|
Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning
Sammanfattning
Utskottet föreslår att riksdagen antar regeringens förslag till kriminalvårdsdatalag. Lagen ska gälla för behandling av personuppgifter inom den del av Kriminalvårdens verksamhet som inte omfattas av brottsdatalagens tillämpningsområde.
Genom den nya lagen anpassas regleringen av personuppgifter inom kriminalvården till EU:s dataskyddsförordning. Förordningen är direkt tillämplig fr.o.m. den 25 maj 2018 men ger utrymme för kompletterande nationella bestämmelser.
Den nya lagen föreslås träda i kraft den 1 augusti 2018.
Behandlade förslag
Proposition 2017/18:248 Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning.
Utskottets förslag till riksdagsbeslut
Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning |
Riksdagen antar regeringens förslag till kriminalvårdsdatalag.
Därmed bifaller riksdagen proposition 2017/18:248.
Stockholm den 7 juni 2018
På justitieutskottets vägnar
Tomas Tobé
Följande ledamöter har deltagit i beslutet: Tomas Tobé (M), Helene Petersson i Stockaryd (S), Elin Lundgren (S), Krister Hammarbergh (M), Johan Hedin (C), Anders Hansson (M), Petter Löberg (S), Adam Marttinen (SD), Roger Haddad (L), Linda Snecker (V), Andreas Carlson (KD), Lawen Redar (S), Sanne Lennström (S), Ellen Juntti (M), Jan Lindholm (MP), Patrick Reslow (-) och Sultan Kayhan (S).
I betänkandet behandlar utskottet regeringens proposition 2017/18:248 Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning. I propositionen föreslår regeringen en ny kriminalvårdsdatalag.
Regeringens förslag till riksdagsbeslut återges i bilaga 1, och regeringens lagförslag finns i bilaga 2.
Inga motioner har väckts med anledning av propositionen.
Utskottets förslag i korthet
Riksdagen antar regeringens förslag till kriminalvårdsdatalag.
Propositionen
Bakgrund
Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen kommer fr.o.m. den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Dataskyddsförordningen är direkt tillämplig men innehåller bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag.
Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.
I proposition 2017/18:105 Ny dataskyddslag föreslog regeringen att personuppgiftslagen skulle upphävas och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) skulle införas. Riksdagen antog regeringens lagförslag, och dataskyddslagen trädde i kraft den 25 maj 2018 (bet. 2017/18:KU23, rskr. 2017/18:224). Den 19 april 2018 överlämnade regeringen propositionen Brottsdatalag (prop. 2017/18:232) till riksdagen med förslaget att dataskyddsdirektivet ska genomföras i svensk rätt bl.a. genom en ny ramlag, brottsdatalagen.
Kriminalvårdsdatalagen
Behovet av en ny lag med kompletterande bestämmelser till dataskyddsförordningen
I propositionen om en ny kriminalvårdsdatalag konstaterar regeringen att vissa delar av kriminalvårdens verksamhet faller inom dataskyddsförordningens tillämpningsområde medan den största delen av verksamheten faller inom dataskyddsdirektivets tillämpningsområde. Regeringen anser att övervägande skäl talar för att regleringen av kriminalvårdens personuppgiftsbehandling bör delas upp i två lagar. Det föreslås därför att en ny lag, kriminalvårdsdatalagen, införs som ersätter lagen (2001:617) om behandling av personuppgifter inom kriminalvården inom dataskyddsförordningens tillämpningsområde.
Lagens förhållande till annan reglering
Den föreslagna kriminalvårdsdatalagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen och dataskyddslagen. När det gäller förhållandet till dataskyddslagen föreslår regeringen att dataskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter enligt kriminalvårdsdatalagen, om inte annat följer av kriminalvårdsdatalagen eller föreskrifter som har meddelats i anslutning till den.
