Justitieutskottets betänkande

2017/18:JuU37

 

Brottsdatalag

Sammanfattning

Utskottet föreslår att riksdagen antar regeringens förslag till brottsdatalag. Syftet med den föreslagna lagen är dels att skydda fysiska personers grundläggande rättigheter och friheter, dels att säkerställa att myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Genom den nya lagen genomförs EU:s nya dataskyddsdirektiv. Lagen är en ramlag som ska vara generellt tillämplig inom det område som direktivet reglerar, i huvudsak behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen ska vara subsidiär i förhållande till andra lagar och förordningar, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar.

Lagändringarna föreslås i huvudsak träda i kraft den 1 augusti 2018.

Behandlade förslag

Proposition 2017/18:232 Brottsdatalag.

 

 

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Brottsdatalag

Särskilt yttrande

Brottsdatalag (V)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

 

 

 

Utskottets förslag till riksdagsbeslut

 

 

Brottsdatalag

Riksdagen antar regeringens förslag till

1. brottsdatalag,

2. lag om ändring i lagen (1998:620) om belastningsregister,

3. lag om ändring i lagen (1998:621) om misstankeregister,

4. lag om ändring i offentlighets- och sekretesslagen (2009:400),

5. lag om ändring i domstolsdatalagen (2015:728),

6. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete,

7. lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning,

8. lag om ändring i brottsdatalagen (2018:000).

Därmed bifaller riksdagen proposition 2017/18:232 punkterna 1–8.

 

Stockholm den 7 juni 2018

På justitieutskottets vägnar

Tomas Tobé

Följande ledamöter har deltagit i beslutet: Tomas Tobé (M), Helene Petersson i Stockaryd (S), Elin Lundgren (S), Krister Hammarbergh (M), Johan Hedin (C), Anders Hansson (M), Petter Löberg (S), Adam Marttinen (SD), Roger Haddad (L), Linda Snecker (V), Andreas Carlson (KD), Lawen Redar (S), Sanne Lennström (S), Ellen Juntti (M), Jan Lindholm (MP), Patrick Reslow (-) och Sultan Kayhan (S).

 

 

 

 

 

Redogörelse för ärendet

I detta betänkande behandlar utskottet proposition 2017/18:232 Brottsdatalag. I propositionen föreslår regeringen att EU:s nya dataskyddsdirektiv genomförs genom en ny lag, brottsdatalagen.

Regeringens förslag till riksdagsbeslut redovisas i bilaga 1, och regeringens lagförslag återges i bilaga 2.

Ingen motion har väckts med anledning av propositionen.

Utskottets överväganden

Brottsdatalag

Utskottets förslag i korthet

Riksdagen antar regeringens lagförslag.

Jämför det särskilda yttrandet (V).

Bakgrund

Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar två rättsliga instrument. Dels omfattar den Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen), dels omfattar den Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

Dataskyddsförordningen började tillämpas den 25 maj 2018. Den utgör en ny generell reglering för behandling av personuppgifter inom EU och har ersatt dataskyddsdirektivet från 1995. Förordningen är direkt tillämplig. När förordningen trädde i kraft upphävdes den svenska personuppgiftslagen. Från förordningens tillämpningsområde undantas personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot och förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften ligger i stället under det nya dataskyddsdirektivets tillämpningsområde.

Dataskyddsdirektivet skulle ha varit genomfört i nationell rätt senast den 6 maj 2018. Direktivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet och genomförs i svensk rätt genom lagförslagen i den aktuella propositionen.

Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet. Vidare undantas den personuppgiftsbehandling som förekommer vid EU:s myndigheter och andra organ.

Propositionen

Behovet av en ny lag

1995 års dataskyddsdirektiv genomfördes i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen var subsidiär i förhållande till andra lagar och förordningar. Personuppgiftslagen innehöll, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning motsvarar de krav på reglering som dataskyddsdirektivet ställer. Det regelverk som ersätter personuppgiftslagen – dataskydds-förordningen och kompletterande nationella bestämmelser – kommer emellertid inte att vara anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom brottsbekämpning, lagföring och straffverkställighet, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför enligt regeringen en ny reglering för att genomföra direktivet. Direktivets bestämmelser är av den arten att regleringen lämpligen bör ha lagform.

Nedan följer en redogörelse för regeringens bedömning av hur lagbestämmelserna bör utformas för att på ett lämpligt sätt genomföra direktivet. Direktivet finns fogat till propositionen i en bilaga (s. 503 f.).

