutet konstaterade regeringen att det är oklart i vilken mån Sverige måste införa ett märkningsförfarande för personuppgifter som översänds eller mottas med stöd av rådsbeslutet. Regeringen fann att medlems- staterna visserligen är skyldiga att reglera märkningsförfarandet, men att de själva råder över den närmare utformningen av reg- lerna och vilka begränsningar som ska gälla (prop. 2007/08:83 s. 47).

Det finns inte skäl att frångå regeringens preliminära bedöm- ning att man måste reglera märkning av uppgifter i syfte att värna enskildas integritetsskydd. Därför ska en regel införas som möjliggör märkning av personuppgifter på begäran av den person som uppgifterna rör, om den berörda personen bestrider person-

163

uppgifternas korrekthet och det inte kan fastställas om uppgif- terna är riktiga eller inte. Ett beslutet om märkning förutsätter en viss utredning om uppgiftens riktighet. Går det att fastställa att uppgiften är korrekt ska givetvis ingen märkning ske och om den är felaktig ska den enligt huvudregeln rättas eller utplånas.

Om uppgifter har märkts ska märkningen som huvudregel kunna avlägsnas endast efter medgivande av den person som uppgiften rör. Märkning ska emellertid också kunna avlägsnas efter särskilt beslut.

Rådsbeslutet förutsätter alltså att den berörda personen en- dera lämnar sitt medgivande till åtgärden eller att en domstol eller oberoende tillsynsmyndighet fattar beslut i frågan. Efter- som märkning tillkommer på den enskildes initiativ är det uppenbart att personen i fråga knappast är intresserad av att märkningen avlägsnas om det senare visar sig att den omstridda uppgiften är korrekt. Det måste därför finnas möjlighet att få märkningen avlägsnad mot den enskildes vilja. Märkningen bör för det första kunna tas bort om en domstol i ett lagakraftvunnet beslut har funnit att den omstridda uppgiften är korrekt eller felaktig, dvs. om uppgiftens korrekthet har kunnat fastställas. En sådan bedömning skulle t.ex. kunna göras mot bakgrund av ut- talanden i en brottmålsdom om faktiska förhållanden eller annat. Vidare bör ett beslut om märkning kunna upphävas av Datain- spektionen på begäran antingen av den berörda personen eller den myndighet som förfogar över uppgiften. En särskild regel om detta bör införas.

Enligt 51 § personuppgiftslagen finns det en generell möjlig- het att hos allmän förvaltningsdomstol, dvs. länsrätt, överklaga en tillsynsmyndighets beslut enligt den lagen. Eftersom det sak- nas regler om märkning i personuppgiftslagen kan nämnda be- stämmelse dock inte anses vara tillämplig på Datainspektionens beslut i fråga om märkning (se bl.a. Ds 2008:81 s. 98 f.). Att det med stöd av allmänna förvaltningsrättsliga principer anses finnas möjlighet att överklaga tillsynsmyndigheters beslut torde inte vara tillräckligt för att uppfylla förpliktelserna i rådsbeslutet. Det

164

bör därför införas en särskild regel om överklagande av Datain- spektionens beslut i en fråga om märkning.

Märkningsförfarandet i sin helhet kräver alltså särskild regle- ring. Denna kan tas in i förordning.

Rättelse

Som framhållits inledningsvis i detta avsnitt ska felaktiga per- sonuppgifter kunna rättas eller utplånas (artikel 28.1). I 28 § per- sonuppgiftslagen regleras möjligheten att kräva att felaktiga per- sonuppgifter rättas. Paragrafen gäller vid behandling av uppgifter i polisens verksamhet och i vägtrafikregistret. Bestämmelsen om rättelse i personuppgiftslagen kan emellertid åberopas enbart av fysiska personer. Det är oklart om rådsbeslutet har motsvarande begränsning. Eftersom informationsutbytet (med undantag för vissa fordonsuppgifter) har tydlig inriktning på uppgifter om fysiska personer torde nämnda begränsning sakna praktisk bety- delse. Någon lagstiftningsåtgärd krävs därför inte i denna del.

Sammanfattande slutsatser

Rådsbeslutet kräver ny reglering av såväl utplånande som spärr- ning och märkning. I förordning bör föreskrivas att personupp- gifter som har översänts från, eller gjorts tillgängliga av, en annan stat ska utplånas om

1.uppgifterna är felaktiga,

2.uppgifterna inte borde ha översänts,

3.uppgifterna i och för sig har översänts och mottagits korrekt, men inte längre är nödvändiga för det ändamål för vilket de översändes, eller

4.den längsta tid för bevarande som en utländsk myndighet med stöd av nationell lagstiftning har angett i samband med översändandet har överskridits.

165

Uppgifterna ska i stället spärras om utplåning av uppgifterna skulle skada den som uppgifterna rör.

Dessutom ska personuppgifter kunna märkas på begäran av den som uppgifterna rör, om denne bestrider att uppgifterna är korrekta och deras korrekthet inte kan fastställas.

Det bör framhållas att det knappast kommer att bli vanligt att reglerna om spärrning och märkning aktualiseras, bl.a. därför att rådsbeslutets informationsutbyte i huvudsak rör ett fåtal typer av personuppgifter. Det kan dock inte uteslutas att det exempelvis finns oklarheter angående identiteten på någon vars DNA-profil eller fingeravtryck har registrerats eller att det pågår en tvist an- gående på vem ett visst fordon rätteligen ska vara registrerat.

7.19Kontroll och tillsyn

7.19.1Underrättelse- och informationsskyldighet

Förslag: Det införs en skyldighet för kontaktstället att underrätta mottagaren av uppgifterna i en annan stat om att översända uppgifter visat sig vara felaktiga eller inte borde ha översänts. Kontaktstället ska också på begäran informera en översändande stat om behandlingen av de översända uppgif- terna och om de resultat som har erhållits. Dessa skyldigheter regleras i förordning.

Bedömning: Gällande lagstiftning uppfyller rådsbeslutets krav på information till en registrerad person om vilka upp- gifter om vederbörande som är eller har varit föremål för be- handling.

166

Skälen för förslaget och bedömningen

Kontaktställets skyldigheter

Översändande stat och mottagande organ har en ömsesidig underrättelseskyldighet, om det visar sig att uppgifterna var fel- aktiga eller om de inte borde ha översänts (artikel 28.1). Vidare ska en mottagande stat på begäran informera den översändande staten om behandlingen av de översända uppgifterna och om de resultat som har erhållits (artikel 32).

Skyldigheten att informera om att översända uppgifter är fel- aktiga, eller inte borde ha översänts, är ett av flera moment i rådsbeslutet som syftar till att säkerställa att de uppgifter som utbyts är korrekta och aktuella (se även avsnitt 7.18). Underrät- telseskyldigheten, som bör åvila kontaktstället, bör därför komma till direkt uttryck i författning men kan regleras i för- ordning.

Frågan är vilken myndighet i den andra staten som ska under- rättas. Ett alternativ är att enbart underrätta den andra statens kontaktställe. Ett annat är att underrätta både kontaktstället och andra mottagare som man känner till. Det sistnämnda alternati- vet torde vara det som står bäst i överensstämmelse med tan- karna bakom rådsbeslutet och hänsynen till enskilda. Om det är känt att en viss myndighet har mottagit uppgiften bör denna så snart som möjligt få kännedom om att uppgiften är felaktig eller inte borde ha översänts. Däremot kan det inte krävas att svenska myndigheter undersöker vilken eller vilka myndigheter som eventuellt har fått uppgifterna från det utländska kontaktstället.

För att det svenska kontaktstället ska kunna fullgöra sin skyl- dighet bör den myndighet som ansvarar för den översända in- formationen åläggas att underrätta kontaktstället, om det visar sig att översända uppgifter är felaktiga eller inte borde ha över- sänts.

Vidare krävs det en bestämmelse om det svenska kontaktstäl- lets skyldighet att på begäran av ett kontaktställe i en stat infor- mera om behandlingen av de översända uppgifterna och om de

167

resultat som har erhållits. Någon direkt motsvarighet till denna skyldighet finns inte i svensk lagstiftning, även om det i flera författningar finns regler som ålägger svenska myndigheter att informera översändande stat om hur översända uppgifter har an- vänts. Även denna skyldighet kan regleras i förordning.

Information till enskilda

Enligt artikel 31 i rådsbeslutet har en registrerad person bl.a. rätt att på begäran informeras om de uppgifter om vederbörande som är eller har varit föremål för behandling. De närmare formerna för informationen, däribland frågan i vilken utsträckning sekre- tess kan begränsa rätten till information, regleras nationellt. Rådsbeslutet föreskriver att den registrerade ska få del av infor- mationen utan oskäliga avgifter, i en förståelig form och utan oacceptabla dröjsmål. Informationen ska omfatta åtminstone uppgifternas ursprung, mottagare eller kategori av mottagare, det avsedda ändamålet med behandlingen och, när så krävs i nationell lagstiftning, dess rättsliga grund.

I 23–27 §§ personuppgiftslagen finns generella bestämmelser om information till den registrerade. Bestämmelserna är tillämp- liga på behandling av personuppgifter i polisens verksamhet och i vägtrafikregistret, eftersom det varken i polisdatalagen eller i la- gen om vägtrafikregister finns några särregler.

