Brottsdatalag - kompletterande lagstiftning

Regeringens proposition 2017/18:269

Brottsdatalag – kompletterande lagstiftning	Prop.
	2017/18:269

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 14 juni 2018

Stefan Löfven

Morgan Johansson (Justitiedepartementet)

Propositionens huvudsakliga innehåll

EU:s nya dataskyddsdirektiv kommer i huvudsak att genomföras genom brottsdatalagen. Den lagen kommer att vara generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan lag eller förordning. För myndigheterna i rättskedjan krävs viss särreglering som även i fortsättningen kommer att finnas i särskilda registerförfattningar.

Regeringen föreslår nya lagar om personuppgiftsbehandling på brottsdatalagens område för polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och kriminalvården. Lagarna ska gälla utöver brottsdatalagen och enbart innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från den lagen. Regeringen föreslår också ändringar i andra lagar som en följd av att de nya registerförfattningarna beslutas.

De nya lagarna och lagändringarna föreslås träda i kraft den 1 januari 2019.

Prop. 2017/18:269

Innehållsförteckning

1	Förslag till riksdagsbeslut ...............................................................		10
2	Lagtext	............................................................................................	11
	2.1	Förslag till lag om polisens behandling av
		personuppgifter inom brottsdatalagens område................	11
	2.2	Förslag till lag om Tullverkets behandling av
		personuppgifter inom brottsdatalagens område................	28

2.3Förslag till lag om Kustbevakningens behandling av

personuppgifter inom brottsdatalagens område................

2.4Förslag till lag om Skatteverkets behandling av

personuppgifter inom brottsdatalagens område................

2.5Förslag till lag om åklagarväsendets behandling av

personuppgifter inom brottsdatalagens område................

2.6Förslag till lag om domstolarnas behandling av

personuppgifter inom brottsdatalagens område................

2.7Förslag till lag om kriminalvårdens behandling av

	personuppgifter inom brottsdatalagens område................	58
2.8	Förslag till lag om ändring i rättegångsbalken .................	62
2.9	Förslag till lag om ändring i polislagen (1984:387) .........	63

2.10Förslag till lag om ändring i säkerhetsskyddslagen

(1996:627) ........................................................................

2.11Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett

annat land inom Europeiska unionen ...............................

2.12Förslag till lag om ändring i lagen (2000:344) om

Schengens informationssystem ........................................

2.13Förslag till lag om ändring i lagen (2001:185) om

behandling av uppgifter i Tullverkets verksamhet ...........

2.14Förslag till lag om ändring i lagen (2005:321) om

tillträdesförbud vid idrottsarrangemang ...........................

2.15Förslag till lag om ändring i lagen (2007:980) om

	tillsyn över viss brottsbekämpande verksamhet ...............	70
2.16	Förslag till lag om ändring i offentlighets- och
	sekretesslagen (2009:400) ................................................	72

2.17Förslag till lag om ändring i lagen (2014:400) om

Polismyndighetens elimineringsdatabas...........................

2.18Förslag till lag om ändring i lagen (2015:51) om

	register över tillträdesförbud vid idrottsarrangemang ......	80
2.19	Förslag till lag om ändring i domstolsdatalagen
	(2015:728) ........................................................................	83

2.20Förslag till lag om ändring i utlänningsdatalagen

	(2016:27) ..........................................................................	84
2.21	Förslag till lag om ändring i tullagen (2016:253) .............	85

2.22Förslag till lag om ändring i lagen (2017:496) om

internationellt polisiärt samarbete ....................................

2.23	Förslag till lag om ändring i säkerhetsskyddslagen	Prop. 2017/18:269
	(2018:585) .......................................................................	90

2.24Förslag till lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen

		(2009:400) .......................................................................	92
3	Ärendet och dess beredning ...........................................................		94
4	Befintlig lagstiftning måste anpassas .............................................		95
	4.1	Dataskyddsreformen........................................................	95
	4.2	Utgångspunkter för anpassningen till brottsdatalagen .....	96

4.3Merparten av bestämmelserna är förenliga med

	dataskyddsdirektivet ........................................................	96
4.4	Ändringslagar eller nya lagar?.........................................	97
4.5	Lagarnas tillämpningsområden........................................	98

4.6Ska registerförfattningarna reglera vissa frågor som

	inte rör dataskydd? ........................................................		100
5 Generella förändringar .................................................................			101
5.1	Liknande behov av förändringar....................................		101
5.2	En ny lagteknisk struktur ...............................................		101
5.3	Bestämmelser som inte längre behövs...........................		103
	5.3.1	Undantag från viss
		informationsskyldighet .................................	103
	5.3.2	Syftet med lagarna ........................................	104
	5.3.3	Behandling av känsliga personuppgifter.......	105
	5.3.4	Särskilda upplysningar .................................	107
	5.3.5	Hänvisningar till offentlighets- och
		sekretesslagen ...............................................	112
5.4	Behov av nya bestämmelser och anpassningar..............		112
	5.4.1	Uppgifter om juridiska personer ...................	112
	5.4.2	Administrativa sanktionsavgifter..................	113
	5.4.3	Skadestånd ....................................................	116
	5.4.4	Överklagande................................................	116
	5.4.5	Uppgifter till rättsstatistiken .........................	118
	5.4.6	Terminologin anpassas .................................	118

5.5Särskilt om längsta tid för behandling av

personuppgifter..............................................................		119
5.5.1	Struktur och terminologi...............................	119

5.5.2Bestämmelser som innebär att behandling

inte längre får ske för något ändamål ...........

122

5.5.3Bestämmelser som innebär att behandling inte längre får ske för ändamål inom

registerförfattningens tillämpningsområde ... 125

5.5.4Omständigheter som påverkar längsta tid

		för behandling i underrättelseverksamhet .....	128
5.6	Särskilt om elektroniskt utlämnande .............................		129
	5.6.1	Olika former av elektroniskt utlämnande .....	129
	5.6.2	Behovet av att kommunicera elektroniskt ....	130
	5.6.3	Utlämnande genom direktåtkomst ................	132

5.6.4Annat elektroniskt utlämnande tillåts i

större utsträckning ........................................

133

Prop. 2017/18:269	5.7	Rätt att meddela föreskrifter ...........................................		137
6 Behandling för nya ändamål .........................................................				138
	6.1	Bestämmelser om rättslig grund och ändamål................		138
	6.2	En ny ordning i brottsdatalagen......................................		139
	6.3	Bör sekundära ändamålsbestämmelser behållas? ...........		139
7	Polisens brottsdatalag....................................................................			143
	7.1	Behovet av anpassning till brottsdatalagen ....................		143
		7.1.1	Nuvarande reglering ......................................	143
		7.1.2	Lagens namn .................................................	143
	7.2	Allmänna bestämmelser .................................................		144
		7.2.1	Tillämpningsområdet.....................................	144
		7.2.2	Personuppgiftsansvar.....................................	149
		7.2.3	En bestämmelse om hur lagen är
			uppbyggd .......................................................	150
	7.3	Grundläggande bestämmelser om behandling................		151
		7.3.1	Rättsliga grunder och behandling för nya
			ändamål .........................................................	151
		7.3.2	Behandling av biometriska och genetiska
			uppgifter ........................................................	153
		7.3.3	Sökning på känsliga personuppgifter ............	154
	7.4	Personuppgifter från transportföretag.............................		157
		7.4.1	Personuppgiftsbehandlingen bör regleras i
			polisens brottsdatalag ....................................	157
		7.4.2	Begränsningar i möjligheterna att
			behandla personuppgifter ..............................	159
		7.4.3	Uppgifter från transportföretag får göras
			gemensamt tillgängliga..................................	161
		7.4.4	Hur länge personuppgifterna får
			behandlas .......................................................	161
	7.5	Gemensamt tillgängliga uppgifter ..................................		162
		7.5.1	Nya kategorier av personuppgifter får
			göras gemensamt tillgängliga ........................	162
		7.5.2	Sökning i gemensamt tillgängliga
			uppgifter ........................................................	163
	7.6	Längsta tid för behandling av uppgifter i viss
		underrättelseverksamhet .................................................		167
	7.7	Personuppgiftsbehandling i särskilda register ................		168
		7.7.1	Dna-register ...................................................	168
		7.7.2	Fingeravtrycks- och signalementsregister .....	168
	7.8	Personuppgiftsbehandling för forensiska ändamål .........		169
		7.8.1	Vad är forensiska ändamål?...........................	169
		7.8.2	Regleringen av forensiska ändamål
			behålls............................................................	170
		7.8.3	Behandling för nya ändamål..........................	170
		7.8.4	Behandling av känsliga personuppgifter .......	172
8	Tullverkets brottsdatalag...............................................................			173
	8.1	Behovet av anpassning till brottsdatalagen ....................		173
		8.1.1	Nuvarande reglering ......................................	173
4		8.1.2	Lagens namn .................................................	173
4

8.2	Tillämpningsområdet.....................................................	174	Prop. 2017/18:269
8.3	Grundläggande bestämmelser om behandling ...............	175

8.3.1Rättsliga grunder och behandling för nya

ändamål ........................................................

175

8.3.2Behandling av biometriska och genetiska

		uppgifter .......................................................	177
	8.3.3	Sökning på känsliga personuppgifter............	177
8.4	Personuppgifter från transportföretag ............................		180

8.4.1Reglerna om personuppgiftsbehandling

		för uppgifter från transportföretag samlas ....	180
	8.4.2	En i huvudsak oförändrad reglering .............	182
8.5	Gemensamt tillgängliga uppgifter .................................		184

8.5.1Sökning i gemensamt tillgängliga

uppgifter .......................................................

184

8.5.2Uppgifter från transportföretag får göras

gemensamt tillgängliga i vissa fall ...............

186

8.6Längsta tid för behandling av uppgifter i viss

		underrättelseverksamhet ................................................		187
9	Kustbevakningens brottsdatalag...................................................			187
	9.1	Behovet av anpassning till brottsdatalagen....................		187
		9.1.1	Nuvarande reglering .....................................	187
		9.1.2	Kustbevakningsdatalagen delas upp .............	188
	9.2	Tillämpningsområdet.....................................................		189
	9.3	Grundläggande bestämmelser om behandling ...............		191
		9.3.1	Rättsliga grunder och behandling för nya
			ändamål ........................................................	191
		9.3.2	Behandling av biometriska och genetiska
			uppgifter .......................................................	193
		9.3.3	Sökning på känsliga personuppgifter............	193
	9.4	Gemensamt tillgängliga uppgifter .................................		195
		9.4.1	Behandling för diarieföring ska undantas .....	195
		9.4.2	En ny kategori av personuppgifter får
			göras gemensamt tillgängliga .......................	195
		9.4.3	Sökning i gemensamt tillgängliga
			uppgifter .......................................................	196
10	Skatteverkets brottsdatalag...........................................................			197
	10.1	Behovet av anpassning till brottsdatalagen....................		197
		10.1.1	Nuvarande reglering .....................................	197
		10.1.2	Lagens namn.................................................	197
	10.2	Tillämpningsområdet.....................................................		198
	10.3	Grundläggande bestämmelser om behandling ...............		199
		10.3.1	Rättsliga grunder och behandling för nya
			ändamål ........................................................	199
		10.3.2	Behandling av biometriska och genetiska
			uppgifter .......................................................	200
		10.3.3	Sökning på känsliga personuppgifter............	201
	10.4	Gemensamt tillgängliga uppgifter .................................		202
11	Åklagarväsendets brottsdatalag....................................................			203
	11.1	Behovet av anpassning till brottsdatalagen....................		203

Prop. 2017/18:269

		11.1.1	Nuvarande reglering ......................................	203
		11.1.2	En särskild registerlagstiftning inom
			brottsdatalagens tillämpningsområde ............	204
	11.2	Tillämpningsområdet .....................................................		205
	11.3	Grundläggande bestämmelser om behandling................		209
		11.3.1	Rättsliga grunder och behandling för nya
			ändamål .........................................................	209
		11.3.2	Behandling av biometriska och genetiska
			uppgifter ........................................................	211
		11.3.3	Sökning på känsliga personuppgifter ............	212
	11.4	Gemensamt tillgängliga uppgifter ..................................		213
12	Domstolarnas brottsdatalag...........................................................			214
	12.1	Behovet av en ny ordning...............................................		214
		12.1.1	Nuvarande ordning ........................................	214
		12.1.2	En särskild registerlagstiftning inom
			brottsdatalagens tillämpningsområde ............	215
	12.2	Utgångspunkter för regleringen......................................		217
		12.2.1	Förhållandet till brottsdatalagen ....................	217
		12.2.2	Vissa bestämmelser i domstolsdatalagen
			har sin motsvarighet i ramlagen ....................	218
	12.3	Allmänna bestämmelser .................................................		219
		12.3.1	Den nya lagens tillämpningsområde..............	219
		12.3.2	Domstolsdatalagens tillämpningsområde ......	223
		12.3.3	Varje domstol är personuppgiftsansvarig ......	223
		12.3.4	Dataskyddsombud även i den dömande
			verksamheten.................................................	224
		12.3.5	Uppgifter om juridiska personer bör inte
			omfattas .........................................................	225
	12.4	Grundläggande bestämmelser om behandling................		226
		12.4.1	Rättsliga grunder för behandling ...................	226
		12.4.2	Behandling för nya ändamål..........................	229
		12.4.3	Särskilda upplysningar ..................................	232
		12.4.4	Behandling av personnummer .......................	233
		12.4.5	Biometriska och genetiska uppgifter .............	234
	12.5	Sökbegränsningar ...........................................................		235
		12.5.1	Sökförbudet i brottsdatalagen ska inte
			gälla ............................................................	235
		12.5.2	Sökförbuden i den nya lagen .........................	236
	12.6	Utlämnande av personuppgifter .....................................		239
		12.6.1	Direktåtkomst ................................................	239
		12.6.2	Elektroniskt utlämnande av
			personuppgifter..............................................	240
	12.7	Personuppgifter i avgjorda mål och ärenden ..................		241
	12.8	Administrativa sanktionsavgifter....................................		242
	12.9	Skadestånd och överklagande.........................................		243
		12.9.1	Skadestånd.....................................................	243
		12.9.2	Överklagande.................................................	244
13	Kriminalvårdens brottsdatalag ......................................................			245
	13.1	Behovet av anpassning till brottsdatalagen ....................		245
		13.1.1	Nuvarande reglering ......................................	245

	13.1.2	Behovet av en uppdaterad lagstiftning..........	246	Prop. 2017/18:269
	13.1.3	Lagens namn.................................................	247
13.2	Allmänna bestämmelser ................................................		248
	13.2.1	Tillämpningsområdet....................................	248
	13.2.2	Personuppgiftsansvar....................................	250

13.3Grundläggande bestämmelser om behandling av

personuppgifter..............................................................

251

13.3.1Rättsliga grunder och behandling för nya

ändamål ........................................................

251

13.3.2Behandling av biometriska och genetiska

13.5.3Registrering när det finns risk för att en

	person utövar våld eller hot ..........................	262
13.5.4	Registrering av andra....................................	263
13.5.5	Sökning i känsliga personuppgifter ..............	264
13.5.6	Direktåtkomst och annat utlämnande ...........	265

13.5.7Längsta tid som personuppgifter får

	behandlas ......................................................	266
13.5.8	Rätt att meddela föreskrifter .........................	267

13.6Bestämmelser som inte längre behöver regleras i

kriminalvårdens sektoranpassade registerlagstiftning ... 267

14 Register över tillträdesförbud vid idrottsarrangemang .................			270
14.1	Nuvarande reglering ......................................................		270
	14.1.1	Tillträdesförbudsregistret..............................	270
	14.1.2	Polismyndighetens roll .................................	271
	14.1.3	Idrottsorganisationernas roll .........................	271
14.2	Två olika regleringar .....................................................		272
14.3	Regleringen för Polismyndigheten ................................		275
14.4	Regleringen för idrottsorganisationerna ........................		276
14.5	Följdändringar ...............................................................		276
15 Övriga författningsändringar........................................................			277
15.1	Följdändringar i offentlighets- och sekretesslagen ........		277
15.2	Lagen om internationellt polisiärt samarbete ................		278
15.3	Lagen om Polismyndighetens elimineringsdatabas .......		279

15.4Lagen om tillsyn över viss brottsbekämpande

		verksamhet.....................................................................		280
	15.5	Säkerhetsskyddslagen....................................................		282
16	Ikraftträdande- och övergångsbestämmelser ................................			283
17	Konsekvenser ...............................................................................			285
	17.1	Allmänt om konsekvenserna .........................................		285
		17.1.1	Nya registerförfattningar ..............................	285

Prop. 2017/18:269	17.1.2	En ny lag för domstolarna men inga nya
		arbetsuppgifter...............................................	286
	17.1.3	Modernisering av vissa författningar.............	286
17.2	Ekonomiska konsekvenser .............................................		287
17.3	Konsekvenser för det brottsförebyggande arbetet ..........		289
17.4	Konsekvenser i övrigt.....................................................		289
18 Författningskommentar .................................................................			291
18.1	Förslaget till lag om polisens behandling av
	personuppgifter inom brottsdatalagens område..............		291
18.2	Förslaget till lag om Tullverkets behandling av
	personuppgifter inom brottsdatalagens område..............		316
18.3	Förslaget till lag om Kustbevakningens behandling
	av personuppgifter inom brottsdatalagens område .........		331
18.4	Förslaget till lag om Skatteverkets behandling av
	personuppgifter inom brottsdatalagens område..............		343
18.5	Förslaget till lag om åklagarväsendets behandling av
	personuppgifter inom brottsdatalagens område..............		354
18.6	Förslaget till lag om domstolarnas behandling av
	personuppgifter inom brottsdatalagens område..............		364
18.7	Förslaget till lag om kriminalvårdens behandling av
	personuppgifter inom brottsdatalagens område..............		372
18.8	Förslaget till lag om ändring i rättegångsbalken ............		383
18.9	Förslaget till lag om ändring i polislagen (1984:387) ....		383
18.10	Förslaget till lag om ändring i säkerhetsskyddslagen
	(1996:627) ......................................................................		383
18.11	Förslaget till lag om ändring i lagen (1996:701) om
	Tullverkets befogenheter vid Sveriges gräns mot ett
	annat land inom Europeiska unionen .............................		384
18.12	Förslaget till lag om ändring i lagen (2000:344) om
	Schengens informationssystem ......................................		384
18.13	Förslaget till lag om ändring i lagen (2001:185) om
	behandling av uppgifter i Tullverkets verksamhet .........		385
18.14	Förslaget till lag om ändring i lagen (2005:321) om
	tillträdesförbud vid idrottsarrangemang .........................		385
18.15	Förslaget till lag om ändring i lagen (2007:980) om
	tillsyn över viss brottsbekämpande verksamhet .............		385
18.16	Förslaget till lag om ändring i offentlighets- och
	sekretesslagen (2009:400) ..............................................		387
18.17	Förslaget till lag om ändring i lagen (2014:400) om
	Polismyndighetens elimineringsdatabas.........................		388
18.18	Förslaget till lag om ändring i lagen (2015:51) om

18.19Förslaget till lag om ändring i domstolsdatalagen

(2015:728) ......................................................................

391

18.20Förslaget till lag om ändring i utlänningsdatalagen

(2016:27) ........................................................................	391
18.21 Förslaget till lag om ändring i tullagen (2016:253) ........	391

18.22Förslaget till lag om ändring i lagen (2017:496) om

internationellt polisiärt samarbete ..................................

392

18.23Förslaget till lag om ändring i säkerhetsskyddslagen

(2018:585) .....................................................................

394

18.24Förslaget till lag om ändring i lagen (2018:591) om

ändring offentlighets- och sekretesslagen (2009:400) ... 394

Bilaga 1	Sammanfattning SOU 2017:74......................................	396
Bilaga 2	Lagförslag i SOU 2017:74.............................................	402
Bilaga 3	Förteckning över remissinstanserna (SOU 2017:74).....	496
Bilaga 4	Sammanfattning av departementspromemorian En
	omarbetad domstolsdatalag – anpassning till EU:s
	dataskyddsförordning (Ds 2017:41) ..............................	497
Bilaga 5	Promemorians lagförslag ...............................................	498
Bilaga 6	Förteckning över remissinstanserna (Ds 2017:41) ........	500
Bilaga 7	Lagrådsremissens lagförslag..........................................	501
Bilaga 8	Lagrådets yttrande .........................................................	599
Utdrag ur protokoll vid regeringssammanträde den 14 juni 2018........		603

Prop. 2017/18:269

Prop. 2017/18:269 1

Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om polisens behandling av personuppgifter inom brottsdata- lagens område,

2.lag om Tullverkets behandling av personuppgifter inom brottsdata- lagens område,

3.lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område,

4.lag om Skatteverkets behandling av personuppgifter inom brotts- datalagens område,

5.lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område,

6.lag om domstolarnas behandling av personuppgifter inom brottsdata- lagens område,

7.lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område,

8.lag om ändring i rättegångsbalken,

9.lag om ändring i polislagen (1984:387),

10.lag om ändring i säkerhetsskyddslagen (1996:627),

11.lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,

12.lag om ändring i lagen (2000:344) om Schengens informations- system,

13.lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,

14.lag om ändring i lagen (2005:321) om tillträdesförbud vid idrotts- arrangemang,

15.lag om ändring i lagen (2007:980) om tillsyn över viss brottsbe- kämpande verksamhet,

16.lag om ändring i offentlighets- och sekretesslagen (2009:400),

17.lag om ändring i lagen (2014:400) om Polismyndighetens elimine- ringsdatabas,

18.lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang,

19.lag om ändring i domstolsdatalagen (2015:728),

20.lag om ändring i utlänningsdatalagen (2016:27),

21.lag om ändring i tullagen (2016:253),

22.lag om ändring i lagen (2017:496) om internationellt polisiärt sam- arbete,

23.lag om ändring i säkerhetsskyddslagen (2018:585),

24.lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400).

2	Lagtext	Prop. 2017/18:269

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om polisens behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter:

1.Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

2.Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och

3.Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgif- terna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och

7 kap.

2 § Denna lag gäller inte vid behandling av personuppgifter enligt

1.vapenlagen (1996:67),

2.lagen (1998:620) om belastningsregister,

3.lagen (1998:621) om misstankeregister,

4.lagen (2000:344) om Schengens informationssystem,

5.lagen (2006:444) om passagerarregister, eller

6.lagen (2014:400) om Polismyndighetens elimineringsdatabas.

3 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten, som inte är åklagar- verksamhet, i syfte att förebygga, förhindra eller upptäcka brottslig

verksamhet.

Prop. 2017/18:269 Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.

Säkerhetspolisen är personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför.

Definitioner

5 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxyri- bonukleinsyra i humant material,

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och

fingeravtryck: avtryck av finger eller hand.

Behandling av uppgifter om juridiska personer

6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.4 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter,

4.4 kap. 1–4 och 6–11 §§ om längsta tid som personuppgifter får be- handlas,

5.5 kap. 18–20 §§ om behandling av personuppgifter i penning- tvättsregister, och

6.5 kap. 21 och 22 §§ om behandling av personuppgifter i det interna- tionella registret.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

Lagens uppbyggnad

7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om be- handling av personuppgifter. I 4 kap. finns bestämmelser om längsta tid för behandling av personuppgifter.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

För personuppgifter som behandlas i register över dna-profiler, finger- avtrycks- och signalementsregister, penningtvättsregister, det internatio- nella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap.

I 6 kap. finns bestämmelser om Polismyndighetens behandling av per- sonuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap.

I 7 kap. finns bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att en myn- dighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid be- handling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sex- uell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen får personuppgifter läm- nas ut till

1.Interpol,

2.Europol, eller

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §.

Prop. 2017/18:269

Prop. 2017/18:269 Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagan- de myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.

9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den motta- gande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signa- lementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där.

11 § En idrottsorganisation har, trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personupp- gifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organi- sationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträ- desförbud.

12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§.

Personuppgifter från transportföretag

13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 § 1 och 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall Prop. 2017/18:269 behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen

(2018:000).

14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får person- uppgifterna inte ändras eller bearbetas på annat sätt.

Rätt att meddela föreskrifter

15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§,

och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse

itvå år eller mer, och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

5. Uppgifter som har rapporterats till Polismyndighetens lednings- centraler.

6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

7.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Prop. 2017/18:269 Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Särskilda upplysningar

3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.

4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

Sökning

5 § Vid sökning i automatiserade behandlingssystem på namn, person- nummer, samordningsnummer eller andra liknande identitetsbeteck- ningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.berörs av ett kontaktförbud eller av åtgärder i ett personskydds- ärende,

8.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

9.har gett in eller tillhandahållits en handling,

10.är anmäld som försvunnen,

11.har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

12.är efterlyst.

6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1.när de utför beredningsuppgifter i underrättelseverksamhet och Prop. 2017/18:269 arbetet befinner sig i ett inledande skede,

2.i syfte att i underrättelseverksamhet bearbeta och analysera person-

uppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller

4.i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.

Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Direktåtkomst
7 § Polismyndigheten,	Säkerhetspolisen,	Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av 6 §.

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses i

5 §,

2.under vilka förutsättningar sökning får utföras med stöd av 6 §, och

3.omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

I följande bestämmelser anges hur länge uppgifter som behandlas i sär- skilda register och i forensisk verksamhet får behandlas:

1.5 kap. 7 § om uppgifter i register över dna-profiler,

2.5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signale- mentsregister,

3.5 kap. 20 § om uppgifter i penningtvättsregister,

4.5 kap. 22 § om uppgifter i det internationella registret,

5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och

Prop. 2017/18:269 6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utred-

	ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
	5 § Om en förundersökning mot en person har lagts ner, om ett åtal har
	lagts ner eller om en frikännande dom har fått laga kraft, får personen
	inte längre vara sökbar som misstänkt.
	Övriga gemensamt tillgängliga uppgifter
	6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av
	3 kap. 2 § första stycket 1, 2 eller 4–7 får som längst behandlas under den
	tid som anges i 7–11 §§.
	Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000)
18	gäller inte vid tillämpningen av 7–11 §§.

