Regeringens proposition 2014/2015:82

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 mars 2015

Stefan Löfven

Anders Ygeman

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Genom det s.k. VIS-rådsbeslutet öppnas en möjlighet för brottsbekämpande myndigheter att under vissa begränsade förutsättningar kunna få tillgång till uppgifter i informationssystemet för viseringar (VIS) i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. VIS är en för medlemsstaterna i Europeiska unionen gemensam databas för viseringar och administreras av unionen.

I propositionen föreslår regeringen de lagändringar som krävs för att genomföra VIS-rådsbeslutet. De nya bestämmelserna förs in i lagen om internationellt polisiärt samarbete. Förslaget omfattar regler om bl.a. villkoren för sökning i VIS och begränsningar i användningen av VIS-upp- gifter.

Lagändringarna föreslås träda i kraft den 1 juli 2015.

1

3

Prop.

2014/2015:82

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete.

4

2 §2

I denna lag avses med

–utländska tjänstemän: utländska polismän och andra utländska tjänstemän som har anmälts vara behöriga att utföra sådant gränsöverskridande arbete som avses i artikel 40 och 41 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen),

–förföljande tjänstemän: utländska tjänstemän som förföljer en person

på svenskt territorium enligt denna lag,

–svenska tjänstemän: svenska polismän, tulltjänstemän eller kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter,

–Öresundsförbindelsen: den fasta förbindelsen över Öresund som den

definieras i artikel 2 i avtalet av den 6 oktober 1999 mellan Konungariket Sveriges regering och Konungariket Danmarks regering om polisiärt samarbete i Öresundsregionen,

– Prümrådsbeslutet: rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet,

2 Senaste lydelse 2014:126.

6

dens levnadskostnader under vistelsen.

26 §

Personuppgifter som har hämtats från VIS får behandlas för det ändamål som uppgifterna hämtades för. De får också behandlas för att utreda eller beivra brott i det enskilda fall som sökningen avsåg.

27 §

Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat.

Detta är dock tillåtet i brådskande fall om

1. de villkor för sökning som anges i 24 § andra stycket är uppfyllda,

2. det är förenligt med svenska intressen att uppgifterna lämnas ut,

3. den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna i 33 och

34 §§ personuppgiftslagen (1998:204) är uppfyllda.

8

Denna lag träder i kraft den 1 juli 2015.

3 Senaste lydelse av tidigare 25 § 2014:126.

9

Prop.

2014/2015:82

3 Ärendet och dess beredning

I juni 2004 beslutade Europeiska unionens råd (rådet) att inrätta informationssystemet för viseringar (VIS) som ett system för utbyte av viseringsuppgifter mellan medlemsstaterna (rådets beslut 2004/512/EG om inrättande av informationssystemet för viseringar [VIS]). Därefter antogs Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, nedan VIS-förordningen. Informationssystemet togs i drift vid utlandsmyndigheterna i Nordafrika i oktober 2011. Driftsättningen har därefter skett successivt i olika regioner och beräknas vara klar under 2015.

Den 23 juni 2008 antogs rådets beslut 2008/633/RIF om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott, nedan VIS-rådsbe- slutet, som fick verkan från den 1 september 2013. Rådsbeslutet i dess lydelse på svenska finns i bilaga 1.

Innan VIS-rådsbeslutet antogs redovisade regeringen i propositionen Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar (VIS) i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott på ett övergripande plan vilka lagändringar som kunde bli nödvändiga med anledning av rådsbeslutet (prop. 2007/08:132). Riksdagen godkände utkastet till rådsbeslut (bet. 2007/08:JuU27, rskr. 2007/08:250).

Enligt artikel 3 i VIS-rådsbeslutet ska medlemsstaterna utse de myndigheter som ska kunna få åtkomst till uppgifter i VIS i enlighet med rådets beslut. Varje medlemsstat ska också utse en eller flera centrala åtkomstpunkter genom vilken eller vilka åtkomsten ska ske. Regeringen beslutade den 4 december 2008 att i en förklaring till Europeiska kommissionen och rådets generalsekretariat anmäla att Rikspolisstyrelsen (inklusive Säkerhetspolisen), polismyndigheterna, Ekobrottsmyndigheten (när den bedriver polisverksamhet), Tullverket och Kustbevakningen ska kunna få åtkomst till uppgifter i VIS och att Rikspolisstyrelsen ska vara central åtkomstpunkt. Med hänsyn till att Sverige den 1 januari 2015 fick en ny polisorganisation kommer en ny förklaring till EU att behöva lämnas.

Inom Justitiedepartementet har promemorian Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS) utarbetats (Ds 2011:27). Promemorians sammanfattning finns i bilaga 2 och lagförslagen i bilaga 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. En sammanställning över remissyttrandena finns tillgänglig i Justitiedepartementet (dnr Ju2011/5662/L4).

10

Prop. rättigheterna rättsligt bindande, dels infördes en skyldighet för EU att 2014/2015:82 ansluta sig till Europakonventionen om skydd för de mänskliga rättighe-

terna och de grundläggande friheterna (se avsnitt 7.1.1).

4.2EU-rättsakter om informationsutbyte

Inom ramen för EU-samarbetet har flera rättsakter som rör informationsutbyte förhandlats och antagits under de senaste åren. Flertalet av dessa ger ökade möjligheter för brottsbekämpande myndigheter att utbyta uppgifter inom sitt område.

4.2.1Rådsbeslutet om inrättandet av Europol

Det fördjupade gränsöverskridande polisiära samarbetet och utbytet av information påverkas av utvecklingen av det polisiära samarbetet inom ramen för EU:s gemensamma polisbyrå, Europol. En av Europols viktigaste uppgifter är att samla in och bearbeta information om allvarlig gränsöverskridande brottslighet av visst slag och att förmedla denna vidare till medlemsstaterna.

Rådet antog den 6 april 2009 beslut 2009/371/RIF om inrättande av Europeiska polisbyrån (Europol) som ersatte Europolkonventionen och dess ändringsprotokoll. Genom beslutet förändrades den rättsliga grunden för Europols verksamhet från ett mellanstatligt samarbete till att Europol blev ett EU-organ. Europol har bl.a. möjlighet att upprätta och driva nya system för informationsbehandling, t.ex. när det gäller terrorismbekämpning. Rådsbeslutet innehåller också vissa dataskyddsbestämmelser, t.ex. inrättande av ett oberoende uppgiftsskyddsombud.

Som ett led i arbetet med att genomföra Europolrådsbeslutet föreslog regeringen i propositionen Immunitet och privilegier för Europol en ändring i lagen (1976:661) om immunitet och privilegier i vissa fall (prop. 2009/10:13). Ändringen trädde i kraft den 1 januari 2010. I propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete lämnade regeringen även förslag till en ny lag om tystnadsplikt för anställda vid Europol (prop. 2012/13:73). Lagen godkändes av riksdagen (bet. 2012/13:JuU19, rskr. 2012/13:206) och trädde i kraft den 1 juli 2013.