Från integritetssynpunkt är 26 § personuppgiftslagen mycket viktig. Berörda personer har som huvudregel rätt att få informa- tion om de uppgifter som finns registrerade om dem. Var och en som ansöker om det har rätt att en gång om året gratis få infor- mation från den personuppgiftsansvarige om vilka personupp- gifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av motta- gare uppgifterna lämnats. Rätten till information gäller dock inte om uppgifterna omfattas av sekretess eller tystnadsplikt (27 § personuppgiftslagen). Eftersom rådsbeslut medger att rätten till

168

information begränsas i enlighet med nationell lagstiftning be- hövs det inte några lagändringar i detta avseende.

7.19.2Behörighet att genomföra sökningar

Förslag: Rikspolisstyrelsen ska ange vilka tjänstemän som får genomföra automatiska sökningar i andra staters register med stöd av rådsbeslutet. Detta regleras i förordning.

Bedömning: Inget hindrar att förteckningar över behöriga tjänstemän på begäran lämnas ut till tillsynsmyndigheter eller till andra stater som deltar i Prümrådssamarbetet.

Skälen för förslaget och bedömningen: Rådsbeslutet före- skriver att de tjänstemän som ska få genomföra automatiska sök- ningar och automatiska jämförelser i andra medlemsstaters data- baser ska ha särskilt bemyndigande (artikel 30.2 a). En förteck- ning över dessa tjänstemän ska på begäran lämnas ut till tillsyns- myndigheterna och till övriga medlemsstater.

Rådsbeslutets begränsning av kretsen av tjänstemän som får genomföra automatiska sökningar och jämförelser kan i och för sig betraktas som en sådan skyddsåtgärd som avses i 31 § person- uppgiftslagen. För att svensk rätt med säkerhet ska uppfylla rådsbeslutets förpliktelser bör det emellertid av en uttrycklig be- stämmelse framgå att kretsen av tjänstemän som ska kunna genomföra automatiska sökningar med stöd av rådsbeslutet ska begränsas. En lämplig ordning är att kontaktstället, dvs. Rikspo- lisstyrelsen, genom särskilda beslut pekar ut vilka tjänstemän som har sådan behörighet och ansvarar för den dokumentation som på begäran ska lämnas till tillsynsmyndigheter och andra medlemsstater. Detta kan regleras i förordning.

Det finns inte några sekretessregler eller andra bestämmelser som hindrar att en förteckning över sådana tjänstemän överläm- nas till tillsynsmyndigheter eller till andra medlemsstater. Råds- beslutets krav i denna del är därmed uppfyllt.

169

7.19.3Tillsyn

Förslag: Datainspektionen utses till tillsynsmyndighet enligt rådsbeslutet, vilket rådets generalsekretariat ska underrättas om. I förordning meddelas bestämmelser om tillsynsmyndig- hetens särskilda uppgifter enligt rådsbeslutet och dess möjlig- het att utföra kontroller, att begära vissa upplysningar av myndigheter i andra stater som deltar i Prümrådssamarbetet och att anmoda dataskyddsmyndigheter i sådana stater att genomföra nödvändiga inspektioner.

Skälen för förslaget: Enligt rådsbeslutet ska staternas data- skyddsmyndigheter eller, i förekommande fall, de rättsliga myn- digheterna i medlemsstaten, övervaka utbytet av personuppgifter ur ett rättsligt perspektiv (artikel 30.5). Var och en ska hos en sådan myndighet, i enlighet med nationell rätt, kunna ansöka om att få lagligheten av personuppgiftsbehandlingen granskad. Myndigheterna ska också genom stickprov kontrollera laglighe- ten. Sådana kontroller ska även utföras av de registreringsskyl- diga organen. Resultaten av kontrollerna ska för granskningsän- damål förvaras hos dataskyddsmyndigheterna i 18 månader (arti- kel 30.5). Därefter ska de omedelbart utplånas. En dataskydds- myndighet ska kunna anmoda en sådan myndighet i en annan medlemsstat att utföra kontroller i enlighet med sina nationella befogenheter. Samarbete ska vidare bl.a. kunna ske genom ut- byte av relevant information (artikel 30.5).

Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen (2 § personuppgiftsförordningen). För sin tillsyn har Data- inspektionen rätt att på begäran få tillgång till de personuppgif- ter som behandlas, upplysningar om och dokumentation av be- handlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (43 § personuppgiftslagen). Inom ramen för tillsynen kan alltså bl.a. besök och egeninitierade granskningar göras (prop. 1997/98:44 s. 102).

170

Det är naturligt att Datainspektionen utses till tillsyns- myndighet för personuppgiftsbehandling som utförs med stöd av rådsbeslut, på samma sätt som inspektionen har den rollen när det gäller annan personuppgiftsbehandling inom polisen. Inspek- tionens allmänna befogenheter regleras i personuppgiftslagen och personuppgiftsförordningen. De särskilda uppgifter som myndigheten ska fullgöra enligt rådsbeslutet bör regleras i för- ordning. Uppdraget som tillsynsmyndighet bör också föranleda en ändring i myndighetens instruktion, t.ex. genom ett tillägg i 2 § förordningen (2007:975) med instruktion för Datainspektio- nen.

Ansvaret för tillsynen delas enligt rådsbeslutet mellan de be- rörda nationella dataskyddsmyndigheterna. Rådsbeslutet bör uppfattas så att Datainspektionen har ansvaret för tillsynen över behandling i de svenska registren och för sökningar som det svenska kontaktstället utför i andra medlemsstaters register.

På anmodan av en dataskyddsmyndighet i en annan stat som deltar i Prümrådssamarbetet ska tillsynsmyndigheten utföra in- spektioner om detta är nödvändigt för samarbetet. Även om Datainspektionen har generell möjlighet att utföra inspektioner som ett led i sin tillsyn bör den direkta skyldigheten att agera på en annan stats begäran komma till uttryck i författning, men den kan regleras i förordning. Rådsbeslutets bestämmelser om förva- ring och utplåning av kontrollresultat och skyldigheten att över- sända uppgifter om kontrollresultat till en dataskyddsmyndighet i en annan medlemsstat bör regleras på samma sätt. Likaså bör tillsynsmyndighetens rätt att anmoda en myndighet i en annan medlemsstat att genomföra nödvändiga inspektioner för att kontrollera behandlingen av personuppgifter som härrör från Sverige, och möjligheten att begära de uppgifter som rör be- handlingen, regleras. Datainspektionen avgör själv de närmare formerna för tillsynen och samarbetet med andra dataskydds- myndigheter.

Vid sidan av Datainspektionen har Säkerhets- och integritets- skyddsnämnden vissa tillsynsuppgifter enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet. Nämnden

171

har tillsyn över Säkerhetspolisens behandling av uppgifter enligt polisdatalagen. Enskilda har möjlighet att vända sig till nämnden och begära särskild kontroll. Tillsynen utövas bl.a. genom in- spektioner (prop. 2006/07:133 s. 68 f.). Nämndens tillsynsupp- gifter påverkas inte av rådsbeslutet.

Enligt artikel 19 i genomförandebeslutet ska rådets general- sekretariat underrättas om att Datainspektionen är tillsynsmyn- dighet enligt rådsbeslutet.

7.19.4Registreringsskyldighet

Förslag: Skyldigheten att för kontrolländamål registrera vad som översänds respektive mottas med stöd av Prümrådssam- arbetet på annat sätt än genom direktåtkomst samt den övriga registreringsskyldighet som föreskrivs i rådsbeslutet regleras i förordning. Registreringsskyldigheten ska åvila kontaktstället och det organ som administrerar databasen.

Skälen för förslagen

Rådsbeslutet föreskriver skyldighet att för kontrolländamål regi- strera både sådana uppgifter som har översänts eller mottagits på annat sätt än genom direktåtkomst och uppgifter som erhålls genom automatisk sökning eller automatisk jämförelse. Skyldig- heten gäller dels för kontaktstället, dels för det organ som admi- nistrerar databasen.

För att det ska vara möjligt att i efterhand kontrollera sök- ningarna är medlemsstaterna skyldiga att vid varje icke-automa- tiskt översändande eller mottagande av personuppgifter föra re- gister som visar hur de översända uppgifterna har behandlats (artikel 30.1). Av registreringen ska framgå skälet till översän- dandet, vilka uppgifter som har översänts och när det skedde, namn eller annan beteckning på det sökande organet och vem

172

som administrerar databasen. Registreringsskyldigheten åvilar både det sökande organet och den som administrerar databasen.

I fråga om automatiska sökningar och automatiska jämförelser i ett register som förs av en annan medlemsstat ska registreringen ge uppgift om sökningen eller jämförelsen lett till träff eller inte, vilka uppgifter som översänts och exakt när detta skedde samt namn eller annan beteckning på det sökande organet och den som administrerar databasen (artikel 30.2). Registreringsskyl- digheten åvilar både det sökande organet och den som admini- strerar databasen. Det sökande organet ska dessutom ange syftet med sökningen eller jämförelsen och vilken tjänsteman som har beslutat om denna.

Den som är registreringsskyldig ska, utan dröjsmål och senast fyra veckor efter det att begäran kom in, delge den berörda medlemsstatens dataskyddsmyndigheter de registrerade uppgif- terna (artikel 30.3). Den andra staten får endast använda uppgif- terna för att övervaka dataskyddet och garantera datasäkerheten. Uppgifterna ska lagras i två år (artikel 30.4). När lagringstiden har löpt ut, ska uppgifterna utan dröjsmål utplånas.

Den noggrant reglerade registreringsskyldigheten ska ses mot bakgrund av att man inför direktåtkomst till vissa uppgifter. Di- rektåtkomsten innebär att kontrollen av att sökningarna eller jämförelserna har varit korrekta alltid måste ske i efterhand. En betydande del av registreringsskyldigheten torde med fördel kunna skötas automatiskt. Det gäller t.ex. registrering av när uppgifter har översänts eller mottagits, vilka uppgifter det rör sig om, namn eller annan beteckning på den sökande samt uppgift om vem som administrerar databasen.

