Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Innehåll

Beslut vid regeringssammanträde den 17 mars 2016

Sammanfattning

Inom kort förväntas EU besluta om ett direktiv med regler om skydd av personuppgifter när behöriga myndigheter behandlar sådana uppgifter vid brottsbekämpning, brottmålshantering eller straffverkställighet. En särskild utredare ska föreslå hur EU-direktivet ska genomföras i svensk rätt. Utredaren ska bl.a.

. lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde,

. lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna,

. bedöma om direktivet ger anledning till ny eller ändrad reglering om tillsyn och vid behov lämna författningsförslag,

. bedöma om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag.

Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

Den nuvarande regleringen och EU:s dataskyddsreform

Några grundläggande bestämmelser om skydd av personuppgifter vid brottsbekämpning

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Behandling av personuppgifter i brottsbekämpande myndigheters verksamhet kan typiskt sett falla under bestämmelsen. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap. regeringsformen.

I EU:s stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Artikel 8 i stadgan reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

I detta sammanhang bör även artikel 8 i Europakonventionen nämnas. Enligt artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheten är dock inte absolut. Inskränkningar får göras med stöd av lag och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. förebyggande av oordning och brott.

Den nuvarande EU-regleringen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet gäller inte på området för polissamarbete och straffrättsligt samarbete och inte heller på området för nationell säkerhet.

Den nuvarande EU-regleringen i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämplig på informationsutbyte över gränserna. Dataskyddsrambeslutet är alltså tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ och vissa informationssystem. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och alltså reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Personuppgiftslagen är dock subsidiär i förhållande till andra lagar och förordningar. Inom flera områden, bl.a. när det gäller brottsbekämpning, finns särlagstiftning i s.k. registerförfattningar som helt eller delvis ersätter personuppgiftslagen. När särregleringen helt ersätter personuppgiftslagen, görs som regel hänvisningar till vissa paragrafer i lagen som ändå ska gälla. Sådana hänvisningar görs ofta till personuppgiftslagens bestämmelser om bl.a. information till den registrerade, rättelser, säkerheten vid behandling, överföring av personuppgifter till tredjeland, tillsynsmyndighetens befogenheter och skadestånd.

Vid genomförandet av dataskyddsrambeslutet bedömdes merparten av rambeslutets artiklar motsvaras av bestämmelser i svensk rätt, dels i personuppgiftslagen, dels i berörda myndigheters registerförfattningar. De kompletterande bestämmelser som krävdes genomfördes i en särskild lag, lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

EU:s dataskyddsreform

Inom kort väntas en ny EU-förordning antas om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter (nedan dataskyddsförordningen). Samtidigt väntas ett nytt EU-direktiv antas om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (nedan det nya dataskyddsdirektivet).

Dataskyddsförordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta dataskyddsdirektivet från år 1995. Den börjar tillämpas två år räknat från den tjugonde dagen efter publicering i Europeiska unionens officiella tidning. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Den personuppgiftsbehandling som görs för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde. Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt.

Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

EU:s dataskyddsreform kommer att kräva en bred översyn av svenska författningar om personuppgiftsbehandling. Bland övrigt utredningsarbete bör nämnas att en särskild utredare har i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Den utredningen syftar till att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling när förordningen börjar tillämpas.

Uppdraget att föreslå hur EU-direktivet ska genomföras i svensk rätt

En väl avvägd balans är nödvändig mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets krav på att brott förebyggs och förhindras, att brott utreds och att personer som begår brott lagförs. Den svenska regleringen om skydd av personuppgifter inom direktivets tillämpningsområde har i stor utsträckning nyligen moderniserats och bedömts ändamålsenlig. En avvägning mellan olika intressen har då gjorts. En allmän utgångspunkt för uppdraget är därför att utredaren ska sträva efter principiella lösningar som ansluter till nuvarande systematik i bl.a. polisdatalagen (2010:361), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728). Även i övrigt ska utredaren så långt det är lämpligt och möjligt sträva efter principiella lösningar som är förenliga med gällande författningar och systematik. Vid utformningen av de författningsförslag som lämnas ska utredaren beakta EU:s stadga om de grundläggande rättigheterna och de internationella konventioner på området som Sverige är förpliktat att följa. Liksom vid all lagstiftning ska enkelhet, överskådlighet och konsekvens eftersträvas för det samlade regelverket om skydd av personuppgifter. I detta ligger också att förslagen så långt som möjligt ska vara kostnadseffektiva.