4.2.3 Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, nedan Prümrådsbeslutet, innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan myndigheter som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. Rådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga dataskyddsbestämmelser. Rådsbeslutet innehåller också en skyldighet för medlemsstaterna att lämna varandra bistånd i samband med större evenemang, katastrofer och allvarliga olyckor. Därutöver finns bestämmelser om frivilligt operativt samarbete.

De obligatoriska delarna av rådsbeslutet har genomförts i två steg. Den del som bl.a. gäller informationsutbyte vid större evenemang, skyldigheten att lämna bistånd vid större evenemang, katastrofer och allvarliga olyckor samt de generella dataskyddsbestämmelserna (artiklarna 13–15, delar av 18 samt 24–32) har behandlats i propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/10:177). Lagändringarna godkändes av riksdagen (bet. 2009/10:JuU30, rskr. 2009/10:265) och trädde i kraft den 1 juli 2010. Den därmed sammanhängande förordningsregleringen trädde i kraft den 1 augusti 2010. Den del som gäller automatiserat utbyte av DNA-, fingeravtrycks- och fordonsuppgifter (artiklarna 2– 12) har behandlats i propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte (prop. 2010/11:129). Lagändringarna godkändes av riksdagen (bet. 2010/11:JuU15, rskr. 2010/11:302) och trädde i kraft den 1 augusti 2011, liksom den därmed sammanhängande förordningsregleringen.

4.2.4 CBE-direktivet

Europaparlamentets och rådets direktiv 2011/82/EU av den 25 oktober

Prop. trafiksäkerhetsrelaterade brott, nedan CBE-direktivet, syftar till att göra 2014/2015:82 det lättare för brottsbekämpande myndigheter att följa upp trafikbrott som begås med fordon som är registrerade i en annan medlemsstat än den där brottet begicks. Vid utredningen av sådana brott ska den medlemsstat där brottet begicks genom ett nationellt kontaktställe få söka information om fordonet och fordonsägaren i fordonsregistret i den medlemsstat där fordonet är registrerat. Om medlemsstaten sedan väljer att följa upp brottet ska fordonsägaren enligt den tillämpliga nationella

lagstiftningen ges viss information.

Direktivet har genomförts i svensk rätt genom ändringar i lagen (2000:343) om internationellt polisiärt samarbete och därtill hörande förordning (prop. 2013/14:65, bet. 2013/14:JuU9, rskr. 2013/14:180). Ändringarna trädde i kraft den 1 maj 2014.

Kort därefter, den 6 maj 2014, ogiltigförklarade EU-domstolen CBE- direktivet för att det hade antagits på fel rättslig grund. Domstolen slog fast att direktivet ska ha fortsatt rättslig verkan fram till ikraftträdandet av ett nytt direktiv antaget med korrekt rättslig grund. Det nya direktivet ska antas inom en rimlig tidsperiod, som inte får överstiga tolv månader räknat från domens meddelande. Europeiska kommissionen har därför utarbetat ett förslag till nytt direktiv med artikel 91 i Fördraget om Europeiska unionens funktionssätt (EUF-fördraget) som rättslig grund. Förslaget är nästan identiskt med texten i det ogiltigförklarade direktivet. Några mindre ändringar föreslås som Europeiska kommissionen anser nödvändiga för att följa domstolens dom. Preliminärt bedöms förslagets effekt på svenska regler endast bli marginell.

4.2.5Eurodacförordningen

Ytterligare en rättsakt som rör tillgång till information är den omförhandlade s.k. Eurodacförordningen (EU) nr 603/2013. Eurodacförordningen reglerar den EU-gemensamma databasen med fingeravtryck, Eurodac, vars syfte ska vara att hjälpa till att fastställa vilken medlemsstat som ska vara ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller statslös person lämnar in i en medlemsstat. Enligt förordningen ska även medlemsstaternas brottsbekämpande myndigheter och Europol under vissa förutsättningar få jämföra uppgifter om fingeravtryck med sådana uppgifter som finns lagrade i Eurodac. Som villkor för att de brottsbekämpande myndigheterna ska få tillgång till Eurodac gäller bl.a. att jämförelsen är nödvändig i ett särskilt fall för att förhindra, upptäcka eller utreda terroristbrott eller andra grova brott. Ett annat villkor är att jämförelser i vissa andra databaser, bl.a. viseringsdatabasen, inte lett till att det gått att identifiera den som avsatt fingeravtrycket. Den omförhandlade förordningen ska börja tillämpas den 20 juli 2015.

14

Prop. uppfylla alla rättsliga, tekniska och praktiska krav vad gäller bestämmel- 2014/2015:82 serna i kategori II utvärderas i en särskild process, innan rådet kan be-

sluta om att avskaffa kontrollen vid de inre gränserna mot dessa stater. Bulgarien, Cypern, Kroatien och Rumänien har hittills tillämpat endast

bestämmelserna i kategori I. De förbereder en tillämpning av kategori II- bestämmelserna. Utvärderingarna har dock inte slutförts och kontrollen vid de inre gränserna har därför ännu inte avskaffats.

Irland och Förenade kungariket har en särskild ställning inom den del av EU-regelverket som gäller området frihet, säkerhet och rättvisa, inklusive Schengensamarbetet. De deltar endast i vissa bestämmelser i Schengenregelverket och utgör inte en integrerad del av Schengenområdet.

För närvarande deltar följaktligen 22 av EU:s 28 medlemsländer fullt ut i Schengensamarbetet. Härutöver har Norge, Island, Schweiz och Liechtenstein genom associationsavtal anslutit sig till samarbetet och deltar också fullt ut i detta.

5.2EU-rättsakter om viseringsskyldighet

Vilka tredjelandsmedborgare som är viseringsskyldiga regleras i rådets förordning (EG) nr 539/2001 av den 15 mars 2001 om fastställande av förteckningen över tredje länder vars medborgare är skyldiga att inneha visering när de passerar de yttre gränserna och av förteckningen över de tredje länder vars medborgare är undantagna från detta krav.

Bestämmelser som rör viseringar finns också bl.a. i rådets förordning (EG) nr 1683/95 av den 29 maj 1995 om en enhetlig utformning av visumhandlingar och Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (gränskodexen). Den 11 december 2014 beslutade regeringen propositionen EU:s gränskodex med förslag till ändringar i utlänningslagen som motiveras av gränskodexen. Riksdagen har godkänt regeringens förslag och lagändringarna träder i kraft den 15 april 2015 (bet. 2014/15:SfU7, rskr. 2014/15:114).

Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) reglerar handläggningen av viseringar för vistelser som inte är avsedda att vara längre än 90 dagar under en 180-dagarsperiod.

Prop. perioden ska VIS automatiskt radera ansökningsakten och länkarna till 2014/2015:82 den.