Registreringsskyldigheten kan regleras i förordning. Den bör begränsas till de uppgifter som är obligatoriska enligt rådsbeslu- tet. Skyldigheten att för kontrolländamål lagra registrerade upp- gifter i två år, liksom skyldigheten att därefter utplåna uppgif- terna, bör regleras på samma sätt.

Även om Rikspolisstyrelsen enligt 22 § polisdatalagen för de svenska DNA-registren sköts den praktiska hanteringen av SKL i egenskap av personuppgiftsbiträde. Rikskriminalpolisen, som är

173

en del av Rikspolisstyrelsen, ansvarar för registrering och kvali- tetssäkring av fingeravtryck, medan SKL sköter en stor del av arbetet med analys och jämförelser. Det bör därför ankomma på Rikspolisstyrelsen att, om det behövs, meddela närmare före- skrifter för registreringen.

När det gäller vägtrafikregistret utbyts uppgifter enbart ge- nom direktåtkomst. Avser utbytet personuppgifter (ägare och innehavare av fordon) är Rikspolisstyrelsen registreringsskyldig i egenskap av kontaktställe (se avsnitt 7.13) och Transportstyrel- sen i egenskap av administratör för registret. Som framgått ovan är det något färre uppgifter som ska registreras vid direktåt- komst.

Sammanfattningsvis krävs det bestämmelser som återspeglar skyldigheten att för kontrolländamål registrera uppgifter som har översänts eller mottagits både genom direktåtkomst och på annat sätt. Registreringsskyldigheten åvilar kontaktstället och det organ som administrerar databasen (om det inte är samma organ). Det krävs också en särskild regel om gallring av de regi- strerade uppgifterna.

7.20Rätten att överklaga och begära skadestånd

Bedömning: Den svenska lagstiftningen uppfyller rådsbeslu- tets krav i fråga om berörda personers rätt att överklaga och begära skadestånd för felaktig behandling av personuppgifter.

Skälen för bedömningen

Innehållet i rådsbeslutet

Medlemsstaterna ska säkerställa att personer, vars rätt till data- skydd har kränkts, har möjlighet att överklaga hos en oavhängig domstol eller hos en oberoende tillsynsmyndighet och att perso- nen kan kräva skadestånd eller annan ersättning (artikel 31.1).

174

Förfarandet för att hävda dessa rättigheter och skälen till eventu- ella begränsningar följer nationell rätt i den medlemsstat där per- sonen hävdar sina rättigheter. Rådsbeslutet hänvisar till de rättig- heter som föreskrivs i artikel 6.1 i Europakonventionen. Enligt den bestämmelsen har en person, vid prövningen av hans eller hennes civila rättigheter och skyldigheter eller vid en anklagelse mot honom för brott, rätt till domstolsprövning inom skälig tid. Det centrala i bestämmelsen är tillgång till domstol och att pröv- ningen uppfyller vissa rättsliga garantier.

Rätten att överklaga

Den svenska lagstiftningen lever redan upp till kraven på tillgång till rättsmedel i Europakonventionen och rådsbeslutet. Datain- spektionen granskar som tillsynsmyndighet myndigheters be- handling av personuppgifter, bl.a. efter anmälan från enskilda. Datainspektionens befogenheter enligt 43–47 §§ personuppgifts- lagen gäller vid den behandling av personuppgifter som informa- tionsutbytet omfattar. Datainspektionens beslut enligt person- uppgiftslagen får överklagas till allmän förvaltningsdomstol, dvs. i första instans länsrätt. Enligt 52 § personuppgiftslagen får en myndighets beslut om information och rättelse, underrättelse till tredje man samt upplysningar till allmänheten överklagas till för- valtningsdomstol. Den paragrafen är tillämplig på polisens regis- ter, eftersom polisdatalagen inte innehåller någon från person- uppgiftslagen avvikande regel om överklagande, och på polisens personuppgiftsbehandling i övrigt. När det gäller vägtrafikre- gistret föreskrivs i 34 § lagen om vägtrafikregister att bl.a. beslut om rättelse eller information enligt personuppgiftslagen överkla- gas hos länsrätten i Örebro län. Det finns således bestämmelser som ger möjlighet att överklaga felaktiga registreringar i alla de berörda registren och i polisens personuppgiftsbehandling i övrigt.

175

Eftersom den svenska lagstiftningen uppfyller rådsbeslutets krav i fråga om rätt att överklaga felaktig behandling av person- uppgifter krävs inga lagändringar.

Skadestånd

Medlemsstaterna ska, som nyss nämnts, säkerställa att en person, som hävdar att uppgifter om honom eller henne är felaktiga eller har behandlats på ett otillbörligt sätt, har möjlighet att kräva skadestånd. En mottagande myndighet i en medlemsstat kan inte undgå skadeståndsansvar gentemot en enskild person genom att hävda att uppgifter som den staten har mottagit från en annan medlemsstat är felaktiga (artikel 31.2). Myndigheten kan där- emot göra anspråk på ersättning från den översändande myndig- heten (regressanspråk).

I 48 § personuppgiftslagen finns allmänna bestämmelser om enskildas möjlighet att kräva skadestånd för den kränkning av den personliga integriteten som en behandling av personuppgif- ter i strid med lagen har orsakat. Skadestånd kan komma i fråga vid varje brott mot lagen och ska utgå trots att ingen har skadats fysiskt eller ekonomiskt. Det krävs inte heller att den person- uppgiftsansvarige har haft uppsåt att göra fel eller varit försumlig vid behandlingen. Den stränga regleringen tar sin utgångspunkt i lagens huvudsakliga syfte att skydda människor mot kränkning av den personliga integriteten (SOU 1997:39 s. 432 och prop. 1997/98:44 s. 106). Rätten till skadestånd gäller dock enbart fysiska personer. En juridisk person som anser att behandlingen av uppgifter vållat skada har möjlighet att vända sig till Justitie- kanslern eller till allmän domstol och begära skadestånd av staten enligt allmänna regler.

Det finns inga särbestämmelser om skadestånd för sådan uppgiftsbehandling som sker i nu aktuella register eller vid poli- sens personuppgiftsbehandling i allmänhet. Personuppgiftsla- gens reglering rörande skadestånd omfattar därför även sådan be- handling. I den utsträckning ersättningsfrågan inte berörs i per-

176

sonuppgiftslagen, t.ex. hur ersättningen för en skada ska beräk- nas, tillämpas de allmänna reglerna i skadeståndslagen.

Staternas skyldigheter vid regressanspråk är mellanstatliga och kräver därför ingen lagstiftningsåtgärd. Som regeringen tidi- gare framhållit kan det emellertid finnas anledning att i lämpligt sammanhang överväga att reglera formerna för handläggningen av sådana regresskrav (prop. 2008/09:16 s. 55).

Sammanfattningsvis uppfyller svensk rätt rådsbeslutets be- stämmelser i fråga om skadestånd. Det krävs därför inte några lagstiftningsåtgärder.

7.21Rådsbeslutets effekter på övriga brottsbekäm- pande myndigheter

Trots att vissa delar av rådsbeslutet enbart rör polisiära frågor, som upprätthållande av allmän ordning och säkerhet, bistånd med polisiära resurser vid större evenemang med gränsöverskri- dande verkningar och sökning i register som administreras av polisen, så berör rådsbeslutet också andra brottsbekämpande myndigheter.

Tullverket, Ekobrottsmyndigheten i dess polisverksamhet och i någon mån även Kustbevakningen och Skatteverkets brottsutredande enheter kommer att kunna dra fördel av möjlig- heten att utbyta sådan information som omfattas av rådsbeslutet. Även om Tullverkets och Kustbevakningens brottsbekämpande uppgifter enbart omfattar vissa i författning angivna brottstyper så har dessa myndigheter i princip samma uppgifter som polisvä- sendet i sin brottsbekämpande verksamhet. Kustbevakningens rätt att inleda och bedriva förundersökning är dock mycket be- gränsad. Detta utesluter emellertid inte att båda myndigheterna snabbt behöver kunna kontrollera vissa uppgifter. Det före- kommer inte sällan nära samverkan mellan polisen och Tullver- ket eller Kustbevakningen i det brottsbekämpande arbetet. Självfallet kan det även i en sådan situation behövas ett snabbt informationsutbyte. Ett sådant exempel är att polisen, Tullverket

177

och Kustbevakningen samarbetar vid ett planerat ingripande i ett kustnära område och då bl.a. snabbt måste få tillgång till uppgif- ter om vem som innehar ett fordon som är registrerat i en annan stat. Genom rådsbeslutet förbättras informationsutbytet i för- hållande till dagens ordning.

För Tullverket kan möjligheten att automatiskt söka efter uppgifter ur andra medlemsstaters DNA- och fingeravtrycksre- gister få betydelse när spår av det slaget har säkrats i en förun- dersökning om smugglingsbrott, men också i annan brottsbe- kämpande och brottsutredande verksamhet.

Samtliga brottsbekämpande myndigheter behöver också snab- bare och enklare få tillgång till fler registeruppgifter, bl.a. mot bakgrund av den ökande gränsöverskridande brottsligheten. Di- rektåtkomst till andra medlemsstaters DNA-, fingeravtrycks- och fordonsuppgifter är därför av stor betydelse i den dagliga verksamheten.