Den nya lagens huvuddrag

Dataskyddsdirektivet bör enligt regeringen i huvudsak genomföras genom en helt ny lag, i stället för genom ändringar i befintliga registerförfattningar. Lagen ska vara generellt tillämplig; dock ska särregler i andra lagar och förordningar gälla framför den nya lagen. Den ska med andra ord vara subsidiär i förhållande till andra bestämmelser. De registerförfattningar som nu finns måste emellertid anpassas till den nya ramlagen på så sätt att de bara ska innehålla bestämmelser som gäller utöver denna. Vidare bör vissa bestämmelser flyttas från registerförfattningarna till ramlagen. Det kommer enligt regeringen att lämnas förslag på dessa ändringar i en kommande proposition.

Den nya lagen föreslås heta brottsdatalagen.

Det nya dataskyddsdirektivet har dubbla syften. Dessa dubbla syften bör enligt regeringen även tydligt framgå av lagen. Syftet med ramlagen anges i den inledande bestämmelsen således vara dels att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Tillämpningsområdet

Eftersom dataskyddsförordningen, som annars är direkt tillämplig, inte kommer att vara tillämplig på personuppgiftsbehandling som omfattas av den nya ramlagen är tillämpningsområdet för denna lag viktigt att definiera.

Regeringen föreslår att ramlagens tillämpningsområde knyts till behandlingen av personuppgifter som behöriga myndigheter utför för vissa syften som framgår av direktivet, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Att personuppgiftsbehandlingen har något av dessa syften är således ett krav för att ramlagen ska gälla. Ett ytterligare krav är att personuppgiftsbehandlingen utförs av en behörig myndighet. En sådan behörig myndighet definieras enligt förslaget som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Lagen gäller emellertid endast när myndigheten behandlar personuppgifter för ett sådant syfte. Lagen gäller även andra aktörer än myndigheter om dessa har anförtrotts myndighetsutövning för något av de nämnda syftena, när de behandlar personuppgifter för ett sådant syfte. Personuppgiftsbehandlingen ska som regel vara helt eller delvis automatiserad, eller ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning.

Vissa undantag görs från tillämpningsområdet. Enligt förslaget ska ramlagen t.ex. inte gälla Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet.

Gränsdragningsfrågor får enligt regeringen slutligt avgöras av rättstillämpningen. Eftersom de dubbla regelverken kan komma att medföra tillämpningssvårigheter redogör regeringen i propositionen för vissa utgångspunkter för bedömningen i vägledande syfte (s. 111 f.).

 

Den rättsliga grunden och ändamålet för behandlingen av personuppgifter

I den nya lagen ska det enligt förslaget göras en tydlig skillnad mellan den rättliga grunden för behandling av personuppgifter och ändamålet med denna. Dessa krav har med den nuvarande lagstiftningen ibland blandats samman av tillämparna.

För att vara laglig måste det för varje personuppgiftsbehandling finnas en rättslig grund. Den rättsliga grunden definieras som att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen gett i uppdrag åt myndigheten att utföra uppgiften. Dessutom får en personuppgift alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Personuppgifter får vidare behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt ska det tydliggöras genom en särskild upplysning.

Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att det finns en rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Detta gäller emellertid inte om skyldigheten att lämna uppgifterna följer av en lag eller en förordning.

En behörig myndighet får behandla personuppgifter även för vetenskapliga, statistiska eller historiska ändamål inom ramlagens tillämpningsområde.

Kraven på behandlingen

I direktivet anges allmänna principer för behandling av personuppgifter. Regeringen bedömer att merparten av dessa principer bör behandlas på olika ställen i lagen i sitt materiella sammanhang. En särskild bestämmelse om att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt föreslås dock. Vidare föreslås en särskild bestämmelse om att de personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. De personuppgifter som behandlas ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Man får inte behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade dessutom särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Personuppgifter som grundar sig på fakta ska så långt det är möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar.

Känsliga personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa, sexualliv eller sexuell läggning får enligt förslaget i regel inte behandlas. Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Känsliga personuppgifter får dock alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning. Det är förbjudet att utföra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter.