Direktivet kommer att vara ett resultat av förhandlingar och kompromisser i och mellan kommissionen, rådet och Europaparlamentet, vilket kan medföra oklarheter och otydligheter i text och systematik. Utredaren ska därför eftersträva att innebörden av direktivet vid behov förklaras och tydliggörs.

En ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Det nya dataskyddsdirektivet innehåller ett antal bestämmelser som innebär förpliktelser för medlemsstaterna. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i direktivet.

I förhållande till nuvarande svensk reglering innehåller direktivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumentation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personuppgiftsincidenter.

Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredjeland och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser.

Enligt direktivet har enskilda vissa rättigheter, bl.a. att vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rättsmedel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansvariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om påföljder eller sanktioner vid överträdelser av bestämmelser som genomför direktivet.

Direktivets tillämpningsområde omfattar personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Det finns behov av att utifrån svenska förhållanden analysera och beskriva direktivets tillämpningsområde. Det behöver bl.a. analyseras i vilken utsträckning även personuppgiftsbehandling vid andra myndigheter än dem som ingår i rättskedjan, exempelvis Statens institutionsstyrelse och Rättsmedicinalverket, omfattas av direktivets förpliktelser.

Som framgått är det personuppgiftslagen som i dag i huvudsak innehåller reglering av motsvarande slag som det nya dataskyddsdirektivet kräver. När den nya dataskyddsförordningen börjar tillämpas kommer dock personuppgiftslagen och föreskrifter i anslutning till den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen - förordningen och kompletterande nationella bestämmelser - är inte anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom området för brottsbekämpning, brottmålshantering och straffverkställighet. Det bedöms emellertid fortfarande vara lämpligt med ett så långt som möjligt gemensamt regelverk om behandling av personuppgifter för de myndigheter som bedriver verksamhet inom det aktuella området. Det behövs därför en ny svensk ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde och att utredaren utgår från detta vid analyser, bedömningar och förslag.

Efter en analys av direktivets tillämpningsområde är det möjligt att utredaren bedömer att myndigheter som för närvarande inte omfattas av särreglering i registerförfattningar kommer att omfattas av direktivets krav. Det finns därför anledning att i första hand undersöka om den nya ramlagstiftningen kan utformas på ett sätt som inte förutsätter att det tas fram nya, kompletterande, registerförfattningar för sådana myndigheter.

Det behöver analyseras hur direktivets förpliktelser förhåller sig till svensk rätt. Förutom en övergripande analys avseende förhållandet till svensk reglering av personuppgiftsbehandling inom direktivets tillämpningsområde, behöver analysen omfatta förhållandet till nationell reglering avseende sekretess och arkiv liksom förvaltningsrätt, processrätt och skadeståndsrätt. Behovet av analys omfattar exempelvis frågan om hur direktivets utrymme för begränsningar av enskildas rätt till information eller tillgång till sina egna personuppgifter förhåller sig till svensk sekretessreglering och hur möjligheterna att anpassa tidpunkten för den enskildes utövande av rätten till insyn förhåller sig till nationella straffprocessuella bestämmelser.

Direktivet innehåller en bestämmelse om att dataskyddsrambeslutet ska upphävas. Frågan är vilka konsekvenser det får för den svenska lagstiftning som delvis genomförde rambeslutet, lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

Utredaren ska alltså

. analysera och beskriva direktivets tillämpningsområde,

. analysera hur svensk rätt förhåller sig till direktivets förpliktelser,

. bedöma i vilka avseenden ny eller ändrad författningsreglering krävs för att Sverige ska leva upp till förpliktelserna,

. lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde,

. ta ställning till om lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen bör upphävas och vid behov lämna förslag till författningsändringar, och

. om det behövs, lämna förslag till författningsändringar även på andra områden än den reglering som närmast rör personuppgiftsbehandling.

Hur behöver centrala författningar om rättsväsendets personuppgiftsbehandling anpassas?

Inom det nya dataskyddsdirektivets tillämpningsområde hanterar rättsväsendet en stor mängd information som innebär behandling av personuppgifter. Ett antal författningar är i detta avseende av central betydelse. Det gäller polisdatalagen, lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kustbevakningsdatalagen (2012:145), åklagardatalagen, domstolsdatalagen och lagen (2001:617) om behandling av personuppgifter inom kriminalvården. De berörda lagarna kompletteras av förordningar.