När det blir aktuellt att utbyta information med stöd av råds- beslutet ska detta praktiskt hanteras av Rikspolisstyrelsen i egen- skap av nationellt kontaktställe. Detta gäller såväl svenska för- frågningar som framställningar från utländska myndigheter om information. Därför kommer övriga myndigheter inte att beröras av de ändringar som krävs för att möjliggöra sökningar i utländ- ska register. Trots att kontakterna går via Rikspolisstyrelsen be- rörs emellertid den brottsbekämpande myndighet som har initie- rat en sökning eller mottagit information med stöd av rådsbe- slutet av reglerna i detta, t.ex. när det gäller hur uppgifterna får användas och i vilka fall de ska utplånas.

De särskilda författningar om personuppgiftsbehandling som gäller för övriga brottsbekämpande myndigheter har betydande likheter med regleringen i polisdatalagen. Som konstaterats i propositionen om godkännande av dataskyddsrambeslutet ger alla dessa författningar samma grundläggande dataskydd (se prop. 2008/09:16 och avsnitt 4.3). De innehåller bl.a. bestämmel- ser om gallring, rättelse, blockering och utplåning. Personupp- giftslagens bestämmelser om information till den registrerade är tillämpliga.

178

Enligt 24 § förordningen om behandling av personuppgifter inom Kustbevakningen ska uppgifter som huvudregel gallras när de inte längre behövs med hänsyn till ändamålen med behand- lingen. Motsvarande gäller för Skatteverkets brottsbekämpande verksamhet enligt 15 § lagen (1999:90) om behandling av per- sonuppgifter vid Skatteverkets medverkan i brottsutredningar. Även för Tullverkets brottsbekämpande verksamhet finns en särskild gallringsregel, 27 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Enligt den paragrafen ska uppgifter som behandlas automatiserat i ett ärende som huvudregel gallras senast ett år efter det att ärendet avslutades. Bestämmelserna om gallring gäller inte förundersök- ningar.

Dessa gallringsbestämmelser uppfyller inte i alla delar kraven på utplånande i rådsbeslutet, då de lämnar visst utrymme att be- vara uppgifter. Eftersom myndigheterna ska tillämpa de särskilda reglerna i lagen om internationellt polissamarbete på uppgifter som erhålls med stöd av rådsbeslutet krävs dock inga ändringar i deras lagstiftning om behandling av personuppgifter.

7.22Rådsbeslutets effekter på Transportstyrelsen

Sedan flera år förekommer utbyte av fordonsinformation mellan medlemsstaterna i Europeiska unionen, bl.a. inom ramen för kommunikationsnätverket EUCARIS (se vidare avsnitt 5.4.2). Med stöd av EUCARIS kan uppgifter utbytas om tillverkare och bilmodell, typ av fordon, färg, vilken typ av bränsle fordonet an- vänder och en statussignal som bl.a. indikerar om bilen är stulen eller skrotad. Rådsbeslutet föreskriver att direktåtkomsten till fordonsregister, utöver uppgifter om själva fordonet, också om- fattar uppgifter om vem som är fordonets ägare och innehavare. Det innebär att ytterligare uppgifter kan utväxlas.

Eftersom rådsbeslutet syftar till utbyte av polisiär informa- tion förslås Rikspolisstyrelsen fungera som kontaktställe även för information från vägtrafikregistret. Detta ska bl.a. ses mot

179

bakgrund av att den information som utbyts kan omfattas av sekretess som inte är tillämplig i Transportstyrelsens verksam- het.

Lagstiftningen om vägtrafikregister är, som redovisats i av- snitt 6.4.3, föremål för en total översyn. De författningsändring- ar som genomförandet av rådsbeslutet kräver (se avsnitt 7.10) kommer sannolikt att påverkas av översynen, särskilt om denna leder till helt ny lagstiftning.

7.23Rådsbeslutets tekniska krav

Genomförandet av rådsbeslutet kräver också att medlemssta- terna, dvs. ytterst de berörda myndigheterna, vidtar ett antal tek- niska åtgärder med sina register, för att möjliggöra att andra medlemsstater får direktåtkomst till vissa uppgifter (se även av- snitt 9). Detta gäller framför allt automatiska sökningar och automatiska jämförelser, dvs. utbyte av uppgifter om DNA-pro- filer, fingeravtryck och fordon. I genomförandebeslutet före- skrivs bl.a. att vissa gemensamma tekniska specifikationer ska iakttas, att fastställda principer för uppgiftsutbytet måste följas samt att viss sökningskapacitet ska kunna upprätthållas. När det gäller dessa frågor föreskriver rådsbeslutet en genomförandetid på tre år. Det innebär att myndigheterna behöver ha fungerande tekniska lösningar som uppfyller kraven i rådsbesluten först i augusti 2011.

180

Associationsavtalet mellan Europeiska unionen samt Norge och Island omfattar artikel 1–24, 25.1, 26–32 och 34 i rådsbeslu- tet samt artikel 1–19 och 21 i genomförandebeslutet, dvs. i reali- teten alla delar av samarbetet. Vidare ska de förklaringar som medlemsstaterna avger i enlighet med rådsbesluten också tilläm- pas i förhållande till Norge och Island.

I ingressen till associationsavtalet framhålls vikten av att för- bättra polissamarbetet och det rättsliga samarbetet mellan Euro- peiska unionens medlemsstater samt Norge och Island. Dess- utom pekas bl.a. på det nära samarbete i kampen mot brottslig- heten som redan bedrivs inom ramen för Schengenregelverket.

Norge och Island är som framgått redan integrerade i delar av Europeiska unionens polisiära och rättsliga samarbete. Staterna omfattas också av samarbetet angående internationell rättslig hjälp i brottmål. Även om riksdagen ännu inte har underställts associationsavtalet för godkännande talar mycket för att ett god- kännande kommer att aktualiseras inom en snar framtid. Det kan därför vara lämpligt att i detta sammanhang ta hänsyn till Norges och Islands förväntade associering till rådsbeslutet genom att utforma lagstiftningen generellt. Om man redan nu utgår från att Prümrådssamarbetet kan komma att omfatta även stater som inte är medlemmar i Europeiska unionen begränsar man behovet av lagstiftningsändringar om framtida associeringar förverkligas. Eftersom associeringen och tillämpningen av aktuella bestäm- melser förutsätter en internationell överenskommelse som riks- dagen har godkänt finns det inga nackdelar med en sådan lösning (se även avsnitt 7.7.1).

182

den senare tidpunkt när den tekniska anpassningen ska vara fär- dig.

Det är svårt att beräkna hur många sökningar i svenska regis- ter som kan bli följden när rådsbeslutet har genomförts i alla de- lar. Den eventuella ökningen av driftskostnaderna torde emel- lertid bli mycket begränsad.

Förslagen till författningsändringar berör inte bara det auto- matiserade informationsutbytet, utan även annat informations- utbyte samt viss praktiskt bistånd vid händelser med gränsöver- skridande verkningar.

En generell effekt av rådsbeslutet blir ett ökat antal förfråg- ningar och kontakter. Dessa kommer att hanteras framför allt av kontaktstället, dvs. Rikspolisstyrelsen. En viss arbetsökning kan bli följden, men samtidigt ersätts en del av dagens mer omständ- liga hantering i styrelsens uppgift som kontaktyta mellan polis- myndigheter och åklagare å ena sidan och Interpol och Europol å den andra av automatiska sökförfaranden. Dessa förändringar bör kunna ta ut varandra.

Mot vissa ökade kostnader ska ställas de fördelar i stort som genomförandet av rådsbeslutet innebär för svensk del. Ett för- bättrat informationsutbyte samt enklare och snabbare tillgång till utländska uppgifter om fordon, fingeravtryck och DNA- profiler kommer utan tvekan att effektivisera polisens och andra brottsbekämpande myndigheters arbete.

Vidare måste beaktas att det under de senaste åren har för- handlats flera rättsakter inom Europeiska unionen som rör sam- arbetet mellan medlemsstaternas brottsbekämpande myndighe- ter och som bl.a. syftar till att effektivisera brottsbekämpningen genom ökat informationsutbyte. De åtgärder rådsbeslutet kräver kanske i viss utsträckning hade behövt genomföras av andra skäl.

Datainspektionen får i någon utsträckning utökade tillsyns- uppgifter, men ökningen är marginell i förhållande till myndig- hetens nuvarande uppgifter.

När det gäller vägtrafikregistret bör framhållas att lagstift- ningen för närvarande är föremål för en översyn som bl.a. om- fattar möjligheten att överföra uppgifter och personuppgifter till

184

utländska aktörer (se avsnitt 6.4.3). I förhållande till den översy- nen bedöms genomförandet av rådsbeslutet medföra endast marginella förändringar.

Sammantaget bedöms kostnaderna kunna finansieras inom myndigheternas befintliga anslag.

185

söks en liten del av arvsmassan i syfte att få fram för individen unika identifikationsuppgifter.

Den sjätte begreppet är nytt och definierar DNA-profil, dvs. resultatet av en DNA-analys. En DNA-profil består av uppgifter som har tagits fram med hjälp av DNA-analys, dvs. analys av deoxyribonukleinsyra i antingen ett särskilt prov från humant biologiskt material (t.ex. blod, hår eller saliv) eller från ett spår som påträffats på eller i nära anslutning till en brottsplats. Av regleringen följer att DNA-profilen enbart får presenteras i form av siffror eller bokstäver. Därmed går det inte att identifiera en person enbart med stöd av DNA-profilen. I 24 § regleras vilka uppgifter som får registreras.