Förordningen innehåller också en s.k. broklausul som reglerar brottsbekämpande myndigheters och Europols tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott. Det är denna klausul som utgör grunden för VIS-rådsbeslutet.

För en närmare redogörelse av innehållet i VIS-förordningen hänvisas till departementspromemoriorna Författningsändringar med anledning av VIS-förordningen (Ds 2009:5) och Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS) (Ds 2011:27).

6 VIS-rådsbeslutet

I VIS-rådsbeslutet fastställs de villkor som ska gälla för att utsedda brottsbekämpande myndigheter och Europol ska få tillgång till uppgifter i VIS i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott. Syftet med flertalet bestämmelser kan sägas vara att utesluta rutinmässiga sökningar och skydda inhämtade uppgifter från missbruk.

Rådsbeslutet gäller i likhet med VIS-förordningen de stater som deltar fullt ut i Schengensamarbetet, se avsnitt 5.1. Vad som sägs i det följande om medlemsstater omfattar därför även de stater som genom associationsavtal deltar i Schengensamarbetet.

I artiklarna 3–5 finns bestämmelser om att medlemsstaternas utsedda myndigheter ska kunna begära sökningar i VIS på vissa villkor. Det är enbart centrala åtkomstpunkter i varje medlemsstat som får söka i VIS. För att en sökning ska få göras ska den vara nödvändig för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott i ett specifikt ärende och det ska finnas rimliga skäl att anse att inhämtandet av uppgifter från VIS väsentligen kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds. Den centrala åtkomstpunkten får endast använda särskilt angivna uppgifter som sökbegrepp. Vidare regleras vilka uppgifter som ska lämnas ut vid en träff.

Enligt artikel 6 ska även utsedda myndigheter i en medlemsstat i vilken VIS-förordningen ännu inte har fått verkan kunna begära sökningar i VIS. Sådana myndigheter ska då använda sig av ett särskilt förfarande. Av artikel 7 framgår villkoren för Europols åtkomst till VIS-uppgifter.

I artiklarna 8–16 finns bestämmelser om dataskydd. Där regleras bl.a. för vilka ändamål uppgifter från VIS får behandlas, hur länge uppgifterna får lagras samt frågor om information till enskilda och rätten till domstolsprövning.

För en närmare redogörelse av innehållet i rådsbeslutet hänvisas till departementspromemorian Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS) (Ds 2011:27). De enskilda artiklarna kommer också att behandlas i avsnitt 9–11 i samband med redogörelsen för hur de bör genomföras i svensk rätt.

18

Prop. fortfarande av betydelse. När det gäller polissamarbete och straffrättsligt 2014/2015:82 samarbete finns numera också dataskyddsrambeslutet (se avsnitt 7.1.6).

Europarådets ministerkommitté antog 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Sverige har ratificerat tilläggsprotokollet som trädde i kraft den 1 juli 2004.

7.1.3Europarådets rekommendation för polissektorn

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation, No. R (87), som reglerar användningen av personuppgifter inom polissektorn. Re- kommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

7.1.4Europeiska unionens stadga om de grundläggande rättigheterna

I Europeiska unionens stadga om de grundläggande rättigheterna (EU- stadgan) bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionens, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I artikel 7 i stadgan föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv och i artikel 8 föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund.

I den utsträckning rättigheterna i EU-stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen.

7.1.5Dataskyddsdirektivet

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av

personuppgifter och om det fria flödet av sådana uppgifter, nedan data-

20

7.1.6 Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, nedan dataskyddsrambeslutet, ska skydda personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Dataskyddsrambeslutet är endast tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna. Förhållandet mellan dataskyddsrambeslutet och andra EU-rättsakter som berör behandling av personuppgifter inom samma område, t.ex. Prüm- rådsbeslutet, behandlas i rambeslutets artikel 28 samt skäl 39 och 40. Där anges att tidigare rättsakter som innehåller en komplett och enhetlig uppsättning bestämmelser om skyddet av personuppgifter som omfattar alla relevanta aspekter av dataskydd inte bör påverkas av reglerna i dataskyddsrambeslutet.

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla personuppgifter på ett sådant sätt att skyddet för den personliga integriteten värnas. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet.

Dataskyddsrambeslutet har bedömts inte kräva några omfattande lagändringar i svensk rätt. Utöver vissa ändringar i myndigheternas registerförfattningar har en ny lag införts, lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, se avsnitt 7.2.7, (prop. 2012/13:73, bet. 2012/13:JuU19, rskr. 2012/13:206). Lagen trädde i kraft den 1 juli 2013.

7.1.7Översyn av EU:s dataskyddsreglering

Prop. dels en förordning med en generell reglering som ska ersätta dataskydds- 2014/2015:82 direktivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. Till skillnad från dataskyddsrambeslutet föreslås direktivet inte omfatta endast utbyte av information över gränserna utan även nationell personuppgiftsbehandling

inom den brottsbekämpande sektorn.

7.2Svenska författningar

7.2.1Regeringsformen

Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap. regeringsformen. Bestämmelsen omfattar bara vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av vad som kan anses utgöra ett betydande intrång ska man enligt förarbetena till bestämmelsen väga in bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (prop. 2009/10:80 s. 178 f.).

7.2.2Personuppgiftslagen

Personuppgiftslagen (1998:204), genom vilken dataskyddsdirektivet genomförts i svensk rätt, har gjorts generellt tillämplig och omfattar alltså även sådan verksamhet som faller utanför direktivets tillämpningsområde. Lagen trädde i kraft den 24 oktober 1998 och anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller emellertid framför bestämmelserna i personuppgiftslagen.

Personuppgiftslagen innehåller generella bestämmelser för all behandling av personuppgifter. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, söka, bevara och sprida uppgifter. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagens centrala bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige som ska se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder

22

Prop. verkets brottsbekämpande verksamhet får personuppgifter behandlas om 2014/2015:82 det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra visst brott eller fullgöra förpliktelser som följer av

internationella åtaganden.

I samband med genomförandet av Prümrådsbeslutets bestämmelser om automatiserat uppgiftsutbyte (se avsnitt 4.2.3) infördes en bestämmelse i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet av vilken det framgår att det i lagen (2000:343) och förordningen (2010:705) om internationellt polisiärt samarbete finns bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Genom bestämmelsen tydliggörs att om det i sistnämnda författningar finns bestämmelser som avviker från lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, ska de tillämpas i stället.

Inom Regeringskansliet pågår ett arbete med att se över regelverket avseende behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. En promemoria med förslag till ny tullbrottsdatalag har remitterats och bereds för närvarande inom Regeringskansliet (Finansdepartementet). Den föreslagna nya lagen är uppbyggd på liknande sätt som polisdatalagen, bl.a. föreslås att ändamålsbestämmelserna ska utformas utifrån samma principer som i polisdatalagen.