Regeringen föreslår vidare att det förs in en bestämmelse i lagen om att alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga rättas utan onödigt dröjsmål. Detsamma gäller för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt. När personuppgifter lämnas ut till en behörig myndighet, ska mottagaren så långt det är möjligt ges information som gör att det går att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga. I ytterligare en bestämmelse anges enligt förslaget att alla rimliga åtgärder ska vidtas också dels för att personuppgifter som behandlas på ett otillåtet sätt utan onödigt dröjsmål raderas, dels för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om en radering krävs för att utföra en rättslig förpliktelse. I stället för att personuppgifterna raderas ska behandlingen av uppgifterna begränsas utan onödigt dröjsmål om uppgifterna behöver finnas kvar av bevisskäl.

Enligt lagförslaget får personuppgifter inte heller behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom ramlagens tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsätta att behandla personuppgifterna. Regeringen bedömer att behöriga myndigheter måste ha rutiner för att säkerställa att reglerna om längsta tid för behandling av personuppgifter respekteras, men att detta kan regleras i förordning.

I direktivet finns det en bestämmelse om ett förbud mot vissa s.k. automatiserade beslut, som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling lämnas in eller inte inkommer inom viss tid. Regeringen föreslår därför en bestämmelse om förutsättningarna för automatiserade beslut inom ramlagens tillämpningsområde.

Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvar är ett centralt begrepp inom dataskyddslagstiftningen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandlingen av personuppgifter och som den enskilde kan vända sig till för att göra sina rättigheter gällande. I ramlagen bör det därför, i enlighet med direktivet, tydligt definieras vem som är personuppgiftsansvarig och vad detta innebär. Regeringen föreslår således att ramlagen definierar en personuppgiftsansvarig som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Den personuppgiftsansvarige ges i den nya lagen en rad skyldigheter. Dessa beskrivs närmare i propositionen (s. 120 f.). Om en personuppgiftsincident inträffar, där t.ex. oavsiktlig eller avsiktlig förstöring, förlust eller röjande av personuppgifter förekommit (i dagligt tal dataintrång), ska t.ex. den personuppgiftsansvarige som huvudregel anmäla denna till tillsynsmyndigheten inom 72 timmar samt underrätta den registrerade om incidenten utan onödigt dröjsmål.

Den personuppgiftsansvarige ska vidare utse ett eller flera dataskyddsombud, som självständigt ska kontrollera att behandlingen av personuppgifter sker enligt lagen. Tillsynsmyndigheten ska informeras om att ombudet förordnas, och det anges i den föreslagna lagen vilka arbetsuppgifter ombudet ska ha. Jämfört med vad som är fallet enligt dagens reglering kommer ombudet att få vissa nya uppgifter, bl.a. rådgivning. Den personuppgiftsansvarige ska även få rätt att anlita personuppgiftsbiträden, som finns utanför organisationen och som behandlar personuppgifter för den personuppgiftsansvariges räkning. Skulle biträdet behandla uppgifter i strid med den personuppgiftsansvariges instruktioner och utanför sin befogenhet blir biträdet att anse som personuppgiftsansvarig. Vidare gäller flera skyldigheter enligt ramlagen även för personuppgiftsbiträden.

Är ett personuppgiftsansvar gemensamt ska den registrerade enligt förslaget få utöva sina rättigheter enligt ramlagen mot var och en av dem.

Merparten av skyldigheterna som enligt direktivet åläggs den personuppgiftsansvarige regleras enligt regeringens förslag i ramlagen. För att inte tynga lagen med detaljföreskrifter föreslår regeringen att den bemyndigas att meddela föreskrifter om vissa skyldigheter i förordning.

Enskildas rättigheter

Regeringen anför i propositionen att rätten till skydd av personuppgifter inte är en absolut rättighet utan ska vägas mot andra intressen. Direktivet medför dock att rättigheterna för enskilda tydliggörs. Den enskilde får utökade möjligheter att kontrollera hur hans eller hennes personuppgifter behandlas och att begära korrigering av felaktiga eller ofullständiga personuppgifter och åtgärder vid otillåten behandling.

I direktivet finns tre artiklar som anger vilken information den personuppgiftsansvarige ska tillhandahålla den enskilde. Regeringen föreslår mot denna bakgrund att en bestämmelse förs in i ramlagen om att den personuppgiftsansvarige ska göra viss allmän information tillgänglig för den enskilde, bl.a. kategorier av ändamål för behandlingen. Vidare ska den personuppgiftsansvarige i ett enskilt fall lämna viss personrelaterad information till den registrerade om det behövs för att han eller hon ska kunna ta till vara sina rättigheter, och på begäran lämna skriftligt besked till den enskilde om huruvida uppgifter som rör honom eller henne behandlas och i regel låta sökanden få del av uppgifterna. Från denna rätt till information införs vissa undantag i lagen; bl.a. ska skyldigheten att lämna personrelaterad information inte gälla om det är föreskrivet att uppgifterna inte får lämnas ut med hänsyn till t.ex. intresset av att förebygga eller lagföra brott.