Det krävs en närmare analys och bedömning av i vilken utsträckning direktivets förpliktelser medför behov av ändringar av de angivna lagarna och de tillhörande förordningarna. Det kommer också att krävas en anpassning av de angivna författningarna med anledning av en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde när personuppgiftslagen upphävs.

Utredaren ska därför

. analysera och bedöma behovet av författningsändringar för att anpassa de angivna författningarna till direktivets förpliktelser och de nya förutsättningarna för regleringen, och

. lämna förslag till författningsändringar.

Inom direktivets tillämpningsområde berörs, utöver de angivna lagarna och förordningarna, även andra författningar av direktivets förpliktelser eller andra delar av EU:s dataskyddsreform. Det gäller t.ex. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. Det ligger dock inte inom ramen för utredarens uppdrag att se över behovet av ändringar när det gäller de lagarna eller andra författningar som inte har angetts här.

Personuppgiftsbehandling vid tillhandahållande av information - bör även dataskyddsförordningens reglering kompletteras?

Polismyndigheten, Skatteverket, Tullverket, Kustbevakningen, åklagarväsendet, domstolsväsendet och Kriminalvården kommer att tillämpa regleringen i dataskyddsförordningen när de behandlar personuppgifter i verksamhet som utförs i annat syfte än att bekämpa brott, hantera brottmål eller verkställa straff. Som en utgångspunkt ingår det inte i utredarens uppdrag att se över eller lämna förslag till förändringar av författningar inom förordningens tillämpningsområde. Det gäller även i den utsträckning t.ex. kustbevakningsdatalagen eller domstolsdatalagen reglerar behandling av personuppgifter inom förordningens tillämpningsområde.

Enligt det nya dataskyddsdirektivets artikel 7a ska personuppgifter som samlas in av behöriga myndigheter i syfte att bekämpa brott, hantera brottmål eller verkställa straff inte därefter behandlas för andra ändamål än de som ryms inom direktivets tillämpningsområde, om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. I sådana fall ska dataskyddsförordningen tillämpas på denna behandling, om inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Förordningens reglering tillämpas alltså redan vid tillhandahållandet när t.ex. uppgifter som samlats in under en förundersökning överförs för ändamål som faller utanför direktivets tillämpningsområde. Enligt den nuvarande svenska regleringen finns bestämmelser som reglerar tillåtligheten av behandling för sådant tillhandahållande, s.k. sekundära ändamål, i den författning som reglerar myndighetens behandling av personuppgifter för brottsbekämpande ändamål (se t.ex. 2 kap. 8 § polisdatalagen).

Förordningen ger ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser om hur bestämmelserna i förordningen ska tillämpas (förordningens artikel 6.2a). Det krävs en analys och bedömning av i vilken utsträckning det är möjligt och lämpligt att utnyttja förordningens utrymme att behålla eller införa specifik reglering i svensk rätt som tar sikte på den typ av situation som beskrivits.

Utredaren ska därför

. analysera om det finns utrymme för och behov av att inom förordningens tillämpningsområde införa eller behålla specifik reglering i svensk rätt om behandling av personuppgifter för tillhandahållande av information, och

. vid behov föreslå författningsändringar.

Hur behöver reglerna om tillsyn anpassas?

Tillsyn över behandling av personuppgifter inom det nya dataskyddsdirektivets tillämpningsområde utövas i dag av Datainspektionen. Säkerhets- och integritetsskyddsnämnden har också ett tillsynsuppdrag och granskar bl.a. brottsbekämpande myndigheters användning av hemliga tvångsmedel och polisens personuppgiftsbehandling. Att Datainspektionens tillsyn kompletteras med tillsyn av en myndighet med särskild uppgift att utöva tillsyn över personuppgiftsbehandling i bl.a. polisens brottsbekämpande verksamhet har ansetts innebära möjligheter att inrikta tillsynen på de områden som kan ge upphov till särskilda risker från integritetssynpunkt (prop. 2009/10:85 s. 273 f.).