7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.

Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen av- seende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter ut- gången av det kalenderår då registreringen gjordes. Om en ny registre- ring beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Den tid då en misstänkt person avtjänar ett fängelsestraff eller genom- går sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskriv- ningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket.

8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en övervakad person avtjänar ett fängelsestraff eller genom- går sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskriv- ningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som upp- gifterna behandlades i avslutades.

10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–11 §.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

Prop. 2017/18:269

Prop. 2017/18:269 1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–11 §, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Register

Rätten att föra register

1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden, och

4.underlätta identifiering av avlidna personer.

I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen.

Dna-registret

2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1.genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller

2.har godkänt strafföreläggande som avser villkorlig dom.

3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får dna-registret innehålla uppgifter om vem ana-

	lysen avser, i vilket ärende profilen har tagits fram och brottskod.
	Utredningsregistret
	4 § Utredningsregistret får innehålla dna-profiler från prov som har
	tagits med stöd av 28 kap. rättegångsbalken och som avser personer som
	är skäligen misstänkta för brott på vilket det kan följa fängelse.
	Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.
	Spårregistret
	5 § Spårregistret får innehålla dna-profiler som har tagits fram under
	utredning av brott och som inte kan hänföras till en identifierbar person.
	Utöver dna-profiler får spårregistret innehålla upplysningar som visar i
	vilket ärende profilen har tagits fram och brottskod.
	6 § Dna-profiler i spårregistret får jämföras med dna-profiler
	1. som inte kan hänföras till en identifierbar person,
	2. som finns i dna-registret, eller
	3. som kan hänföras till en person som är skäligen misstänkt för brott.
	Dna-profiler i spårregistret får också jämföras i andra fall om det är
20	nödvändigt för att fullgöra en internationell överenskommelse som

Sverige har tillträtt efter riksdagens godkännande eller om det följer av Prop. 2017/18:269 en unionsrättsakt.

Längsta tid som personuppgifter får behandlas

7 § Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter får inte längre behandlas i utredningsregistret när uppgifter- na om den registrerade får föras in i dna-registret eller när förundersök- ning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläg- gande som avser enbart böter.

Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Uppgifter i registret får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Prover för dna-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för.

9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rät- tegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.

Direktåtkomst

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna- profiler som regleras i detta kapitel.

Fingeravtrycks- och signalementsregister

Rätten att föra register

11 § Polismyndigheten får föra fingeravtrycks- och signalements- register i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden,

4.underlätta identifiering av okända personer, och

5. kontrollera fingeravtryck som Migrationsverket har tagit enligt

9 kap. 8 § utlänningslagen (2005:716).

Innehåll i registren

12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas

om en person som

Prop. 2017/18:269 1. är misstänkt eller dömd för brott och som har varit föremål för åt- gärd enligt 28 kap. 14 § rättegångsbalken, eller

2.har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott.

Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister.

13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signa- lementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminal- registret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller mer och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år.

14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om

1.fingeravtryck,

2.signalement,

3.fotografi,

4.videoupptagning,

5.identifieringsuppgifter,

6.ärendenummer, och

7.brottskod.

Längsta tid som personuppgifter får behandlas

15 § Uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person får inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

Uppgifter som inte kan hänföras till en identifierbar person får inte be- handlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

16 § Uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande får inte behandlas längre än vad som behövs för det ändamålet.

Uppgifter om personer som har lämnat fingeravtryck med stöd av Prop. 2017/18:269 lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre

än tio år efter registreringen.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Direktåtkomst

17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

Penningtvättsregister

Rätten att föra register

18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

1.där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2.som innefattar finansiering av terrorism.

19 § I penningtvättsregister får personuppgifter behandlas som

1.kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2.har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller

3.har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verk- samhet som avses i 18 §.

Längsta tid som personuppgifter får behandlas

20 § Personuppgifter i penningtvättsregister får inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Det internationella registret

Rätten att föra register

21 § Polismyndigheten får föra ett internationellt register. Personupp- gifter i det internationella registret får behandlas om det behövs för hand- läggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete.

Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten.

Prop. 2017/18:269

Längsta tid som personuppgifter får behandlas

22 § Personuppgifter i det internationella registret får inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Tillträdesförbudsregistret

Rätten att föra register

23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesför- bud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att före- bygga, förhindra eller upptäcka överträdelser av tillträdesförbud.

Innehåll i registret

24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud:

1.namn,

2.personnummer eller samordningsnummer,

3.folkbokföringsadress och annan stadigvarande adress,

4.alias,

5.fotografi,

6.anknytning till idrott och idrottsorganisation,

7.omfattningen och giltighetstiden av beslut om tillträdesförbud, och

8.överträdelse av gällande tillträdesförbud.

25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregis- tret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud.

Längsta tid som personuppgifter får behandlas

26 § Uppgifter i tillträdesförbudsregistret får endast behandlas så länge tillträdesförbudet gäller.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Rätt att meddela föreskrifter

27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst,

2.tillgången till personuppgifter i penningtvättsregister och det inter- nationella registret, och

liga, statistiska eller historiska ändamål under längre tid än vad som an- Prop. 2017/18:269 ges i 15, 16, 20, 22 och 26 §§.

6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål

Ändamål

1 § Vid Nationellt forensiskt centrum får personuppgifter behandlas om det behövs för att

1.sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 2 ska kunna utföras,

2.utföra forensiska analyser, undersökningar eller jämförelser åt den egna myndigheten eller åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket eller allmän domstol,

3.begära forensiska analyser, undersökningar eller jämförelser av eller utföra sådana åtgärder åt

a) Rättsmedicinalverket,

b) ett utländskt forensiskt laboratorium, eller

c) en utländsk brottsbekämpande myndighet eller en mellanfolklig organisation eller ett EU-organ med brottsbekämpande uppgifter,

4.begära forensiska analyser eller undersökningar av andra svenska expertorgan, eller

5.ta fram uppslag i syfte att underlätta arbetet med att förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott, genom att använda resultat från sådana åtgärder som anges i 2 eller i 2 § andra stycket.

Personuppgifter får också behandlas vid Nationellt forensiskt centrum om det behövs för

1.forskning och statistik, eller

2.kvaliteten i den forensiska verksamheten.

2 § Vid en annan enhet inom Polismyndigheten än Nationellt forensiskt centrum får personuppgifter behandlas om enheten behöver det för att sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 1 § första stycket 2 ska kunna utföras av centrumet.

Personuppgifter får även behandlas vid en sådan annan enhet om enheten behöver det för att utföra forensiska analyser, undersökningar eller jämförelser.

3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas för nya ändamål inom tillämpningsområdet för brottsdatalagen (2018:000).

I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brotts- datalagen.

Prop. 2017/18:269

Känsliga personuppgifter

4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § om det är absolut nödvändigt för ändamålet med behandlingen.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.

Längsta tid som personuppgifter får behandlas

6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades.

Utlämnande av personuppgifter

7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.

8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Rätt att meddela föreskrifter

9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §.

10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering.

7 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–4 eller 7–11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller Prop. 2017/18:269

6 kap. 6 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom lagen upphävs polisdatalagen (2010:361).

3.En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

4.Den upphävda lagen gäller fortfarande för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet.

Prop. 2017/18:269 2.2	Förslag till lag om Tullverkets behandling av
	personuppgifter inom brottsdatalagens område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Tullverket är personuppgiftsansvarigt för den behandling av per- sonuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–5 och 8–11 §§ om längsta tid som personuppgifter får be- handlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 § Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

	1. förebygga, förhindra eller upptäcka brottslig verksamhet,
	2. utreda eller lagföra brott, eller
28	3. fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Tullverket får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller upp- gifter som beskriver en persons utseende används som sökbegrepp.

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgif- ter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Interpol,

2.Europol,

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4.en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för att utföra en uppgift som avses i 1 §.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myn- digheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Prop. 2017/18:269

Prop. 2017/18:269 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §.

Personuppgifter från transportföretag

10 § Personuppgifter som lämnas till Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för att utföra en uppgift som anges i 1 § 1 eller 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).

11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna.

12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identi- tetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som

1.är eller har varit misstänkt för brott,

2.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3.övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Rätt att meddela föreskrifter

13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse

itvå år eller mer, och

b)är allvarligt kriminellt belastad.

3.Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4.Uppgifter som har rapporterats till Tullverkets ledningscentraler.

5.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.

Särskilda upplysningar

3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

Sökning

5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitets- beteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

Prop. 2017/18:269

Prop. 2017/18:269 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1.när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

2.i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller

4.i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.

Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Direktåtkomst
7 § Polismyndigheten,	Säkerhetspolisen,	Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av 6 §.

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. begränsning av tillgången till sådana personuppgifter som avses i

5 §,

2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och

3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling av personuppgifter.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

3 § Personuppgifter som med stöd av 15 § lagen (1996:701) om Tull- verkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst, ska omedelbart förstöras om de visar sig sakna betydelse för att utföra en uppgift som anges i 2 kap. 1 § 1 eller 2.

Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personuppgifter.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

4 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

5 § Om en förundersökning har lett till åtal eller annan dom- stolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Prop. 2017/18:269

utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

6 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

7 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 får som längst behandlas under den tid som anges i 8–11 §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 8–11 §§.

8 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades.

Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket.

9 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket.

10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

Prop. 2017/18:269

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8–11 §,

2.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8–11 §, och

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3.4 kap. 2–5 eller 8–11 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom lagen upphävs tullbrottsdatalagen (2017:447).

2.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

Prop. 2017/18:269 2.3	Förslag till lag om Kustbevakningens behand-
	ling av personuppgifter inom brottsdatalagens
	område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevak- ningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i före- skrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns av- vikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4 och 6–9 §§ om längsta tid som personuppgifter får be- handlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Kustbevakningen får behandla personuppgifter om det är nödvän- digt för att myndigheten ska kunna utföra följande uppgifter:

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

Prop. 2017/18:269

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller upp- gifter som beskriver en persons utseende används som sökbegrepp.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ur- sprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt till- gängliga med stöd av 3 kap. 2 §.

Utlämnande av personuppgifter

6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Interpol,

2.Europol,

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4.en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för att utföra en uppgift som avses i 1 §.

7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt

21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemen- samt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndig-

Prop. 2017/18:269 heten behöver	uppgifterna för ett syfte som anges i 1 kap. 2 §
brottsdatalagen	(2018:000).

8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 6 §.

Rätt att meddela föreskrifter

9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

3.Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

4.Uppgifter som har rapporterats till Kustbevakningens lednings- central.

5.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Särskilda upplysningar

genom en särskild upplysning eller på något annat sätt framgå att Prop. 2017/18:269 personen inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

Sökning

4 § Vid sökning i automatiserade behandlingssystem på namn, person- nummer, samordningsnummer eller andra liknande identitets- beteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8.är anmäld som försvunnen,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till.

Direktåtkomst
6 § Polismyndigheten,	Säkerhetspolisen,	Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av 5 §.

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses i

4 §,

2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och

Prop. 2017/18:269 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolspröv- ning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Första och andra styckena gäller även personuppgifter som finns i andra utredningar som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har Prop. 2017/18:269 lagts ner eller om en frikännande dom har fått laga kraft, får personen

inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3–5 får som längst behandlas under den tid som anges i 7–9 §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7–9 §§.

7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verk- samhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalen- derår då registreringen gjordes. Om en ny registrering beträffande perso- nens anknytning till brottslig verksamhet görs före utgången av de tids- fristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.

8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–9 §, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att per- sonuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–9 §.

Prop. 2017/18:269 5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 § om särskilda upplysningar, eller

3.4 kap. 2–4 eller 7–9 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom denna lag upphävs kustbevakningsdatalagen (2012:145).

3.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

4.Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2.4	Förslag till lag om Skatteverkets behandling av Prop. 2017/18:269
	personuppgifter inom brottsdatalagens område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skattever- ket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott.

Personuppgiftsansvar

2 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4, 7 och 8 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Prop. 2017/18:269

Särskilda upplysningar

Sökning

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används som sökbe- grepp.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett urval av personer grundat på etniskt ur- sprung, om sökningen görs i personuppgifter som inte har gjorts gemen- samt tillgängliga.

Beskattningsdatabasen

6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas.

Utlämnande av personuppgifter

7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mel- lanfolklig organisation, om utlämnandet följer av en internationell över- enskommelse som Sverige har tillträtt efter riksdagens godkännande.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Rätt att meddela föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt Prop. 2017/18:269 enligt 9 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2.Uppgifter som förekommer i ett ärende om utredning av brott.

3.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Särskilda upplysningar

3 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Sökning

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

Prop. 2017/18:269 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

9.är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.

5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1.när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

2.i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer.

Direktåtkomst
6 § Polismyndigheten,	Säkerhetspolisen,	Ekobrottsmyndigheten,

Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av 5 §.

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses i

4 §,

2.under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3.omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3 får som längst behandlas under den tid som anges i 7 och 8 §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7 och 8 §§.

Prop. 2017/18:269

Prop. 2017/18:269 gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.

8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§,

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 § om särskilda upplysningar, eller

3.4 kap. 2–4, 7 eller 8 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom lagen upphävs skattebrottsdatalagen (2017:452).

3.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

Prop. 2017/18:269

Prop. 2017/18:269 2.5	Förslag till lag om åklagarväsendets behandling
	av personuppgifter inom brottsdatalagens
	område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagar- myndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att

1.förebygga eller förhindra brottslig verksamhet,

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, eller

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet.

Personuppgiftsansvar

2 § Åklagarmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behand-

las.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att Åkla- garmyndigheten eller Ekobrottsmyndigheten ska kunna utföra följande

uppgifter:

1. förebygga eller förhindra brottslig verksamhet,

Prop. 2017/18:269

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller

5.fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Utlämnande av personuppgifter

5 § Om det är förenligt med svenska intressen får personuppgifter läm- nas ut till

1.Eurojust,

2.Interpol,

3.Europol, eller

4.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för att utföra en uppgift som avses i 1 §.

6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlig- hets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000).

7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom
direktåtkomst om det inte är olämpligt.	51
	51

Prop. 2017/18:269 Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 5 §.

Rätt att meddela föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter som får göras gemensamt tillgängliga

2 § Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga.

Sökning

3 § Vid sökning i automatiserade behandlingssystem på namn,

personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.är sökande, motpart eller annan part eller kan jämställas med part i ett ärende,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.är eller har varit åklagare i ett ärende eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller

9.har gett in eller tillhandahållits en handling.

4 § Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Direktåtkomst

5 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §, utöver vad som framgår av 4 §.

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.gemensamt tillgängliga uppgifter, och

2.omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter i ärenden

2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft.

3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga personuppgifter

4 § Personuppgifter som inte kan hänföras till ett ärende får inte behandlas längre än ett år efter utgången av det kalenderår då de behand- lades automatiserat första gången.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Rätt att meddela föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

Prop. 2017/18:269

Prop. 2017/18:269 1. att uppgifter i vissa ärendetyper eller vissa kategorier av personupp- gifter får fortsätta att behandlas för ändamål inom denna lags tillämp- ningsområde under längre tid än vad som anges i 2 §,

2.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 4 §, och

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

eller

2.4 kap. 2 eller 4 § om den längsta tid som personuppgifter får be- handlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom lagen upphävs åklagardatalagen (2015:433).

3.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

2.6	Förslag till lag om domstolarnas behandling av Prop. 2017/18:269
	personuppgifter inom brottsdatalagens område

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar person- uppgifter:

1.allmän domstol, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verk- ställighet av straffrättsliga påföljder eller upprätthållande av allmän ord- ning och säkerhet, och

2.allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påfölj- der.

Personuppgiftsansvar

2 § En domstol är personuppgiftsansvarig för den behandling av per- sonuppgifter som den utför.

Rättsliga grunder

3 § Personuppgifter får behandlas om det är nödvändigt för hand- läggning av mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straff- rättsliga påföljder eller om upprätthållande av allmän ordning och säkerhet.

Behandling för nya ändamål

4 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Behandling av personnummer

5 § Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vik- ten av en säker identifiering eller något annat beaktansvärt skäl.

Sökbegränsningar

6 § Vid sökning i personuppgifter är det förbjudet att använda sök- begrepp som avslöjar sådana personuppgifter som avses i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller uppgifter om nationell anknyt- ning.

Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Förbudet

Prop. 2017/18:269 gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende.

7 § Förbudet i 6 § första stycket gäller inte användning i allmän förvalt- ningsdomstol av sökbegrepp som avslöjar hälsa.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begräns- ningar av möjligheten att använda sökbegrepp som avslöjar hälsa.

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om be- gränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

10 § Direktåtkomst får endast medges

1.en allmän domstol,

2.en allmän förvaltningsdomstol, eller

3.en part eller partens ombud, biträde eller försvarare.

Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst.

Personuppgifter i avgjorda mål och ärenden

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft.

Administrativa sanktionsavgifter

12 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

–3 § om rättsliga grunder för behandling av personuppgifter, eller

–6 § första stycket om sökförbud.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

13 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Överklagande

14 § Beslut i sådana frågor som avses i 7 kap. 2 § brottsdatalagen (2018:000) som har meddelats av en hovrätt, tingsrätt eller förvaltnings- rätt i egenskap av personuppgiftsansvarig, får överklagas till kammar- rätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen.

Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas.

1.Denna lag träder i kraft den 1 januari 2019.

2.Domstolsdatalagen (2015:728) i lydelsen före den 25 maj 2018 gäl- ler fortfarande för överklagande av beslut som har meddelats före ikraft- trädandet.

3.En sanktionsavgift enligt 12 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

Prop. 2017/18:269

Prop. 2017/18:269 2.7	Förslag till lag om kriminalvårdens behandling
	av personuppgifter inom brottsdatalagens
	område

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

Personuppgiftsansvar

2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att en myn- dighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:

1.verkställa häktning eller straffrättsliga påföljder,

2.förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,

3.biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Känsliga personuppgifter

3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

	Utlämnande av personuppgifter
	4 § Kriminalvården får till en utländsk myndighet eller internationell
58	organisation lämna ut de personuppgifter som behövs för
58

1. prövning och genomförande av överflyttning av straffverkställighet, Prop. 2017/18:269

2.transitering och förvaring av en person som är frihetsberövad för ut- redning av eller lagföring för brott eller straffverkställighet, eller

3.tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet.

Längsta tid som personuppgifter får behandlas

5 § Personuppgifter som behandlas automatiserat får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säker- hetsregistret får behandlas.

Rätt att meddela föreskrifter

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.vilka personuppgifter som får behandlas enligt 1 §,

2.utlämnande av personuppgifter i andra fall än som anges i 4 §,

3.frågor som rör elektroniskt utlämnande genom direktåtkomst,

4.längsta tid som personuppgifter får behandlas, och

5.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §.

3 kap. Säkerhetsregistret

Rätten att föra register

1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att

1.förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straff- verkställighet, och

2.säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.

Säkerhetsregistrets innehåll

2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning.

I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon

1.under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer,

2.förbereder rymning eller försöker rymma,

3. blir föremål för fritagning,	59

Prop. 2017/18:269 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller

5.under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot.

3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler.

4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.

Känsliga personuppgifter

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Direktåtkomst

6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i säkerhetsregistret.

Längsta tid som personuppgifter får behandlas

7 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att

1.den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan på- följd, har frigetts från häkte,

2.den registrerade helt har verkställt en sådan påföljd som avses i 3 §,

eller

3.den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om inne-

hållet i säkerhetsregistret och om utlämnande av personuppgifter ur Prop. 2017/18:269 registret.

4 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 4 § om särskild upplysning, eller

3.2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas.

En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande finns i 7 kap. brottsdata- lagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.Genom lagen upphävs lagen (2001:617) om behandling av person- uppgifter inom kriminalvården.

3.En sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträd- elser som har skett efter ikraftträdandet.

4.Den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.

5.Den upphävda lagen gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.

Kroppsbesiktning genom tagan- de av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna- analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt lagen (2018:000) om polisens behandling av personupp- gifter inom brottsdatalagens om- råde.


Prop. 2017/18:269 2.8	Förslag till lag om ändring i rättegångsbalken
Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha
följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

28 kap.

12 a §1

Kroppsbesiktning genom tagan- de av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA- analys av provet och registrera DNA-profilen i det DNA-register eller det utredningsregister som

förs enligt polisdatalagen (2010:361).

12 b §2

Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en DNA-	1. syftet	är att genom en dna-
analys av provet underlätta identi-	analys av	provet underlätta iden-
fiering vid utredning av ett brott på	tifiering vid utredning av ett brott
vilket fängelse kan följa, och	på vilket fängelse kan följa, och

2.det finns synnerlig anledning att anta att det är av betydelse för ut- redningen av brottet.

Analysresultatet får inte jäm-	Analysresultatet får inte jäm-
föras med de DNA-profiler som	föras med de dna-profiler som
finns registrerade i register över	finns registrerade i register över
DNA-profiler som förs enligt polis-	dna-profiler som förs enligt lagen
datalagen (2010:361) eller i övrigt	(2018:000) om polisens behand-
användas för annat ändamål än det	ling av personuppgifter	inom
för vilket provet har tagits.	brottsdatalagens område	eller i
	övrigt användas för annat ändamål
	än det för vilket provet har tagits.
Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2010:363.

2Senaste lydelse 2010:363.

2.9	Förslag till lag om ändring i polislagen		Prop. 2017/18:269
	(1984:387)
Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande
lydelse.
Nuvarande lydelse		Föreslagen lydelse

26 §1

Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminal-

åtkomst.
Polismyndigheten		och	Säker-	Polismyndigheten och	Säker-
hetspolisen får ta del av uppgifter				hetspolisen får ta del av uppgifter
genom terminalåtkomst			endast i	genom terminalåtkomst	endast i
den omfattning och under den tid				den omfattning och under den tid
som behövs för att kontrollera				som behövs för att kontrollera
aktuella transporter. Uppgifter som				aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas eller lagras av Polis-
myndigheten	eller	Säkerhets-
polisen.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska ome- delbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2014:588.

Prop. 2017/18:269 2.10			Förslag till lag om ändring i
			säkerhetsskyddslagen (1996:627)
	Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha
	följande lydelse.
	Nuvarande lydelse								Föreslagen lydelse
								12 §1
	Med	registerkontroll				avses		att	Med registerkontroll avses att
	uppgifter hämtas från ett register								uppgifter hämtas från ett register
	som omfattas av lagen (1998:620)								som omfattas av lagen (1998:620)
	om	belastningsregister,					lagen		om belastningsregister eller lagen
(1998:621)			om	misstankeregister					(1998:621) om misstankeregister.
	eller lagen (2010:362) om polisens								Med registerkontroll avses också
	allmänna		spaningsregister.				Med		att uppgifter som behandlas med
	registerkontroll			avses		också		att	stöd av lagen (2018:000) om
	uppgifter hämtas				som	behandlas			polisens behandling av personupp-
	med	stöd av			polisdatalagen				gifter inom brottsdatalagens om-
(2010:361).									råde hämtas.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361).

1Senaste lydelse 2010:365.

2.11 Förslag till lag om ändring i lagen (1996:701) Prop. 2017/18:269 om Tullverkets befogenheter vid Sveriges gräns

mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befo- genheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

ska ha följande lydelse.
Nuvarande lydelse	Föreslagen lydelse

16 §1

Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter		Tullverket får ta del av uppgifter
genom	terminalåtkomst endast i	genom terminalåtkomst endast i
den omfattning och under den tid		den omfattning och under den tid
som behövs för att kontrollera		som behövs för att kontrollera
aktuella transporter. Tullverket får		aktuella transporter.
inte ändra eller på annat sätt be-
arbeta eller lagra uppgifter som
hålls tillgängliga på detta sätt.
Uppgifter om enskilda personer
som lämnats på annat sätt än
genom	terminalåtkomst, skall

omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 1999:434.

Polismyndigheten får föra in uppgifter i registret endast om be- handling av motsvarande slag av uppgifter är tillåten enligt brotts-

datalagen (2018:000), lagen (2018:000) om polisens behand- ling av personuppgifter inom brottsdatalagens område eller någon annan författning.


Prop. 2017/18:269 2.12	Förslag till lag om ändring i lagen (2000:344)
	om Schengens informationssystem
Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informa-
tionssystem ska ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

5 §1

Registret ska endast innehålla uppgifter som har behandlats av behö- riga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt person- uppgiftslagen (1998:204), polis- datalagen (2010:361) eller annan svensk författning.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2014:595.

2.13 Förslag till lag om ändring i lagen (2001:185) Prop. 2017/18:269 om behandling av uppgifter i Tullverkets

verksamhet

Härigenom föreskrivs att 1 kap. 1 och 5 §§ lagen (2001:185) om be- handling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 1 §1

Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling

av uppgifter om juridiska personer.
Bestämmelserna i denna lag gäl-	Bestämmelserna i denna lag gäl-
ler inte behandling av uppgifter i	ler inte vid behandling av person-
den brottsbekämpande verksamhet	uppgifter i den brottsbekämpande
som Tullverket bedriver. För så-	verksamhet som Tullverket be-
dan behandling finns det särskilda	driver.
bestämmelser i tullbrottsdatalagen
(2017:447).

5 §2

Uppgifter som behandlas enligt 4 § får även behandlas för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för

a) fastställande av underlag för samt bestämmande, redovisning, betal- ning och återbetalning av skatter eller avgifter,

b) revision och annan analys- eller kontrollverksamhet,

c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och

d) utsökning och indrivning,

2. att	tillhandahålla information			2. att tillhandahålla information
som behövs i Tullverkets brottsbe-				som behövs i Tullverkets brottsbe-
kämpande		verksamhet	enligt	kämpande	verksamhet		enligt
2 kap.	5 §	tullbrottsdatalagen		2 kap. 1 §	lagen	(2018:000) om
(2017:447),				Tullverkets behandling av person-
				uppgifter	inom	brottsdatalagens
				område,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

1Senaste lydelse 2017:449.