Det är i dessa fall viktigt att hålla isär reglerna om rätten till information och tillgången till allmänna handlingar, som har andra syften. En begäran om att få besked om huruvida personuppgifter behandlas ska alltså besvaras utifrån regelverket för skydd för personuppgifter, och inte genom att man tar ställning till om uppgifterna finns i en allmän handling och om den kan lämnas ut. Är begäran från den enskilde orimlig eller uppenbart ogrundad får den vidare avslås.

Ytterligare rättigheter som den enskilde har enligt direktivet, och som förs in i ramlagen, är bl.a. att den personuppgiftsansvarige på begäran ska rätta eller komplettera felaktiga och ofullständiga uppgifter, radera uppgifter som behandlas på ett otillåtet sätt eller i vissa fall begränsa behandlingen av dem.

I direktivet anges vissa allmänna krav på hur personuppgiftsansvariga ska tillhandahålla information som begärs ut. Reglerna syftar till att underlätta för den enskilde att ta till vara sina rättigheter. Till exempel ska informationen vara kortfattad och lättillgänglig och lämnas i lämplig form. Det kan även utläsas att vissa krav ställs på den enskilde som begär ut information. Regeringen bedömer att dessa krav kan regleras i förordning. Man föreslår dock att det förs in i ramlagen i vilka fall informationen är utan avgift.

Tillsyn

I dag utövar Datainspektionen tillsyn över all behandling av personuppgifter, så länge ansvaret inte uttryckligen har anförtrotts någon annan myndighet. Även Säkerhets- och integritetsskyddsnämnden utövar tillsyn över personuppgiftsbehandlingen inom direktivets tillämpningsområde, liksom Riksdagens ombudsmän och Justitiekanslern.

Direktivet framhåller att en hög skyddsnivå för personuppgifter förutsätter ett kraftfullt tillsynsarbete. Direktivet medför enligt regeringen ökade krav på att tillsynsmyndigheternas oberoende värnas, att de får tillräckliga resurser och befogenheter att utöva sin tillsyn och att enskilda får möjlighet att reagera om tillsynsmyndigheten inte agerar tillräckligt snabbt.

Regeringen föreslår att tillsynsmyndigheten i ramlagens ska definieras som den myndighet som regeringen utser enligt direktivet för att utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Tillsynen ska enligt förslaget inte omfatta behandling av personuppgifter inom ramen för domstolarnas dömande verksamhet, för att garantera domares oberoende när de utför sina rättsliga uppgifter i domstolsmål.

Den myndighet som regeringen föreslår ska utses till nationell tillsynsmyndighet är Datainspektionen. Tillsynen över Polismyndighetens personuppgiftsbehandling bör dock även fortsättningsvis utföras också av Säkerhetsskydds- och integritetsskyddsnämnden. Regeringen föreslår att detta regleras i förordning. Chefen för Datainspektionen bör härefter anställas genom beslut av regeringen. I övrigt anser regeringen att svensk rätt uppfyller direktivets krav på tillsynsmyndighetens oberoende och organisation.

Genom att inte införa några regler om hur och när tillsynen ska bedrivas anser regeringen att tillsynsmyndighetens oberoende bäst värnas. Dock bör dess huvuduppgifter regleras i ramlagen.

Ett tillsynsorgan bör enligt regeringen ha möjlighet till någon form av effektivt och tydligt ingripande när en brist konstateras. Regeringen bedömer att tillsynsmyndigheternas befogenheter i detta avseende bör regleras i ramlagen för att genomföra direktivets bestämmelser och skapa förutsättningar för en effektiv tillsyn.

Vidare ska enligt förslaget tillsynsmyndighetens förebyggande befogenheter framgå av ramlagen. Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken. Tillsynsmyndigheten får utfärda en skriftlig varning för att en planerad behandling av personuppgifter riskerar att stå i strid med en lag eller annan författning. Detsamma gäller om en pågående behandling riskerar att stå i strid med en lag eller annan författning. Möjligheten att utfärda en varning är ny och är enligt regeringen ett lämpligt komplement till de förbyggande åtgärder som finns i dag. Varningen ska vara skriftlig och ska, även om den inte är tvingande, vara ett steg på vägen mot ett föreläggande.