Det nya dataskyddsdirektivet innehåller flera bestämmelser som rör tillsyn, bl.a. tillsynsmyndighetens befogenheter. Det ligger i utredarens uppdrag att föreslå hur direktivets förpliktelser ska genomföras även när det gäller bestämmelserna om tillsyn. Det finns dock några frågor om tillsyn som inte ingår i uppdraget på grund av att de omhändertas av andra utredningar.

Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), som ska redovisa sitt uppdrag senast den 30 september 2016, ska bl.a. lämna de förslag som behövs för att den myndighet för tillsyn som utredningen kommer att föreslå ska kunna fullgöra de uppgifter som den nu aktuella EU-reformen medför. Det får därför anses ligga inom ramen för det uppdraget att omhänderta vissa frågor om genomförandet av direktivet. Hit hör frågor om anpassning till direktivets förpliktelser avseende organisation, utnämningen respektive avsättandet av medlemmar samt resurser och anknytande frågor för den myndigheten. Dessa frågor ingår alltså inte i utredarens uppdrag.

Det ligger vidare inom ramen för uppdraget för den särskilda utredare som har i uppdrag att föreslå anpassningar på generell nivå som förordningen ger anledning till att bl.a. analysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Eftersom direktivets krav i denna del överensstämmer med förordningens ingår inte heller denna fråga i utredarens uppdrag.

Med en utgångspunkt i att Säkerhets- och integritetsskyddsnämnden även i fortsättningen utövar tillsyn inom direktivets tillämpningsområde finns det behov av att också med avseende på nämnden se över om och i vilken utsträckning en ny reglering eller ändringar i svensk rätt krävs med anledning av direktivets förpliktelser. Detta ingår i sin helhet i utredarens uppdrag.

Utredaren ska alltså, med undantag för de frågor som angetts ingå i andra utredningars uppdrag,

. analysera och bedöma om direktivet föranleder behov av ny eller ändrad reglering om tillsyn, och

. vid behov föreslå författningsändringar.

Uppdraget att bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras

Den 1 januari 2015 ombildades Säkerhetspolisen till en fristående myndighet. Regleringen av Säkerhetspolisens behandling av personuppgifter har anpassats till de nya förhållandena (se prop. 2014/15:94), men myndighetens behandling av personuppgifter regleras fortfarande i polisdatalagen med tillhörande förordning.

EU:s dataskyddsreform kommer att medföra ett förändrat regelverk för nationell personuppgiftsbehandling. Samtidigt är centrala delar av Säkerhetspolisens verksamhet av sådant slag att unionsrätten inte är tillämplig.

De förändringar i nationell rätt som föranleds av EU:s dataskyddsreform innebär att det behövs en analys och bedömning av på vilket sätt Säkerhetspolisens personuppgiftsbehandling bör regleras och om det finns skäl att separera den regleringen från polisdatalagstiftningen. En utgångspunkt för utredarens analys och bedömning ska vara att regleringen av Säkerhetspolisens personuppgiftsbehandling nyligen har moderniserats och bedömts ändamålsenlig. Så långt det är lämpligt och möjligt ska principiella lösningar som är förenliga med gällande författningar och systematik eftersträvas om författningsförslag lämnas.

Utredaren ska

. analysera och bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras och om regleringen bör separeras från den lagstiftning som gäller för Polismyndigheten, och

. vid behov föreslå författningsändringar.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för brottsbekämpningen och för den personliga integriteten.

Samråd och redovisning av uppdraget

Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och EU. Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning av regelverket eftersträvas. Utredaren ska därför följa och i lämplig omfattning samråda med utredningen som har i uppdrag att föreslå anpassningar på generell nivå som dataskyddsförordningen ger anledning till och Utredningen om tillsynen över den personliga integriteten. Samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering. Utredaren ska också, i den utsträckning det bedöms lämpligt, hålla sig informerad om och samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Under genomförandet av uppdraget ska utredaren även ha en dialog med och inhämta upplysningar från de myndigheter som kan vara berörda av aktuella frågor.

Utredaren är fri att ta upp och lämna förslag i näraliggande frågor som aktualiseras under utredningsuppdraget men som inte rör genomförandet av eller anpassningen av svensk rätt till EU:s dataskyddsreform.

Uppdraget att föreslå hur direktivet ska genomföras ska redovisas genom ett delbetänkande senast den 1 april 2017 i den del det rör dels en ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

      (Justitiedepartementet)