7.2.5Kustbevakningsdatalagen

Kustbevakningens personuppgiftsbehandling regleras i kustbevakningsdatalagen (2012:145). Syftet med lagen, som är utformad efter mönster av den nya polisdatalagen, är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I kustbevakningsdatalagen regleras bl.a. ändamålen för behandling och de begränsningar som gäller för behandling av vissa typer av uppgifter. Lagen innebär vidare att vissa grundläggande krav ställs på all behandling av uppgifter som omfattas av lagen, medan det för verksamhet som är särskilt känslig ur integritetssynpunkt, framför allt behandlingen av uppgifter för brottsbekämpande ändamål, uppställs särskilda villkor.

Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet. Behandling av personuppgifter i samband med interna och administrativa åtgärder omfattas inte av lagen, utan regleras av personuppgiftslagen.

I 1 kap. 2 § tredje stycket finns en bestämmelse av vilken det framgår att det i lagen (2000:343) och förordningen (2010:705) om internationellt polisiärt samarbete finns bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Genom bestämmelsen tydliggörs att om det i dessa författningar finns bestämmelser som avviker från kustbevakningsdatalagen, ska de tillämpas i stället.

24

I lagen (2000:343) och förordningen (2010:705) om internationellt polisiärt samarbete regleras samarbetet mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i Europeiska unionen samt Norge, Island, Schweiz och Liechtenstein. Där regleras bl.a. Schengensamarbetet, samarbetet enligt Prümrådsbeslutet och informationsutbytet enligt CBE-direktivet, men även visst annat polissamarbete. Lagen är tillämplig inte bara för polismän, utan i vissa fall även för tulltjänstemän och kustbevakningstjänstemän, när dessa enligt lag eller annan författning har polisiära befogenheter. Avvikande bestämmelser om behandling av personuppgifter i lagen och förordningen om internationellt polisiärt samarbete gäller framför reglerna i polisens, Tullverkets och Kustbevakningens registerförfattningar.

I lagen finns bl.a. en bestämmelse som reglerar hur uppgifter som har mottagits från andra stater får användas om den andra staten har ställt upp villkor för användningen, s.k. användningsbegränsningar (3 §). Om en svensk myndighet har fått upplysningar eller bevismaterial från en annan stat och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att använda materialet, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning. Det innebär att villkoret tar över exempelvis reglerna om åtalsplikt. Svenska myndigheter har motsvarande möjlighet att ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till annan stat (3 a §). Villkoren får dock inte strida mot en internationell överenskommelse som är bindande för Sverige.

7.2.7Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen

Prop. skydd för personuppgifter vid polissamarbete och straffrättsligt samar- 2014/2015:82 bete inom Europeiska unionen.

7.2.8 Offentlighets- och sekretesslagen

8 Genomförande av VIS-rådsbeslutet

8.1Godkännandet av VIS-rådsbeslutet

Innan VIS-rådsbeslutet antogs redovisade regeringen i en proposition om godkännande av rådsbeslutet på ett övergripande plan vilka lagändringar som kunde bli nödvändiga med anledning av rådsbeslutet och angav skälen för ett godkännande. Propositionen antogs av riksdagen i juni 2008, se avsnitt 3. I propositionen uttalades bl.a. följande beträffande skälen för ett godkännande. I takt med att gränskontrollen mellan medlemsstaterna avskaffas ökar möjligheterna för den gränsöverskridande brottsligheten att breda ut sig. För en effektiv bekämpning av gränsöverskridande brottslighet och annan allvarlig brottslighet krävs samarbete mellan medlemsstaternas polis- och tullmyndigheter. I detta arbete är ett förbättrat informationsutbyte mellan medlemsstaterna av central betydelse. När det gäller sådan kvalificerad brottslighet som rådsbeslutet tar sikte på kan det vara av särskilt intresse att få tillgång till den typ av information som VIS kommer att innehålla. Vid misstanke om förberedelse till terroristbrott kan t.ex. uppgifter om hur misstänkta personer har rört sig över gränserna vara av avgörande betydelse både i brottsförebyggande och i brottsutredande syfte. Den utökade tillgången till personuppgifter som rådsbeslutet innebär måste dock vägas mot intresset av skydd för enskildas integritet. Med hänsyn till de stränga villkor som rådsbeslutet uppställer för att en sökning i VIS i brottsbekämpande syfte ska vara tillåten, och till de skyddsmekanismer som rådsbeslutet innehåller, uppnås en balans mellan intresset av att inom EU kunna bekämpa terrorism och annan grov brottslighet och intresset av skydd för den personliga integriteteten (prop. 2007/08:132 s. 19 f.).

8.2Hur får myndigheter tillgång till uppgifter i VIS?

Enligt VIS-rådsbeslutet ska medlemsstaterna utse de nationella brottsbekämpande myndigheter som ska ges tillgång till uppgifter i VIS. Regeringen har beslutat att Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Tullverket och Kustbevakningen ska vara behöriga att begära sökningar i VIS. Den 1 januari 2015 ersattes Rikspolisstyrelsen

27

Prop. och polismyndigheterna av den nya Polismyndigheten och Säkerhetspoli- 2014/2015:82 sen. Enligt rådsbeslutet är det enbart särskilt utsedda enheter vid de behöriga myndigheterna som får ges tillgång till uppgifter i VIS. Tillgång till uppgifterna ska dock ges via en central åtkomstpunkt. Det är således endast den centrala åtkomstpunkten som kan göra själva sökningen i VIS. Regeringen har till Europeiska kommissionen och rådets generalsekretariat anmält Rikspolisstyrelsen som Sveriges centrala åtkomstpunkt. Efter polisens omorganisation är Polismyndigheten Sveriges cen-

trala åtkomstpunkt.

I rådsbeslutet anges de villkor som ska vara uppfyllda för att en sökning i VIS ska få göras. Tillgången till uppgifter i VIS förutsätter att bedömningar av om dessa villkor är uppfyllda görs i flera steg. Till en början krävs att någon vid en behörig myndighet bedömer att uppgifter i VIS väsentligen skulle kunna bidra till att exempelvis viss brottslig verksamhet kan förebyggas eller upptäckas och att verksamheten innefattar ett brott för vilket sökning i VIS är tillåten. Han eller hon får då vända sig till den särskilt utsedda enheten vid myndigheten med en begäran om att en sökning i VIS ska initieras. Om villkoren för sökning är uppfyllda får enheten skicka en motiverad begäran om sökning till den centrala åtkomstpunkten. Myndigheter i medlemsstater där VIS-förordningen ännu inte har fått verkan får vända sig till en behörig myndighet i en medlemsstat som tillämpar VIS-förordningen med en begäran om sökning, varefter denna myndighet får vidarebefordra begäran till den centrala åtkomstpunkten.