Härutöver föreslår regeringen att tillsynsmyndigheten ska ha korrigerande befogenheter, vilka också ska anges i ramlagen.

Sanktioner

I direktivet överlåts det till medlemsstaterna att välja sanktioner. Medlemsstaterna ska föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och vidta de åtgärder som krävs för att säkerställa att de genomförs. Sanktionerna ska vara effektiva, proportionerliga och avskräckande. För att uppfylla kraven i direktivet ska sanktionerna också bilda en helhet som sammantaget utgör ett effektivt sanktionssystem.

Regeringen föreslår att överträdelser av regler om personuppgiftsbehandling inte ska vara straffsanktionerade, utöver vad som gäller enligt brottsbalken, eftersom en straffsanktion i huvudsak skulle träffa andra än personuppgiftsansvariga och personuppgiftsbiträden. Vidare ska straffsanktioner användas i sista hand. En ny administrativ sanktion, en sanktionsavgift riktad direkt mot framför allt personuppgiftsansvariga, kan enligt regeringen antas få mycket större effekt. Även om skadestånd vid systematiska eller allvarliga överträdelser kan uppgå till mycket höga belopp är möjligheten att begära skadestånd enligt regeringens mening inte tillräcklig för att uppfylla kravet på effektiva sanktioner. Inte heller skadestånd tillsammans med straffbestämmelser, disciplinansvar och tillsyns-myndighetens åtgärder kan enligt regeringens mening anses uppfylla de krav som ställs i direktivet. En sanktionsavgift är däremot en snabb och tydlig sanktion – som även kan vara kännbar ekonomiskt. Risken att som personuppgiftsansvarig drabbas av en sådan sanktion skulle verka avskräckande. Sanktionsavgifter skulle också leda till att ansvar för överträdelser utkrävs på rätt nivå. Sanktionsavgiftssystemet bör enligt regeringen utformas med beaktande av regeringens riktlinjer för sådana avgifter, regleringen i dataskyddsförordningen och Sveriges internationella åtaganden. Regeringen föreslår därför att en ny administrativ sanktion, sanktionsavgift, införs.

Skadestånd och överklagande

Direktivet innehåller flera artiklar om rättsmedel, där den gemensamma nämnaren är att rättsmedlen ska vara effektiva. Den som på rimliga grunder påstår sig ha blivit utsatt för en kränkning av sina rättigheter ska ha möjlighet att få sitt påstående prövat och kunna få rättelse eller gottgörelse för konstaterade kränkningar. Rättsmedlet ska också vara effektivt i den meningen att det ska medge en tillfredsställande prövning. Det måste även vara praktiskt möjligt för berörda personer att utnyttja rättsmedlen. De flesta rättsmedlen är tänkta att användas av den registrerade.

Regeringen föreslår att bestämmelserna i direktivet genomförs genom att det införs en bestämmelse i ramlagen om att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med ramlagen eller föreskrifter som meddelats i anslutning till den, dvs. en skadeståndsskyldighet för personuppgiftsansvariga. Skadeståndsskyldigheten ska avse all skada och förutsätta adekvat kausalitet. Vidare föreslår regeringen att vissa beslut som har meddelats av en myndighet, bl.a. beslut om rättelse, komplettering och radering, får överklagas till allmän förvaltningsdomstol. Detsamma gäller tillsynsmyndighetens beslut enligt lagen. Vissa andra rättsmedel enligt direktivet, t.ex. talerätt för registrerade och rätten att lämna in klagomål till en tillsynsmyndighet, kräver enligt regeringen inga lagstiftningsåtgärder.

Överföring till tredjeland och internationella organisationer

Det nya dataskyddsdirektivet reglerar förutsättningar för att överföra personuppgifter till ett tredjeland. Dessutom regleras överföringar till internationella organisationer. Bestämmelserna är förhållandevis detaljerade.