2Senaste lydelse 2018:231.

Prop. 2017/18:269 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samla- des in.

Denna lag träder i kraft den 1 januari 2019.

2.14	Förslag till lag om ändring i lagen (2005:321)				Prop. 2017/18:269
	om tillträdesförbud vid idrottsarrangemang
Härigenom föreskrivs		att	8 a §	lagen (2005:321) om tillträdesförbud
vid idrottsarrangemang ska ha följande lydelse.
Nuvarande lydelse				Föreslagen lydelse
			8 a §1
En polisman eller annan anställd				En polisman eller annan anställd
vid Polismyndigheten får fotogra-				vid Polismyndigheten får fotogra-
fera en person som har eller skäli-				fera en person som har eller skäli-
gen kan antas få tillträdesförbud				gen kan antas få tillträdesförbud
enligt denna lag i syfte att fotogra-				enligt denna lag i syfte att fotogra-
fiet ska kunna tillföras det register				fiet ska kunna tillföras det register
som	Polismyndigheten	får	föra	som Polismyndigheten får föra
enligt lagen (2015:51) om register				enligt 5 kap. lagen (2018:000) om
över tillträdesförbud vid idrotts-				polisens behandling av personupp-
arrangemang.				gifter inom brottsdatalagens om-
				råde.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2015:55.

Prop. 2017/18:269 2.15	Förslag till lag om ändring i lagen (2007:980)
	om tillsyn över viss brottsbekämpande
	verksamhet

Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	1 §1

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsme- del och kvalificerade skyddsidentiteter och därmed sammanhängande

verksamhet.
Nämnden ska även utöva tillsyn					Nämnden ska även utöva tillsyn
över den behandling av person-					över den behandling av person-
uppgifter	enligt polisdatalagen				uppgifter som utförs av Polismyn-
(2010:361)	och	lagen	(2010:362)		digheten,	Säkerhetspolisen		och
om polisens allmänna spanings-					Ekobrottsmyndigheten			enligt
register som utförs av Polismyn-					brottsdatalagen		(2018:000)	och
digheten,	Säkerhetspolisen			och	lagen (2018:000) om polisens be-
Ekobrottsmyndigheten.			När	det	handling av personuppgifter inom
gäller Säkerhetspolisen ska tillsy-					brottsdatalagens		område för de
nen även avse behandling enligt					syften som anges i 1 kap. 1 § i den
polisdatalagen (1998:622). Tillsy-					sistnämnda lagen. Tillsynen ska
nen ska särskilt avse sådan behand-					särskilt avse sådan behandling som
ling som avses i 2 kap. 10 § polis-					avses i	2 kap.	11 § brottsdata-
datalagen (2010:361)			och	5 §	lagen.
polisdatalagen		(1998:622)		samt

12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författ-

ning.
	3 §
Nämnden är skyldig att på begä-		Nämnden är skyldig att på begä-
ran av en enskild kontrollera om		ran av en enskild kontrollera om
han eller hon har utsatts för sådana		han eller hon
tvångsmedel eller varit föremål för		1. har utsatts för sådana tvångs-
sådan personuppgiftsbehandling		medel som avses i 1 § och om
som avses i 1 § och om använd-		användningen av dem och verk-
ningen av tvångsmedel och därmed		samhet som hänger samman med
sammanhängande	verksamhet	dem har varit i enlighet med lag
eller behandlingen av personupp-		eller annan författning, eller
gifter har skett i enlighet med lag		2. varit föremål för sådan per-

1Senaste lydelse 2014:652.

eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts.

sonuppgiftsbehandling som avses i Prop. 2017/18:269 1 § och om den har utförts i en-

lighet med lag eller annan för- fattning.

Nämnden ska underrätta den en- skilde om att kontrollen har ut- förts.

Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.

		4 §
Nämnden har rätt att av för-			Nämnden har rätt att av för-
valtningsmyndigheter	som	om-	valtningsmyndigheter	som	om-
fattas av tillsynen få de uppgifter			fattas av tillsynen få de uppgifter
och det biträde som nämnden be-			och upplysningar, den information
gär. Även domstolar samt de för-			och det biträde som nämnden be-
valtningsmyndigheter	som	inte	gär. Även domstolar och de för-
omfattas av tillsynen är skyldiga			valtningsmyndigheter	som	inte
att lämna nämnden de uppgifter			omfattas av tillsynen är skyldiga
som den begär.			att lämna nämnden de uppgifter
			som den begär.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen (2010:361) eller polisdatalagen (1998:622).

3.Äldre föreskrifter gäller fortfarande för nämndens tillsyn över annan personuppgiftsbehandling än den som anges i punkten 2 som utförts före ikraftträdandet.

Prop. 2017/18:269 2.16	Förslag till lag om ändring i offentlighets- och
	sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska

ha följande lydelse.
Nuvarande lydelse				Föreslagen lydelse
			18 kap.
			2 §1
Sekretess gäller för uppgift som				Sekretess gäller för uppgift som
hänför sig till sådan verksamhet				hänför sig till sådan verksamhet
som avses		i	2 kap. 7 § 1 eller	som	avses	i 2 kap. 1 § 1		lagen
6 kap.	1 § 1		polisdatalagen	(2018:000) om polisens behand-
(2010:361), om det inte står klart				ling	av	personuppgifter		inom
att uppgiften kan röjas utan att				brottsdatalagens område, om det
syftet med beslutade eller förut-				inte står klart att uppgiften kan
sedda åtgärder motverkas eller den				röjas utan att syftet med beslutade
framtida verksamheten skadas.				eller förutsedda åtgärder motverkas
				eller	den	framtida verksamheten
				skadas.
Sekretess gäller, under mot-				Sekretess gäller, under mot-
svarande förutsättningar som anges				svarande förutsättningar som anges
i första stycket, för uppgift som				i första stycket, för uppgift som
hänför sig till				hänför sig till sådan verksamhet
				som avses i
1. sådan verksamhet som avses i				1. 2 kap. 1 § 1 lagen (2018:000)
2 kap.	5 § 1	skattebrottsdatalagen		om	Tullverkets		behandling av
(2017:452),				personuppgifter			inom	brotts-
				datalagens område 2 kap. 1 § 1,
2. sådan verksamhet som avses i				2. 2 kap. 1 § 1 lagen (2018:000)
2 kap.	5 § 1		tullbrottsdatalagen	om	Kustbevakningens behandling
(2017:447), eller				av personuppgifter inom brottsdat-
				alagens område, eller
3. sådan verksamhet som avses i				3. lagen		(2018:000)		om
3 kap.	2 § 1		kustbevaknings-	Skatteverkets			behandling	av
datalagen (2012:145).				personuppgifter			inom	brotts-
				datalagens område.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän hand- ling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

1Senaste lydelse 2017:456.

	18 §2					Prop. 2017/18:269
Sekretessen enligt 17 §	andra	Sekretessen enligt 17 §				andra
stycket hindrar inte att en uppgift		stycket hindrar inte att en uppgift
lämnas ut enligt vad som före-		lämnas ut enligt vad som före-
skrivs i lagen (2000:344)	om	skrivs	i	lagen (2000:344)		om
Schengens informationssystem och		Schengens informationssystem och
polisdatalagen (2010:361).		lagen	(2018:000)		om polisens
		behandling		av	personuppgifter
		inom brottsdatalagens område.

35kap. 1 §3

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild person- utredning enligt säkerhetsskyddslagen (1996:627),

4.annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5. register	som	förs	av	Polis-	5. register		som förs av Polis-
myndigheten	enligt 4 kap.			polis-	myndigheten		enligt 5 kap.			lagen
datalagen (2010:361)			eller	som	(2018:000)		om		polisens
annars behandlas med stöd av de					behandling		av	personuppgifter
bestämmelserna		eller	uppgifter		inom brottsdatalagens område eller
som behandlas av Säkerhetspolisen					som annars behandlas med stöd av
med stöd av 6 kap. samma lag,					de bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register	som	förs	av	Skat-	7. register		som förs av Skat-
teverket enligt		skattebrottsdata-			teverket	enligt lagen			(2018:000)
lagen (2017:452)		eller som		annars	om Skatteverkets			behandling av
behandlas där med stöd av samma					personuppgifter inom				brottsdata-
lag,					lagens	område eller			som annars
					behandlas där med stöd av samma
					lag,
8. särskilt	ärenderegister			över	8. särskilt		ärenderegister			över
brottmål som förs av åklagar-					brottmål som förs av åklagar-
myndighet,	om	uppgiften		inte	myndighet,		om	uppgiften		inte
hänför sig till registrering som					hänför sig till registrering som
avses i 5 kap. 1 §,					avses i 5 kap. 1 §, eller
9. register som förs av Tullverket					9. register som förs av Tullverket
enligt	tullbrottsdatalagen				enligt lagen		(2018:000) om			Tull-

2Senaste lydelse 2010:369.

3Senaste lydelse 2017:1076.

Prop. 2017/18:269 (2017:447) eller som annars be- handlas där med stöd av samma lag, eller

verkets behandling av personupp- gifter inom brottsdatalagens om- råde eller som annars behandlas där med stöd av samma lag.

10.register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rätt- skipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

	4 a §4
Sekretess gäller	i verksamhet	Sekretess	gäller	i verksamhet
som avser förande av register		som avser förande av tillträdes-
enligt lagen (2015:51) om register		förbudsregistret enligt 5 kap. lagen
över tillträdesförbud vid idrotts-		(2018:000) om polisens behand-
arrangemang för uppgift om en		ling av	personuppgifter		inom
enskilds personliga	förhållanden,	brottsdatalagens		område	för
om det inte står klart att uppgiften		uppgift om en enskilds personliga
kan röjas utan att den enskilde eller		förhållanden, om det inte står klart
någon närstående till denne lider		att uppgiften kan röjas utan att den
men.		enskilde eller någon närstående till
		honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

10 §5

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med sär- skilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som	2. till en enskild enligt vad som
föreskrivs i säkerhetsskyddslagen	föreskrivs	i	säkerhetsskyddslagen
(1996:627) samt i förordning som	(1996:627) och i förordning som
har meddelats med stöd i den lagen,	har meddelats med stöd i den
	lagen,
	3. till en enskild enligt vad som
	föreskrivs	i	27 kap. 8 § rätte-
	gångsbalken,
3. enligt vad som föreskrivs i	4. enligt vad som föreskrivs i

–lagen (1998:621) om misstankeregister,

4Senaste lydelse 2015:53.

5Senaste lydelse 2017:456.

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens infor-

mationssystem och lagen (2018:000) om polisens behand- ling av personuppgifter inom brottsdatalagens område.

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § lagen (2018:000) om polisens behand- ling av personuppgifter inom brottsdatalagens område.

–polisdatalagen (2010:361),

–skattebrottsdatalagen (2017:452),

–tullbrottsdatalagen (2017:447),

–kustbevakningsdatalagen (2012:145),

–åklagardatalagen (2015:433),

–förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångs- balken.

– lagen (2018:000) om polisens Prop. 2017/18:269 behandling av personuppgifter

inom brottsdatalagens område,

–lagen (2018:000) om Tullver- kets behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:000) om Kustbe- vakningens behandling av person- uppgifter inom brottsdatalagens område,

–lagen (2018:000) om Skatte- verkets behandling av personupp- gifter inom brottsdatalagens om- råde,

–lagen (2018:000) om åklagar- väsendets behandling av person- uppgifter inom brottsdatalagens område, eller

–förordningar som har stöd i dessa lagar.

10 b §6

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över till- trädesförbud vid idrottsarrange- mang.

37kap. 7 §7

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens infor- mationssystem och polisdata- lagen (2010:361).

6Senaste lydelse 2015:53.

7Senaste lydelse 2010:369.

Prop. 2017/18:269

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för sådan verksamhet som avses

i6 kap. 1 § 1 polisdatalagen (2010:361).

3.Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen.

4.Äldre föreskrifter gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.

Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdata- basen får endast behandlas för att upptäcka och utreda kontami- neringar vid dna-analyser och han- teringen av dna-spår.

Begreppen dna-profil och dna- analys som används i lagen har samma betydelse som i lagen (2018:000) om polisens behand- ling av personuppgifter inom brottsdatalagens område.

2.17	Förslag till lag om ändring i lagen (2014:400)	Prop. 2017/18:269
	om Polismyndighetens elimineringsdatabas

Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndig- hetens elimineringsdatabas1

dels att 6 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå,

dels att 1, 2, 4, 11 och 12 §§ och rubrikerna närmast före 2, 11 och 12 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §2

Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den foren- siska verksamheten med DNA- analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdata- basen får endast behandlas för att upptäcka och utreda kontamine- ringar vid DNA-analyser och han- teringen av DNA-spår.

Begreppen DNA-profil och DNA-analys som används i lagen har samma betydelse som i polis- datalagen (2010:361).

Förhållandet till personuppgifts-	Förhållandet till annan reglering
lagen
2 §
Denna lag gäller utöver person-	Denna lag gäller utöver brotts-
uppgiftslagen (1998:204).	datalagen (2018:000).
4 §
En DNA-profil som har tagits	En dna-profil som har tagits
fram under utredning av brott och	fram under utredning av brott och
som inte kan hänföras till en iden-	som inte kan hänföras till en iden-
tifierbar person får vid ett tillfälle	tifierbar person får vid ett tillfälle
jämföras med DNA-profiler i eli-	jämföras med dna-profiler i elimi-

1Senaste lydelse av lagens rubrik 2014:600

6§ 2014:600.

2Senaste lydelse 2014:600.

Prop. 2017/18:269 mineringsdatabasen.

Jämförelsen

neringsdatabasen. Jämförelsen ska

ska göras innan jämförelse görs

göras innan jämförelse görs med

med andra DNA-profiler i de DNA-

andra dna-profiler i de dna-regi-

4 kap.

ster som regleras i 5 kap. lagen

polisdatalagen (2010:361).

(2018:000)

polisens

behandling

personuppgifter

inom brottsdatalagens område.

En DNA-profil från prov som har

En dna-profil från prov som har

tagits med stöd av 28 kap. rätte-

gångsbalken får vid ett tillfälle

jämföras med DNA-profiler i eli-

jämföras med dna-profiler i elimi-

mineringsdatabasen.

Avser

DNA-

neringsdatabasen. Om dna-profilen

profilen en misstänkt ska jämförel-

avser en misstänkt ska jämförelsen

sen göras innan profilen läggs in i

göras innan profilen läggs in i det

det utredningsregister

eller

det

utredningsregister eller det dna-

DNA-register som regleras i 4 kap.

polisdatalagen.

om polisens behandling av person-

uppgifter

inom

brottsdatalagens

område.

En DNA-profil som har tagits

En dna-profil som har tagits

fram för att kvalitetssäkra den

forensiska

verksamheten

med

forensiska verksamheten med dna-

DNA-analyser och som inte hänför

analyser och som inte hänför sig

sig till brottsutredande verksamhet

till brottsutredande verksamhet får

får jämföras med DNA-profiler i

jämföras med dna-profiler i elimi-

elimineringsdatabasen.

neringsdatabasen.

Gallring

Längsta tid för behandling

11 §3

Uppgifter

elimineringsdata-

Uppgifter

elimineringsdata-

basen ska gallras när de inte längre

basen får inte behandlas när de

behövs för att utreda om en

inte längre behövs för att utreda

persons DNA kan ha kontaminerat

om en persons dna kan ha kon-

material, prover eller lokaler.

taminerat

material,

prover

eller

lokaler.

Uppgifter som rör anställda vid

Polismyndigheten

ska

gallras

Polismyndigheten får inte behand-

senast två år efter det att det för-

las längre än två år efter det att det

hållande som grundade skyl-

förhållande som grundade skyldig-

digheten att lämna prov upphörde.

heten att lämna prov upphörde.

Uppgifter

som

har

registrerats

Uppgifter

som

har registrerats

med stöd av 9 § ska gallras senast

med stöd av 9 § får inte behandlas

ett år efter det att uppgifterna regi-

längre än ett år efter det att uppgif-

strerades.

terna registrerades.

Uppgifter

som

rör

andra

än

Uppgifter

som rör

andra

än de

3Senaste lydelse 2014:600

som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde.

som anges i andra och tredje Prop. 2017/18:269 styckena får inte behandlas längre

än ett år efter det att det för- hållande som grundade skyldig- heten upphörde.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämp- ningen av denna paragraf.

Rättelse och skadestånd		Skadestånd
	12 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd tillämpas på mot-		(2018:000) ska tillämpas vid be-
svarande sätt vid behandling av		handling av personuppgifter i strid
personuppgifter enligt	denna lag	med denna lag eller föreskrifter
eller enligt föreskrifter som avses i		som avses i 13 eller 14 §.
13 eller 14 §.

Denna lag träder i kraft den 1 januari 2019.

Syftet med denna lag är att göra det möjligt för idrottsorga- nisationer som anordnar idrotts- arrangemang att behandla per- sonuppgifter för att på ett ända- målsenligt sätt kunna upprätthålla gällande beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behand- ling.

Prop. 2017/18:269 2.18	Förslag till lag om ändring i lagen (2015:51)
	om register över tillträdesförbud vid
	idrottsarrangemang

Härigenom föreskrivs i fråga om lagen (2015:51) om register över till- trädesförbud vid idrottsarrangemang

dels att 2, 4, 6, 8–10, 12 och 15 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 2, 4, 8–10, 12 och 15 §§ ska utgå,

dels att nuvarande 3, 5, 7, 11, 13 och 14 §§ ska betecknas 2, 4, 5, 6, 7 och 8 §§,

dels att rubriken till lagen samt 1 §, de nya 2, 4, 6 och 7 §§,

dels att rubrikerna närmast före nuvarande 3, 5, 6, 11 och 14 §§ ska sättas närmast före de nya 2, 4, 5, 6 och 8 §§,

dels att det ska införas en ny paragraf, 3 §, och närmast före de nya 3 och 7 §§ nya rubriker med följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Lag om register över tillträ-	Lag om idrottsorganisationers
desförbud vid idrottsarrange-	behandling av uppgifter om till-
mang	trädesförbud

1 §

Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upp- rätthålla gällande beslut om tillträ- desförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

2 §

Denna lag gäller behandling av	Denna lag gäller vid idrotts-
personuppgifter för att upprätthålla	organisationers behandling av per-
gällande beslut om tillträdesför-	sonuppgifter från det tillträdesför-
bud. Lagen gäller vid	budsregister som förs enligt lagen

1.Polismyndighetens behandling (2018:218) om polisens behand- av personuppgifter i tillträ- ling av personuppgifter inom

	desförbudsregistret, och		brottsdatalagens område för	att
	2. idrottsorganisationers	be-	upprätthålla gällande beslut	om
	handling av personuppgifter	från	tillträdesförbud.
	tillträdesförbudsregistret.
	Lagen gäller behandling som är		Lagen gäller för behandling som
	helt eller delvis automatiserad eller		är helt eller delvis automatiserad
80	om personuppgifterna ingår i eller		eller om personuppgifterna ingår i

är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §.

eller är avsedda att ingå i en struk- Prop. 2017/18:269 turerad samling av personuppgifter

som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §.

Förhållandet till annan reglering

3§

Denna lag kompletterar Euro-

paparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

95/46/EG (allmän data- skyddsförordning).

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

4§

Polismyndigheten är person-

uppgiftsansvarig för den behand- ling av personuppgifter som myn- digheten utför enligt denna lag.

Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför.

6 §
Tillgången till personuppgifter	Tillgången till	personuppgifter
ska begränsas till vad den som	ska begränsas till vad den som
arbetar vid Polismyndigheten eller	arbetar eller utför uppdrag åt en
som arbetar eller utför uppdrag åt	idrottsorganisation	behöver för att
en idrottsorganisation behöver för	kunna fullgöra	arbetsuppgifterna
att kunna fullgöra arbetsuppgifterna	eller uppdraget.
eller uppdraget.		81
		81

Prop. 2017/18:269 Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om tillgången till personuppgifter.

			Längsta tid som personuppgifter
			får behandlas
		7 §
En uppgift som en idrottsor-			Personuppgifter som en idrotts-
ganisation har fått tillgång till från			organisation har fått tillgång till
tillträdesförbudsregistret	ska	tas	från tillträdesförbudsregistret	får
bort om uppgiften inte längre be-			inte behandlas efter det att tillträ-
hövs för de ändamål som anges i			desförbudets giltighetstid löpt	ut
7 §, dock senast	när	till-	eller om tillträdesförbudet dessför-
trädesförbudets giltighetstid		löper	innan upphävts.
ut eller om tillträdesförbudet dess-
förinnan upphävs.

Denna lag träder i kraft den 1 januari 2019.

2.19	Förslag till lag om ändring i domstolsdatalagen Prop. 2017/18:269
	(2015:728)

Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728)

dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:250) om ändring i den lagen ska upphöra att gälla,

dels att 2 och 16 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.

Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:000) om domstolarnas behandling av personuppgifter inom brottsdatalagens område.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

16 §
Personuppgifter får lämnas ut på	Personuppgifter	får lämnas	ut
medium för automatiserad be-	elektroniskt på annat sätt än
handling om det inte är olämpligt.	genom direktåtkomst om det inte
	är olämpligt.
Regeringen eller den myndighet	Regeringen eller den myndighet
som regeringen bestämmer kan	som regeringen	bestämmer	kan
med stöd av 8 kap. 7 § regerings-	med stöd av 8 kap. 7 § regerings-
formen meddela ytterligare före-	formen meddela ytterligare före-
skrifter om begränsningar av möj-	skrifter om begränsningar av möj-
ligheterna att lämna ut personupp-	ligheten att lämna ut personupp-
gifter på medium för automatise-	gifter elektroniskt på annat sätt än
rad behandling.	genom direktåtkomst.

Denna lag träder i kraft den 1 januari 2019.

Prop. 2017/18:269 2.20	Förslag till lag om ändring i
	utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 15 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Lydelse enligt prop. 2017/18:254

Föreslagen lydelse

15 §

Migrationsverket får föra separata register över fingeravtryck och foto- grafier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast

1.vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1–2 a §§ utlänningslagen åberopas,

2.i ärenden om avvisning och utvisning,

3.i testverksamhet,

4.om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller

5. om det behövs för att Mig-			5. om det behövs för att Mig-
rationsverket ska kunna kontrollera			rationsverket ska kunna kontrollera
ett fingeravtryck mot det fingerav-			ett fingeravtryck mot fingerav-
trycks-	och signalementsregister		trycks-	och signalementsregister
som Polismyndigheten för enligt			som Polismyndigheten för enligt
4 kap.	11 §	polisdatalagen	5 kap.	11 § lagen (2018:000) om
(2010:361).			polisens behandling av personupp-
			gifter inom brottsdatalagens om-
			råde.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter om vilka uppgifter som får behandlas i regi- stren över fingeravtryck och fotografier, och

2.föreskrifter om gallring.

Denna lag träder i kraft den 1 januari 2019.

2.21	Förslag till lag om ändring i tullagen		Prop. 2017/18:269
	(2016:253)
Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följan-
de lydelse.
Nuvarande lydelse		Föreslagen lydelse

4kap. 8 §

Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter		Tullverket får ta del av uppgifter
genom terminalåtkomst endast i		genom terminalåtkomst endast i
den omfattning och under den tid		den omfattning och under den tid
som behövs för att kontrollera		som behövs för att kontrollera
aktuella transporter. Uppgifter som		aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas eller lagras av Tullver-
ket.
Uppgifter om enskilda personer
som lämnats på annat sätt än
genom terminalåtkomst ska ome-
delbart förstöras, om de visar sig
sakna betydelse för utredning av
eller lagföring för brott.

Denna lag träder i kraft den 1 januari 2019.

Första och andra styckena gäller endast de register över dna-profiler som regleras i lagen (2018:000) om polisens behandling av person- uppgifter inom brottsdatalagens område.

Om inte annat följer av denna lag eller föreskrifter som regering- en har meddelat i anslutning till

lagen gäller brottsdatalagen (2018:000) och följande författ- ningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samar- bete:

– lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område,

– lagen (2018:000) om Tullver- kets behandling av personuppgifter inom brottsdatalagens område, eller

– lagen (2018:000) om Kustbe- vakningens behandling av person- uppgifter inom brottsdatalagens område.

Prop. 2017/18:269 2.22	Förslag till lag om ändring i lagen (2017:496)
	om internationellt polisiärt samarbete

Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §,

9 kap. 4 och 5 §§, 10 kap. 1–3 §§ och rubriken närmast före 7 kap. 7 § lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 kap.

1 §

Om inte annat följer av denna lag eller föreskrifter som regering- en har meddelat i anslutning till lagen gäller

– polisdatalagen (2010:361) för polisens behandling av per- sonuppgifter vid internationellt polisiärt samarbete,

– kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och

– tullbrottsdatalagen (2017:447) för Tullverkets behandling av per- sonuppgifter vid internationellt polisiärt samarbete.

7 kap.

1 §

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler.

Efter en överenskommelse mellan Sverige och en annan stat får kon- taktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler.

Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361).

	3 §				Prop. 2017/18:269
Vid samarbete enligt Prüm-		Vid samarbete enligt Prümråds-
rådsbeslutet får ett utländskt kon-		beslutet får ett utländskt kontakt-
taktställe medges direktåtkomst till		ställe	medges		direktåtkomst till
referensuppgifter i svenska finger-		referensuppgifter i svenska finger-
avtrycksregister som förs med stöd		avtrycksregister som förs med stöd
av polisdatalagen (2010:361).		av lagen (2018:000) om polisens
		behandling		av	personuppgifter
		inom brottsdatalagens område.
	4 §
I syfte att förebygga, förhindra		I syfte att förebygga, förhindra
eller upptäcka brottslig verksamhet		eller upptäcka brottslig verksamhet
eller utreda brott får det svenska		eller utreda brott får det svenska
kontaktstället i enskilda fall genom		kontaktstället i enskilda fall genom
direktåtkomst söka uppgifter i en		direktåtkomst söka uppgifter i en
annan stats	fingeravtrycksregister.	annan	stats	fingeravtrycksregister.
Uppgifter får behandlas endast i		Uppgifter får behandlas endast i
den utsträckning den andra staten		den utsträckning den andra staten
tillåter det och om behandlingen i		tillåter det och om behandlingen i
motsvarande fall hade varit tillåten		motsvarande fall hade varit tillåten
i svenska	fingeravtrycksregister	i svenska		fingeravtrycksregister
som förs med stöd av polisdata-		som förs med stöd av lagen
lagen (2010:361).		(2018:000) om polisens behand-
		ling	av	personuppgifter inom
		brottsdatalagens område.