Begreppet DNA-profil förekommer i Prümrådsbeslutet och definieras i genomförandebeslutet som ”en bokstav eller en num- merkod som representerar en rad identifikationsuppgifter i den icke-kodifierade delen av ett analyserat mänskligt DNA-prov, dvs. den särskilda molekylära strukturen vid de olika DNA-loku- sen”.

Den allmänna motiveringen till den nya definitionen finns i avsnitt 7.6.

Det andra stycket är oförändrat.

22 §

Paragrafen reglerar för vilka ändamål DNA-profiler får behand- las och i vilka sammanhang behandlingen får ske.

I första stycket har begreppet ”uppgifter om resultatet av DNA-analyser” ersatts med ”DNA-profiler”. Begreppet DNA- profil har kommenterats under 3 §. Ändringen tydliggör att det är DNA-profilen, som inte innehåller någon information om den registrerades personliga egenskaper, som registreras (24 § första stycket). Vidare har i förtydligande syfte de tre DNA-registren benämnts i bestämd form.

Enligt andra stycket får, förutom i dessa register, DNA-pro- filer behandlas även i förundersökningar och särskilda undersök- ningar. Ett tillägg har gjorts för att klargöra att behandling också

188

är tillåten om det krävs för att uppfylla en internationell över- enskommelse som riksdagen godkänt och som är bindande för Sverige. Syftet med bestämmelsen är att möjliggöra att andra stater, i enlighet med artikel 3 och 4 i Prümrådsbeslutet, får be- handla vissa uppgifter i svenska DNA-register som ett led i deras brottsbekämpning. Bestämmelsen ger också stöd för den be- handling som krävs när en DNA-profil tas fram på begäran av en annan stat med stöd av 4 kap. 24 a § lagen (2000:562) om inter- nationell rättslig hjälp i brottmål.

I 16 § lagen (2000:343) om internationellt polisiärt samarbete och i förordning regleras under vilka förutsättningar en utländsk myndighet får söka i svenska DNA-register samt hur automatisk sökning i registren och automatisk jämförelse av oidentifierade DNA-profiler ska gå till.

Den allmänna motiveringen till ändringen finns i avsnitt 7.5 och 7.7.

23 §

Paragrafen reglerar innehållet i DNA-registret, vilket består av DNA-profiler från dömda personer. Den ändring som gjorts hör samman med den nya definitionen i 3 § första stycket, där be- greppet DNA-profil införs. Genom ändringen tydliggörs att det är DNA-profilen som registreras och utgör det primära innehål- let i registret. Benämningen på registret har ändrats i konsekvens med ändringen i 22 §.

24, 24 a och 25 §§

Ändringarna är av samma slag som i 23 §. Vissa språkliga juster- ingar har också gjorts.

189

26 §

Paragrafen innehåller bestämmelser om användningen av spårre- gistret. Det första stycket är oförändrat i sak, men vissa konse- kvensändringar har gjorts.

Enligt det nya andra stycket får DNA-profiler också jämföras med uppgifter i spårregistret om ett bindande internationellt åta- gande, i detta fall Prümrådsbeslutet, kräver det. Ändringen för- anleds av att andra staters oidentifierade DNA-profiler, i enlig- het med artikel 4 i rådsbeslutet, automatiskt ska kunna jämföras också med alla DNA-profiler som finns i det svenska spårre- gistret. Förutsättningarna för utländska myndigheters automa- tiska sökningar och automatiska jämförelser i de svenska DNA- registren regleras i 16 § lagen (2000:343) om internationellt poli- siärt samarbete och i förordning. Direktåtkomst regleras i 27 b § denna lag.

Den allmänna motiveringen till tillägget finns i avsnitt 7.7.

27 §

Paragrafen reglerar gallring av uppgifter i DNA-registret. I kon- sekvens med ändringen i 22 § har i tredje stycket benämningen på spårregistret ändrats. I övrigt har endast några mindre språkliga justeringar gjorts.

27 a §

Paragrafen reglerar när DNA-prover, som tagits på personer med stöd av bestämmelserna om kroppsbesiktning i 28 kap. rättegångsbalken, ska förstöras.

Första stycket, som anger huvudregeln att proven ska förstöras senast sex månader efter provtagningen, är i sak oförändrat. Det finns givetvis inget som hindrar att proven förstörs dessförinnan. Som framgår av tillägget i första stycket finns det avvikande reg- ler i de tre följande styckena.

190

I andra stycket har förtydligats att DNA-prov från en skäligen misstänkt person ska gallras tidigare än enligt sexmånadersregeln om uppgifterna om personen gallras i utredningsregistret.

I tredje stycket har förtydligats att DNA-prov som har tagits från personer som inte är misstänkta för brott också ska förstö- ras tidigare än vad som anges i första stycket i vissa fall.

Det fjärde stycket är nytt. Det reglerar hanteringen av de DNA-prov som tas för en annan stats räkning med stöd av 4 kap. 24 a § lagen (2000:562) om internationell rättslig hjälp i brottmål. Sådana prov ska alltid förstöras senast två månader efter det att de har tagits. Den allmänna motiveringen till tilläg- get finns i avsnitt 7.8.

27 b §

Paragrafen, som är föranledd av artikel 3 och 4 i Prümrådsbeslu- tet, är ny. Den hänvisar till den möjlighet som införs i 16 § lagen (2000:343) om internationellt polisiärt samarbete att ge andra stater tillgång till vissa uppgifter i DNA-registret, utredningsre- gistret och spårregistret med möjlighet att på egen hand söka efter information i dessa (direktåtkomst).

Tillämpningsområdet avgränsas genom bestämmelser i 16 § lagen om internationellt polisiärt samarbete och i förordning.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.7.1.

29 §

Paragrafen reglerar för vilka ändamål uppgifter får behandlas i fingeravtrycks- och signalementsregister och i vilka sammanhang behandlingen får ske. Första och andra styckena är oförändrade.

I tredje stycket har öppnats en möjlighet att ge en annan stat rätt att behandla fingeravtrycksuppgifter i svenska register om det krävs för att uppfylla ett bindande internationellt åtagande, i detta fall Prümrådsbeslutet. Stycket är föranlett av artikel 8 och 9 i Prümrådsbeslutet. Enligt rådsbeslutet får uppgifterna behandlas

191

även i syfte att förebygga brott, vilket inte är ett tillåtet ändamål för behandling enligt första stycket. Förutsättningarna för att utländska myndigheter ska få göra sökningar i svenska fingerav- trycksregister regleras i 18 § lagen (2000:343) om internationellt polisiärt samarbete och i förordning. Direktåtkomst regleras i 31 a § denna lag.

Den allmänna motiveringen till ändringen finns i avsnitt 7.9.1.

31 a §

Paragrafen, som är föranledd av artikel 8 och 9 i Prümrådsbeslu- tet, är ny. Den hänvisar till den möjlighet som finns i 18 § lagen (2000:343) om internationellt polisiärt samarbete att ge andra stater direkt tillgång till vissa uppgifter i svenska fingeravtrycks- register och möjlighet att på egen hand söka efter information (direktåtkomst).

Tillämpningsområdet avgränsas genom bestämmelser i 18 § lagen (2000:343) om internationellt polisiärt samarbete och i för- ordning.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.9.1.

Övergångsbestämmelserna

Hittills har bestämmelserna i polisdatalagen (1998:622) om fing- eravtrycksregister inte tillämpats. Detta beror på att punkten 2 i ikraftträdande- och övergångsbestämmelserna till polisdatalagen medger att de personregister som vid den lagens ikraftträdande fördes med stöd av den numera upphävda datalagen (1973:289) och tillstånd av Datainspektionen får fortsätta att föras under viss tid. Den tiden har förlängts vid flera tillfällen och övergångs- reglerna gäller nu till utgången av år 2009. Ändringen i över- gångsbestämmelserna innebär att fingeravtrycksregister som förs med Datainspektionens tillstånd från och med ikraftträdandet av ändringarna i polisdatalagen i stället ska omfattas av 29–31 §§ polisdatalagen. Syftet med ändringen är att kunna genomföra

192

den reglering beträffande fingeravtrycksregister som Prümråds- beslutet kräver.

Den allmänna motiveringen till ändringen i övergångsbe- stämmelserna finns i avsnitt 7.9.1.

10.2Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

2 §

I paragrafen förklaras vissa grundläggande begrepp som används i lagen. Tre nya definitioner införs.

För det första definieras Prümrådsbeslutet, som bl.a. reglerar nya former för utbyte av registeruppgifter mellan medlemssta- terna i syfte att förebygga och bekämpa brott samt upprätthålla allmän ordning och säkerhet.

För det andra definieras begreppet kontaktställe. Enligt Prüm- rådsbeslutet ska varje stat utse kontaktställe för olika typer av informationsutbyte. Rikspolisstyrelsen ska vara kontaktställe för svensk del och förmedla alla typer av uppgifter som behandlas med stöd av Prümrådsbeslutet. Den allmänna motiveringen till denna definition finns i avsnitt 7.13.

För det tredje förklaras begreppet referensuppgifter. Begreppet används i flera artiklar i Prümrådsbeslutet. Av integritetsskäl får identiteten på en person inte röjas vid direktåtkomst till uppgif- ter i DNA-register eller fingeravtrycksregister eller vid automa- tiska jämförelser med uppgifter i sådana register. I stället får den sökande staten tillgång till vissa referensuppgifter, som inte av- slöjar identiteten. Referensuppgifterna får inte heller innehålla någon genetisk information eller påvisa några funktionella egen- skaper. Den allmänna motiveringen till denna definition finns i avsnitt 7.7.1.