Ett grundläggande krav för överföring av personuppgifter till ett tredjeland eller en internationell organisation är att tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå för uppgifterna. Kommissionen beslutar om huruvida ett tredjeland eller en internationell organisation uppfyller det kravet. Sådana beslut får direkt verkan i medlemsstaterna. Kommissionen ska i sin bedömning bl.a. ta hänsyn till rättsstatsprincipen, tillgången till rättslig prövning och om det finns oberoende tillsyn i mottagarlandet. Har kommissionen inte fattat något beslut om adekvat skyddsnivå finns det ändå möjlighet att föra över personuppgifter till ett tredjeland eller en internationell organisation om överföringen omfattas av lämpliga skyddsåtgärder. Om det inte finns ett beslut om adekvat skyddsnivå och överföringen inte heller omfattas av lämpliga skyddsåtgärder, får överföringen göras endast om den är nödvändig i en särskild undantagssituation. Huvudregeln är att överföringen ska göras till en behörig myndighet i tredjelandet. Medlemsstaterna ges dock möjlighet att föreskriva att personuppgifter, i enskilda och särskilda fall, får överföras direkt till mottagare i ett tredjeland. Skyddsnivån för fysiska personer som säkerställs genom direktivet får inte undergrävas vid en överföring.

Regeringen anför att det, som bl.a. Datainspektionen påpekar i sitt remissvar, kan vara förenat med viss osäkerhet att överföra personuppgifter till ett tredjeland eller en internationell organisation. Det kommer att vila ett stort ansvar på de behöriga myndigheter som gör bedömningarna av i vilka fall personuppgifter kan överföras. Det är av stor vikt att det finns ett fullgott skydd för den enskildes personliga integritet och att regleringarna i ramlagen motsvarar de krav som direktivet ställer i detta avseende. I sammanhanget bör det emellertid enligt regeringen nämnas att stora delar av direktivet i denna del ansluter nära till vad som gäller enligt befintlig lagstiftning.

Regeringen föreslår att det förs in bestämmelser i brottsdatalagen om förutsättningarna för överföring av personuppgifter till ett tredjeland eller en internationell organisation. En behörig myndighet får således enligt förslaget, om vissa villkor är uppfyllda, överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organisation. En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter. Personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Överföringen ska riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet. Vidare får enligt den föreslagna bestämmelsen personuppgifter överföras till ett tredjeland eller en internationell organisation endast om kommissionen har antagit ett beslut om adekvat skyddsnivå, eller, om det inte finns ett sådant beslut, om personuppgifterna omfattas av tillräckliga skyddsåtgärder hos adressaten. Om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får personuppgifter överföras endast när ett undantag för särskilda situationer är tillämpligt. Har en svensk myndighet fått uppgifterna från en annan medlemsstat krävs i regel den statens medgivande.

Närmare om villkoren för överföring kan i korthet nämnas följande. Kommissionen beslutar, som nämndes ovan, med bindande verkan för medlemsstaterna att ett tredjeland, ett territorium eller en eller flera sektorer inom ett land eller en internationell organisation säkerställer en adekvat skyddsnivå. Tillräckliga skyddsåtgärder innebär enligt regeringens förslag att skyddsåtgärderna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller att den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för uppgifterna. För att tillämpa undantagen i de särskilda situationerna föreslås det, liksom det anges i direktivet, att något av fyra villkor ska vara uppfyllt. Exempelvis kan en överföring vara tillåten om den är nödvändig för att värna den registrerades eller någon annan fysisk persons vitala intressen, eller andra berättigade intressen som den registrerade har, eller för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I allt fall ska enligt förslaget personuppgifter inte få överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs i det enskilda fallet för ett myndighetsintresse eller för att kunna fastslå, göra gällande eller försvara ett rättsligt anspråk.

Datainspektionen har i sitt remissyttrande över utredningens förslag i denna del invänt dels att förslaget innebär en utvidgning i förhållande till nuvarande reglering av möjligheten att överföra personuppgifter till ett tredjeland i särskilda undantagssituationer och efterfrågat en analys av eventuella negativa effekter för den personliga integriteteten, dels att det bör framgå tydligare av den föreslagna intresseavvägningen att integritetsskyddet är ett intresse som ska beaktas vid avvägningen. Inspektionen har vidare ifrågasatt om utredningens förslag till reglering av intresseavvägningen inte ger ett sämre skydd än vad direktivet medger. Regeringen konstaterar i propositionen att direktivets bestämmelser och förslaget till ramlag i denna del, som Datainspektionen anfört, innebär att ytterligare undantagssituationer då det är möjligt att överföra personuppgifter till ett tredjeland tillkommer utöver vad som gäller i dag. Den omständigheten ska emellertid enligt regeringen inte innebära att ett fullgott skydd för den personliga integriteten äventyras. Det bör enligt regeringen även i sammanhanget understrykas att samtliga allmänna förutsättningar för överföring alltid ska vara uppfyllda för att personuppgifter ska få överföras. Detta gäller alltså även i de särskilda undantagsfallen. Regeringen anser, till skillnad från Datainspektionen, att den föreslagna utformningen av bestämmelsen är lämplig och på ett fullgott sätt beskriver den intresseavvägning som ska göras enligt direktivet.