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna
fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.
Rättelse och skadestånd		Skadestånd
	7 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid be-		(2018:000) ska tillämpas vid be-
handling av personuppgifter enligt		handling av personuppgifter i strid
detta kapitel eller enligt föreskrif-		med detta kapitel eller föreskrifter
ter som har meddelats i anslutning		som har meddelats i anslutning till
till kapitlet.		kapitlet.

	8 kap.
	3 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid be-		(2018:000) ska tillämpas vid be-
handling av personuppgifter enligt		handling av personuppgifter i strid
detta kapitel eller enligt föreskrif-		med detta kapitel eller föreskrifter
ter som har meddelats i anslutning		som har meddelats i anslutning till
till kapitlet.		kapitlet.

Prop. 2017/18:269

9kap. 4 §

Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat.

Detta är dock tillåtet i brådskande fall om

1.de villkor för sökning som anges i 1 § andra stycket är uppfyllda,

2.det är förenligt med svenska intressen att uppgifterna lämnas ut,

3.den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna		i	33 och	4. förutsättningarna i 8 kap. 1 §
34 §§	personuppgiftslagen			brottsdatalagen (2018:000) är upp-
(1998:204) är uppfyllda.				fyllda.
			5 §
Bestämmelserna i		personupp-		Bestämmelsen		om skadestånd i
giftslagen (1998:204)		om	rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid behand-				(2018:000) ska tillämpas vid be-
ling av personuppgifter enligt detta				handling av personuppgifter i strid
kapitel eller enligt föreskrifter som				med detta kapitel eller föreskrifter
har meddelats i anslutning till				som har meddelats i anslutning till
kapitlet.				kapitlet.

10kap. 1 §

Vid samarbete enligt avtalet med			Vid samarbete enligt avtalet med
USA får ett amerikanskt kontakt-			USA får ett amerikanskt kontakt-
ställe	trots	33 § personuppgifts-	ställe medges	direktåtkomst till
lagen (1998:204) medges direktåt-			referensuppgifter i svenska finger-
komst	till	referensuppgifter i	avtrycksregister som förs med stöd
svenska fingeravtrycksregister som			av lagen (2018:000) om polisens
förs med stöd av polisdatalagen			behandling av	personuppgifter
(2010:361).			inom brottsdatalagens område.

2 §

På begäran av behöriga myndigheter får ett svenskt kontaktställe i en- skilda fall genom direktåtkomst söka uppgifter i amerikanska fingerav- trycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som

innefattar ett sådant brott.
Uppgifter		får behandlas			endast	Uppgifter får	behandlas		endast
om	behandlingen		i	motsvarande		om behandlingen i		motsvarande
fall hade varit tillåten i svenska						fall hade varit tillåten i svenska
fingeravtrycksregister				som	förs	fingeravtrycksregister		som	förs
med	stöd	av	polisdatalagen			med stöd av lagen (2018:000) om
(2010:361).						polisens behandling av person-
						uppgifter inom	brottsdatalagens
						område.

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

	3 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid be-		(2018:000) ska tillämpas vid be-
handling av personuppgifter enligt		handling av personuppgifter i strid
detta kapitel eller enligt föreskrif-		med detta kapitel eller föreskrifter
ter som har meddelats i anslutning		som har meddelats i anslutning till
till kapitlet.		kapitlet.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361).

Prop. 2017/18:269

Prop. 2017/18:269 2.23	Förslag till lag om ändring i
	säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 3 kap. 13 och 14 §§ ska ha följande lydelse,

dels att det i ikraftträdande- och övergångsbestämmelserna ska införas en ny punkt, 5, av följande lydelse.

Lydelse enligt SFS 2018:585

Föreslagen lydelse

3 kap.

13 §

Med registerkontroll

avses i

Med

registerkontroll

avses att

denna lag att uppgifter hämtas från

uppgifter hämtas från ett register

som omfattas av lagen (1998:620)

(1998:620)

belastningsregister

om belastningsregister eller

lagen

eller lagen (1998:621) om miss-

(1998:621)

misstankeregister.

tankeregister. Med registerkontroll

Med

registerkontroll avses också

avses också att uppgifter som

att uppgifter som behandlas med

behandlas med stöd av polisdata-

stöd av lagen (2018:000) om

lagen (2010:361) hämtas.

polisens behandling av person-

uppgifter

inom

brottsdatalagens

område hämtas.

14 §

Registerkontroll ska göras om anställningen eller deltagandet i verk-

samheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas

under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

För säkerhetsklass 1 eller 2 får

uppgifter

den

kontrollerade

uppgifter

den

kontrollerade

som

finns

belastningsregistret

som

finns

belastningsregistret

eller

misstankeregistret

eller som

eller

misstankeregistret

eller

som

behandlas med stöd av polisdata-

behandlas med stöd av lagen

lagen (2010:361) hämtas. Motsva-

(2018:000) om polisens behand-

rande uppgifter får även hämtas

ling

personuppgifter

inom

om den kontrollerades make eller

brottsdatalagens

område hämtas.

sambo.

Motsvarande

uppgifter

får

även

För säkerhetsklass 3 får sådana

hämtas

den

kontrollerades

uppgifter

den

kontrollerade

make eller sambo.

som

finns

belastningsregistret

För säkerhetsklass 3 får sådana

eller

misstankeregistret

eller som

uppgifter

den

kontrollerade

behandlas

hos

Säkerhetspolisen

som

finns

belastningsregistret

med stöd av polisdatalagen häm-

eller

misstankeregistret

eller

som

tas.

behandlas

hos

Säkerhetspolisen

med stöd av lagen om polisens

behandling

personuppgifter

inom

brottsdatalagens

område

hämtas.

	Om det finns synnerliga skäl får även andra uppgifter än sådana som
90	anges i andra och tredje styckena hämtas.
90

5.Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361).

Prop. 2017/18:269

Prop. 2017/18:269 2.24	Förslag till lag om ändring i lagen (2018:591)
	om ändring i offentlighets- och sekretesslagen
	(2009:400)

Härigenom föreskrivs att 35 kap. 1 och 10 §§ offentlighets- och sekretesslagen (2009:400) i stället för lydelsen enligt lagen (2018:591) om ändring i den lagen ska ha följande lydelse.

Lydelse enligt SFS 2018:591

Föreslagen lydelse

35 kap.

1 §

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser säkerhetsprövning enligt säkerhetsskydds- lagen (2018:585),

5. register	som	förs	av	Polis-	5. register			som förs av			Polis-
myndigheten	enligt 4 kap.			polis-	myndigheten			enligt 5 kap.			lagen
datalagen (2010:361)			eller	som	(2018:000) om polisens behand-
annars behandlas med stöd av de					ling	av	personuppgifter				inom
bestämmelserna		eller	uppgifter		brottsdatalagens område eller som
som behandlas av Säkerhetspolisen					annars behandlas med stöd av de
med stöd av 6 kap. samma lag,					bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register	som	förs	av	Skat-	7. register som förs av Skattever-
teverket enligt		skattebrottsdata-			ket	enligt	lagen (2018:000) om
lagen (2017:452)		eller som		annars	Skatteverkets				behandling		av
behandlas där med stöd av samma					personuppgifter				inom	brottsdata-
lag,					lagens område eller					som	annars
					behandlas där med stöd av samma
					lag,
8. särskilt	ärenderegister			över	8. särskilt			ärenderegister			över
brottmål som förs av åklagar-					brottmål som förs av åklagar-
myndighet,	om	uppgiften		inte	myndighet,			om	uppgiften		inte
hänför sig till registrering som					hänför sig till registrering som
avses i 5 kap. 1 §,					avses i 5 kap. 1 §, eller
9. register som förs av Tullverket					9. register som förs av Tullverket
enligt	tullbrottsdatalagen				enligt lagen (2018:000) om Tull-
(2017:447) eller som annars be-					verkets behandling av personupp-
handlas där med stöd av samma					gifter inom brottsdatalagens om-
lag, eller					råde eller som annars behandlas där
92					med stöd av samma lag.

10.register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

10 §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med sär- skilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som	2. till en enskild enligt vad som
föreskrivs i säkerhetsskyddslagen	föreskrivs	i	säkerhetsskyddslagen
(2018:585) samt i förordning som	(2018:585) och i förordning som
har meddelats med stöd i den lagen,	har meddelats med stöd i den
	lagen,
	3. till en enskild enligt vad som
	föreskrivs	i	27 kap. 8 § rätte-
	gångsbalken,
3. enligt vad som föreskrivs i	4. enligt vad som föreskrivs i

–lagen (1998:621) om misstankeregister,

– polisdatalagen (2010:361),	– lagen (2018:000) om polisens
	behandling av		personuppgifter
	inom brottsdatalagens område,
– skattebrottsdatalagen	– lagen (2018:000) om Tullver-
(2017:452),	kets behandling av personuppgifter
	inom brottsdatalagens område,
– tullbrottsdatalagen	– lagen (2018:000) om Kustbe-
(2017:447),	vakningens behandling av person-
	uppgifter	inom	brottsdatalagens
	område,
– kustbevakningsdatalagen	– lagen	(2018:000) om Skatte-
(2012:145),	verkets behandling av personupp-
	gifter inom brottsdatalagens om-
	råde,
– åklagardatalagen (2015:433),	– lagen (2018:000) om åklagar-
	väsendets behandling av person-
	uppgifter	inom	brottsdatalagens
	område, eller
– förordningar som har stöd i	– förordningar		som har stöd i
dessa lagar, eller	dessa lagar.
4. till en enskild enligt vad som

föreskrivs i 27 kap. 8 § rättegångs- balken.

Prop. 2017/18:269

Prop. 2017/18:269 3 Ärendet och dess beredning

	Europeiska unionen har enats om en genomgripande dataskyddsreform
	som ska vara genomförd under våren 2018. Reformen omfattar dels
	Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april
	2016 om skydd för fysiska personer med avseende på behandling av
	personuppgifter och om det fria flödet av sådana uppgifter och om upp-
	hävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad
	dataskyddsförordningen, dels Europaparlamentets och rådets direktiv
	(EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med
	avseende på behöriga myndigheters behandling av personuppgifter för att
	förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa
	straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om
	upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskydds-
	direktivet.
	Regeringen beslutade den 17 mars 2016 kommittédirektiv om genom-
	förande av dataskyddsdirektivet (dir. 2016:21). Utredningen om 2016 års
	dataskyddsdirektiv redovisade den 5 april 2017 delbetänkandet Brottsda-
	talag (SOU 2017:29). I delbetänkandet föreslås att direktivet i huvudsak
	ska genomföras genom en ny ramlag, brottsdatalagen. Regeringen beslu-
	tade den 19 april 2018 propositionen Brottsdatalag (prop. 2017/18:232).
	Utredningens slutbetänkande Brottsdatalag – kompletterande lagstift-
	ning (SOU 2017:74) redovisades den 4 oktober 2017. Slutbetänkandets
	lagförslag, utom förslaget som gäller en särskild lag för Säkerhetspoli-
	sens behandling av personuppgifter, behandlas i denna proposition.
	Förslaget om Säkerhetspolisens behandling av personuppgifter kommer
	att behandlas i en kommande lagrådsremiss. En sammanfattning av be-
	tänkandet finns i bilaga 1. Betänkandets lagförslag i relevanta delar finns
	i bilaga 2. Betänkandet har remissbehandlats. En förteckning över
	remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justi-
	tiedepartementet (Ju2017/07698/L4). Vissa remissinstanser har framfört
	förslag till ändringar av andra författningar än de som är föremål för
	översyn inom ramen för detta lagstiftningsärende. Dessa förslag lämnas
	utan åtgärd.
	Chefen för Justitiedepartementet gav i september 2016 en utredare i
	uppdrag att biträda departementet med att lämna förslag på de författ-
	ningsändringar som behövs i domstolsdatalagen (2015:728) och dom-
	stolsdataförordningen (2015:729) med anledning av dataskyddsförord-
	ningen (Ju2016/06265/LP). Uppdraget redovisades i augusti 2017 i
	departementspromemorian En omarbetad domstolsdatalag – anpassning
	till EU:s dataskyddsförordning (Ds 2017:41). En sammanfattning av pro-
	memorian i relevanta delar finns i bilaga 4, och promemorians lagförslag
	i relevanta delar finns i bilaga 5. Promemorian har remissbehandlats. En
	förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena
	finns tillgängliga i Justitiedepartementet (Ju2017/06965/DOM). Prome-
	morians förslag om anpassning av domstolsdatalagen till dataskyddsför-
	ordningen behandlas i propositionen Anpassning av domstolsdatalagen
	till EU:s dataskyddsförordning (prop. 2017/18:113). I denna proposition
	behandlar regeringen promemorians förslag om avgränsning av dom-
94	stolsdatalagens tillämpningsområde och komplettering av lagens ända-
94

målsbestämmelser. Regeringen avser inte att gå vidare med prome- Prop. 2017/18:269 morians övriga förslag.

Lagrådet

Regeringen beslutade den 5 april 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga

8.Regeringen följer i allt väsentligt Lagrådets förslag. En följd av detta är att lagförslagen i avsnitt 2.1–2.5 och 2.7 har utformats som nya lagar i stället för ändringslagar. Lagrådets synpunkter och förslag behandlas i avsnitt 4.4, 5.2, 5.7, 7.1.2, 8.1.2, 9.1.2, 10.1.2, 11.1.2, 13.1.3 och 14.2 samt i författningskommentaren. I förhållande till lagrådsremissens lagförslag har dessutom författningstekniska, språkliga och redaktionella ändringar gjorts. Förslagen i den del som avser ändringar i säkerhetsskyddslagen (2018:585) och lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över de förslagen.

4Befintlig lagstiftning måste anpassas

4.1Dataskyddsreformen

Europeiska unionens nya dataskyddsreglering består av två rättsliga in-
strument. Det ena är dataskyddsförordningen och det andra är data-
skyddsdirektivet. Reformen innebär att reglerna om personuppgiftsbe-
handling i framtiden kommer att finnas i två parallella regelverk.
Personuppgiftslagen	(1998:204)	upphörde	att	gälla	när
dataskyddsförordningen började tillämpas den 25 maj 2018. Den nya
lagen (2018:218) med kompletterande bestämmelser till EU:s
dataskyddsförordning, i fortsättningen dataskyddslagen, trädde i kraft
samma dag, se prop. 2017/18:105. Dataskyddslagen				innehåller
bestämmelser av generell karaktär på förordningens område.
Dataskyddsförordningen och dataskyddslagen gäller inte när
dataskyddsdirektivet är tillämpligt.
Direktivet ska vara genomfört senast den 6 maj 2018. Regeringen före-
slår i prop. 2017/18:232 att direktivet i huvudsak ska genomföras genom
en ny brottsdatalag. I brottsdatalagen, som ska gälla generellt inom
direktivets tillämpningsområde, dras gränsen mot förordningens
tillämpningsområde. Där regleras också vilka behöriga myndigheter som
ska tillämpa lagen och andra frågor som är gemensamma för alla
behöriga myndigheter. Brottsdatalagen kommer därmed, inom lagens
tillämpningsområde, att fylla i stort sett samma funktion som personupp-
giftslagen tidigare har gjort.
Brottsdatalagen kommer att vara subsidiär till annan lag eller förord-
ning som innehåller bestämmelser som avviker från lagen. På samma sätt
som i dag kommer det även i fortsättningen att finnas särskilda register-
författningar för flertalet av de myndigheter som ska tillämpa brottsdata-						95

Prop. 2017/18:269 lagen. Dessa författningar behöver anpassas till brottsdatalagen och den nya EU-regleringen.

4.2Utgångspunkter för anpassningen till brottsdatalagen

Brottsdatalagen kommer att fylla ungefär samma funktion som person- uppgiftslagen har gjort i verksamhet som rör brottsbekämpning, lagfö- ring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. Det kommer dock fortfarande att krävas ytterligare reglering som tar hänsyn till de särskilda behov som vissa myndigheter har av att kunna behandla personuppgifter för att utföra sina arbetsuppgifter. Sådan särreglering bör finnas i myndigheternas registerförfattningar.

Regleringen i registerförfattningarna utgår i dag från personupp- giftslagen på så sätt att författningen antingen gäller i stället för person- uppgiftslagen, men hänvisar till vissa bestämmelser i den lagen, eller att författningen gäller utöver personuppgiftslagen.

Personuppgiftslagen var allmänt hållen och tog bara begränsad hänsyn till de särskilda behov som vissa samhällssektorer har. Genom att brotts- datalagen i stället innehåller bestämmelser som är skräddarsydda för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet minskar behovet av att ha särregler i regis- terförfattningarna. En utgångspunkt för den nya regleringen är därför att de generella bestämmelserna i brottsdatalagen i så stor utsträckning som möjligt ska ersätta motsvarande bestämmelser i registerförfattningarna.

En annan utgångspunkt är att regleringen i de olika registerförfattning- arna bör vara densamma, om det inte finns några sakliga skäl för särlös- ningar. En mer enhetlig reglering underlättar informationsutbytet, vilket är ett övergripande syfte med direktivet.

Med dessa utgångspunkter behandlas i detta avsnitt vissa övergripande frågor om den kommande utformningen av registerförfattningarna.

4.3 Merparten av bestämmelserna är förenliga med dataskyddsdirektivet

Regeringens bedömning: Merparten av bestämmelserna i registerför- fattningarna är förenliga med dataskyddsdirektivet. Många bestämmelser behöver dock ändras för att få en enhetlig terminologi i registerförfattningarna.

	Utredningens bedömning överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt i denna del.
	Skälen för regeringens bedömning: Med undantag för kriminalvår-
	dens lagstiftning har samtliga aktuella registerförfattningar tillkommit
	under de senaste åren. Det innebär att de uppfyller kraven som ställs i
	dataskyddsrambeslutet. Direktivet bygger vidare på regleringen i data-
	skyddsrambeslutet och registerförfattningarna är därmed till stor del
96	redan anpassade till de krav som ställs i direktivet. Det stora flertalet av
96

bestämmelserna i registerförfattningarna uppfyller alltså direktivets krav Prop. 2017/18:269 och behöver inte ändras i sak. Det kan dock även i dessa registerförfatt-

ningar finnas enskilda bestämmelser som måste ändras för att stå i överensstämmelse med hur brottsdatalagen genomför direktivet. Vissa bestämmelser bör dessutom ändras för att skapa en mer enhetlig utform- ning av registerförfattningarna eller en terminologi som är anpassad till brottsdatalagen.

Kriminalvårdens registerförfattning avviker i många avseenden från den modernare reglering som gäller för övriga behöriga myndigheter. Kriminalvårdens reglering kräver därför särskilda överväganden.

4.4	Ändringslagar eller nya lagar?

Regeringens förslag: Lagen om behandling av personuppgifter inom
kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagar-
datalagen, tullbrottsdatalagen och skattebrottsdatalagen ska upphävas
och nya lagar om myndigheternas behandling av personuppgifter inom
brottsdatalagens område ska införas.

Utredningen föreslår att anpassningarna till brottsdatalagen ska ske
genom ändringar i befintliga registerförfattningar.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Anpassningen av myndigheternas
registerförfattningar till brottsdatalagen innebär omfattande strukturella
och redaktionella ändringar i lagen om behandling av personuppgifter
inom kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagar-
datalagen, tullbrottsdatalagen och skattebrottsdatalagen, vilket även
Lagrådet konstaterar. Lagrådet framhåller att om ändringarna sker i de
befintliga lagarna så kommer de att framstå som helt omarbetade
eftersom i princip alla paragrafer kommer att vara försedda med ett SFS-
nummer från 2018 i de konsoliderade versionerna. Vidare får lagarna nya
namn som innehåller orden ”behandling av personuppgifter inom brotts-
datalagens område” samtidigt som brottsdatalagen utfärdas 2018. Enligt
Lagrådet blir det förvirrande när registerlagarna behåller sina gamla SFS-
nummer. Mot den bakgrunden kan Lagrådet inte tillstyrka att lagändring-
arna sker genom ändringslagar utan förordar att samtliga lagar upphävs
och ersätts med nya lagar. Att lagarna därmed kan komma att innehålla
några bestämmelser som efter en mer ingående analys skulle ha fått en
annan utformning kan enligt Lagrådet accepteras med hänsyn till att det
är fråga om bestämmelser som överförs från nu gällande lag.
Utredningen framhåller å sin sida att det krävs en total översyn av
kriminalvårdens registerlagstiftning för att kriminalvården ska kunna
behandlas på ett ändamålsenligt sätt. Utredningen, som inte haft utrymme
att göra en sådan total översyn, föreslår därför ingen ny lag, trots att alla
bestämmelser ändras och lagen får en ny utformning (SOU 2017:74 s.
547). Även regeringen anser att det kan finnas behov av att i framtiden
göra en översyn av kriminalvårdens registerlagstiftning (se avsnitt
13.1.2).
För övriga myndigheters befintliga registerförfattningar finns inte
motsvarande behov av en översyn men även beträffande dessa lagar har		97

Prop. 2017/18:269 det i detta lagstiftningsärende saknats utrymme att göra en sådan analys och granskning av befintliga bestämmelser som normalt sett sker när en ny lag beslutas. Av de skäl som Lagrådet anför anser regeringen dock att nackdelarna med att låta anpassningen till brottsdatalagen ske genom ändringslagar är så stora att myndigheternas registerförfattningar i stället bör upphävas och ersättas med nya lagar, trots att en fullständig översyn av registerförfattningarnas bestämmelser inte har kunnat genomföras.

De nya lagförslagen (avsnitt 2.1–2.5 och 2.7) innebär att myndigheter- nas registerförfattningar omarbetas författningstekniskt och redaktionellt i förhållande till lagrådsremissens förslag, bl.a. flyttas två paragrafer i polisdatalagen (5 kap. 1 och 2 §§) helt oförändrade till polisens nya registerförfattning. Dessutom behöver övergångsbestämmelserna delvis formuleras om med anledning av att nya lagar föreslås i stället för ändringslagar. Även i övriga delar av propositionen görs redaktionella och språkliga ändringar i förhållande till lagrådsremissen som en följd av de nya lagförslagen. Innehållet i lagförslagen påverkas dock inte i sak av att anpassningen till brottsdatalagen görs i nya lagar i stället för i befintliga registerförfattningar.

De bestämmelser i registerförfattningarna som inte kräver någon saklig ändring i förhållande till dagens reglering kommer inte att kommenteras när respektive författning behandlas. Bestämmelser som enbart blir föremål för mindre ändringar av språklig eller redaktionell karaktär kommer inte heller att tas upp särskilt. Frågan om de nya lagarnas namn behandlas nedan (se t.ex. avsnitt 7.1.2).

4.5 Lagarnas tillämpningsområden

Regeringens förslag: De nya registerförfattningarna ska innehålla bestämmelser om tillämpningsområdet. Regleringen ska i likhet med tillämpningsområdet för brottsdatalagen utgå från syftet med personuppgiftsbehandlingen. Det ska också framgå att register- författningarna endast är tillämpliga när en myndighet agerar i egenskap av behörig myndighet.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna yttrar sig inte särskilt i denna del.

	Skälen för regeringens förslag
	Bestämmelser om tillämpningsområdet bör finnas kvar
	Brottsdatalagen kommer att innehålla bestämmelser om lagens tillämp-
	ningsområde och det kan därför ifrågasättas om det i fortsättningen be-
	hövs några bestämmelser om detta i registerförfattningarna.
	Dataskyddsreformen innebär dock att de behöriga myndigheterna
	kommer att få tillämpa ett flertal författningar vid behandlingen av per-
	sonuppgifter och det är ofrånkomligt att regleringen blir förhållandevis
	svåröverskådlig. Redan detta talar för att tillämpningsområdet för varje
	registerförfattning bör anges så tydligt som möjligt. Inte minst bör det
	underlätta för myndigheterna om gränsdragningen mot dataskyddsför-
98	ordningens tillämpningsområde kan klargöras i respektive författning.

Vidare finns i dag vissa mer specifika bestämmelser om registerförfatt- ningarnas tillämpningsområde som kommer att behövas även i fortsätt- ningen. Som exempel kan nämnas bestämmelser om att en viss register- författning gäller för flera myndigheter (se t.ex. 1 kap. 2 § polisdata- lagen). Mot den bakgrunden instämmer regeringen i utredningens bedömning att det även fortsättningsvis bör finnas bestämmelser om tillämpningsområdet i registerförfattningarna.

Från verksamhet till syfte

Den nuvarande regleringen i registerförfattningarna utgår från den verk- samhet där behandlingen av personuppgifter utförs. I brottsdatalagen, som har sin grund i direktivets reglering, är i stället syftet med person- uppgiftsbehandlingen avgörande för om lagen är tillämplig eller inte. Det är därför inte möjligt att i de nya lagarna införa bestämmelser som knyts till den verksamhet där behandlingen utförs.

Eftersom regleringen ska utgå från syftet med behandlingen av person- uppgifter bör uttrycket brottsbekämpande verksamhet utmönstras. I stället bör tillämpningsområdet utgå från hur 1 kap. 2 § brottsdatalagen är formulerad. Det innebär att tillämpningsområdet bör knytas till att personuppgifter behandlas i något av de syften som anges i brottsdatalagen, nämligen förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Ändringen innebär att tillämpningsområdet för registerförfattningarna kommer att bli något snävare än i dag, eftersom personuppgiftsbehand- ling som sker i den brottsbekämpande verksamheten men som har syften som ligger utanför brottsdatalagens tillämpningsområde inte kommer att omfattas av regleringen. Ett sådant exempel är när Polismyndigheten lämnar uppgifter från den brottsbekämpande verksamheten till tillstånds- verksamheten. Då kommer i stället dataskyddsförordningens regelverk att bli tillämpligt.