Den centrala åtkomstpunkten ska därefter kontrollera om villkoren för sökning är uppfyllda. Om samtliga villkor för sökning är uppfyllda ska den centrala åtkomstpunkten utföra sökningen i VIS. Sökningen görs genom direktåtkomst. Det innebär att den centrala åtkomstpunkten har direkt tillgång till databasen och på egen hand kan söka efter information där, dock utan att kunna påverka innehållet. Den faktiska begränsningen av vilka uppgifter som den centrala åtkomstpunkten får tillgång till görs med hjälp av olika tekniska lösningar. Om sökningen leder till en träff ska den centrala åtkomstpunkten föra över uppgifterna till den myndighet som har begärt sökningen.

9 Tillgång till uppgifter i VIS

9.1Förutsättningar för tillgång till uppgifter i VIS

Regeringens förslag: På begäran av behöriga myndigheter ska den centrala åtkomstpunkten genom direktåtkomst få söka i VIS om det i enskilda fall finns skäl att anta att uppgifter i systemet väsentligen kan komma att bidra till att utreda terroristbrott eller vissa andra grova brott, eller förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Det införs en definition av begreppet VIS- rådsbeslutet.

Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorians lagtext har dock utformats på ett något annorlunda sätt. I promemorian föreslås att det ska finnas särskilda skäl att anta att en sökning i VIS väsentligen kan komma att bidra till att den brottsliga verksamheten eller brottet i fråga förebyggs, förhindras, upptäcks eller utreds. Vidare innehåller promemorians lagtext en uppräkning av de svenska brott som får anses omfattas av VIS-rådsbeslutets definition av begreppet terroristbrott och en hänvisning till bilagan till lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder angående rådsbeslutets definition av begreppet grova brott.

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslagen.

Rikspolisstyrelsen och Säkerhetspolisen anser att man genom att kräva att det ska föreligga särskilda skäl att anta att VIS-uppgifter kan bidra till

exempelvis utredningen av ett visst brott ställer hårdare krav på när en

31

33

Prop. slutet. Enligt regeringens mening är en sådan generell upplysning till- 2014/2015:82 räcklig även i detta fall.

För att de bestämmelser som krävs för att genomföra VIS-rådsbeslutet i svensk rätt inte ska tyngas med rådsbeslutets fullständiga namn bör det införas en definition av VIS-rådsbeslutet i lagen om internationellt polisiärt samarbete.

Vilka brott ska kunna ligga till grund för sökning i VIS?

Sökningar i VIS får enligt artikel 5.1 i rådsbeslutet göras för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott. I rådsbeslutet används begreppet brott när det är fråga om såväl att förebygga och upptäcka brott som att utreda brott. I svensk lagstiftning brukar man emellertid skilja mellan underrättelseverksamhet som innebär att förebygga, förhindra eller upptäcka brottslig verksamhet och utredning och beivrande av konkreta brott. Enligt promemorian måste begreppet brott i rådsbeslutet rimligen tolkas så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som är föremål för underrättelseverksamhet. Datainspektionen har ifrågasatt denna slutsats. Vid genomförandet av Prümrådsbeslutets bestämmelser om automatiserat utbyte av fingeravtrycksuppgifter tolkades begreppet brott i rådsbeslutet så att det omfattade både förebyggande av brottslig verksamhet och utredning av konkreta brott (se prop. 2010/11:129 s. 110). Regeringen delar mot denna bakgrund promemorians bedömning att man även när det gäller sökningar enligt VIS-rådsbeslutet ska tolka begreppet brott så att det omfattar både konkreta brott och sådan brottslig verksamhet som är föremål för underrättelsearbete. Det innebär att en sökning i VIS kan aktualiseras både vid underrättelseverksamhet och vid förundersökning. Som anges ovan ingår att förhindra brottslig verksamhet i det brottsförebyggande arbetet i svensk rätt. Mot denna bakgrund bör uttrycket därför tillsammans med förebygga och upptäcka vara med i uppräkningen av för vilken typ av verksamhet man får söka i VIS.

Terroristbrott definieras i artikel 2.1 i rådsbeslutet som brott enligt nationell rätt som motsvarar eller är likvärdigt med brott enligt artiklarna 1– 4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism. Rambeslutet har i huvudsak genomförts genom lagen (2003:148) om straff för terroristbrott och artiklarna 1–4 motsvaras i svensk rätt av 2, 4 och 5 §§ i denna lag. När en ändring gjordes i rambeslutet om bekämpande av terrorism, som innebar att vissa gärningar med anknytning till terroristbrott skulle vara kriminaliserade, genomfördes ändringen i svensk rätt genom lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet. I 2 § i 2010 års lag anges vad som i lagen avses med särskilt allvarlig brottslighet. Definitionen i VIS-rådsbeslutet får således anses omfatta brott enligt såväl 2003 som 2010 års lag och brott som är likvärdiga med sådana brott.

Grova brott är enligt artikel 2.1 i rådsbeslutet sådana former av brottslighet som motsvarar eller är likvärdiga med de former av brottslighet som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan med-

lemsstaterna. Enligt artikel 2.2 i rambeslutet ska de i bestämmelsen an-

34

Prop. samma sätt bör det dock även beträffande VIS-rådsbeslutet överlämnas åt 2014/2015:82 tillämparna att uttolka begreppen. Ytterst är tolkningen av begreppen en fråga för EU-domstolen att avgöra. Genom att inte ange nationella brott i författningstexten blir det också möjligt för den svenska centrala åtkomstpunkten att göra sökningar i VIS som är relaterade till brott enligt utländsk lagstiftning, vilket kan komma att bli aktuellt för det fall sökningar begärs av myndigheter i medlemsstater där VIS-förordningen ännu inte har fått verkan. Slutligen kan det konstateras att det i gällande lagstiftning redan finns motsvarande direkta hänvisningar till brottslighet som avses i vissa internationella instrument. Vid exempelvis CBE-direk- tivets genomförande i svensk rätt valde man att i en lagbestämmelse ange att sökning i en annan stats fordonsregister får göras i syfte att utreda ett sådant trafiksäkerhetsrelaterat brott som omfattas av artikel 2 i CBE- direktivet (prop. 2013/14:65 s. 36 f.). I propositionen hänvisades det till

motsvarande författningsteknik i tidigare lagstiftningsärenden.

Det som talar mot en hänvisning direkt till VIS-rådsbeslutets definitioner av terroristbrott och grova brott är att en viss otydlighet kan komma att uppstå för tillämparna. Det bör dock framhållas att det är den centrala åtkomstpunkten som kommer att utföra sökningarna i VIS och att det är särskilda enheter vid de behöriga myndigheterna som kommer att begära sökningarna. En praxis gällande sökvillkoren kommer att utvecklas. Dessutom kan riktlinjer angående förutsättningarna för sökning komma att utarbetas. I sammanhanget kan också konstateras att vad som utgör grova brott enligt rådsbeslutet inte blir tydligare med promemorians förslag som innehåller en hänvisning till bilagan till arresteringsorderlagen, jämfört med hänvisningen i rådsbeslutet till artikel 2.2 i rådets rambeslut 2002/584/RIF.