Direktivet utgår från att det är den medlemsstat som först lämnade personuppgifterna till en annan medlemsstat som ska godkänna vidareöverföringen från ett tredjeland till ett annat. Regeringen föreslår därför också vissa bestämmelser som rör medgivande till vidareöverföring av personuppgifter mellan tredjeländer.

I direktivet finns, som framgått ovan, en möjlighet att införa ett undantag från kravet på att överföringen ska göras till en behörig myndighet. Det finns enligt regeringen tillfällen när det underlättar om en svensk myndighet kan överföra personuppgifter till ett tredjeland utan att behöva kanalisera dem via en behörig myndighet i det landet. Så kan t.ex. vara fallet när det rör sig om en särskilt brådskande åtgärd och en kontakt med den behöriga myndigheten riskerar att försena åtgärden eller göra den meningslös. Regeringen föreslår därför att det införs en bestämmelse i ramlagen om att en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet i ett enskilt fall, under vissa angivna förutsättningar, ska få överföra personuppgifter till någon som inte är behörig myndighet i ett tredjeland. De angivna förutsättningarna innefattar att överföringen ska vara absolut nödvändig för att den svenska myndigheten ska kunna utföra sina uppgifter och att personuppgifter inte får överföras om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs.

Datainspektionen har i denna del i sitt remissyttrande över utredningens förslag efterfrågat en djupare analys av de risker som kan uppstå vid överföring till andra än behöriga myndigheter. Inspektionen anförde vidare i sitt yttrande att det borde framgå tydligare att integritetsskyddet är ett intresse som ska beaktas vid intresseavvägningen. Inspektionen ifrågasatte dessutom om utredningens förslag till reglering av avvägningen inte ger ett sämre skydd än vad direktivet medger. Regeringen anför i propositionen att man, till skillnad från Datainspektionen, anser att de föreslagna bestämmelserna om överföring till andra än behöriga myndigheter väl uppfyller direktivets krav. Det ligger enligt regeringen i sakens natur att det inte går att överblicka alla eventuella risker som kan uppstå. Regleringen kommer dock att innebära att det ska röra sig om absolut nödvändiga överföringar i enskilda fall när en överföring till en behörig myndighet i ett tredjeland skulle vara ineffektiv eller olämplig. Därtill kommer bl.a. en intresseavvägning. Mot den bakgrunden anser regeringen att den föreslagna regleringen ger ett godtagbart skydd för den enskilde.

Slutligen föreslår regeringen bestämmelser i ramlagen som medger villkor om användningsbegränsning vid överföring av personuppgifter.

Sekretess

För att kunna fullgöra sina skyldigheter enligt ramlagen måste tillsynsmyndigheten kunna både hämta in och ta emot nödvändig information från tillsynsmyndigheter i andra medlemsstater. Tillsynen över de behöriga myndigheterna kommer att ge tillsynsmyndigheten insyn i bl.a. brottsbekämpande verksamhet där intresset av sekretess till skydd för det allmännas verksamhet är starkt. Regeringen gör bedömningen att de sekretessregler som finns är tillräckliga för att skydda den information som utländska tillsynsmyndigheter lämnar när de besvarar en svensk framställan om bistånd. Däremot kan det förhålla sig annorlunda vid utländska framställningar om bistånd. Om de uppgifter som utländska tillsynsmyndigheter lämnar när de begär svenskt bistånd inte skyddas genom sekretess hos den svenska tillsynsmyndigheten, kan det leda till att utländska tillsynsmyndigheter både kan komma att avhålla sig från att begära bistånd från Sverige och kan vara mindre villiga att bistå den svenska myndigheten när den begär att få uppgifter. Det finns därför enligt regeringen skäl att införa en ny sekretessbestämmelse som skyddar uppgifter som tillsynsmyndigheten får när den på begäran bistår en utländsk tillsynsmyndighet vid tillsyn inom direktivets tillämpningsområde. Vidare bör det enligt regeringen i ramlagen föras in en särskild bestämmelse som bryter sekretessen vid samarbete med en utländsk tillsynsmyndighet. Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en behörig tillsynsmyndighet i en annan medlemsstat, även om uppgiften är sekretessbelagd. Slutligen föreslår regeringen att det införs en bestämmelse om tystnadsplikt för dataskyddsombud i ramlagen. Dataskyddsombud som utses av myndigheter ska dock tillämpa bestämmelserna i offentlighets- och sekretesslagen.