Myndigheten ska agera i egenskap av behörig myndighet

Det är inte enbart syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Det krävs också att myndigheten agerar i egenskap av behörig myndighet enligt den lagen. Behörig myndighet definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det bör av bestämmelserna om tillämpningsområdet i respektive register- författning framgå att författningen endast är tillämplig när myndigheten agerar i egenskap av behörig myndighet.

Hur förhåller sig brottsdatalagens och registerförfattningarnas tillämpningsområden till varandra?

Den nya regleringens struktur innebär att brottsdatalagen, som ska tillämpas i hela rättskedjan, bildar den yttre ramen för regleringen och att registerförfattningarna inskränker rätten att behandla personuppgifter till behandling i vissa syften i respektive verksamhet. Registerförfattning- arnas tillämpningsområden kommer alltså att vara snävare än brottsdata-

Prop. 2017/18:269

Prop. 2017/18:269 lagens. Som exempel kan nämnas att tillämpningsområdet för flertalet registerförfattningar inte omfattar behandling av personuppgifter i syfte att verkställa påföljder eller upprätthålla allmän ordning och säkerhet.

100

Registerförfattningarna kommer inom sitt respektive tillämpningsom- råde att gälla utöver brottsdatalagen. Det innebär att de kommer att inne- hålla undantag, avvikelser och preciseringar i förhållande till brottsdata- lagen. Regleringens struktur medför att registerförfattningarna måste läsas tillsammans med brottsdatalagen.

En annan utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdata- lagens tillämpningsområde. I dag regleras dock framför allt Polismyn- dighetens personuppgiftsbehandling inom brottsdatalagens tillämpnings- område i flera olika författningar, vilket framgår av 1 kap. 3 § polisdata- lagen. Det kommer inte heller i fortsättningen alltid att vara möjligt att i en och samma författning reglera all myndighetens personuppgiftsbe- handling. Det bör i så stor utsträckning som möjligt framgå av respektive registerförfattning när det finns annan sådan reglering inom brottsdata- lagens tillämpningsområde som ersätter bestämmelserna i registerförfatt- ningen.

4.6Ska registerförfattningarna reglera vissa frågor som inte rör dataskydd?

Regeringens förslag: De nya registerförfattningarna ska innehålla sekretessbrytande bestämmelser. De ska också reglera på vilket sätt personuppgifter får lämnas ut och stadga en viss föreskriftsrätt som inte direkt rör tillämpningsområdet.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Registerförfattningarna innehåller i dag inte bara dataskyddsbestämmelser utan också vissa andra be- stämmelser som har nära samband med dataskyddsregleringen.

En första kategori är de sekretessbrytande bestämmelser som finns i flertalet registerförfattningar. Vissa sekretessbrytande bestämmelser har tillkommit för att det ska vara möjligt att medge direktåtkomst till per- sonuppgifter medan andra har till syfte att bryta sekretessen för visst informationsutbyte, t.ex. med Interpol och Europol. De sekretessbrytande bestämmelserna har ett så nära samband med personuppgiftsbehand- lingen att de har en naturlig plats i registerförfattningarna. Det är också svårt att se att de skulle kunna placeras i någon annan författning. De bör därför föras över till de nya lagarna. Sekretessbrytande bestämmelser finns också i offentlighets- och sekretesslagen (2009:400) och i andra författningar som ska tillämpas av de behöriga myndigheterna. Bestämmelserna i registerförfattningarna reglerar alltså inte uttömmande när sekretessen bryts.

Den andra kategorin är de bestämmelser som reglerar på vilket sätt som personuppgifter får lämnas ut. Exempelvis finns det i flertalet regis- terförfattningar en bestämmelse som föreskriver att endast enstaka per-

sonuppgifter får lämnas ut på medium för automatiserad behandling. Prop. 2017/18:269 Även dessa bestämmelser måste anses ha sin naturliga plats i registerför-

fattningarna. De medverkar dessutom indirekt till dataskyddet, eftersom de begränsar möjligheten att lämna ut personuppgifter elektroniskt.

Den tredje kategorin är de bestämmelser som upplyser om att regering- en eller den myndighet som regeringen bestämmer kan meddela före- skrifter om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål och om digital arkivering. Även sådana bestämmelser bör föras över till de nya lagarna.

Genom att dessa frågor även i fortsättningen regleras i registerförfatt- ningarna kan också den nuvarande strukturen behållas så långt möjligt.

5Generella förändringar

5.1Liknande behov av förändringar

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbe- vakningen, Tullverket och Skatteverket har registerförfattningar som är uppbyggda på samma sätt. Det är framför allt de inledande kapitlen i registerförfattningarna som har ett till stor del likartat innehåll. Eftersom registerförfattningarna har betydande likheter är behovet av förändringar i de nya registerförfattningarna i stor utsträckning desamma. Det finns därför anledning att i detta avsnitt behandla de förändringar som är desamma för alla eller ett flertal av registerförfattningarna.

Kriminalvårdens registerlagstiftning skiljer sig till stora delar från övriga registerförfattningar, men även den innehåller vissa bestämmelser som liknar dem som finns i de övriga registerförfattningarna. När så är fallet behandlas även kriminalvårdens bestämmelser i detta avsnitt.

Domstolarnas registerlagstiftning behandlas i avsnitt 12.

5.2En ny lagteknisk struktur

Regeringens förslag: De nya registerförfattningarna ska gälla utöver brottsdatalagen.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget att register-

författningarna bör gälla utöver brottsdatalagen. Sveriges advokatsam- fund ansluter sig till bedömningen att vald lagteknisk modell ställer sär- skilda krav på tillämparen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Polisdatalagen, kustbevaknings- datalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen gäller i stället för personuppgiftslagen (se exempelvis 2 kap. 1 § polisda- talagen). Lagen om behandling av personuppgifter inom kriminalvården har en annan struktur. I 2 § föreskrivs att om inte annat följer av lagen

101

Prop. 2017/18:269 eller föreskrifter som har meddelats med stöd av den så tillämpas person- uppgiftslagen.

Brottsdatalagen är till skillnad från personuppgiftslagen anpassad till de brottsbekämpande myndigheternas verksamhet. I förhållande till brottsdatalagen bör de nya registerförfattningarna endast innehålla de bestämmelser som krävs för att regleringen ska passa för respektive myndighets verksamhet. Registerförfattningarna bör därför utformas så att de gäller utöver brottsdatalagen.

I brottsdatalagen finns alla grundläggande bestämmelser om hur per- sonuppgifter får behandlas. Där regleras också den personuppgiftsan- svariges skyldigheter, enskildas rättigheter och tillsynen över personupp- giftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. Där anges också vad som gäller för överföring av personuppgifter till tredjeland. Att de nya registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de framför allt bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. I den mån en fråga regleras i brottsdatalagen men inte i registerförfattningen ska alltså brottsdatalagen tillämpas. Det innebär vidare att de bestämmelser som finns i registerförfattningarna ska läsas tillsammans med regleringen i brottsdatalagen. Det kan vara fråga om bestämmelser som t.ex. preciserar vilka särskilda krav som gäller vid behandling av en viss typ av personuppgifter eller hur länge en viss typ av personuppgifter får behandlas. Det kan även finnas bestämmelser som inskränker möjlighe- ten att behandla vissa personuppgifter. En konsekvens av att en register- författning gäller utöver brottsdatalagen är att tillämparen inte kan nöja sig med att ta del av registerförfattningens reglering utan också måste tolka bestämmelserna i registerförfattningen i ljuset av regleringen i brottsdatalagen. Om formuleringen av en bestämmelse i en registerför- fattning t.ex. medger två olika tolkningar, men bara den ena av dem är förenlig med regleringen i brottsdatalagen, så är det den tolkningen som gäller.

I en författning som gäller utöver en annan upprepas inte bestämmel- serna i den överordnade författningen, utom i de fall där det är nödvän- digt för förståelsen av en bestämmelse i den förstnämnda författningen. Inte heller görs det hänvisningar till bestämmelserna i den överordnade författningen om det inte är absolut nödvändigt för sammanhanget. En författning som gäller utöver en annan ställer därför särskilda krav på tillämparen.

Lagrådet anför att regelverket är svåröverskådligt eftersom vissa rättsregler utgör preciseringar av ramlagarna, andra är undantag från eller kompletterar dessa. Enligt Lagrådet framstår det som önskvärt att i framtiden försöka åtgärda regelverkets strukturella utformning så att det blir klarare och mer överskådligt. Regeringen delar Lagrådets uppfattning att regelverket framstår som svåröverskådligt men konstaterar att förklaringen till detta till stor del ligger i utformningen av de EU-rättsakter angående personuppgiftsbehandling som Sverige har att förhålla sig till.

102

5.3Bestämmelser som inte längre behövs

5.3.1Undantag från viss informationsskyldighet

Regeringens bedömning: Det behövs inga undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar eller i samband med larm i de nya registerförfattningarna.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Sveriges advokatsamfund påpekar att det finns

situationer då en fotograferad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller i en sådan utsatt situation att det kan finnas en skyldighet att informera enligt 4 kap. 2 § brottsdata- lagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens bedömning: Enligt 23 § personuppgiftslagen ska den personuppgiftsansvarige självmant informera den registrerade om behandling av personuppgifter som samlas in från den registrerade själv. I 2 kap. 2 § tredje stycket polisdatalagen, 2 kap. 2 § tredje stycket kustbevakningsdatalagen och 2 kap. 2 § tredje stycket tullbrottsdatalagen görs undantag från den informationsskyldigheten vid behandling av per- sonuppgifter genom bilder eller ljud och i samband med larm, om det med hänsyn till omständigheterna inte finns tid att informera. Motsva- rande undantag för behandling genom bilder eller ljud görs i 2 kap. 2 § tredje stycket skattebrottsdatalagen.

I brottsdatalagen finns ingen skyldighet att självmant informera den registrerade som helt motsvarar 23 § personuppgiftslagen. I 4 kap. 1 § brottsdatalagen föreskrivs att den personuppgiftsansvarige ska göra viss allmän information tillgänglig, exempelvis via den personuppgifts- ansvariges webbplats. I 4 kap. 2 § samma lag föreskrivs att den registre- rade i specifika fall ska informeras om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter. Därutöver ska den personuppgifts- ansvarige enligt 4 kap. 3 § brottsdatalagen till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Den enda bestämmelse i brottsdatalagen som föreskriver en direkt skyldighet att självmant informera den registre- rade är alltså 4 kap. 2 § som rör information i specifika fall. Sådana spe- cifika fall kan exempelvis föreligga om den enskilde riskerar att lida någon rättsförlust, t.ex. om känsliga personuppgifter har behandlats på ett otillåtet sätt (se prop. 2017/18:232 s 226 f.).

Informationsskyldigheten enligt 4 kap. 2 och 3 §§ brottsdatalagen be- gränsas i 4 kap. 5 § brottsdatalagen. I den sistnämnda paragrafen anges att informationsskyldigheten inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att t.ex. förebygga brott.

När det gäller informationsskyldighet vid behandling av personuppgif- ter vid ljud- och bildupptagningar kan inledningsvis konstateras att om en person t.ex. fångas på bild som en följd av att han eller hon kamera- övervakas enligt bestämmelser i rättegångsbalken eller i underrättelse-

Prop. 2017/18:269

103

Prop. 2017/18:269 verksamhet gäller normalt sett sekretess enligt 18 kap. 1 eller 2 §§ offent- lighets- och sekretesslagen. Någon skyldighet finns då inte enligt brotts- datalagen att informera personen om att uppgifterna behandlas. Det kan emellertid uppstå situationer då en person fångas på en ljud- eller bild- upptagning som inte i sin helhet omfattas av sekretess, exempelvis då en förbipasserande person syns på bilder från en brottsplats eller då polisen öppet dokumenterar ett visst händelseförlopp på grund av oroligheter i samband med en fotbollsmatch eller en demonstration. I dessa fall rör det sig om upptagningar som har tillkommit i annat syfte än att samla in personuppgifter om den berörda personen och personens identitet är som regel okänd. För det fall identiteten är känd, och personen därmed i och för sig skulle kunna informeras om att hans eller hennes personuppgifter behandlas på aktuellt sätt, kan det ifrågasättas vilket värde informationen skulle ha för den enskilde. Under angivna förutsättningar är det svårt att se att personen i fråga skulle riskera att lida någon rättsförlust av behand- lingen och alltså föreligger inte heller något sådant specifikt fall som aktualiserar informationsskyldighet. Som Sveriges advokatsamfund har påpekat skulle det kunna uppkomma situationer då en fotograferad eller filmad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller utsatt att det finns en skyldighet att informera enligt 4 kap. 2 § brottsdatalagen. Sådana situationer bör dock endast komma att uppstå undantagsvis. Utgångspunkten måste i stället vara att någon informationsskyldighet som regel inte uppkommer gentemot exempelvis förbipasserande på ljud- och bildupptagningar.

Även i fråga om information som lämnas av registrerade i samband med larm är det svårt att se att de som larmar skulle lida någon rättsför- lust av behandlingen och att det skulle föreligga något sådant specifikt fall som aktualiserar informationsskyldighet. De som larmar får anses känna till att deras personuppgifter registreras genom ljudupptagning. Det innebär att det inte behövs någon information för att de registrerade ska kunna ta tillvara sina rättigheter.

Mot bakgrund av vad som anförts ovan bedöms att några undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar och i samband med larm inte behöver införas i de nya registerförfattningarna.

5.3.2Syftet med lagarna

Regeringens bedömning: Det behövs inga bestämmelser som beskriver syftet med de nya registerförfattningarna.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten har inget emot att bestämmel-

serna tas bort men betonar att det är viktigt att det framgår att intresset av att skydda den enskildes integritet och intresset av effektiviteten i poli- sens verksamhet är jämbördiga intressen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

104

Skälen för regeringens bedömning: Enligt 1 kap. 1 § första stycket Prop. 2017/18:269 brottsdatalagen är syftet med lagen dels att skydda fysiska personers

grundläggande fri- och rättigheter i samband med behandling av person- uppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Regle- ringen ger uttryck för att det ska gälla en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, sam- hällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde (se prop. 2017/18:232 s. 82).

I 1 kap. 1 § polisdatalagen, 1 kap. 1 § kustbevakningsdatalagen, 1 kap.

1 § åklagardatalagen, 1 kap. 1 § tullbrottsdatalagen och 1 kap. 1 § skatte- brottsdatalagen anges det övergripande syftet med respektive lag. Exem- pelvis anges i 1 kap. 1 § polisdatalagen att syftet med lagen är att ge bl.a. Polismyndigheten möjlighet att behandla personuppgifter på ett ända- målsenligt sätt i sin brottsbekämpande verksamhet och skydda människor mot att deras personliga integritet kränks vid sådan behandling. Brottsda- talagen kommer att tillämpas av alla myndigheter som behandlar person- uppgifter inom lagens tillämpningsområde och registerförfattningarna ska läsas tillsammans med brottsdatalagen. Den dubbla målsättningen med brottsdatalagen – att stärka integritetsskyddet och att samtidigt värna om att behöriga myndigheter kan behandla personuppgifter på ett ända- målsenligt sätt – gäller således oavsett om det är t.ex. Polismyndigheten eller Kustbevakningen som behandlar personuppgifter. Det finns då inte skäl att införa bestämmelser i de nya registerförfattningarna som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen. Det finns inte heller skäl att väga eller särskilt ange förhållandet mellan de dubbla syftena i registerförfattningarna utöver vad som framgår av brottsdatalagen. Att syftet inte framgår direkt av var och en av registerförfattningarna innebär inte att integritetsskyddet försvagas.

5.3.3Behandling av känsliga personuppgifter

Regeringens bedömning: Det behövs inga generella bestämmelser i de nya registerförfattningarna om behandling av känsliga personuppgifter och användning av känsliga personuppgifter som sökbegrepp. Det behövs inte heller bestämmelser om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag

till systematik men framhåller att det är viktigt att förslaget inte innebär en försämring av skyddet för den personliga integriteten vid behandling av känsliga personuppgifter. Inspektionen påpekar bl.a. att de generella bestämmelserna i brottsdatalagen om behandling av känsliga personupp- gifter därför måste analyseras tillsammans med de eventuella avvikelser, t.ex. avseende sökförbudet, som föreslås för respektive registerförfatt- ning. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

105

Prop. 2017/18:269 Skälen för regeringens bedömning

Känsliga personuppgifter

I 2 kap. 11 och 12 §§ brottsdatalagen finns det bestämmelser om känsliga personuppgifter. I 2 kap. 11 § föreskrivs att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sex- uell läggning inte får behandlas. Om uppgifter om en person behandlas får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Enligt 2 kap. 12 § brotts- datalagen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter behandlas endast om det är särskilt före- skrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att biometriska uppgifter som används för att identifiera en person och genetiska uppgifter ingår i uppräkningen av känsliga personuppgifter har sin grund i direktivet. Detsamma gäller uppgifter om sexuell läggning, även om de redan tidigare som regel har betraktats som känsliga person- uppgifter. Enligt 2 kap. 13 § brottsdatalagen, som hänvisar till 2 kap. 2 §, får känsliga personuppgifter behandlas om det är nödvändigt för diarieföring. Detsamma gäller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

I 5 § lagen om behandling av personuppgifter inom kriminalvården,

2 kap. 10 § polisdatalagen, 2 kap. 8 § åklagardatalagen, 2 kap. 7 § kust- bevakningsdatalagen, 2 kap. 10 § tullbrottsdatalagen och 2 kap. 8 § skat- tebrottsdatalagen finns det bestämmelser om behandling av känsliga personuppgifter. Eftersom behandling av känsliga personuppgifter regle- ras i brottsdatalagen, finns det inte skäl att införa motsvarande generella regler i de nya registerförfattningarna.

Uppgifter som beskriver en persons utseende

I 2 kap. 7 § andra stycket brottsdatalagen föreskrivs att uppgifter som be- skriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reg- lerna om personuppgifters kvalitet i stället för i anslutning till bestäm- melserna om behandling av känsliga personuppgifter, eftersom den gäller oberoende av om uppgifterna om utseende är känsliga personuppgifter eller inte.

I 2 kap. 10 § tredje stycket polisdatalagen, 2 kap. 7 § tredje stycket kustbevakningsdatalagen, 2 kap. 8 § tredje stycket åklagardatalagen, 2 kap. 10 § tredje stycket tullbrottsdatalagen och 2 kap. 8 § tredje stycket skattebrottsdatalagen finns bestämmelser med motsvarande innehåll. Eftersom det i brottsdatalagen finns en bestämmelse om hur uppgifter om personers utseende ska utformas behöver det inte regleras i registerför- fattningarna.

106

Registerförfattningarna ska inte längre innehålla sökförbudProp. 2017/18:269

I 2 kap. 14 § brottsdatalagen föreskrivs ett generellt förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Enligt 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen,

3 kap. 4 § åklagardatalagen, 3 kap. 5 § tullbrottsdatalagen och 3 kap. 5 § skattebrottsdatalagen får känsliga personuppgifter inte användas som sökbegrepp vid sökning i personuppgifter som gjorts gemensamt till- gängliga. Något motsvarande sökförbud finns inte för uppgifter som endast ett fåtal har tillgång till. Enligt 5 § tredje stycket lagen om be- handling av personuppgifter inom kriminalvården får känsliga person- uppgifter inte användas som sökbegrepp om inte regeringen har föreskri- vit det.

Mot bakgrund av att brottsdatalagen innehåller ett generellt sökförbud behövs inte bestämmelserna i de nya registerförfattningarna om använd- ning av känsliga personuppgifter som sökbegrepp.

Bestämmelser som innebär undantag från det generella sökförbudet behandlas närmare i bl.a. avsnitt 7.3.3. Som Datainspektionen framhåller är det av vikt att det samlade förslaget om behandling av känsliga per- sonuppgifter inte innebär någon försämring av skyddet för den personliga integriteten. Mot bakgrund av det som anförts i nämnda avsnitt och i prop. 2017/18:232 s. 155 f., bedömer regeringen inte att förslagen i sin helhet får någon sådan effekt.

5.3.4 Särskilda upplysningar

Regeringens förslag: Registerförfattningarna ska enbart innehålla bestämmelser om särskilda upplysningar i fråga om uppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Bestämmelserna om särskilda upplysningar ska liksom i dag gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten ansluter sig till utredningens

bedömningar om att även fortsatt använda uttrycket misstänkt och rörande särskilda upplysningar om uppgiftslämnarens trovärdighet och riktighet i sak. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om utredningens förslag till bestämmelse i 3 kap. 4 § polisens brottsdatalag är avsedd att utgöra ett komplement till eller avvikelse från kraven i 2 kap. 9 och 10 §§ brottsdatalagen. Nämnden efterfrågar också ett förtydligande av om kravet på särskild upplysning avseende personer som inte är misstänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Datainspektionen avstyrker utredningens förslag att kravet på särskilda

upplysningar enbart ska gälla om personuppgifterna har gjorts

107

Prop. 2017/18:269 gemensamt tillgängliga. Övriga remissinstanser yttrar sig inte särskilt

	över förslaget.
	Skälen för regeringens förslag
	Bestämmelser om särskilda upplysningar
	Enligt 2 kap. 3 § andra stycket brottsdatalagen ska det ändamål som
	personuppgifter behandlas för tydliggöras genom en särskild upplysning,
	om det inte framgår av sammanhanget eller på annat sätt. I 2 kap. 9 §
	brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av
	registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är
	misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett
	brott. Om det inte framgår av sammanhanget eller på annat sätt vilken
	kategori personen tillhör, ska det tydliggöras genom en särskild upplys-
	ning. Enligt 2 kap. 10 § brottsdatalagen ska vidare personuppgifter som
	grundar sig på fakta så långt det är möjligt skiljas från personuppgifter
	som grundar sig på personliga bedömningar. Om grunden inte framgår av
	sammanhanget eller på något annat sätt ska den tydliggöras genom en
	särskild upplysning.
	I flera av registerförfattningarna föreskrivs att det i vissa fall ska läm-
	nas särskilda upplysningar. Bestämmelser om särskilda upplysningar,
	med något olika innehåll, finns i 3 kap. 3 och 4 §§ polisdatalagen,
	4 kap. 2 och 3 §§ kustbevakningsdatalagen, 3 kap. 3 § åklagardatalagen,
	3 kap. 3 och 4 §§ tullbrottsdatalagen och 3 kap. 3 och 4 §§ skattebrotts-
	datalagen. De särskilda upplysningarna ska avse att personen i fråga inte
	är misstänkt vare sig för brott eller för att utöva brottslig verksamhet.
	I fråga om den som är misstänkt för att utöva eller att komma att utöva
	brottslig verksamhet ska de särskilda upplysningarna belysa uppgifts-
	lämnarens trovärdighet och uppgifternas riktighet i sak. Det ska också
	finnas en särskild upplysning om ändamålet med behandlingen, om det
	inte framgår på annat sätt. Bestämmelserna om särskilda upplysningar
	gäller endast för personuppgifter som har gjorts gemensamt tillgängliga.
	Upplysningar om ändamålet med behandlingen
	Registerförfattningarna bör inte innehålla bestämmelser som motsvarar
	brottsdatalagens krav på att ändamålet med behandlingen ska framgå.
	Särskilda upplysningar bara om uppgifterna är gemensamt tillgängliga
	Kraven på särskilda upplysningar i de brottsbekämpande myndigheternas
	registerförfattningar gäller alltså enligt nuvarande reglering endast upp-
	gifter som har gjorts gemensamt tillgängliga. Frågan är om det finns skäl
	att i de nya registerförfattningarna göra undantag från bestämmelserna
	om särskilda upplysningar för personuppgifter som inte har gjorts
	gemensamt tillgängliga.
	Såväl direktivet som brottsdatalagen ger utrymme för att göra undantag
	från kravet på särskilda upplysningar i aktuellt fall. Direktivets krav på
	särskilda upplysningar beträffande vilken kategori en person tillhör och
	beträffande att fakta ska skiljas från personliga bedömningar gäller bara
	så långt det är möjligt att lämna sådan information. Kravet i 2 kap. 3 §
108	andra stycket brottsdatalagen, om att ändamålet med behandlingen ska
108

framgå, följer inte av direktivet utan skapar ett sådant extra skydd för enskildas integritet som direktivet medger att nationell rätt får innehålla.

Behovet av särskilda upplysningar gör sig framför allt gällande om personuppgifter behandlas utanför sitt ursprungliga sammanhang. I för- arbetena till polisdatalagen diskuteras ingående skälen för att ha sådana bestämmelser och när särskilda upplysningar inte behövs (se prop. 2009/10:85 s. 145 f.). När ett fåtal personer behandlar uppgifterna och är införstådda med varför det görs finns det inget behov av särskilda upp- lysningar. I dessa fall tillgodoses integritetsskyddet som de särskilda upplysningarna syftar till att skapa på annat sätt. Regeringen anser där- för, till skillnad från Datainspektionen, att kravet på särskilda upp- lysningar på samma sätt som i dag enbart ska gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga.

För de behöriga myndigheter som inte har en reglering som gör skill- nad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter kommer bestämmelserna i brottsdatalagen om särskilda upp- lysningar att gälla utan undantag. Det kan förefalla som om det därmed ställs högre krav på de myndigheter som i dag överhuvudtaget inte behö- ver förse personuppgifter med särskilda upplysningar, medan de myn- digheter som har en sådan reglering får undantag från kraven i brottsdata- lagen i vissa fall. Enligt brottsdatalagen ska personuppgifter förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sammanhanget eller på något annat sätt. Det är framför allt i det inledande skedet av en förundersökning och i underrät- telseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. När det gäller andra myndigheter än de brottsbekämpande kommer det därför normalt inte att krävas några särskilda upplysningar och då finns det inte heller skäl att ha något undantag.