193

3 §

Paragrafen reglerar s.k. användningsbegränsande villkor som ställs upp när uppgifter överlämnas till en svensk myndighet. Liksom tidigare innebär bestämmelsen att svenska myndigheter är skyldiga att följa sådana villkor som ställts upp för använd- ningen. Villkoren gäller inte bara för den myndighet som tog emot informationen, utan även för alla andra svenska myndighe- ter som senare får tillgång till denna (se prop. 1990/91:131 s. 23 och JO 2007/08 s. 57). En användningsbegränsning som ålagts en mottagande svensk myndighet med stöd av bestämmelsen hindrar dock inte att tillsynsorgan som JO, JK, Datainspektio- nen eller Säkerhets- och integritetsskyddsnämnden tar del av och använder informationen i sin tillsyn och inte heller att rättsliga myndigheter gör detta som ett led i en motsvarande rättslig prövning som har stöd i lag.

Hittills har användningsbegränsningar endast gällt när materi- alet har överlämnats för underrättelseverksamhet om brott och utredning av brott. Genom ändringarna kommer användnings- begränsande villkor också att gälla för uppgifter som med stöd av Prümrådsbeslutet har översänts i syfte att upprätthålla allmän ordning och säkerhet. Bestämmelsen kan aktualiseras bl.a. i sam- band med översändande av personuppgifter inför större evene- mang med gränsöverskridande verkningar (artikel 14 i Prümråds- beslutet).

Bestämmelsen har vidare ändrats så att det tydligare framgår i vilka fall bindande användningsbegränsningar kan förekomma. Dessa anges i två punkter, vilka är oförändrade i sak. Redan tidi- gare har paragrafen ansetts vara tillämplig på uppgifter som här- rör från Europol. Användningsbegränsningar kan också gälla för information som erhålls från andra EU-institutioner.

Genom formuleringen ”gjorts tillgängligt av” klargörs vidare att om det ställs villkor för användningen av uppgifter som är åt- komliga genom direktåtkomst gäller villkoren på samma sätt som andra användningsbegränsningar.

I bestämmelsen har också en mindre språklig ändring gjorts.

194

Det andra stycket har upphävts. Motsvarande bestämmelse finns i punkten 2.

Den allmänna motiveringen till ändringarna i paragrafen finns i avsnitt 7.17.4.

3 a §

Paragrafen, som är ny, är en spegling av 3 §. Den reglerar möjlig- heten att ställa upp användningsbegränsande villkor när en svensk brottsbekämpande myndighet lämnar upplysningar eller bevismaterial till en annan stat eller en mellanfolklig organisa- tion. Kategorin av mottagare är densamma som kan ställa bin- dande villkor gentemot svenska myndigheter enligt 3 §.

En förutsättning för att en svensk brottsbekämpande myn- dighet ska få ställa upp användningsbegränsande villkor är att detta krävs med hänsyn till enskilds rätt eller från allmän syn- punkt. Villkoren får inte heller strida mot våra internationella åtaganden. Bestämmelsen är avsedd att tillämpas restriktivt. Så- dana villkor som ställs upp ska vara nödvändiga. Ett exempel på när villkor kan krävas är om det samtidigt pågår brottsutredning eller underrättelsearbete i Sverige som riskerar att skadas om in- formationen används före en viss tidpunkt.

Paragrafen motsvarar i sak 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål och 2 kap. 7 § lagen (2000:1219) om internationellt tullsamarbete. Den nu aktuella paragrafen omfattar även uppgifter som görs tillgängliga genom direktåtkomst till vissa register, vilket framgår av formuleringen ”gjorts tillgängligt för”. Paragrafen kan, förutom vid informa- tionsutbyte med stöd av Prümrådsbeslutet, bl.a. vara tillämplig på information eller underrättelser som tillhandahålls en brotts- bekämpande myndighet i en annan medlemsstat i Europeiska unionen med stöd av rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseut- byte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater, det s.k. svenska initiativet (6 § förord-

195

ningen [2008:1396] om förenklat uppgiftsutbyte mellan brotts- bekämpande myndigheter i Europeiska unionen).

Eventuella villkor måste ställas upp när uppgifterna sänds över eller när direktåtkomsten beviljas. Det går således inte att ställa upp villkor i efterhand.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.17.4.

11, 12 och 13 §§

Ändringarna sammanhänger med att lagen nu blir tillämplig även på samarbete med stöd av Prümrådsbeslutet. Paragraferna har därför ändrats för att avgränsa regleringen beträffande utländska tjänstemän som utför uppgifter enligt Schengensamarbetet och samarbetet inom Öresundsregionen. Den generella hänvisningen till ”denna lag” har ersatts av hänvisningar till de paragrafer som är tillämpliga på det nämnda samarbetet. Mindre språkliga juste- ringar har också gjorts.

16 §

Paragrafen är ny. Den reglerar andra staters tillgång till vissa uppgifter i de svenska DNA-registren och genomför i huvudsak artikel 3 och 4 i Prümrådsbeslutet.

Enligt första stycket får ett kontaktställe i en annan stat, i en- lighet med artikel 3.1 i Prümrådsbeslutet, ges direkt tillgång till och rätt att på egen hand söka efter referensuppgifter i de svenska DNA-registren, dvs. DNA-registret, spårregistret och utredningsregistret (direktåtkomst). Bestämmelser om DNA- registren finns i 22–27 §§ polisdatalagen (1998:622). Begreppet kontaktställe definieras i 2 §. Vad som avses med referensupp- gifter anges i 2 § och avgränsas närmare genom bestämmelser i förordning.

Tillgång genom direktåtkomst ska endast ges till referensupp- gifter. Ytterst begränsas åtkomsten till vad som gäller för mot- svarande sökning i en svensk brottsutredning. Direktåtkomsten

196

till vissa uppgifter innebär att den andra staten inom närmare an- givna ramar själv kan ta del av uppgifterna vid ett visst tillfälle, utan att det svenska kontaktstället först fattar beslut om att just dessa uppgifter ska lämnas ut. Direktåtkomsten medför att upp- gifterna är att betrakta som utlämnade. Någon sekretessprövning aktualiseras därför inte.

De närmare bestämmelserna om vad som gäller när en sök- ning i de svenska registren resulterar i överensstämmelse mellan en översänd DNA-profil och en DNA-profil i ett svenskt regis- ter regleras i förordning. Detsamma gäller förfarandet när ingen överensstämmelse konstateras.

Enligt andra stycket begränsas möjligheterna att behandla uppgifter i de svenska DNA-registren till ”ett enskilt fall”. Be- handlingen får vidare enbart ske i samband med brottsutredning. Med ”ett enskilt fall” avses att behandlingen ska omfatta endast en utrednings- eller lagföringsfil. Om en sådan fil innehåller mer än en DNA-profil ska profilerna hanteras tillsammans (artikel 2 k i genomförandebeslutet). Vilka krav som ställs för att det ska anses vara ”i samband med brottsutredning” avgörs av den andra statens lagstiftning. En ytterligare begränsning ligger i att det ut- ländska kontaktställets behandling av uppgifter i de svenska re- gistren aldrig kan sträcka sig längre än till vad som är tillåtet för en svensk myndighet i motsvarande situation.

Andra stycket genomför också delar av artikel 4 i Prümråds- beslutet och reglerar andra staters behandling av DNA-profiler genom automatiska jämförelser i de svenska DNA-registren efter särskild överenskommelse (enligt den engelska texten ”by mutual consent”). I fråga om begreppen DNA-profil, referens- uppgifter och kontaktställe hänvisas till kommentaren till första stycket.

Bestämmelsen ger ett kontaktställe i en annan stat rätt att efter en särskild överenskommelse automatiskt jämföra den sta- tens samtliga oidentifierade DNA-profiler (s.k. öppna spår) med uppgifter i samtliga svenska DNA-register, dvs. även uppgifter avseende identifierade personprofiler. Med oidentifierade DNA- profiler avses DNA-profiler som härrör från spår som har sam-

197

lats in under en brottsutredning och som tillhör en person som ännu inte har identifierats (artikel 2 g i genomförandebeslutet). Automatiska jämförelser får endast ske ”i samband med brottsutredning”. Vilka krav som ställs för att det ska anses vara ”i samband med brottsutredning” avgörs av den andra statens lagstiftning. Direktåtkomsten får inte ges vidare omfattning än vad som gäller för motsvarande behandling i en svensk brottsut- redning. Vidare får behandling bara utföras av vissa särskilt utpe- kade personer.

Även om det visar sig att det föreligger en överensstämmelse med en svensk DNA-profil avgör den ansökande staten om man vill gå vidare och begära uppgift om identiteten på den person som DNA-profilen tillhör (artikel 5 i Prümrådsbeslutet). I det fortsatta förfarandet tillämpas bestämmelserna om rättslig hjälp, dvs. för svensk del lagen (2000:562) om internationell rättslig hjälp i brottmål. Om någon överenskommelse inte konstateras underrättas den andra statens kontaktställe automatiskt.

Enligt tredje stycket får Rikspolisstyrelsen ingå en sådan över- enskommelse som avses i andra stycket.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.7.1.

17 §

Paragrafen, som är ny, reglerar möjligheten för det svenska kontaktstället att genom dess tjänstemän göra sökningar i andra staters DNA-register i enlighet med artikel 3 och 4 i Prümråds- beslutet.