Ikraftträdande

Brottsdatalagen och övriga författningsförslag föreslås träda i kraft den 1 augusti 2018. Ändringarna i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen som innebär att hänvisningen till 1996 års säkerhetsskyddslag ersätts med en hänvisning till den nya säkerhetsskyddslagen föreslås dock träda i kraft den 1 april 2019.

Utskottets ställningstagande

Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet finner att regeringens lagförslag är ändamålsenligt utformade och att de bör antas. Med detta föreslår utskottet att riksdagen antar de lagförslag som läggs fram i propositionen.

Särskilt yttrande

 

Brottsdatalag (V)

Linda Snecker (V) anför:

 

 

Jag ställer mig i stort bakom propositionen, men det finns enligt min mening likväl skäl att vara kritisk mot vissa delar av lagförslaget. Dessa rör överföringen av personuppgifter till tredjeland och internationella organisationer. Som Datainspektionen anför i sitt remissyttrande över utredningens förslag (SOU 2017:29) är det av stor vikt att allt informationsutbyte till tredjeland och internationella organisationer skyddas av bestämmelser som upprätthåller skyddet av den enskildes personliga identitet. I dataskyddsdirektivet föreskrivs också att alla bestämmelser om överföringar till tredjeland och internationella organisationer ska tillämpas på så sätt att den skyddsnivå för fysiska personer som säkerställs genom direktivet inte undergrävs. Liksom i utredningen saknas emellertid i propositionen, enligt min mening, en tillräckligt ingående analys av de risker för den enskildes personliga integritet som dessa överföringar av information innebär. Det finns anledning att ifrågasätta om de föreslagna bestämmelserna som medger sådan överföring av information i tillräckligt stor utsträckning har vägts mot riskerna för integritetsintrång för den enskilde.

Exempelvis föreslår regeringen vissa undantag från förbudet mot att föra över uppgifter till tredjeland eller internationella organisationer när det inte finns något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder. Regeringen konstaterar att förslaget till ramlag i denna del innebär en utvidgning i förhållande till nuvarande reglering, men anser att denna omständighet inte innebär att ett fullgott skydd för den personliga integriteten äventyras och att den föreslagna intresseavvägningen mellan den enskildes och det allmännas intressen är tillräcklig. Datainspektionen har här framhållit att det bör framgå tydligare att integritetsskyddet är ett intresse som ska beaktas vid avvägningen. Liknande kritik gör sig gällande i fråga om förslagen om överföring av personuppgifter till någon som inte är en behörig myndighet i ett tredjeland, där Datainspektionen också har efterfrågat en djupare analys av de risker som kan uppstå i sådana situationer.

Överföring av uppgifter till ett tredjeland innebär dels risker för den personliga integriteten, dels risker för missbruk av uppgifterna. Jag ifrågasätter om det finns tillräckliga garantier för att uppgifterna inte kommer att användas för andra ändamål än de tillåtna och om vinsterna med bestämmelserna om överföring står i proportion till dessa risker, en kritik som också aktualiseras i samband med bl.a. den nya lagen om flygpassageraruppgifter i brottsbekämpningen (se bet. 2017/18:JuU39).

Jag utgår från att regeringen framöver är observant på hur uppgifterna behandlas utomlands. Mot denna bakgrund avstår jag från att reservera mig.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2017/18:232 Brottsdatalag:

1.Riksdagen antar regeringens förslag till brottsdatalag.

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:620) om belastningsregister.

3.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:621) om misstankeregister.

4.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

5.Riksdagen antar regeringens förslag till  lag om ändring i domstolsdatalagen (2015:728).

6.Riksdagen antar regeringens förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete.

7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.

8.Riksdagen antar regeringens förslag till lag om ändring i brottsdatalagen (2018:000).

 

 

 

 

Bilaga 2

Regeringens lagförslag