Upplysningar om vilken kategori en person tillhör

I brottsdatalagen ställs det delvis andra krav på särskilda upplysningar än i registerförfattningarna. Sådana bestämmelser i registerförfattningarna som innebär att det genom en särskild upplysning ska framgå att en viss person inte är misstänkt täcks, såvitt gäller brottsutredande och lagför- ande verksamhet, av regleringen i 2 kap. 9 § brottsdatalagen. Det finns därför inte skäl att i registerförfattningarna ha bestämmelser som föreskriver att det ska framgå att en person inte är misstänkt för brott i brottsutredande och lagförande verksamhet.

Underrättelseverksamheten är emellertid i stor utsträckning oreglerad och i den reglering som finns gör man ingen tydlig uppdelning mellan olika kategorier av personer. Det generella krav som uppställs i 2 kap. 9

§brottsdatalagen är därför språkligt mindre väl lämpat att tillämpas i underrättelseverksamhet. Det är än viktigare ur integritetssynpunkt att det i underrättelseverksamheten görs tydlig skillnad mellan personer som har ett direkt samband med den brottsliga verksamheten och andra personer. Mot den bakgrunden bör bestämmelser motsvarande det nuvarande kravet i registerförfattningarna på särskilda upplysningar föras in i de nya registerförfattningarna.

Prop. 2017/18:269

109

Prop. 2017/18:269 Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om sådana bestämmelser är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdatalagen. Konsekvensen av de före- slagna särreglerna för underrättelseverksamheten i detta avseende är att det preciserade kravet när det gäller särskilda upplysningar om personer som inte är misstänkta gäller istället för det mer generellt hållna kravet på åtskillnad mellan olika kategorier av registrerade.

Det väcker frågan hur man ska se på det förhållandet att begreppet misstänkt används i registerförfattningarna även om personer vilkas upp- gifter behandlas i underrättelseverksamhet, trots att regelverket i övrigt förutsätter att ett konkret brott har begåtts för att någon ska kunna be- tecknas som misstänkt. Misstänkt används i detta sammanhang för att skilja ut personer som kan ha direkt samband med den brottsliga verk- samheten från andra (se t.ex. 3 kap. 4 § polisdatalagen och 3 kap. 4 § tullbrottsdatalagen). Användningen av begreppet misstänkt kritiserades av Lagrådet när polisdatalagen infördes. Regeringen valde att behålla det under hänvisning till tidigare lagstiftning på området (se prop. 2009/10:85 s. 150 och 522). Begreppet är så inarbetat att det inte heller bör ändras nu.

Säkerhets- och integritetsskyddsnämnden menar att det bör förtydligas om kravet på särskilda upplysningar avseende personer som inte är miss- tänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verk- samhet som undersöks. Kravet på särskild upplysning avseende personer som inte är misstänkta tar sikte på personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Den alternativa tolkning som Säkerhets- och integritetsskyddsnämnden tar upp skulle enligt regering- ens mening leda till att det eftersträvade integritetsskyddet inte får av- sedd effekt. Exempelvis bör uppgifter om en person som är misstänkt för ett trafikbrott i många fall kunna förses med särskild upplysning om att han eller hon inte är misstänkt då uppgifterna behandlas för ändamålet att förebygga, förhindra eller upptäcka sexualbrott.

Särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

När det gäller bestämmelsen i 2 kap. 10 § brottsdatalagen, som föreskri- ver att fakta ska skiljas från personliga bedömningar och att det ska anges genom en särskild upplysning om det inte framgår på annat sätt, kan det ifrågasättas om det går att dra en parallell med de bestämmelser som i dag finns i registerförfattningarna. Det är framför allt beträffande uppgifter som behandlas i underrättelseverksamhet som det enligt 3 kap. 4 § polisdatalagen, 4 kap. 3 § kustbevakningsdatalagen, 3 kap. 4 § tull- brottsdatalagen och 3 kap. 4 § skattebrottsdatalagen krävs särskilda upp- lysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Ovan nämnda bestämmelser preciserar vilka upplysningar som krävs i fråga om personuppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. En förundersökning rör ett konkret

brott och det framgår då som regel direkt av sammanhanget varför det

110

har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för hand- läggningen av en sådan utredning är därför liten (se prop. 2009/10:85, s. 151). När det gäller uppgifter som behandlas i underrättelsesyfte är det särskilt angeläget av integritetsskyddskäl att det går att utläsa om den som har lämnat uppgifterna kan anses vara tillförlitlig samt graden av riktighet i sak. Det är t.ex. viktigt att veta om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. Det bör därför även i de nya registerförfattningarna finnas sådana, i förhållande till 2 kap. 10 § brottsdatalagen mer preciserade, bestämmelser som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet. Säkerhets- och integritetsskydds- nämnden efterfrågar ett förtydligande av om bestämmelserna är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdata- lagen. Konsekvensen av de föreslagna särreglerna för underrättelseverk- samheten är att det mer preciserade kravet när det gäller särskilda upp- lysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak gäller istället för det allmänna kravet att fakta ska skiljas från be- dömningar i 2 kap. 10 § brottsdatalagen.

Kravet på upplysning om uppgiftslämnarens trovärdighet och uppgif- ternas riktighet i sak bör endast avse uppgifter om den som antas utöva eller komma att utöva den brottsliga verksamheten. Eftersom det krav som gäller för anknytningen till den brottsliga verksamheten således är lågt ställt träffar regleringen en relativt vid personkrets. Så snart det finns något som stöder ett antagande om att en person har direkt samband med brottslig verksamhet och det är fråga om uppgifter som görs gemensamt tillgängliga bör således uppgifterna om personen förses med en särskild upplysning.

Det är vidare endast sådana uppgifter som belyser på vilket sätt perso- nen är knuten till brottsligheten som bör förses med upplysning om upp- giftslämnarens trovärdighet och uppgifternas riktighet i sak. Det kan, förutom anknytningen till den brottsliga verksamheten, t.ex. röra sig om uppgifter om brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknyt- ning till brottsligheten ska kunna bedömas.

På samma sätt som i dag bör det göras undantag från kravet på särskild upplysning om det inte finns något behov av en sådan, därför att det framgår av sammanhanget vem som är uppgiftslämnare och hur trovärdig uppgiften är eller det av annat skäl är onödigt med en sådan upplysning. Om det t.ex. är fråga om uppgifter som hämtas från förundersökningar eller domar är en särskild upplysning som regel onödig om källan fram- går. Enligt förarbetena till polisdatalagen anses det vara onödigt att be- döma trovärdigheten om uppgiftslämnaren är en polisman. Detsamma bör gälla andra tjänstemän med brottsbekämpande uppgifter. Däremot kan det även i ett sådant fall behövas en upplysning om uppgiftens rik- tighet i sak, eftersom förutsättningarna för att göra en viss iakttagelse kan behöva belysas (se prop. 2009/10:85 s. 341).

Den nuvarande formuleringen av bestämmelserna innebär att det krävs särskild upplysning om det inte på grund av särskilda omständigheter är onödigt. Det har framkommit att det anses vara oklart vilka särskilda

Prop. 2017/18:269

111

Prop. 2017/18:269 omständigheter som kan föranleda avsteg från huvudregeln och att detta har lett till en omotiverat restriktiv tillämpning. Regleringen bör därför ändras så att det ställs krav på särskilda upplysningar om det inte på grund av omständigheterna är onödigt. Med en sådan formulering undvi- ker man den osäkerhet som kan finnas om vilken typ av omständigheter som kan göra behovet av särskilda upplysningar överflödigt. Om de samlade omständigheterna gör att trovärdigheten och riktigheten kan bedömas bör det vara tillräckligt.

5.3.5Hänvisningar till offentlighets- och sekretesslagen

Regeringens bedömning: Det behövs inga hänvisningar i de nya registerförfattningarna till att det finns bestämmelser om utlämnande i offentlighets- och sekretesslagen.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Umeå universitet, juridiska institutionen, ansluter

sig till utredningens bedömning att hänvisningarna bör upphävas. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens bedömning: I 2 kap. 19 § andra stycket och

5 kap. 9 § andra stycket polisdatalagen, 3 kap. 8 § andra stycket kustbevakningsdatalagen, 2 kap. 15 § andra stycket åklagardatalagen, 2 kap. 14 § andra stycket tullbrottsdatalagen och 2 kap. 13 § andra stycket skattebrottsdatalagen, som alla reglerar viss föreskriftsrätt, finns det hänvisningar till regleringen om utlämnande i offentlighets- och sekretesslagen. Bestämmelserna erinrar om att det även i offentlighets- och sekretesslagen finns bestämmelser om utlämnande. Syftet med bestämmelserna är enbart att klargöra att det i den lagen finns bestämmelser om utlämnande. Eftersom det finns bestämmelser om

utlämnande också i andra författningar, exempelvis i tryckfrihetsförordningen, och hänvisningen är så generellt utformad fyller bestämmelserna i de nuvarande registerförfattningarna inte någon funktion. Bestämmelserna innehåller inte heller någon materiell reglering. Några motsvarande bestämmelser bör därför inte införas i de nya registerlagarna.

5.4Behov av nya bestämmelser och anpassningar

5.4.1Uppgifter om juridiska personer

Regeringens förslag: Det ska finnas bestämmelser i de nya registerförfattningarna som rör behandling av uppgifter om juridiska personer, motsvarande de som finns i nuvarande reglering. Hänvis- ningar ska också göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.

112

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.	Prop. 2017/18:269
Skälen för regeringens förslag: I 1 kap. 6 § polisdatalagen, 1 kap. 3 §
kustbevakningsdatalagen, 1 kap. 4 § åklagardatalagen, 1 kap.	4 § tull-
brottsdatalagen och 1 kap. 4 § skattebrottsdatalagen föreskrivs	att vissa

bestämmelser i författningarna även ska tillämpas på uppgifter om juri- diska personer. Direktivet gäller enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund.

Bestämmelserna i registerförfattningarna om att de i vissa delar ska tillämpas på uppgifter om juridiska personer behöver inte utmönstras ur regleringen med anledning av dataskyddsreformen. Det är visserligen allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer. Eftersom uppgifter om juridiska personer i många fall samtidigt är indirekta personuppgifter kan behovet av särskilda skyddsregler för uppgifter om juridiska personer diskuteras. I de fall där man tidigare har ansett att det finns goda skäl att ge visst skydd även för uppgifter om juridiska personer finns det emellertid inte skäl att nu göra en annan bedömning. Bestämmelser om skydd för uppgifter om juridiska personer som motsvarar befintliga bestämmelser bör därför införas.

Frågan är då om bestämmelserna enbart bör ta sikte på frågor som reg- leras i respektive registerförfattning, trots att vissa frågor som i dag reg- leras i registerförfattningarna och som ska tillämpas även på uppgifter om juridiska personer regleras i brottsdatalagen. Mot bakgrund av försla- get om att införa bestämmelser som motsvarar dagens reglering bör en hänvisning göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer.

5.4.2Administrativa sanktionsavgifter

Regeringens förslag: En sanktionsavgift ska få tas ut av den per- sonuppgiftsansvarige vid överträdelse av vissa bestämmelser i regis- terförfattningarna. Det gäller överträdelse av bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter, om särskilda upp- lysningar och om längsta tid för behandling av personuppgifter.

Sanktionsavgiften ska vara högst 10 000 000 kronor.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att sanktionsavgiften bör vara minst 50 000 kr och högst 20 000 000 kr.

Remissinstanserna: Polismyndigheten ifrågasätter att överträdelser av bestämmelser om särskilda upplysningar och längsta tid för behandling av personuppgifter, särskilt inom ramen för sådan komplex verksamhet som brottsbekämpning, ska kunna föranleda sanktionsavgift eftersom det i dessa fall är fråga om tillämpning av bestämmelser som kräver bedöm- ningar. Datainspektionen tillstyrker att det ska vara möjligt att utdöma sanktionsavgifter vid överträdelse av registerförfattningarna. Försvarets radioanstalt ifrågasätter om det är lämpligt att sanktionsavgifter ska

113

Prop. 2017/18:269 kunna tas ut av myndigheter eftersom tjänstemannaansvar kan utkrävas, det finns möjlighet att utkräva skadestånd vid överträdelser av t.ex. den föreslagna brottsdatalagen och eftersom regeringen också har möjlighet att ställa krav på myndigheter för att komma till rätta med överträdelser. Sala kommun har anfört att beloppet synes vara väl högt och kan bli betungande för en liten myndighet. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Vilka överträdelser ska kunna leda till sanktionsavgift?

Bestämmelser om möjlighet att ta ut administrativa sanktionsavgifter vid överträdelser av bestämmelser i brottsdatalagen har tagits in i 6 kap. den lagen.

Sanktionsavgift kan enligt brottsdatalagen tas ut vid överträdelse av bestämmelser i den lagen. Sanktionsavgifter har bedömts kunna säker- ställa efterlevnaden av bestämmelser i brottsdatalagen på nödvändigt sätt och har ansetts vara den lämpligaste reaktionen på överträdelser av regle- ringen även för myndigheternas del (se prop. 2017/18:232 s. 313 f.). Vissa bestämmelser i brottsdatalagen har visserligen ansetts vara av sådan art att någon sanktionsavgift inte bör komma i fråga vid överträdelser av dem, men det har inte ansetts motiverat att generellt undanta överträdelser av alla sådana bestämmelser som i någon mån kräver eller ger utrymme för olika bedömningar.

Det finns inte skäl att välja någon annan lösning i fråga om sanktioner vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts för överträdelser av bestämmelserna i brottsdatalagen. De synpunkter som har lämnats av Polismyndigheten, Försvarets radioanstalt, Sveriges advokatsamfund och Sala kommun i fråga om sanktionsavgifter föranleder inte någon annan bedömning. Om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör alltså även överträdelse av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift.

Med dessa utgångspunkter ska överträdelse av bestämmelser i de brottsbekämpande myndigheternas och kriminalvårdens registerförfatt- ningar om tillåtna rättsliga grunder för behandling av personuppgifter och om längsta tid för behandling av personuppgifter kunna föranleda sanktionsavgift. Detsamma ska gälla bestämmelser om särskilda upplys- ningar. Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift.

Ska en sanktionsavgift kunna tas ut även vid behandling av uppgifter om juridiska personer?

Sanktionsavgift är främst tänkt att utgöra en reaktion på sådan otillåten behandling av personuppgifter som riskerar att kränka den personliga

integriteten, vilket talar för att inskränka tillämpningen till uppgifter om

114

fysiska personer. Eftersom direktivet enbart skyddar uppgifter om fysiska Prop. 2017/18:269 personer och bestämmelserna om sanktionsavgift har införts som en

konsekvens av kravet på sanktioner i direktivet finns det inte skäl att utsträcka möjligheten att ta ut sanktionsavgift till överträdelser som gäl- ler behandling av uppgifter om juridiska personer. Omfattar behand- lingen även uppgifter om fysiska personer kan sanktionsavgift tas ut för den överträdelsen om förutsättningarna för det är uppfyllda.

Hur hög bör sanktionsavgiften vara?

Enligt 6 kap. 3 § första och andra styckena brottsdatalagen ska sanktions- avgift tas ut med ett lägre belopp vid mindre allvarliga överträdelser och med ett högre belopp vid allvarligare överträdelser. Det framgår av para- grafen vilka överträdelser som är mindre allvarliga respektive allvarliga.

Överträdelse av brottsdatalagens bestämmelser om tillåtna rättsliga grunder för behandling, särskilda upplysningar och längsta tid för be- handling av personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i regis- terförfattningarna. Det finns inte anledning att i registerförfattningarna avvika från de belopp som fastställs i brottsdatalagen. En bestämmelse som anger det högsta belopp som kan komma i fråga bör finnas i var och en av registerförfattningarna.

Vem ska betala sanktionsavgift?

Den som är personuppgiftsansvarig ansvarar även för den behandling som ett personuppgiftsbiträde utför. En sanktionsavgift ska bara kunna tas ut av ett personuppgiftsbiträde i de fall där biträdet brutit mot uttryck- liga skyldigheter enligt brottsdatalagen. Eftersom registerförfattningarna inte innehåller några sådana skyldigheter för personuppgiftsbiträden bör sanktionsavgift för överträdelser av bestämmelser i registerförfattning- arna endast kunna tas ut av personuppgiftsansvariga. Om ett personupp- giftsbiträde i strid med brottsdatalagen har bestämt ändamålen med och medlen för behandlingen är biträdet att anse som personuppgiftsansvarig för den behandlingen och sanktionsavgift kan då tas ut i samma utsträck- ning som av en personuppgiftsansvarig (se 3 kap. 19 § andra stycket brottsdatalagen). Det kommer då att gälla även vid överträdelse av be- stämmelser i en registerförfattning.

Brottsdatalagens handläggningsbestämmelser gäller

I brottsdatalagen finns det bestämmelser i 6 kap. 3 § tredje stycket, 4 och 5 §§ om hur sanktionsavgiften ska bestämmas och i 6 kap. 6 och 7 §§ om vad som gäller i fråga om beslut om sanktionsavgift. Att registerförfatt- ningarna föreslås gälla utöver brottsdatalagen innebär att de handlägg- nings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna. Några bestämmelser om handläggningen behövs därför inte i registerförfattningarna.

115

Prop. 2017/18:269 5.4.3

Skadestånd

Regeringens förslag: I registerförfattningarna ska det anges att be- stämmelsen om skadestånd i brottsdatalagen ska tillämpas när person- uppgifter behandlas i strid med registerförfattningarna eller föreskrif- ter som har meddelats i anslutning till dem.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker att rätten till skade-

stånd i brottsdatalagen även ska tillämpas på motsvarande sätt när per- sonuppgifter behandlas i strid med registerförfattningarna. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som personuppgiftsbehandling i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslut- ning till den, har orsakat.

I de nuvarande registerförfattningarna finns det inte några bestämmelser om skadestånd. I stället hänvisas det i 2 kap. 2 § första

stycket 12 polisdatalagen, 2 kap. 2 § första stycket 12 kustbevakningsdatalagen, 2 kap. 2 § första stycket 12 åklagardatalagen, 2 kap. 2 § första stycket 12 tullbrottsdatalagen och 2 kap. 2 § första stycket 12 skattebrottsdatalagen till 48 § personuppgiftslagen när det gäller skadestånd. Enligt 8 § lagen om behandling av personuppgifter inom kriminalvården gäller personuppgiftslagens bestämmelser om skadestånd vid behandling av personuppgifter enligt den lagen eller föreskrifter som har meddelats i anslutning till den.

Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med bestämmelser i registerförfattning- arna som vid behandling i strid med brottsdatalagen. Det finns inte skäl att välja någon annan lösning vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts i brottsdatalagen. Det bör framgå genom att det i registerförfattningarna föreskrivs att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med registerförfattningarna eller föreskrifter som har meddelats i anslut- ning till dem. Den synpunkt som har lämnats av Sveriges advokatsam- fund leder inte till någon annan bedömning.

	5.4.4	Överklagande

	Regeringens förslag: Det ska finnas hänvisningar i registerförfatt-
	ningarna till bestämmelser om överklagande i brottsdatalagen.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag: Brottsdatalagen innehåller generella
116	bestämmelser om överklagande. I 7 kap. 2 § brottsdatalagen föreskrivs

att beslut i fråga om rättelse eller komplettering, radering eller begräns- ning av behandlingen av personuppgifter, som har meddelats av en myn- dighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. Enligt 7 kap. 3 § får tillsynsmyndighetens beslut enligt lagen överklagas till allmän förvaltningsdomstol. I 7 kap. 4 § föreskrivs att andra beslut enligt lagen än de nu nämnda inte får överklagas

I2 kap. 2 § första stycket 13 polisdatalagen, 2 kap. 2 § första stycket 13 kustbevakningsdatalagen, 2 kap. 2 § första stycket 13 åklagar- datalagen, 2 kap. 2 § första stycket 13 tullbrottsdatalagen och 2 kap. 2 § första stycket 13 skattebrottsdatalagen hänvisas det till överklagandereg- lerna i 51 § första stycket, 52 § första stycket och 53 § personuppgifts- lagen. I 51 § första stycket regleras rätten att överklaga tillsynsmyndig- hetens beslut om annat än föreskrifter. Enligt 52 § första stycket får en myndighets beslut i fråga om information efter ansökan, om rättelse och underrättelse till tredje man, om information vid automatiserade beslut och om upplysningar till allmänheten om personuppgiftsbehandlingar som inte har anmälts till tillsynsmyndigheten överklagas. Enligt 53 § personuppgiftslagen får andra beslut inte överklagas. I 12–16 §§ lagen om behandling av personuppgifter inom kriminalvården finns det sär- skilda överklagandebestämmelser.

I brottsdatalagen anges uttömmande vilka beslut av behöriga myndig- heter som får överklagas. Rätten att överklaga omfattar enbart sådana beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig och som berör den enskilde och går honom eller henne emot. Några andra beslut av en behörig myndighet får inte överklagas. Myndigheterna kommer att fatta beslut om exempelvis rättelse, radering eller begräns- ning av behandlingen med stöd av brottsdatalagen. Det blir alltså inte aktuellt att med stöd av någon av registerförfattningarna fatta sådana beslut som rör enskilda som de bör ha rätt att överklaga. I enlighet med regeringens ställningstagande i avsnitt 5.4.2 bör det i respektive register- författning anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av be- stämmelserna i registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att över- klaga sådana beslut behövs således inte. Mot bakgrund av vad som an- förts ovan finns det alltså inte skäl att särskilt reglera frågan om överkla- gande i registerförfattningarna. Det bör däremot framgå av registerför- fattningarna att överklagande regleras i brottsdatalagen.

Prop. 2017/18:269

117

Prop. 2017/18:269 5.4.5

Uppgifter till rättsstatistiken

Regeringens bedömning: Det behövs inga bestämmelser i de nya registerförfattningarna om överlämnande av personuppgifter för att framställa rättsstatistik.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens bedömning: I 9 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 14 § polisdatalagen, 2 kap. 12 § åklagardatalagen, 2 kap. 15 § tullbrottsdatalagen och 2 kap. 14 § skattebrottsdatalagen föreskrivs att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansva- rar för att framställa sådan statistik. En bestämmelse av motsvarande betydelse finns i 2 kap. 21 § brottsdatalagen. Det behövs därför inga motsvarande bestämmelser i registerförfattningarna.

Kustbevakningen har idag ingen sådan uppgiftsskyldighet som gäller för ovan uppräknade myndigheter. Det finns emellertid inte skäl att undanta myndigheten från tillämpningsområdet av 2 kap. 21 § brottsdata- lagen. Brottsdatalagens reglering innebär alltså att även Kustbevakningen får motsvarande uppgiftsskyldighet som övriga brottsbekämpande myndigheter och kriminalvården.

5.4.6 Terminologin anpassas

Regeringens förslag: Terminologin i de nya registerförfattningarna ska vara anpassad till brottsdatalagen och i viss utsträckning till data- skyddsförordningen. Uttrycken brottsbekämpande verksamhet och beivra brott bör inte användas i de nya registerförfattningarna.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

	Skälen för regeringens förslag
	Uttrycket brottsbekämpning
	Uttrycket brottsbekämpande verksamhet bör inte användas i de nya
	registerförfattningarna. I stället bör som i brottsdatalagen utgångspunkten
	vara att personuppgifter behandlas i syfte att förebygga, förhindra eller
	upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa
	straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
	Brottsbekämpande verksamhet anses i dag omfatta både att förebygga,
	förhindra och upptäcka brottslig verksamhet och att utreda och beivra
	brott. I brottsdatalagen görs dock, i linje med hur direktivet är utformat,
	skillnad mellan brottsbekämpning och lagföring. Uppgiften att beivra
	brott hänförs till lagföring. Uttrycket brottsbekämpning kommer därmed
	att ha en snävare innebörd än i dag. Det blir emellertid ingen saklig skill-
	nad för de myndigheter som har till uppgift att både utreda och beivra
	brott, eftersom både brottsbekämpning och lagföring omfattas av regis-
118	terförfattningens tillämpningsområde. För Skatteverket, som i motsats till

övriga myndigheter inte har några lagförande uppgifter, innebär det inte Prop. 2017/18:269 heller någon ändring i sak att terminologin ändras på detta sätt.

Uttrycket ”beivra brott”

Brottsdatalagen gäller för behandling av personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Uttrycket lagföra brott används i brottsdata- lagen i stället för beivra brott.

I flera av registerförfattningarna används i dag uttrycket beivra brott. Det förekommer bl.a. i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevak- ningsdatalagen, 2 kap. 5 § åklagardatalagen och 2 kap. 5 § tullbrottsdata- lagen. I de nya registerförfattningarna bör terminologin stämma överens med hur tillämpningsområdet anges i 1 kap. 2 § brottsdatalagen. Det innebär att uttrycket beivra brott bör ersättas av lagföra brott.

5.5Särskilt om längsta tid för behandling av personuppgifter

5.5.1Struktur och terminologi

Regeringens bedömning: Bestämmelser som motsvarar befintliga bestämmelser om bevarande och gallring bör införas i register- författningarna, men de bör formuleras så att det tydligt framgår att det är fråga om dataskyddsbestämmelser. Regler om hur länge uppgifter får behandlas ska som huvudregel samlas i särskilda kapitel i registerförfattningarna.

Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Kammarrätten i Stockholm påpekar att de olika

tidsfristerna för hur länge personuppgifter får behandlas är mycket svår- överskådliga och att det skulle vara bra om det gick att hitta ett mer en- hetligt system. Polismyndigheten, Datainspektionen och Riksarkivet ser positivt på att terminologin på området renodlas så att begreppen beva- rande och gallring endast används i arkivlagens (1990:782) mening. Riksarkivet välkomnar att det slås fast att regleringen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens bedömning

Olika typer av bestämmelser

I registerförfattningarna finns bestämmelser om bevarande och gallring av personuppgifter. Regleringen gäller enbart personuppgifter som be- handlas automatiserat. Den styr således inte hur länge uppgifter som behandlas på papper får bevaras, varken i den brottsbekämpande verk- samheten eller för arkivändamål. När det i detta avsnitt talas om hur länge personuppgifter får behandlas eller i vilken utsträckning behand-

ling för arkivändamål är tillåten avses enbart automatiserad behandling.