Säkerhetspolisen har, mot bakgrund av att promemorians författningsförslag innehåller en uttömmande uppräkning av de brott som ska kunna ligga till grund för sökningar i VIS, framfört att det bör övervägas om det inte finns skäl att peka ut ytterligare brottstyper för vilka sökningar i VIS ska kunna göras. Regeringens författningsförslag innehåller dock inte något utpekande av vilka brott som enligt svensk rätt får anses motsvara rådsbeslutets definitioner av begreppen terroristbrott och grova brott. Som konstaterats ovan bör begreppen inte uttolkas i författning, bl.a. med hänsyn till att det finns motsvarande definitioner i Eurodacförordningen.

9.2Sökning i VIS

9.2.1Vilka sökbegrepp får användas?

Regeringens förslag: Vid sökning i VIS ska endast följande kategorier av uppgifter få användas som sökbegrepp: namn, medborgarskap, uppgifter om resan, bostad, fingeravtryck, viseringsuppgifter och uppgifter om vem som har bjudit in sökanden eller åtagit sig att stå för dennes levnadskostnader under vistelsen.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: Ingen av remissinstanserna har yttrat sig över för-

slaget.

36

– typ av visering och viseringsmärkets nummer, och

– uppgifter om den person som har bjudit in eller åtagit sig att stå för sökandens levnadskostnader under vistelsen.

Enligt artikel 5.3 innebär en träff vid sökning i VIS att tillgång ges dels till samtliga uppgifter som anges i artikel 5.2, dels till eventuella övriga uppgifter som hämtats från ansökningsakten, fotografier och eventuella uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

Om en sökning i VIS leder till träff kommer alltså den behöriga myndigheten att ges tillgång till en stor mängd uppgifter. För att svensk rätt ska leva upp till kraven i rådsbeslutet krävs det en reglering av vilka sökbegrepp som får användas vid sökning. Som framgår av avsnitt 8.4 anser regeringen att de grundläggande bestämmelserna om tillgången till uppgifter i VIS bör regleras i lag. Vilka sökbegrepp som får användas vid sökning i VIS tillhör enligt regeringens mening den kategorin bestämmelser och bör därför regleras i lag.

37

Promemorians förslag överensstämmer inte med regeringens bedömning. I promemorian föreslås att det i lag ska regleras vilka VIS-uppgifter som de behöriga myndigheterna ges tillgång till när en sökning leder till träff.

Remissinstanserna: Ingen av remissinstanserna har yttrat sig över förslaget.

Skälen för regeringens bedömning: Som anges i avsnitt 9.2.1 innebär en träff vid sökning i VIS enligt artikel 5.3 i rådsbeslutet att tillgång ges till samtliga uppgifter som kan användas som sökbegrepp samt till eventuella övriga uppgifter som hämtats från ansökningsakten, fotografier och eventuella uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

I promemorian föreslås en bestämmelse som anger vilka VIS-uppgifter de behöriga myndigheterna ska ges tillgång till när en sökning leder till träff. Det kan emellertid ifrågasättas om en sådan bestämmelse bör införas.

I artikel 5.3 regleras vilka uppgifter som ska lämnas ut vid en träff. Det är den centrala åtkomstpunkten som genom direktåtkomst får tillgång till uppgifterna. Som anges i avsnitt 8.2 innebär direktåtkomst att den centrala åtkomstpunkten genom olika tekniska begränsningar endast ges tillgång till de uppgifter som den enligt rådsbeslutet har rätt att få del av. Vilka uppgifter som lämnas ut från VIS är inte något som någon svensk myndighet kan påverka. Enligt artikel 4.1 ska de VIS-uppgifter till vilka åtkomst ges sedan överföras till den särskilda enhet vid den behöriga myndigheten som har begärt sökningen. Den behöriga myndigheten ska alltså få tillgång till alla de uppgifter som lämnas ut till den centrala åtkomstpunkten. Det finns därmed inte något behov av att reglera vilka uppgifter den behöriga myndigheten ska ges tillgång till.

9.2.3Utrikessekretess vid direktåtkomst

Som framgår av avsnitt 8.2 kommer den centrala åtkomstpunkten att göra sökningar i VIS genom direktåtkomst. Tryckfrihetsförordningens definition av när en upptagning ska anses förvarad hos en myndighet gäller oavsett var upptagningen lagras eller varifrån den härrör. Det innebär att uppgifter i utländska databaser, som i samband med direktåtkomst görs elektroniskt tillgängliga för en svensk myndighet, är allmänna handlingar hos den svenska myndigheten, även om myndigheten till följd av användningsbegränsningar eller villkorade sökbegränsningar inte har rätt att behandla uppgifterna. Vid remitteringen av promemorian väcktes frågan vad detta får för konsekvenser när det gäller den centrala åtkomstpunktens direktåtkomst till uppgifter i VIS. I propositionen Sekretess för uppgifter i utländska databaser föreslogs därför en ny bestämmelse i 15 kap. offentlighets- och sekretesslagen (2009:400), OSL, som trädde i

38

10 Användningsbegränsningar

10.1Tillåten behandling av uppgifter

Regeringens förslag: Personuppgifter som har hämtats från VIS ska få behandlas för det ändamål som uppgifterna hämtades för och för att utreda eller beivra brott i det enskilda fall som sökningen avsåg.

Promemorians förslag överensstämmer i huvudsak med regeringens. Enligt promemorians lagtext, som är utformad på ett något annorlunda sätt, får personuppgifter från VIS endast behandlas för att förebygga, förhindra, upptäcka, utreda eller beivra det eller de brott som låg till grund för sökningen i VIS.

Remissinstanserna: Säkerhetspolisen är den enda remissinstans som framför synpunkter på promemorians förslag. Myndigheten anser att lagförslaget begränsar användningen av uppgifterna i större utsträckning än vad rådsbeslutet synes göra. Myndigheten påpekar också att formuleringen i lagförslaget är problematisk, eftersom en sökning får göras för att förebygga brottslig verksamhet, medan de erhållna uppgifterna enligt förslaget endast får användas för att förebygga brott.

Skälen för regeringens förslag: Rätten till behandling av hämtade personuppgifter är enligt artikel 8.3 i rådsbeslutet begränsad på så sätt att behandling endast får ske för att förhindra, upptäcka, utreda och åtala för terroristbrott eller andra grova brott.

I 3 § lagen (2000:343) om internationellt polisiärt samarbete finns en bestämmelse om skyldighet för svenska myndigheter att följa sådana villkor som har överenskommits med främmande stat om hur uppgifter eller bevisning som har överlämnats från den andra staten får användas. Be- stämmelsen gäller också i fråga om överenskommelser med mellanfolkliga organisationer. Det innebär att svenska regler om hur myndigheter ska handla i olika avseenden, exempelvis reglerna om att inleda förun-

dersökning eller skyldighet att lämna information till andra myndigheter,

39

Prop. inte gäller i den utsträckning de strider mot villkoren i överenskommel- 2014/2015:82 sen med den andra staten eller den mellanfolkliga organisationen. Av propositionen Genomförande av delar av Prümrådsbeslutet framgår att bestämmelsen också kan tillämpas på uppgifter som översänds till Sve-

rige enligt ett rådsbeslut (se prop. 2009/10:177 s. 12).