Enligt första stycket får sökningar endast göras i ett enskilt fall och som ett led i en förundersökning eller annan utredning som görs med stöd av bestämmelserna om förundersökning i brott- mål. Ett exempel på det sistnämnda är utredning angående utlämning för brott. Vad som avses med ”ett enskilt fall” kom- menteras under 16 §. Sökningar får vidare endast göras för de ändamål och med de begränsningar som anges i polisdatalagen för motsvarande sökningar i svenska register. Det innebär exem-

198

pelvis att DNA-profiler som härrör från personer som inte är misstänkta för brott inte får användas för generella sökningar. Möjligheterna att söka efter information begränsas vidare av den andra statens lagstiftning. Det är därför inte givet att en sökning som hade kunnat göras i svenska register är tillåten.

Vem som får göra sökningar i utländska DNA-register och hur detta ska ske regleras i förordning.

I andra stycket regleras automatiska jämförelser mellan DNA- profiler i spårregistret, dvs. oidentifierade svenska DNA- profiler, och DNA-profiler i andra staters DNA-register. Sådana automatiska jämförelser förutsätter att överenskommelse har träffats med den andra staten.

Enligt tredje stycket får Rikspolisstyrelsen ingå en sådan över- enskommelse som avses i andra stycket.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.11.

18 §

Paragrafen är ny och genomför artikel 8 och 9 i Prümrådsbeslu- tet. Den reglerar andra staters tillgång till vissa uppgifter i svenska fingeravtrycksregister. Bestämmelser om fingeravtrycks- register finns i 29–31 §§ polisdatalagen (1998:622). Med finger- avtryck jämställs handavtryck.

Enligt paragrafen får ett kontaktställe i en annan stat ges direkt tillgång till och rätt att på egen hand söka efter referens- uppgifter i svenska fingeravtrycksregister (direktåtkomst). Vad som avses med kontaktställe och referensuppgifter kommenteras under 2 §.

Möjligheterna att behandla uppgifter i svenska fingerav- trycksregister begränsas till enskilda fall och ska i övrigt ske i enlighet med den andra statens reglering. En sökning kan avse såväl identifierade som oidentifierade fingeravtryck. Med ett ”en- skilt fall” avses en utrednings- eller lagföringsfil. Om denna in- nehåller flera fingeravtrycksuppgifter ska dessa hanteras tillsam- mans (artikel 2 k i genomförandebeslutet). Behandlingen får inte bara ske i samband med utredning av brott utan även för att

199

förebygga brott (jfr 17 §, som inte medger sökning för det sist- nämnda ändamålet).

Om fingeravtrycksuppgifterna av kvalitetsskäl inte lämpar sig för en automatisk jämförelse, ska det svenska kontaktstället omedelbart underrätta den andra staten om detta (artikel 14 i genomförandebeslutet).

Den andra statens sökning ska besvaras automatiskt. Före- kommer fingeravtrycket ska kontaktstället i den andra staten automatiskt få del av fingeravtrycksuppgifterna och en sifferbe- teckning. Syftet med detta är att den andra staten ska kunna konstatera att det finns en faktisk överensstämmelse. Däremot röjs inga uppgifter om vem fingeravtrycket tillhör. Vid överens- stämmelse avgör den andra staten om man ska begära ytterligare information. I det fortsatta förfarandet tillämpas bestämmelserna om rättslig hjälp, dvs. för svensk del lagen (2000:562) om inter- nationell rättslig hjälp i brottmål. Om någon överensstämmelse inte konstateras, underrättas den andra statens kontaktställe automatiskt om detta.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.9.1.

19 §

Paragrafen, som är ny, reglerar möjligheten för det svenska kontaktstället att med stöd av artikel 8 och 9 i Prümrådsbeslutet göra sökningar i andra staters fingeravtrycksregister. Sökningar får endast göras för de ändamål och med de begränsningar som anges i polisdatalagen för motsvarande sökningar i svenska register. Möjligheten att göra sökningar i syfte att förebygga brott förutsätter därför att behandlingen görs inom ramen för en förundersökning eller en särskild undersökning. Vidare begrän- sas möjligheterna att söka efter information av den andra statens lagstiftning. Det är därför inte givet att en sökning som hade kunnat göras i svenska register är tillåten. Vem som får göra sökningar i utländska fingeravtrycksregister och hur detta ska ske regleras i förordning.

200

Den allmänna motiveringen till paragrafen finns i avsnitt 7.11.

20 §

Paragrafen, som är ny, innehåller upplysning om att det finns kompletterande regler om samarbetet med stöd av Prümråds- beslutet i förordning.

10.3Förslaget till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål

4 kap.

24 a §

Paragrafen, som genomför artikel 7 i Prümrådsbeslutet, är ny. Skyldigheten enligt Prümrådsbeslutet sträcker sig längre än rättslig hjälp med kroppsbesiktning i syfte att ta DNA-prov. Den omfattar även analysen av provet, dvs. framtagandet av en DNA-profil.

I första stycket regleras internationell rättslig hjälp med att ta fram DNA-profiler för personer som vistas i Sverige. En förut- sättning för att rättslig hjälp ska lämnas är att det inte finns någon DNA-profil för personen. Begreppet DNA-profil defini- eras i 3 § polisdatalagen (1998:622). För att bestämmelsen ska vara tillämplig krävs vidare att en brottsutredning eller ett annat straffrättsligt förfarande pågår. Provtagning i syfte att, med ut- gångspunkt i analysresultatet, påbörja ett rättsligt förfarande faller därför utanför. Likaså provtagning i verkställighetssyfte.

Den ansökande staten ska ange för vilket ändamål DNA-pro- filen behövs och huruvida det hade funnits förutsättningar att samla in och analysera DNA-prov om personen i fråga hade vis- tats i den ansökande staten. Det torde innebära att en ansökan

201

om rättslig hjälp kan komma att avse såväl misstänkta som andra personer, beroende på den ansökande statens lagstiftning.

Det generella kravet på dubbel straffbarhet i 2 kap. 2 § gäller för tagande av DNA-prov. Det måste också finnas rättsliga för- utsättningar att med stöd av svensk rätt vidta åtgärden. Det inne- bär bl.a. att de begränsningar som gäller enligt 28 kap. 12–13 §§ rättegångsbalken ska iakttas. Om svensk rätt inte medger att DNA-prov tas, exempelvis om begäran avser en misstänkt som är under 15 år eller om prov inte kan tas på grund av att brottet inte är tillräckligt allvarligt, ska begäran om rättslig hjälp avslås.

Den rättsliga hjälpen handläggs av åklagare (4 kap. 18 §). I fråga om åklagarens möjligheter att begära biträde av polisen gäller samma regler som vid en svensk förundersökning.

Förfarandet vid DNA-analysen är detsamma som vid en svensk förundersökning. Ett DNA-prov som har tagits med stöd av denna paragraf får enligt 28 § polisdatalagen (1998:622) inte användas för något annat ändamål, vilket innebär att DNA-pro- filen inte får registreras i svenska DNA-register. I 27 a § fjärde stycket polisdatalagen regleras förstöring av sådana prov.

Enligt andra stycket får DNA-profiler enbart översändas i en form som gör att berörda personer inte kan identifieras med stöd av dessa. Syftet med bestämmelsen är att skapa det integritets- skydd som rådsbeslutet kräver och som innebär att enbart ano- nyma uppgifter ska översändas. Sådana uppgifter kan t.ex. även omfatta kurvor från en analys, om detta krävs för att mottagaren ska kunna verifiera ett analysresultat. Däremot får personupp- gifter, som t.ex. namn eller födelsetid, inte översändas med stöd av denna paragraf utan enbart med stöd av andra regler om rätts- lig hjälp.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.8.

202

24 b §

Paragrafen, som är ny, reglerar en svensk begäran om rättslig hjälp med framtagande av DNA-profil från någon som vistas i en annan stat. Paragrafen är en spegling av 24 a §.

Även i en svensk brottsutredning eller annat straffrättsligt förfarande kan det uppkomma behov av att få fram en DNA- profil från någon som visats i en annan stat. En DNA-profil kan t.ex. vara avgörande för om en person ska begäras överlämnad till Sverige och kan i andra fall bidra till att fria en person från miss- tankar. En grundläggande förutsättning för att en svensk åkla- gare ska kunna begära rättslig hjälp med stöd av denna bestäm- melse är att det inte finns någon DNA-profil på personen i fråga. Vidare ska det pågå en förundersökning eller annan brottsutred- ning. Dessutom ska kraven i 28 kap. rättegångsbalken för att ta DNA-prov vara uppfyllda.

En ansökan om rättslig hjälp ska innehålla uppgifter om för vilket ändamål DNA-profilen behövs. Vidare ska det av ansökan framgå att det hade funnits förutsättningar att samla in och ana- lysera DNA-prov om personen i fråga hade vistats i Sverige.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.8.

10.4Förslaget till lag om ändring i lagen (2001:558) om vägtrafikregister

2 §

Paragrafen reglerar lagens förhållande till personuppgiftslagen (1998:204) och anger att personuppgiftslagen som huvudregel gäller, men att det kan finnas avvikande reglering.

Första stycket har ändrats till följd av att det kan finnas avvi- kande bestämmelser också i föreskrifter som genomför detaljbe- stämmelserna i Prümrådsbeslutet. Om det finns avvikande regler t.ex. om gallring av sådana uppgifter som utbyts med stöd av

203

rådsbeslutet, ska dessa tillämpas i stället för reglerna i person- uppgiftslagen och trafikregisterlagstiftningen.

Det andra stycket är oförändrat.

Den allmänna motiveringen till ändringen finns i avsnitt 7.3.

5 §

Paragrafen reglerar för vilka ändamål uppgifter får behandlas i vägtrafikregistret. Personuppgifter får inte behandlas för andra ändamål än de som uttryckligen anges i bestämmelsen.