119

Prop. 2017/18:269 Enligt de brottsbekämpande myndigheternas registerförfattningar gäl- ler som huvudregel att personuppgifter inte får behandlas under längre tid än vad som behövs för något av de ändamål som omfattas av respek- tive lags tillämpningsområde. Sådana bestämmelser behövs inte i de nya registerförfattningarna eftersom motsvarande reglering finns i brottsdatalagen. Därutöver finns det två olika typer av bestämmelser om bevarande och gallring av personuppgifter. Tullbrottsdatalagen kan tas som exempel, men motsvarande bestämmelser finns i de övriga brottsbekämpande myndigheternas registerförfattningar.

120

Den ena typen är bestämmelser om gallring (se 4 kap. 3, 9 och 10 §§ tullbrottsdatalagen) som gäller för personuppgifter som inte förekommer i ärenden om utredning av eller lagföring för brott. Regleringen innebär att personuppgifterna inte får behandlas automatiserat efter vissa i lagen angivna tidsfrister. De får alltså inte heller som utgångspunkt arkiveras digitalt (jfr prop. 2016/17:91 s. 218). Det följer av att det i 2 kap. 2 § andra stycket tullbrottsdatalagen görs undantag från 8 § andra stycket personuppgiftslagen, som föreskriver att arkivlagstiftningen har företräde framför personuppgiftslagstiftningen. Behandling för arkivändamål är dock tillåten om det med stöd av 4 kap. 2 § 2 har meddelats föreskrifter om att personuppgifterna får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana föreskrifter får enligt 17 § tullbrottsdata- förordningen (2017:450) meddelas av Riksarkivet.

Den andra typen av bestämmelser begränsar möjligheten att behandla personuppgifter som har gjorts gemensamt tillgängliga och som rör ären- den om utredning av eller lagföring för brott (se 4 kap. 6 och 7 §§ tull- brottsdatalagen och se vidare avsnitt 5.5.3). De reglerar hur länge per- sonuppgifter får behandlas i den brottsbekämpande verksamheten men hindrar inte, till skillnad från bestämmelserna om gallring, att handlingar arkiveras digitalt enligt arkivlagens (1990:782) bestämmelser. När be- handling inte längre är tillåten för brottsbekämpande ändamål kan beva- rande således ske för arkivändamål utan att det krävs särskilda föreskrif- ter om det.

I 4 kap. 2 § 1 och 3 tullbrottsdatalagen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering och om att vissa kategorier av personuppgifter får be- handlas i den brottsbekämpande verksamheten under längre tid än vad som annars är föreskrivet. Sådana föreskrifter finns i 11–16 §§ tullbrotts- dataförordningen. Av 11 § framgår att personuppgifter som arkiveras digitalt ska avskiljas från den brottsbekämpande verksamheten och att åtkomst till uppgifterna ska begränsas på visst sätt.

Bestämmelserna om bevarande och gallring är dataskyddsbestämmelser

Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska beva- ras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att be- gränsa arkivens omfattning bland annat för att därmed öka deras tillgäng- lighet, medan gallring enligt registerförfattningarna syftar till att skydda enskildas personliga integritet (se exempelvis prop. 2009/10:85 s. 207 f. och prop. 2016/17:91 s. 169). Orden bevarande och gallring bör i de nya registerförfattningarna enbart användas i den betydelse de har i

arkivlagstiftningen, för att så långt som möjligt skilja mellan Prop. 2017/18:269 arkivrättsliga regler och regler om dataskydd. När syftet med bestämmelserna som i detta fall är att skydda den personliga integriteten

bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Det gäller både i bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och i bestämmelser som begränsar möjligheten att behandla personuppgifter i den brottsbekämpande verksamheten. Bestämmelserna bör därför formuleras så att de genomgående anger den längsta tid uppgifterna får behandlas. Avsikten är dock inte att den ändrade terminologin ska föranleda några ändringar i sak.

Regeringens vidare överväganden gällande bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och om föreskriftsrätt i anslutning till dessa behandlas nedan i avsnitt 5.5.2. Övervägandena gällande bestämmelser som motsvarar de nuvarande bestämmelserna om bevarande av uppgifter i ärenden om utredning eller beivrande av brott och om föreskriftsrätt i anslutning till dessa finns i avsnitt 5.5.3.

En samlad reglering

I tullbrottsdatalagen och skattebrottsdatalagen har bestämmelserna om bevarande och gallring samlats i ett särskilt kapitel. Den lösningen ger tillämparen en bättre överblick över hur länge personuppgifter får be- handlas enligt lagen och bör så långt möjligt väljas i de övriga register- författningarna. I de fall där behandling av personuppgifter i särskilda register eller viss specifik verksamhet regleras särskilt bör dock bestäm- melser som reglerar hur länge personuppgifter får behandlas i registret eller verksamheten hållas samman med regleringen i övrigt.

Som Kammarrätten i Stockholm anser kan regleringen om hur länge personuppgifter får behandlas framstå som svåröverskådlig. Regleringen måste delas upp i flera olika bestämmelser, eftersom att det inte är lämp- ligt att låta samma tidsfrist gälla för all personuppgiftsbehandling. Med dessa förutsättningar är det svårt att skapa en reglering som är överskåd- lig och lättillgänglig. Genom att i stor utsträckning samla regleringen i varje registerförfattning och välja samma lagtekniska lösning för samt- liga berörda registerförfattningar skapas dock enhetlighet i den utsträck- ning som det är möjligt.

121


Prop. 2017/18:269 5.5.2		Bestämmelser som innebär att behandling inte
		längre får ske för något ändamål

	Regeringens förslag: Bestämmelser som motsvarar befintliga
	bestämmelser om gallring ska införas i de nya registerförfattningarna
	men formuleras så att de anger den längsta tid som personuppgifterna
	får behandlas.
	Det ska även i de nya registerförfattningarna finnas bestämmelser
	om föreskriftsrätt avseende behandling av personuppgifter för
	vetenskapliga, statistiska eller historiska ändamål. Bestämmelserna
	ska formuleras så att det framgår att föreskriftsrätten även omfattar
	behandling för arkivändamål av allmänt intresse.

	Utredningens förslag överensstämmer i sak med regeringens.
	Remissinstanserna: Polismyndigheten anser att det, när begreppet
	gallring tas bort, är oklart om uttrycket längsta tid för behandling ändå
	ska tolkas som avvikande bestämmelser om gallring i arkivlagens
	mening. Den fråga som då inställer sig enligt myndigheten är om uppgif-
	terna ska gallras med stöd av polisens brottsdatalag eller om gallringsfö-
	reskrifter från Riksarkivet behövs. Polismyndigheten anför vidare att det
	framstår som mer ändamålsenligt att i brottsdatalagen och i polisens
	registerförfattning – om ambitionen är att dessa lagar ska vara renodlade
	dataskyddslagar – endast reglera hur länge personuppgifterna får
	behandlas för syften inom lagens tillämpningsområde. Polismyndigheten
	vill i sammanhanget också framhålla att arkivering av handlingar från
	brottsbekämpande verksamhet på papper inte längre är ett möjligt
	alternativ utifrån den omfattande och komplicerade arkivbildning som
	myndigheten hanterar. Polismyndigheten anser att det utifrån ett
	rättssäkerhets-		och	handlingsoffentlighetsperspektiv	inte	är
	ändamålsenligt att ange pappersarkivering som ett alternativ för
	behandling för arkivändamål. Riksarkivet har framfört att det i fråga om

lämplig skyddsåtgärd för att skydda den enskildes integritet vid arkivering inte alltid är säkrare med arkivering på papper än elektronisk sådan. Riksarkivet bedömer också att integritetskänsliga personuppgifter som huvudregel inte bör gallras och att sådana uppgifter i stället bör skyddas genom bestämmelser om sekretess och informationssäker behandling av uppgifterna. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

	Skälen för regeringens förslag
	Från gallring till längsta tid för behandling
	Behandling av personuppgifter för arkivändamål omfattas av dataskydds-
	förordningens tillämpningsområde (se prop. 2017/18:232 s. 167). Det
	kan mot den bakgrunden ifrågasättas om bestämmelser om gallring bör
	finnas i registerförfattningar som reglerar personuppgiftsbehandling
	inom brottsdatalagens tillämpningsområde. Som nyss konstaterats är
	syftet med gallringsbestämmelserna att skydda enskildas personliga
	integritet genom att det föreskrivs när den automatiserade behandlingen
	av personuppgifter ska upphöra. Om informationen överförs från
122	elektronisk form till pappersform och därefter inte finns kvar elek-
122

troniskt, anses detta skydd ha tillgodosetts (se t.ex. prop. 2016/17:91	Prop. 2017/18:269
s. 171). Bestämmelserna reglerar således inte fullt ut i vilken utsträck-

ning det är tillåtet att behandla personuppgifterna för arkivändamål, utan styr endast i vilken form det får göras genom att ange att automatiserad behandling för arkivändamål inte är tillåten. De hindrar alltså inte arkive- ring på papper.

Om det inte längre skulle finns några bestämmelser i registerförfatt- ningarna som föreskriver när den automatiserade behandlingen av per- sonuppgifter ska upphöra, skulle arkivlagens huvudregel om bevarande behöva tillämpas om uppgifterna finns i allmänna handlingar. En del av dagens integritetsskydd går då förlorat. Bestämmelser som reglerar hur länge personuppgifter får behandlas automatiserat och vara digitalt tillgängliga är därför även fortsatt nödvändiga för att tillgodose skyddet för enskildas personliga integritet. Sådana bestämmelser bör därför införas i de nya registerförfattningarna.

I enlighet med regeringens bedömning i föregående avsnitt bör be- stämmelser som motsvarar dagens bestämmelser om gallring emellertid formuleras om så att det framgår att de är dataskyddsbestämmelser. De bör utgå från hur länge personuppgifterna får behandlas automatiserat. Det gäller bestämmelserna i 7 § första stycket lagen om behandling av personuppgifter inom kriminalvården och de gallringsbestämmelser som finns i tillhörande förordning, 2 kap. 13 §, 3 kap. 14 §, 4 kap. 7, 14, 15,

20 och	22 §§	polisdatalagen, 3 kap.		5 §	och 4 kap.	13 §
kustbevakningsdatalagen,			2 kap. 10 § tredje	stycket åklagardatalagen,
4 kap. 3, 9	och	10 §§	tullbrottsdatalagen	och	4 kap. 3 och	8 §§

skattebrottsdatalagen. Som huvudregel bör den nu aktuella översynen inte föranleda någon annan bedömning av hur länge personuppgifterna får behandlas.

Polismyndigheten anser att det är oklart om uttrycket längsta tid för behandling ska tolkas som sådana avvikande bestämmelser om gallring som avses i 10 § arkivlagen. Myndighetens synpunkt rör de uppgifter för vilka bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen inte gäller, dvs. de uppgifter som omfattas av de nuvarande bestämmelserna om gallring.

Riksarkivet har definierat gallring som förstöring av allmänna hand- lingar eller förstöring av uppgifter i allmänna handlingar. Det är också fråga om gallring när andra åtgärder vidtas med allmänna handlingar som medför förlust av t.ex. betydelsebärande data eller sökmöjligheter. När det gäller gallring av elektroniska upptagningar avses normalt att viss information raderas från databäraren (se exempelvis RA-FS 2009:1 och betänkandet Myndighetsdatalag, SOU 2015:39, s. 526).

Reglerna om längsta tid för behandling innebär att man inte längre får behandla uppgifterna automatiserat för något ändamål. De får därmed samma verkan som en åtgärd för gallring av elektroniska upptagningar. Att behandlingen av personuppgifterna upphör får därmed i praktiken till följd att det inte kan bli aktuellt för Riksarkivet att meddela gallringsfö- reskrifter avseende automatiserad behandling av samma uppgifter.

123

Prop. 2017/18:269

124

Det ska även i fortsättningen vara tydligt att arkivlagstiftning inte har företräde

Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar enligt andra stycket inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkiv- material lämnas till en arkivmyndighet. Av registerförfattningarna följer att arkivlagstiftningen inte har företräde när gallringsbestämmelser är tillämpliga (se t.ex. 2 kap. 2 § andra stycket polisdatalagen). Syftet med regleringen är som nyss nämnts att förtydliga att personuppgifter i dessa fall inte får behandlas automatiserat för arkivändamål, det vill säga att uppgifterna inte får arkiveras digitalt. Uppgifterna får dock behandlas för arkivändamål om de överförs till pappersform. För att tydliggöra att ingen förändring i det avseendet är avsedd, trots den ändrade termino- login, bör det i registerförfattningarna göras undantag från 2 kap. 17 § andra stycket brottsdatalagen i ovan nämnda paragrafer.

Såväl Polismyndigheten som Riksarkivet framför synpunkter gällande arkivering på papper och framhållit fördelarna med elektronisk sådan. Riksarkivet bedömer vidare att integritetskänsliga personuppgifter som huvudregel inte borde gallras. Med anledning av dessa synpunkter finns det skäl att framhålla att syftet med förslaget i denna del inte har varit att åstadkomma någon förändring i sak utan främst att göra vissa förtydli- ganden avseende skillnaden mellan regler om dataskydd och arkivrätts- liga regler. Det pågår en bred översyn av den arkivrättsliga regleringen (dir. 2017:106). Något utrymme att se över förutsättningarna för digital arkivering finns inte inom ramen för detta lagstiftningsärende. Det finns dock anledning att peka på att registerförfattningarna även fortsättnings- vis föreslås innehålla bestämmelser om föreskriftsrätt som ger utrymme för digital arkivering (se vidare avsnittet nedan).

Bestämmelser om föreskriftsrätt avseende behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål

I flertalet av registerförfattningarna upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana bestämmelser finns bl.a. i 2 kap. 13 § tredje stycket polisdatalagen, 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycket kustbevakningsdatalagen, 2 kap. 11 § 2 åklagardatalagen, 4 kap. 2 § 2 tullbrottsdatalagen och 4 kap. 2 § 2 skattebrottsdatalagen (se vidare exempelvis 17 § tullbrottsdataförordningen och 3 § RA-MS 2010:68).

I 9 § tredje stycket personuppgiftslagen användes samma uttryck, det vill säga historiska, statistiska eller vetenskapliga ändamål. I dataskydds- förordningen används i stället uttrycken arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Historiska ändamål delas alltså upp i arkivändamål av allmänt intresse och historiska forskningsändamål. Avsikten med uppdelningen är att förtydliga vad som avses med historiska ändamål. Även i direktivet görs i artikel 4.3 skillnad mellan behandling för arkivändamål av allmänt intresse och vetenskaplig, statistisk och historisk användning för ändamål som omfattas av direktivets tillämpningsområde.

Det finns även fortsättningsvis behov av att kunna meddela föreskrifter Prop. 2017/18:269 om att personuppgifter som behandlas med stöd av registerförfattning-

arna får fortsätta att behandlas automatiserat för historiska, statistiska eller vetenskapliga ändamål när den längsta tillåtna tiden för behandling som anges i registerförfattningen löper ut. Sådana föreskrifter ger möj- lighet att tillgodose dels rätten att ta del av allmänna handlingar, dels rättskipningens, förvaltningens och forskningens behov och bör föras in i de nya registerförfattningarna. Bestämmelserna bör dock formuleras om så att föreskriftsrätten avser hur länge personuppgifterna får behandlas. För att terminologin ska motsvara dataskyddsförordningens och data- skyddsdirektivets bör det vidare framgå att föreskriftsrätten även omfat- tar behandling för arkivändamål av allmänt intresse.

I lagen om behandling av personuppgifter inom kriminalvården har man valt en annan lösning än föreskriftsrätt för att tillgodose myndighe- tens behov av att kunna behandla personuppgifter för historiska, statisti- ska och vetenskapliga ändamål. I 7 § andra stycket den lagen föreskrivs en generell möjlighet för myndigheten att behandla personuppgifter för angivna ändamål. Kriminalvården har även i fortsättningen behov av att kunna behandla personuppgifter för historiska, statistiska eller veten- skapliga ändamål. Detta behov bör dock, i likhet med vad som föreslås i övriga registerförfattningar, tillgodoses genom föreskrifter meddelade av regeringen eller den myndighet som regeringen bestämmer. Den nuvarande regleringen bör därför ersättas av en bestämmelse om föreskriftsrätt i den nya registerförfattningen.

Det kan även här ifrågasättas om bestämmelser om föreskriftsrätt som möjliggör fortsatt behandling av personuppgifter för arkivändamål av allmänt intresse och för historiska, statistiska eller vetenskapliga ändamål bör finnas i registerförfattningar som endast reglerar personuppgifts- behandling inom brottsdatalagens tillämpningsområde. Eftersom före- skriftsrätten gäller enbart personuppgifter som behandlas för ändamål som omfattas av registerförfattningens tillämpningsområde kan före- skriftsrätten inte regleras i den generellt tillämpliga arkivlagstiftningen. Det finns inte heller någon annan naturlig plats för sådana bestämmelser. Föreskriftsrätten bör därför även fortsättningsvis regleras i registerförfattningarna även om det, som Polismyndigheten framför, skulle kunna framstå som mer ändamålsenligt att endast låta dem inne- hålla bestämmelser som reglerar personuppgiftsbehandling inom brotts- datalagens tillämpningsområde.

5.5.3	Bestämmelser som innebär att behandling inte
	längre får ske för ändamål inom
	registerförfattningens tillämpningsområde

Regeringens förslag: Bestämmelser som motsvarar befintliga
bestämmelser om hur länge personuppgifter får behandlas i den
brottsbekämpande verksamheten ska införas även i de nya
registerförfattningarna, men formuleras om så att det framgår att de
bara begränsar behandling för ändamål inom registerförfattningens
tillämpningsområde.		125

Prop. 2017/18:269

126

Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende fortsatt behandling av vissa kategorier av personuppgifter ska införas även i de nya registerförfattningarna, men det ska förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet.

Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende digitalt arkiverade uppgifter ska införas även i de nya registerförfattningarna. Det ska dock förtydligas att de bestämmelserna endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet och att föreskriftsrätten avser begränsning av behandlingen av arkiverade uppgifter.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten menar att utredningen antyder

att myndigheternas arkivhantering omfattas av tillämpningsområdet för polisens brottsdatalag och att det inte är ett lämpligt angreppssätt eftersom behandling för arkivändamål endast ska regleras av dataskydds- förordningen. Myndigheten har även redogjort för vad som krävs enligt dataskyddsförordningen för att på nytt få behandla personuppgifter som har arkiverats och efterfrågar, i likhet med Kriminalvården, ett förtydli- gande av vad som krävs för återförande av personuppgifter för något av de ändamål som anges i en registerförfattning. Enligt Polismyndigheten föreligger det vidare ett starkt behov av att frågor som rör förhållandet mellan dataskyddsregler och arkivregler utreds närmare. Övriga remiss- instanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Det är bara behandlingen för ändamål inom registerförfattningens tillämpningsområde som begränsas

I 3 kap. 10 och 11 §§ polisdatalagen, 4 kap. 9 och 10 §§ kustbevaknings- datalagen, 4 kap. 6 och 7 §§ tullbrottsdatalagen och 4 kap. 5 och 6 §§ skattebrottsdatalagen anges hur länge vissa personuppgifter får behandlas automatiserat i den brottsbekämpande verksamheten. Enligt 2 kap. 10 § andra stycket åklagardatalagen gäller motsvarande vid behandling för ändamål i den operativa verksamheten. Bestämmelserna hindrar inte att uppgifterna fortsätter att behandlas automatiserat för andra ändamål under längre tid än vad som anges i dem, vilket innebär att personuppgif- terna bl.a. får behandlas automatiserat för arkivändamål. Bestämmelserna begränsar alltså enbart möjligheten till fortsatt behandling i den verk- samhet som regleras i respektive registerförfattning. Motsvarande bestämmelser bör införas i de nya registerförfattningarna men det bör förtydligas att bestämmelserna enbart reglerar hur länge personuppgifter får behandlas för ändamål inom respektive registerförfattnings tillämpningsområde.

Bestämmelser om föreskriftsrätt avseende fortsatt behandling inom tillämpningsområdet

Av registerförfattningarna framgår att regeringen, i några fall också den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får behandlas under längre tid i den

brottsbekämpande verksamheten än vad som framgår av lag, se exem- Prop. 2017/18:269 pelvis 4 kap. 2 § 1 tullbrottsdatalagen och 3 kap. 12 § polisdatalagen. Det

finns även fortsättningsvis behov av att kunna meddela sådana föreskrifter. Upplysningsbestämmelser om sådana föreskrifter bör därför finnas även i de nya registerförfattningarna, men det bör förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom registerförfattningarnas tillämpningsområde.

Konsekvenserna av att uppgifter har arkiverats

Att uppgifter har arkiverats, oavsett om det görs digitalt eller i pappers- form, innebär inte att det är förbjudet att på nytt behandla personuppgif- terna för något av de ändamål som anges i en registerförfattning. Polis- myndigheten har efterfrågat ett förtydligande av vad som krävs för åter- förande av personuppgifter för något av de ändamål som anges i en regis- terförfattning, mot bakgrund av skillnader i tolkning av finalitetsprinci- pens tillämplighet på dataskyddsförordningen respektive dataskyddsdi- rektivets område. Även Kriminalvården efterfrågar ett klargörande om hur frågor om bevarande av personuppgifter ska hanteras när uppgifter som behandlats under ett regelverk övergår till att behandlas under ett annat regelverk.

När uppgifter avskiljs och behandlas uteslutande för arkivändamål be-
handlas de inte längre enligt brottsdatalagen och omfattas inte av data-
skyddsdirektivets reglering, utan behandlingen styrs av dataskyddsför-
ordningen och dataskyddslagen. Om uppgifter därefter återförs till den
operativa verksamheten sker en ny insamling av uppgifter på brottsdata-
lagens område, och någon bedömning enligt finalitetsprincipen ska där-
för inte göras. Insamlingen förutsätter dock att det finns en tillåten rätts-
lig grund och att regleringen i övrigt tillåter den nya behandlingen. Ett
typiskt exempel kan vara att det kommer fram uppgifter som gör att en
nedlagd förundersökning som har arkiverats bör återupptas eller att fråga
om resning eller annat extraordinärt rättsmedel aktualiseras beträffande
en dom eller ett beslut som har fått laga kraft. Ny behandling av de arki-
verade uppgifterna kan då påbörjas för det ändamålet.
Bestämmelser om föreskriftsrätt avseende fortsatt användning av digitalt
arkiverade uppgifter
Som nämnts tidigare framgår av registerförfattningarna att regeringen
eller den myndighet som regeringen bestämmer har möjlighet att med-
dela föreskrifter om digital arkivering, se exempelvis 4 kap. 2 § 3
tullbrottsdatalagen och 2 kap. 12 § andra stycket polisdatalagen. I de
brottsbekämpande myndigheternas registerförordningar föreskrivs det att
personuppgifterna ska avskiljas från myndighetens brottsbekämpande
eller operativa verksamhet vid digital arkivering, se exempelvis 11 §
tullbrottsdataförordningen och 19 § polisdataförordningen. Syftet är att
uppgifterna inte ska vara digitalt åtkomliga i den verksamheten. Det ska
alltså inte vara möjligt för vem som helst att enkelt söka fram de digitalt
arkiverade personuppgifterna. Normalt bör det bara vara arkivarier som
förfogar över uppgifterna och kan göra sökningar i dem.
Med hänsyn till att arkivlagen inte hindrar eller ställer upp några be-
gränsningar för fortsatt automatiserad behandling av arkiverade uppgifter	127
	127

Prop. 2017/18:269 finns det även i fortsättningen behov av att kunna meddela föreskrifter till skydd för den personliga integriteten vid digital arkivering. Bestäm- melserna om föreskriftsrätt avseende fortsatt behandling av digitalt arki- verade uppgifter bör därför finnas kvar. Frågan är dock om bestämmel- serna ska finnas kvar i registerförfattningarna eller placeras i annan reg- lering.

Behandling av uppgifter som görs för arkivändamål styrs av data- skyddsförordningen. Det kan därför ifrågasättas, så som Polismyndigheten gör, om bestämmelser om föreskriftsrätt avseende fortsatt behandling av uppgifter som har arkiverats digitalt bör placeras i registerförfattningar som reglerar personuppgiftsbehandlingen inom brottsdatalagens tillämpningsområde.

Syftet med föreskrifterna om digital arkivering är att förhindra att upp- gifterna fortsätter att behandlas på samma sätt som tidigare trots att beva- randet inte längre sker för verksamhetsändamål utan för arkivändamål. Föreskrifterna utgör därmed en del av det skydd för enskildas integritet som övriga bestämmelser i registerförfattningarna för med sig. Dessa omständigheter, i kombination med att det inte finns någon annan mer naturlig placering av bestämmelserna, ger tillräckliga skäl för att placera bestämmelserna i registerförfattningarna. Det bör dock tydliggöras att föreskriftsrätten avser begränsningar av den behandling som sker av arkiverade uppgifter inom registerförfattningarnas tillämpningsområde.

Med anledning av Polismyndighetens invändning om att det finns ett behov av att närmare utreda frågor som rör förhållandet mellan data- skyddsregler och arkivrättsliga regler finns det skäl att återigen nämna att det pågår en utredning med uppdrag att se över arkivområdet (se av- snitt 5.5.2).