Det system med en EU-gemensam databas som regleras i det nu aktuella rådsbeslutet skiljer sig dock från sådant informationsutbyte som sker direkt mellan stater. Frågan är därför om 3 § lagen om internationellt polisiärt samarbete är tillämplig på uppgifter som svenska myndigheter hämtar från VIS. En sådan tillämpning förutsätter att Sverige kan anses ha fått uppgifterna från en annan stat, vilket kan ifrågasättas. Paragrafen skulle kunna anses tillämplig på uppgifter som en annan medlemsstat har lagt in i VIS, men det är tveksamt om den är tillämplig på uppgifter som svenska viseringsmyndigheter har lagt in i VIS och som den svenska åtkomstpunkten får fram vid en sökning. Regeringen delar därför promemorians bedömning att de användningsbegränsningar som följer av rådsbeslutet bör regleras särskilt.

En bestämmelse som reglerar användningsbegränsningar måste, som anges i promemorian, ges lagform. Det hänger samman med att sådana begränsningar kan komma i konflikt med andra bestämmelser i lag om en myndighets skyldighet att utreda brott eller vidta andra åtgärder för att fullgöra sina uppgifter.

Enligt promemorians lagförslag ska personuppgifter som hämtats från VIS endast få behandlas för att förebygga, förhindra, upptäcka, utreda och beivra det eller de brott som låg till grund för sökningen i VIS. Säkerhetspolisen anser att den föreslagna formuleringen begränsar användningen av uppgifterna i större utsträckning än vad rådsbeslutet gör, eftersom förslaget hänvisar till det eller de specifika brott som föranledde sökningen medan rådsbeslutet enligt sin ordalydelse synes hänvisa till samtliga brott som omfattas av rådsbeslutet. Med en sådan tolkning av rådsbeslutet som Säkerhetspolisen förordar skulle de behöriga myndigheterna få stora möjligheter att behandla hämtade personuppgifter. En personuppgift som erhållits vid en sökning som gjorts i VIS för utredning av ett visst brott skulle så länge uppgiften finns bevarad kunna användas för utredning av andra brott som omfattas av VIS-rådsbeslutet, vilket inte framstår som rimligt med hänsyn till de stränga villkor och krav på kontroll som uppställs för att en sökning i VIS ska vara tillåten enligt rådsbeslutet. Även om artikel 8.3 i rådsbeslutet i enlighet med sin ordalydelse skulle kunna tolkas på det sätt som Säkerhetspolisen förespråkar bör artikeln läsas i sitt sammanhang och tolkas i ljuset av de förutsättningar som gäller för sökning. Mot denna bakgrund delar regeringen promemorians bedömning att möjligheterna till behandling av personuppgifter som hämtats från VIS är begränsade till det ändamål som uppgifterna hämtades för och till att utreda och beivra brott i det enskilda fall som sökningen avsåg.

Som Säkerhetspolisen har påpekat bör möjligheterna att behandla uppgifter som har hämtats från VIS motsvara möjligheterna att söka uppgifter i VIS. VIS-uppgifter bör därför få behandlas såväl för att förebygga, förhindra och upptäcka brottslig verksamhet som för att utreda och beivra brott.

40

11 Dataskydd

Regeringens förslag: Bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska gälla även vid behandling av personuppgifter enligt VIS-rådsbeslutet. På motsvarande sätt som för uppgiftsutbyte med stöd av Prümrådsbeslutet ska det av lagen om internationellt polisiärt samarbete framgå att lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och föreskrifter som regeringen har meddelat i anslutning till den lagen, inte ska tillämpas vid hämtande av uppgifter med stöd av VIS-rådsbeslutet.

Regeringens bedömning: Bestämmelserna i rådsbeslutet om dataskydd föranleder inte några lagändringar utöver hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd och klargörandet att lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen inte ska tillämpas vid behandling av personuppgifter som hämtats med stöd av VIS-rådsbeslutet.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens. I promemorian föreslås dock inte någon följdändring i lagen (2000:343) om internationellt polisiärt samarbete i förhållande till 4 § andra stycket 4 lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Remissinstanserna: Flertalet remissinstanser tillstyrker eller har inte något att invända mot förslaget och bedömningen.

Skälen för regeringens förslag och bedömning

VIS-rådsbeslutets bestämmelser om dataskydd

I artiklarna 8–16 i VIS-rådsbeslutet finns bestämmelser om dataskydd. Artikel 8 innehåller bestämmelser om skydd av personuppgifter. Där anges bl.a. att medlemsstaterna måste garantera en viss dataskyddsnivå för behandlingen av personuppgifter som inhämtats med stöd av rådsbeslutet (artikel 8.1) och att behöriga organ som enligt nationell rätt har till uppgift att utöva tillsyn över personuppgiftsbehandling ska granska den behandling av personuppgifter som grundar sig på rådsbeslutet (artikel 8.5–8.7). Vidare anges att personalen vid de myndigheter som ska ha åtkomst till VIS ska ges lämplig utbildning (artikel 8.8). I artikel 9 finns bestämmelser om tekniska och organisatoriska åtgärder för säkerställande av dataskydd och datasäkerhet. Enligt artikel 10 har personer eller medlemsstater som lidit skada till följd av en otillåten behandling eller

annat handlande som är oförenligt med bestämmelserna i rådsbeslutet rätt

43

Prop. till skadestånd av den medlemsstat som är ansvarig för skadan. Av arti- 2014/2015:82 keln framgår också att en medlemsstat ansvarar för skada som dess underlåtenhet att uppfylla skyldigheter enligt rådsbeslutet orsakar på VIS, såvida inte en annan medlemsstat har låtit bli att vidta rimliga åtgärder för att förhindra skadan eller begränsa dess verkningar. Skadeståndsanspråk mot en medlemsstat enligt artikeln ska regleras genom den natio-

nella lagstiftningen i den medlemsstat som är svarande.

I artikel 12 föreskrivs en skyldighet för medlemsstaterna att vidta nödvändiga åtgärder för att all användning av VIS-uppgifter som strider mot rådsbeslutet ska vara straffbar genom administrativa eller straffrättsliga sanktioner.