Lagens tillämpningsområde
Regeringen föreslår att kriminalvårdsdatalagen ska gälla vid behandling av personuppgifter i kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen inte är tillämplig. De frihetsberövanden och genomförande av transporter som avses är således sådana som faller utanför brottsdatalagens tillämpningsområde, dvs. frihetsberövanden och transporter på annan grund än för misstanke om brott och straffverkställighet. I fråga om frihetsberövanden kan det t.ex. handla om en person som har omhändertagits enligt 4 § lagen (1976:511) om omhändertagande av berusade personer m.m. eller om en utlänning som har tagits i förvar enligt 8 § lagen (1991:572) om särskild utlänningskontroll eller enligt 10 kap. 1 eller 2 § utlänningslagen (2005:716). Även frihetsberövanden i samband med beslut om häktning enligt 2 kap. 12 § konkurslagen (1987:672) eller enligt 2 kap. 16 § utsökningsbalken är sådana frihetsberövanden som faller inom den föreslagna lagens tillämpningsområde. I fråga om transporter kan det t.ex. handla om transporter av personer enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall, transporter till förhandling i allmän förvaltningsdomstol eller mellan SiS institutioner, transport av personer som tagits i förvar som ska utvisas enligt utlänningslagen och transporter av personer enligt lagen (1991:1128) om psykiatrisk tvångsvård mellan olika sjukvårdsinrättningar.
Vidare ska kriminalvårdsdatalagen gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Ändamålsbestämmelser
I fråga om för vilka ändamål personuppgifter får behandlas föreslår regeringen att ändamålsbestämmelsen knyts till lagens tillämpningsområde, dvs. att personuppgifter ska få behandlas om det är nödvändigt för att Kriminalvården ska kunna verkställa frihetsberövanden och genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister ska enligt regeringens förslag dock få behandlas endast för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet.
Vidare föreslår regeringen att personuppgifter som behandlas för de ovannämnda ändamålen även ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Uppgifterna ska även få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter är förbjuden enligt huvudregeln i artikel 9.1 dataskyddsförordningen. Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens förbud mot behandling av känsliga personuppgifter kompletteras med en rad undantag som tillåter sådan behandling i vissa fall, och ett av dessa undantag bedömer regeringen vara tillämpligt. Regeringen föreslår därför att känsliga personuppgifter ska få behandlas, dock endast om det är absolut nödvändigt med hänsyn till syftet med behandlingen.
Sökbegränsningar
Regeringen föreslår i propositionen att det ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet ska dock inte hindra sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.
Tillgången till personuppgifter
I propositionen anför regeringen att förordningen ger möjlighet att reglera tillgången till personuppgifter i författning. Regeringen bedömer mot den bakgrunden att en bestämmelse som motsvarar den nuvarande 6 § första stycket lagen (2001:617) om behandling av personuppgifter inom kriminalvården bör finnas i den nya lagen. Det innebär att tillgången till personuppgifter ska begränsas till det som var och en behöver för att fullgöra sina arbetsuppgifter inom Kriminalvården.
Sekretess ska gå före skyldigheten att informera om personuppgiftsincidenter
Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident (artikel 33). Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12). Förutom de undantag som föreskrivs i artikel 34 ger dataskyddsförordningen utöver det en möjlighet att i nationell rätt föreskriva begränsningar av skyldigheten att informera den registrerade om en personuppgiftsincident (artikel 23). I propositionen föreslår regeringen att en sådan begränsning ska införas i kriminalvårdsdatalagen. Enligt förslaget ska Kriminalvårdens skyldigheter att informera den registrerade om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Föreskriftsrätt
Regeringen föreslår att det i kriminalvårdsdatalagen ska upplysas om att regeringen kan meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter.
Ikraftträdande
Kriminalvårdsdatalagen föreslås träda i kraft den 1 augusti 2018.
Utskottets ställningstagande
Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet finner att regeringens lagförslag är ändamålsenligt utformat och att det bör antas. Med detta föreslår utskottet att riksdagen antar det förslag till kriminalvårdsdatalag som läggs fram i propositionen.
Bilaga 1
Förteckning över behandlade förslag
Riksdagen antar regeringens förslag till kriminalvårdsdatalag.
Bilaga 2