Punkten 6 är ny och utvidgar ändamålen för behandling av uppgifter i registret. Tillägget är föranlett av skyldigheten enligt artikel 12 i Prümrådsbeslutet att medge andra stater direktåt- komst till vissa personuppgifter som rör fordon och deras ägare eller innehavare.

Ändringen innebär också att behandling av uppgifter för såda- na ändamål som avses i punkten 6 omfattas av den bestämmelse om direktåtkomst som finns i förordningen (2001:650) om väg- trafikregister (se 4 kap. 3–5 §§ och däri gjord hänvisning till 8 § lagen om vägtrafikregister).

I övrigt har endast en redaktionell ändring gjorts.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.10.

8 §

I paragrafen, som reglerar direktåtkomst till personuppgifter i vägtrafikregistret, har en följdändring gjorts till ändringen i 5 §, beroende på att en ny punkt har införts i den paragrafen. Ända- målsbestämmelserna i 5 § styr möjligheterna till direktåtkomst. Genom ändringen kommer Prümrådsbeslutets bestämmelser om tillhandahållande av uppgifter till andra stater att kunna förverk- ligas genom att dessa kan beviljas direktåtkomst.

Den allmänna motiveringen till paragrafen finns i avsnitt 7.10.

204

Bilaga 1

Uppdraget

Promemoria § 348

Genomförande av Informationsrambeslutet och de huvudsakliga delarna av Prümrådsbeslutet

Informationsrambeslutet

I juni 2004 presenterades på svenskt initiativ vid rådet för rättsliga och inrikes frågor (RIF-rådet) ett förslag till rambeslut om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna inom EU. Förslaget förhandlades under 2004 och 2005 och i december 2006 antogs rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater, ”Informationsrambeslutet”.

Utgångspunkten i rambeslutet är att brottsbekämpande myndigheter måste kunna begära och få information och underrättelser från andra medlemsstater under olika faser av en utredning, alltifrån insamlandet av kriminalunderrättelser till brottsutredningen. Beslutets syfte är därför att säkerställa att viss information av avgörande betydelse för brottsbekämpande myndigheter snabbt kan utbytas inom unionen. Informa- tionsrambeslutet ska vara genomfört senast den 19 december 2008.

Beslutet innehåller bestämmelser om att viss information och vissa underrättelser, under förutsättningar som närmare anges i beslutet, på begäran ska tillhandahållas en brottsbekämpande

205

myndighet som genomför en brottsutredning eller bedriver kriminalunderrättelseverksamhet. Under vissa förutsättningar ska information och underrättelser lämnas även utan anmodan. Bestämmelser finns även om bl.a. tidsfrister för tillhanda- hållandet, vilka kanaler som ska användas för utbytet, dataskydd för uppgifter som utbyts, sekretess samt vägransgrunder.

Behovet av en utredning

Inom Justitiedepartementet har preliminärt gjorts bedömningen att beslutets genomförande i svensk rätt ställer krav på vissa förordningsändringar.

En utredare bör nu få i uppdrag att biträda departementet med att närmare se över behovet av och föreslå de förordningsändringar som bedöms vara nödvändiga och lämpliga med anledning av rambeslutets bestämmelser.

Prümrådsbeslutet

I maj 2005 träffade sju av EU:s medlemsstater en överenskommelse i den tyska staden Prüm, den s.k. Prümkonventionen. Konventionsstaternas uttalade målsättning var att utveckla informationsutbytet inom hela EU, framför allt vad gäller DNA-, fingeravtrycks- och fordonsuppgifter.

Vid RIF-rådet den 15 februari 2007 nåddes en politisk principöverenskommelse om att integrera merparten av Prümkonventionens tredjepelarfrågor i EU:s regelverk. Ord- förandeskapet presenterade därefter ett förslag till rådsbeslut, rådets beslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, ”Prümrådsbeslutet”. Vid RIF-rådets möte den 12- 13 juni 2007 träffades en politisk överenskommelse om innehållet i beslutet. Sverige lämnade i samband med det en parlamentarisk granskningsreservation.

206

I propositionen Godkännande av Prümrådsbeslutet (prop. 2007/08:83) har regeringen föreslagit att riksdagen ska godkänna utkastet till rådsbeslut. Regeringen har i propositionen också redogjort för innehållet i utkastet till rådsbeslut samt, på ett allmänt plan, övervägt vilka lagändringar som kan bli nödvändiga med anledning av beslutet. Några förslag till lagändringar har dock inte lämnats i propositionen. Riksdagen har godkänt utkastet till rådsbeslut (bet. 2007/08:JuU20, rskr. 2007/08:197), varefter Sverige har lyft sin parlamentariska granskningsreservation.

Beslutet, tillsammans med ett rådsbeslut om genomförande av dess bestämmelser, har därefter antagits av rådet den 23-24 juni 2008.

Rådsbeslutet innehåller bestämmelser som syftar till att utveckla informationsutbytet inom unionen, framförallt vad gäller uppgifter i DNA-, fingeravtrycks- och fordonsregister. Bestämmelser finns även om samarbete för förebyggande av terroristbrott samt andra former av samarbete, främst gemensamma insatser inom unionen och bistånd vid större evenemang, katastrofer och allvarliga olyckor. Därutöver innehåller beslutet dataskyddsbestämmelser.

Behovet av en utredning

Prümrådsbeslutet kan antas av rådet tidigast under sommaren 2008, efter att samtliga länder har lyft sina parlamentariska reservationer mot beslutet. Därefter ska beslutet vara genomfört inom ett år, med undantag för bestämmelserna i kapitel 2 om direktåtkomst till DNA-, fingeravtryck- och fordonsuppgifter, där tre års genomförandetid har föreskrivits. Vid den översiktliga analys av behovet av författningsändringar som gjorts i propositionen har gjorts bedömningen att rådsbeslutet, i de delar det är tvingande, ställer krav på vissa författningsändringar.

En utredare bör nu få i uppdrag att biträda departementet med att se över behovet av och föreslå de författningsändringar

207

som bedöms vara nödvändiga och lämpliga med anledning av rådsbeslutets tvingande bestämmelser. Utredningen bör göras med utgångspunkt i den analys som gjorts i propositionen Godkännande av Prümrådsbeslutet.

Detta gäller bestämmelserna i rådsbeslutets kapitel 2, 3 och 6. Bestämmelsen i kap. 4, (artikel 16) om översändande av uppgifter för förebyggande av terroristbrott, är visserligen utformad som en fakultativ bestämmelse. Eftersom bestämmelsen gäller översändande av uppgifter som i stor utsträckning utbyts redan idag, men där artikeln nu ställer upp bl.a. en skyldighet att utse ett nationellt kontaktställe och möjlighet att uppställa villkor om användningsbegränsning för översända uppgifter, bör uppdraget omfatta även genomförande av den artikeln.

I rådsbeslutets kap. 5 förekommer såväl frivilliga bestämmelser om gemensamma insatser (artikel 17) som tvingande bestämmelser om bistånd till andra medlemsstater (artikel 18). I kapitlet regleras även frågor om vapenanvändning, straffansvar, skadestånd m.m. (artiklarna 19-23). Dessa bestämmelser är tvingande i den mån de aktualiseras genom mottagande eller översändande av tjänstemän. Bestämmelserna i kapitlet i den del de innebär att utländska tjänstemän ska få tjänstgöra på svenskt territorium, vara beväpnade och eventuellt förses med befogenheter att utöva myndighet bör lämpligen utredas särskilt. I den nu aktuella utredarens uppdrag bör däremot ingå att genomföra den del av artikel 18 som är tvingande, nämligen skyldigheten för svenska myndigheter att under vissa förutsättningar lämna bistånd till andra medlems- stater och de eventuella följder som bestämmelserna i artiklarna 19-23 kan få i detta avseende.

208

Uppdraget

Utredaren ska se över behovet av och föreslå de förordningsändringar som bedöms vara nödvändiga och lämpliga för att genomföra Informationsrambeslutet.

Uppdraget ska i denna del redovisas senast den 1 oktober 2008.

Utredaren ska vidare, med utgångspunkt i den analys som gjorts i propositionen Godkännande av Prümrådsbeslutet, se över behovet av och föreslå de författningsändringar som bedöms vara nödvändiga och lämpliga för att genomföra detta rådsbeslut i de delar som har angivits ovan. Utredaren ska därvid också beakta bestämmelserna i rådsbeslutet om genomförande av Prümrådsbeslutet.

Uppdraget ska i denna del redovisas senast den 1 mars 2009. Utredaren ska i uppdragets båda delar analysera och redovisa

vilka ekonomiska konsekvenser förslagen kan komma att medföra och föreslå hur kostnaderna ska finansieras.

Under genomförandet av uppdraget ska utredaren samråda med de brottsbekämpande myndigheterna. Utredaren ska även samråda med andra myndigheter i den utsträckning utredaren finner lämpligt. Utredaren ska även samråda med den utredare som har i uppdrag att se över vägtrafikregisterlagstiftningen (dir 2008:53).

Utredaren är fri att föreslå de ytterligare författnings- ändringar, som i anslutning till uppdraget befinns lämpliga.

209

Bilaga 2

RÅDETS BESLUT 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet

211

III

(Rättsakter som antagits i enlighet med fördraget om Europeiska unionen)

RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET

OM EUROPEISKA UNIONEN

RÅDETS BESLUT 2008/615/RIF

av den 23 juni 2008

om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet

212

213

214

215

216

217

Skydd och bistånd

218

219