Artikel 13 reglerar hur länge uppgifter som har hämtats från VIS och som har lagts in av en annan stat får bevaras i nationella register. Sådana uppgifter ska gallras när de inte längre är nödvändiga i ett enskilt fall i enlighet med de ändamål som anges i rådsbeslutet. Artikel 14 innehåller bestämmelser om personers rätt till information om uppgifter som avser dem själva och som har hämtats från VIS med stöd av rådsbeslutet. Där anges att rätten till information ska regleras av nationell rätt (artikel 14.1), att information får lämnas ut endast om den medlemsstat som har registrerat uppgifterna i VIS först getts tillfälle att yttra sig (artikel 14.3) och att information i vissa fall inte ska lämnas ut till den registrerade (artikel 14.4). Artikeln föreskriver också att en person har rätt att få oriktiga uppgifter korrigerade och olagligt lagrade uppgifter raderade (artikel 14.5) och att den som begär rättelse ska informeras om vilka åtgärder som vidtas till följd av begäran (artikel 14.6–14.7) samt att den som vägrats rättelse, radering eller utlämnande av uppgifter ska ha rätt att väcka talan eller överklaga till behörig myndighet eller domstol (artikel 14.8).

Enligt artikel 16 är varje medlemsstat skyldig att för kontrolländamål registrera all uppgiftsbehandling som härrör från åtkomst till VIS. I artikeln anges vilka uppgifter som ska registreras, att registerposter innehållande personuppgifter endast får användas för visst ändamål och att de registrerade uppgifterna ska gallras efter viss tid. Enligt artikel 8.4 ska även sådana överföringar som i brådskande undantagsfall skett till tredjeland registreras.

I artikel 11 anges att medlemsstaterna ska se till att de myndigheter som har tillgång till VIS-uppgifter vidtar de åtgärder som är nödvändiga för att följa rådsbeslutet och vid behov samarbetar med tillsynsorganen. Av artikel 15 framgår att varje medlemsstat på egen bekostnad ska inrätta och underhålla den tekniska infrastruktur som krävs för att genomföra rådsbeslutet samt bära kostnaderna för åtkomst till VIS enligt rådsbeslutet.

Förhållandet till dataskyddsrambeslutet

Av skäl 9 i VIS-rådsbeslutet framgår att man tänkte sig att dataskyddsrambeslutet (se avsnitt 7.1.6) skulle komma att göras tillämpligt på personuppgifter som behandlas med stöd av rådsbeslutet. När dataskyddsrambeslutet senare antogs och genomfördes fastslogs emellertid att VIS- rådsbeslutet utgör en sådan EU-rättsakt som innehåller en komplett upp-

sättning regler om dataskydd och som därför inte ska påverkas av rambe-

44

45

47

Prop. ligt för mottagaren att själv hämta uppgifterna. Förbudet gäller oavsett 2014/2015:82 vilken dataskyddsnivå det mottagande landet har.

I andra stycket görs ett undantag från förbudet i första stycket. I en brådskande situation får sådana personuppgifter som avses i första stycket överföras till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Det får dock endast ske om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott som omfattas av rådsbeslutet och de övriga villkor för sökning i VIS som anges i 24 § andra stycket är uppfyllda. Den första förutsättningen, att det ska vara ett brådskande fall, ger uttryck för att det ska röra sig om en överhängande risk för att ett terroristbrott eller annat grovt brott kommer att begås. Det är inte i något fall tillåtet att överföra eller tillgängliggöra personuppgifter från VIS som lagts in i systemet av en annan stat till ett tredjeland eller en internationell organisation, om syftet är att utreda ett redan begånget brott. Den stat som har lagt in uppgifterna i VIS måste också samtycka till överföringen eller tillgängliggörandet. Slutligen ska det vara förenligt med svenska intressen att uppgifterna lämnas ut och förutsättningarna i 33 och 34 §§ personuppgiftslagen ska vara uppfyllda (beträffande förutsättningarna i 33 och 34 §§ personuppgiftslagen, se prop. 1997/98:44, s. 94 f.).

29 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.samarbete enligt Prümrådsbeslutet när det gäller behandling av personuppgifter samt bistånd vid större evenemang, katastrofer och allvarliga olyckor,

2.informationsutbyte enligt CBE-direktivet, och

3.tillgång till uppgifter enligt VIS-rådsbeslutet.

Paragrafen, som tidigare betecknades 25 §, innehåller en upplysning om att det finns kompletterande bestämmelser på lägre normgivningsnivå. Ett tillägg görs i bestämmelsen så att denna även omfattar föreskrifter om tillgång till uppgifter enligt VIS-rådsbeslutet. Frågan behandlas i avsnitt 8.4. Bestämmelsen ändras också för att tydliggöra att stödet för att meddela ytterligare föreskrifter finns i 8 kap. 7 § regeringsformen.

52

av VIS-rådsbeslutet, får den behöriga myndigheten, utöver alla de uppgifter som anges i 25 §, även ges tillgång till

1.andra uppgifter som hämtats från ansökningsakten,

2.fotografier, och

3.uppgifter om utfärdade, vägrade, återkallade eller förlängda viseringar.

27 §

Har en myndighet fått tillgång till VIS-uppgifter som är personuppgifter, får uppgifterna inte behandlas för något annat ändamål än att förebygga, förhindra, upptäcka, utreda och beivra det eller de brott som låg till grund för sökningen enligt 23 §.

28 §

Det är förbjudet att till ett tredjeland eller en internationell organisation överföra personuppgifter som har lagts in av en annan stat i informationssystemet för viseringar (VIS), eller att göra sådana uppgifter tillgängliga.

Vid fara i dröjsmål får dock personuppgifter föras över till eller göras tillgängliga för ett tredjeland eller en internationell organisation. Detta får endast göras

1.för att förebygga, förhindra och upptäcka sådana brott som anges i 23 § första stycket, och

2.om de villkor i övrigt som anges i 23 § första stycket är uppfyllda, samt

3.om den stat som har registrerat viseringsuppgifterna samtycker till det.

65

10.typ av visering och viseringsmärkets nummer, och

11.den person som bjudit in eller åtagit sig att stå för sökandens levnadskostnader under vistelsen.

26 §

Personuppgifter som har hämtats från VIS får behandlas för det ändamål som uppgifterna hämtades för. De får också behandlas för att utreda eller beivra brott i det enskilda fall som sökningen avsåg.

27 §

Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat.

Detta är dock tillåtet i brådskande fall om

1.de villkor för sökning som anges i 24 § andra stycket är uppfyllda,

2.det är förenligt med svenska intressen att uppgifterna lämnas ut,

3.den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna i 33 och

34 §§ personuppgiftslagen (1998:204) är uppfyllda.

71

73

Prop.

2014/2015:82

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 5 mars 2015

Närvarande: Statsministern S Löfven, ordförande, och statsråden Å Romson, Y Johansson, M Johansson, K Persson, S-E Bucht,

P Hultqvist, H Hellmark Knutsson, I Lövin, Å Regnér, M Andersson, A Ygeman, A Johansson, P Bolund, M Kaplan, A Bah Kuhnke,

A Strandhäll, A Shekarabi, G Wikström, A Hadzialic

Föredragande: statsrådet A Ygeman

Regeringen beslutar proposition Brottsbekämpande myndigheters tillgång till informationssystemet för viseringar (VIS)

75

Prop.

2014/2015:82

Rättsdatablad

76