5.5.4Omständigheter som påverkar längsta tid för behandling i underrättelseverksamhet

Regeringens förslag: Det är bara uppgifter om en persons anknytning till brottslig verksamhet som ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag

att endast uppgifter om en persons anknytning till brottslig verksamhet ska påverka längsta tid för behandling av personuppgifter i underrättelse- verksamhet och bedömningen att tiden för hur länge personuppgifter får behandlas inte ska kunna påverkas av vilka uppgifter som helst. Säker- hets- och integritetsskyddsnämnden och Polismyndigheten bedömer att det är angeläget att det tydliggörs om en ny registrering avseende en person förlänger tiden för behandling enbart avseende den personen, eller om registreringen även påverkar tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet. Polismyndigheten ser positivt på att det förtydligas vilka omständigheter som kan påverka längsta tid för behandling i underrättelseverksamhet. Övriga remissin-

stanser yttrar sig inte särskilt över förslaget.

128

Skälen för regeringens förslag: I dag föreskrivs det i vissa bestäm- Prop. 2017/18:269 melser att den tid som personuppgifter får behandlas i underrättelseverk-

samhet kan förlängas om en ny registrering avseende personen i fråga

görs.	Sådana	bestämmelser	finns bl.a.	i	3 kap. 14 §, 4 kap. 20 §	och
6 kap.	12 §	polisdatalagen,	4 kap. 13	§	kustbevakningsdatalagen	och

4 kap. 9 § tullbrottsdatalagen. Det framgår emellertid inte av bestämmel- serna vad den registrering som kan föranleda att personuppgifter får fort- sätta att behandlas ska avse. Tiden för hur länge personuppgifter får behandlas ska inte kunna påverkas av vilka uppgifter som helst. En upp- gift i form av en anteckning om att någon begärt ut en allmän handling som innehåller personuppgifter är ett exempel på en sådan uppgift som inte ska kunna föranleda förlängning av den tid som personuppgifterna får behandlas. Vidare saknar normalt t.ex. ny folkbokföringsadress, nytt registreringsnummer på fordon som personen disponerar eller någon annan sådan uppgift betydelse för frågan om personen utövar eller kan komma att utöva brottslig verksamhet. Det bör därför tydliggöras att endast sådana omständigheter som har betydelse för personens anknyt- ning till brottslig verksamhet ska påverka hur länge personuppgifterna får behandlas. En sådan omständighet kan vara att personen har begått brott, men det bör då vara fråga om ett brott som har någon anknytning till den brottsliga verksamheten. Att en person gör sig skyldig till en helt annan typ av brottslighet torde sällan ha en sådan betydelse.

Säkerhets- och integritetsskyddsnämnden och Polismyndigheten efter- frågar ett tydliggörande av om en ny registrering avseende en person kan förlänga tiden för behandling även för andra personer med anknytning till samma brottsliga verksamhet. Det är inte uteslutet att så kan vara fallet. Till exempel kan ett brott begånget av en person innebära att miss- tankarna mot en annan person stärks eftersom det tydliggör att båda har starka kopplingar till en viss plats, en viss annan person eller en viss företeelse. I vilka fall en ny registrering avseende en person ska påverka tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet måste dock avgöras från fall till fall.

5.6Särskilt om elektroniskt utlämnande

5.6.1 Olika former av elektroniskt utlämnande

Direktåtkomst
Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som
vanligtvis avses med direktåtkomst är att någon har direkt tillgång till
någon annans register eller databas och på egen hand kan söka efter in-
formation, dock utan att kunna påverka innehållet i registret eller databa-
sen. Enligt Informationshanteringsutredningen bör direktåtkomst anses
föreligga om en myndighet hos en annan myndighet har sådan teknisk
tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfri-
hetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten
med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i
sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (se
Myndighetsdatalag, SOU 2015:39, s. 390 f.). Högsta förvaltningsdom-	129
	129

Prop. 2017/18:269 stolen använde i avgörandet HFD 2015 ref. 61, som avsåg utlämnande av uppgifter i form av upptagning mellan myndigheter, samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i register- lagstiftningarna (se Ökat informationsutbyte mellan arbetslöshetsförsäk- ringen, socialförsäkringen och studiestödet, prop. 2000/01:129, s. 74, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, prop. 2001/02:144, s. 35 f. och Elektronisk informations- överföring hos arbetslöshetskassorna och inom Arbetsmarknadsverket, prop. 2005/06:52, s. 8).

Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Den faktiska begränsningen av direktåtkomsten görs med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet.

Utlämnande på medium för automatiserad behandling

I princip anses allt elektroniskt utlämnande som inte sker genom direkt- åtkomst ske genom utlämnande på medium för automatiserad behand- ling. Som nämnts ovan har Högsta förvaltningsdomstolen ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upp- giften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen (HFD 2015 ref. 61).

Utlämnande av personuppgifter på medium för automatiserad behand- ling kan alltså göras på många olika sätt. Det kan vara fråga om att per- sonuppgifter lämnas t.ex. via upptagningar mellan myndigheter, e-post eller USB-minne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (se Överskottsinformation vid direktåtkomst, SOU 2012:90, s. 198).

5.6.2 Behovet av att kommunicera elektroniskt

	Dagens kommunikationsbehov
	Myndigheter som sysslar med brottsbekämpning, lagföring och straff-
	verkställighet har stora behov av att kommunicera med såväl andra myn-
	digheter som enskilda. Det kan röra sig om att begära eller utbyta
	information, att begära eller lämna yttranden, att ge insyn i en förunder-
	sökning, att delge handlingar under förundersökningsförfarandet eller
	brottmålsprocessen eller att expediera strafförelägganden och andra be-
	slut. Tyngdpunkten ligger på kommunikation mellan behöriga myndig-
	heter, men det rör sig också om kommunikation med andra. När det gäl-
	ler andra myndigheter kan det exempelvis vara fråga om kontakter med
	Transportstyrelsen (trafikutredningar, expediering av strafförelägganden
	och beslut), Arbetsförmedlingen (brottsutredningar, personutredning och
	straffverkställighet) eller Försäkringskassan (brottsutredningar, personut-
130	redning och straffverkställighet). När det gäller kommunikation med
130

enskilda kan som exempel nämnas att Polismyndigheten i sin brottsbe- kämpande verksamhet har stort behov av att kunna kommunicera med bl.a. banker och försäkringsbolag och att Ekobrottsmyndigheten ofta har kontakt med finansiella aktörer.

Behovet av kommunikation utanför ordinarie kontorstid är betydande, eftersom brottsbekämpande verksamhet pågår även på annan tid. Det kan då vara nödvändigt att t.ex. kunna förse offentliga försvarare med hand- lingar elektroniskt.

Under lång tid sköttes kommunikationsbehovet i huvudsak på papper, bl.a. därför att regelverket i rättegångsbalken förutsatte sådan hantering. Både i Sverige och inom EU uppmuntras myndigheter att i så stor ut- sträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge. Det pågår sedan länge ett utvecklingsarbete som syftar till att myndigheterna i rättskedjan i ökande utsträckning ska kunna dra nytta av personuppgifter som har lagrats elektroniskt av de myndigheter som ligger tidigare i kedjan. Genom registerförfattningarna har myndighe- terna i rättskedjan lagstöd för att kunna utbyta personuppgifter elektro- niskt med varandra och att medge övriga myndigheter tillgång till vissa uppgifter genom direktåtkomst. Av effektivitetsskäl kan de emellertid behöva lämna ut personuppgifter i elektronisk form även till andra. Den möjligheten begränsas i dag genom reglerna om utlämnande på medium för automatiserad behandling.

Risker med elektroniskt utlämnande

När det gäller elektroniskt utlämnande brukar utlämnande genom direktåtkomst förknippas med särskilda risker för den personliga integri- teten. En sådan risk är att uppgifterna sprids som en följd av att de upp- tagningar som direktåtkomsten avser blir allmänna handlingar hos den mottagande myndigheten (se SOU 2012:90 s. 64 f. och 123 f. och SOU 2015:39 s. 134 f.). Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myn- digheten anses enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen förvarade hos den mottagande myndigheten och utgör således allmänna handlingar där. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir allmänhetens möjlighet att få tillgång till uppgifterna (se Utlänningsdatalag, SOU 2003:40, s. 201 och Personupp- giftsbehandling på utlännings- och medborgarskapsområdet, SOU 2015:73, s. 304). Det innebär också att direktåtkomst typiskt sett innebär att uppgifter blir tillgängliga för fler personer i de verksamheter som har åtkomst och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar (se Utlänningsdatalag, prop. 2015/16:65, s. 89 f.).

Det förhållandet att en myndighet får tillgång till uppgifter genom direktåtkomst ger dock inte mottagaren rätt att behandla personuppgif- terna. Mottagaren måste ha rättsligt stöd i dataskyddsförordningen,

dataskyddslagen eller i sin egen registerförfattning för personuppgiftsbehandlingen och även i övrigt uppfylla alla skyldigheter som är förenade med den.

Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra risker från integri-

Prop. 2017/18:269

131

Prop. 2017/18:269 tetssynpunkt. Sådant utlämnande innebär nämligen som regel att motta- garen kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar risken för att uppgifterna behandlas i strid med de grundläg- gande kraven på dataskydd.

Viss sekretessreglering har införts för att minska de risker som ökat elektroniskt utlämnande medför. Enligt 11 kap. 4 § offentlighets- och sekretesslagen gäller att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmel- sen tillämplig även hos den mottagande myndigheten. Vidare gäller en- ligt 21 kap. 7 § offentlighets- och sekretesslagen sekretess för person- uppgifter, om det kan antas att utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Syftet med bestämmelsen är att det ska vara möjligt att hindra s.k. massuttag, om det finns skäl att anta att uppgifterna skulle missbrukas.

5.6.3Utlämnande genom direktåtkomst

Regeringens förslag: Registerförfattningarna ska ge samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Säkerhetspolisen bedömer att hänvisningen i be-

stämmelserna om sekretessgenombrott och direktåtkomst, t.ex. hänvis- ningarna i 2 kap. 8 § och 3 kap. 7 § i polisens registerförfattning, till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, kan tolkas som att direktåtkomst och brytande av sekretess inte är möjlig då Säkerhetspolisen ska behandla personuppgifter som rör nationell säkerhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Av 2 kap. 21 § polisdatalagen fram- går att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen. Sådana bestämmelser finns bl.a. i 4 kap., där vissa register särregleras. I 3 kap. 8 § polisdatalagen anges vilka myndigheter som får medges direktåtkomst till andra personuppgifter än de som be- handlas i särskilda register. Där föreskrivs också att direktåtkomst endast får avse personuppgifter som gjorts gemensamt tillgängliga. Liknande bestämmelser finns i 2 kap. 9 § kustbevakningsdatalagen, 2 kap. 17 § åklagardatalagen, 2 kap. 17 § och 3 kap. 8 § tullbrottsdatalagen och 2 kap. 16 § och 3 kap. 8 § skattebrottsdatalagen.

Även i Kriminalvårdens registerlagstiftning finns det bestämmelser om direktåtkomst, men de finns i huvudsak i förordning (se 10 § första stycket 2 lagen om behandling av personuppgifter inom kriminalvården och 37, 43 och 44 §§ förordningen om behandling av personuppgifter inom kriminalvården).

Direktåtkomst kräver alltså i dag lagstöd enligt samtliga registerför- fattningar med undantag av Kriminalvårdens. Riksdagen ska således i de flesta fall ta ställning till om en viss myndighet kan tillåtas att få

132

direktåtkomst. Med något enstaka undantag är det endast myndigheter Prop. 2017/18:269 som tillämpar brottsdatalagen som enligt registerförfattningarna får med-

ges direktåtkomst. De nuvarande bestämmelserna om direktåtkomst ger därmed ett tillräckligt skydd för den personliga integriteten. De är även i övrigt förenliga med direktivet. Det bör därför finnas bestämmelser även i de nya registerförfattningarna som ger samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering.

Säkerhetspolisen bedömer att hänvisningen i bestämmelserna om sek- retessgenombrott och direktåtkomst till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, skulle kunna tolkas som att sekretessgenombrott och direktåtkomst inte är möjlig då Säkerhetspoli- sen ska behandla personuppgifter som rör nationell säkerhet. Hänvis- ningen till 1 kap. 2 § brottsdatalagen sker dock för att tydliggöra för vilka syften som sekretess får brytas respektive för vilka syften som myndig- heten får medges direktåtkomst. Den omständigheten att brottsdatalagens tillämpningsområde är begränsat på sätt som anges i bestämmelsen i

1 kap. 4 § samma lag innebär inte att möjligheterna till sekretessgenom- brott och direktåtkomst är begränsade. Hänvisningen i bestämmelserna ska därmed inte tolkas på det sätt som Säkerhetspolisen redogjort för.

5.6.4Annat elektroniskt utlämnande tillåts i större utsträckning

Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten välkomnar förslaget. Datain-

spektionen avstyrker förslaget eftersom att det utan närmare analyser om vilka effekter på den personliga integriteten som utvidgningen får eller kan få inte går att avgöra om utvidgningen kan anses proportionerlig i förhållande till enskildas personliga integritet. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Nuvarande reglering

Registerförfattningarna för de brottsbekämpande myndigheterna innehål- ler bestämmelser om elektroniskt utlämnande. I 2 kap. 20 § polisdatala- gen, 2 kap. 8 § kustbevakningsdatalagen, 2 kap. 16 § åklagardatalagen,

2 kap. 16 § tullbrottsdatalagen och 2 kap. 15 § skattebrottsdatalagen före- skrivs att enstaka personuppgifter får lämnas ut på medium för automati- serad behandling. Registerförfattningarna innehåller dessutom bestäm- melser om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. I de förordningar som kompletterar registerlagarna finns det i varierande ut- sträckning bestämmelser om att uppgifter får lämnas ut på medium för

automatiserad behandling i större utsträckning än vad som anges i res-

133

Prop. 2017/18:269

134

pektive lag. Begränsningen till enstaka personuppgifter gäller t.ex. inte i förhållande till de myndigheter som får medges direktåtkomst. Det innebär att begränsningen inte gäller i förhållande till andra brottsbekäm- pande myndigheter.

I domstolsdatalagen har en delvis annan reglering valts. Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automa- tiserad behandling om det inte är olämpligt.

Dataskyddsdirektivet reglerar inte hur personuppgifter tillhandahålls

Varken dataskyddsdirektivet eller dataskyddsförordningen innehåller några bestämmelser som specifikt reglerar frågan om elektroniskt utläm- nande av personuppgifter. Det gör inte heller det nu gällande data- skyddsdirektivet. Att lämna ut personuppgifter elektroniskt innebär be- handling av personuppgifter och ett utlämnande förutsätter därmed att reglerna om behandling av personuppgifter följs och att inte annan lag- stiftning hindrar utlämnandet.

Eftersom dataskyddsdirektivet inte särskilt reglerar på vilket sätt per- sonuppgifter får lämnas ut, finns det inget som hindrar att bestämmelser som motsvarar de nuvarande reglerna om elektroniskt utlämnande behålls.

Kritik mot reglerna om utlämnande av enstaka personuppgifter

Bestämmelserna om att bara enstaka personuppgifter får lämnas ut på medium för automatiserad behandling har kritiserats. Redan när de inför- des framförde vissa remissinstanser invändningar mot att begränsa det elektroniska utlämnandet till enstaka uppgifter. Det ansågs otidsenligt att i alltför hög grad begränsa myndigheternas möjlighet att utnyttja de för- delar som elektronisk kommunikation kunde ge (se bl.a. prop. 2009/10:85 s. 184 f.). Det var också omfattande kritik mot begränsningen till enstaka uppgifter som ledde till att en annan lösning valdes i dom- stolsdatalagen (se Domstolsdatalag, prop. 2014/15:148, s. 75 f.)

Till kritikerna hör Informationshanteringsutredningen, som föreslår att det i myndighetsdatalagen tas in en bestämmelse som medger elektro- niskt utlämnande till enskilda om det inte är olämpligt med hänsyn till skyddet för personuppgiften. Däremot bör det enligt den utredningen inte gälla några lagliga begränsningar för att tillhandahålla myndigheter per- sonuppgifter i elektronisk form (se SOU 2015:39 s. 447).

Även uttrycket ”utlämnande på medium för automatiserad behandling” har kritiserats, bl.a. på den grunden att det är otydligt (se SOU 2012:90 s. 198 f. och SOU 2015:39 s. 442).

Bör regleringen ändras?

Numera förväntar sig både myndigheter och enskilda att handlingar i stor utsträckning kan förmedlas elektroniskt. Frågan är om den utvecklingen bör mötas med bestämmelser som förenklar för myndigheterna i rättsked- jan att kunna kommunicera elektroniskt.

Elektronisk kommunikation är som regel kostnadseffektiv om man jämför med postbefordran. I vissa avseenden är elektronisk kom- munikation säkrare än traditionell befordran, eftersom spårbarheten är större. Elektronisk kommunikation gör det också enkelt att sända större

informationsmängder. För mottagaren är skillnaden mellan att få uppgif- Prop. 2017/18:269 ter på papper och i elektronisk form inte heller så stor i dag. Med modern

teknik kan nämligen text på papper enkelt omvandlas till elektroniska uppgifter.

I förarbetena till bl.a. polisdatalagen och kustbevakningsdatalagen framhålls att när ordet enstaka används i bestämmelsen om utlämnande av uppgifter på medium för automatiserad behandling har ordet en annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen inte avsedd att utgöra ett hinder mot att handlingen lämnas ut t.ex. via e-post. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett stort antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av be- stämmelsen. Bestämmelsen ger också stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer. Ett förundersökningsprotokoll kan således ofta lämnas ut elektroniskt. Där- emot får inte en större mängd uppgifter, t.ex. ett helt register eller delar av ett register, lämnas ut med stöd av en sådan bestämmelse (se prop. 2009/10:85 s. 333 och prop. 2011/12:45 s. 98).

Det finns risk att bestämmelser som enligt sin ordalydelse talar för en mer restriktiv tillämpning av elektroniskt utlämnade än vad som förefal- ler vara avsedd, kan motverka strävanden efter att myndigheterna ska dra nytta av effektivitetsvinsterna med ny teknik. Det är också olyckligt om förarbetena ger uttryck för att lagregler ska tolkas annorlunda än sin ordalydelse. En annan risk med hur bestämmelserna är formulerade i dag är att de ger sken av att ge ett starkare integritetsskydd än vad som i prak- tiken är fallet.

Mot den nu angivna bakgrunden bör bestämmelser om utlämnande av personuppgifter på medium för automatiserad behandling utformas på ett annat sätt i de nya registerförfattningarna.

Samma reglering som för domstolarna

För Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbevakningen, Tullverket och Skatteverket har regeringen redan i förordning öppnat för elektroniskt uppgiftslämnande på annat sätt än genom direktåtkomst om det inte är olämpligt. Det gäller dock enbart i förhållande till vissa i förordningarna uppräknade kategorier av motta- gare, framför allt sådana till vilka det förekommer frekvent uppgiftsläm- nande.

Det finns anledning att lämna större utrymme för utlämnande i elektro- nisk form för de brottsbekämpande myndigheterna. Även om det i rela- tivt stor utsträckning förekommer integritetskänsliga personuppgifter i framför allt brottsbekämpande verksamhet och vid straffverkställighet måste riskerna med att överföra sådana uppgifter elektroniskt vägas mot behovet av snabb och effektiv kommunikation. Sekretessbestämmelserna tillsammans med regleringen av personuppgiftsbehandling skyddar vidare enskilda mot att möjligheten att lämna ut personuppgifter elektro- niskt missbrukas. Den som överväger att lämna ut personuppgifter, oav- sett i vilken form det görs, måste alltid överväga om sekretessregleringen lägger hinder i vägen och, om så inte är fallet, om regelverket för person-

uppgiftsbehandling gör det möjligt att lämna uppgifterna i elektronisk

135

Prop. 2017/18:269 form. Mottagaren måste dessutom alltid ha rättslig grund för behand- lingen och är även i övrigt skyldig att leva upp till de krav som finns i reglerna om personuppgiftsbehandling. Regeringen anser att regleringen, med dess krav för utlämnande och mottagande, är utformad på ett sätt som ger ett gott skydd för den personliga integriteten. Det finns inte skäl att vidare analysera utvidgningens effekter på sätt som Datainspektionen efterfrågar. Mot den bakgrunden bör samma lagtekniska lösning som i domstolsdatalagen väljas i de berörda myndigheternas registerförfatt- ningar. Bestämmelserna bör därför ändras på det sättet att personupp- gifter ska få lämnas ut elektroniskt om det inte är olämpligt.

Informationshanteringsutredningen anser att uttrycket ”utlämnande på medium för automatiserad behandling” bör utmönstras och föreslår att uttrycket ”utlämnande i elektronisk form” ska användas i stället (se SOU 2015:39 s. 442).

Ett modernare uttryckssätt är att föredra. Eftersom registerförfattning- arna ses över är det lämpligt att göra den förändringen nu. Även fortsätt- ningsvis bör det i registerförfattningarna göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utläm- nande på annat sätt (se även avsnitt 5.6.1 avseende avgörandet HFD 2015 ref. 61).

När kan elektroniskt utlämnande komma i fråga?

I fråga om elektroniskt utlämnande på annat sätt än genom direktåtkomst bör skillnad göras mellan utlämnande till myndigheter och utlämnande till enskilda. Det bör normalt inte anses olämpligt att lämna personupp- gifter elektroniskt till myndigheter (jfr SOU 2015:39 s. 447 f.). Om det i ett enskilt fall skulle bedömas vara olämpligt bör emellertid person- uppgifterna lämnas på annat sätt.

Även när det gäller utlämnande till enskilda har lagstiftaren redan tagit ställning till att sådant utlämnande är godtagbart till vissa kategorier av mottagare, om det inte är olämpligt. Det gäller t.ex. uppgifter som lämnas till konkursförvaltare i vissa fall. Personuppgifter bör kunna lämnas ut elektroniskt till sådana kategorier i samma utsträckning som i dag.

När det gäller andra enskilda än de som i dag pekas ut i förordning kan det krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. I de fallen är det svårare att göra en generell bedömning av om elektro- niskt utlämnande kan vara lämpligt. Det bör därför finnas utrymme för regeringen att meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Den närmare innebörden av vad som ska anses vara ett sådant olämp- ligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis.

136

5.7	Rätt att meddela föreskrifter								Prop. 2017/18:269

Regeringens förslag: Bestämmelser som motsvarar den befintliga
regleringen		om	föreskriftsrätt	ska	införas	i	de	nya
registerförfattningarna, förutom i de fall där de inte längre fyller någon
funktion.

Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: I registerförfattningarna finns det ett
flertal bestämmelser där det upplyses att regeringen kan meddela
föreskrifter i en viss fråga, eller delegera den uppgiften till en myndighet.
Vissa befintliga bestämmelser om föreskriftsrätt behöver inte införas i
de nya registerförfattningarna eftersom de är knutna till bestämmelser
som inte längre kommer att finnas kvar. Det finns också vissa
bestämmelser om vidaredelegation av föreskriftsrätt som inte bör
behållas därför att det som regleringen avser enbart rör
myndighetsinterna frågor eller därför att det är uppgifter som följer med
rollen som personuppgiftsansvarig. Myndigheterna bör alltså inte ha
någon föreskriftsrätt om det är fråga om interna förhållanden som kan
regleras på annat sätt än i föreskrifter. Det gäller exempelvis föreskrifts-
rätten i 3 § polisdataförordningen om tillgången till personuppgifter, i 5 §
andra stycket om begränsning av tillgången till vissa uppgifter och i 8 §
om sökning. Motsvarande bestämmelser i övriga registerförordningar bör
också upphävas.
Lagrådet framhåller att förslagen innebär att regeringen förutsätts att –
såsom redan gäller i dag – i förordning ange bl.a. vissa fall när det är
tillåtet att behandla personuppgifter under längre tid än vad som medges i
lag. Lagrådet ifrågasätter om föreskrifter vars sakliga innebörd är en
försämring av ett i lag stadgat skydd verkligen kan anses som gynnande
eller neutrala i förhållande till enskilda. Lagrådet konstaterar att om så
inte är fallet får regeringen inte meddela föreskrifterna med stöd av sin
restkompetens och anser att frågan bör övervägas ytterligare under den
fortsatta beredningen. Vidare ställer Lagrådet frågan om regeringens mer
allmänna bedömning angående förhållandet till den formella lagkraftens
princip (8 kap. 18 § regeringsformen) i propositionen till den nya
dataskyddslagen också har bärkraft här (prop. 2017/18:105 s.26 f.). Även
denna fråga bör enligt Lagrådet föranleda ytterligare överväganden.
När det gäller sektorspecifika registerförfattningar som enbart rör
behandling av personuppgifter som utförs av statliga myndigheter som
lyder under regeringen anser regeringen, i linje med vad som har anförts i
bl.a. förarbetena till dataskyddslagen (prop. 2017/18:105 s. 26 f.) att
föreskrifter som direkt eller indirekt rör behandling av personuppgifter
kan meddelas av regeringen med stöd av dess restkompetens enligt 8
kap. 7 § första stycket 2 regeringsformen. Sådana föreskrifter finns i dag
i bl.a. 21–26 §§ polisdataförordningen (2010:1155), där det föreskrivs att
vissa kategorier av uppgifter får behandlas i polisens brottsbekämpande
verksamhet efter utgången av den tid som anges i polisdatalagen. Med
hänsyn till att bestämmelser om längsta tid för behandling finns i lag
tydliggörs genom en upplysningsbestämmelse i 3 kap. 12 §
polisdatalagen		att	sådana föreskrifter	kan	meddelas	av	regeringen.		137

Prop. 2017/18:269 Motsvarande upplysningsbestämmelser finns i bl.a. 4 kap. 14 § kustbevakningsdatalagen och 4 kap. 2 § skattebrottsdatalagen.

Regeringen gör inte nu någon annan bedömning av omfattningen av regeringens restkompetens än den som har kommit till uttryck i tidigare lagstiftningsärenden avseende regleringen av behandling av person- uppgifter. Bestämmelser som gäller längsta tid för behandling av personuppgifter i de nu aktuella registerförfattningarna måste alltså anses falla under regeringens restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Eftersom sådana bestämmelser även kommer att finnas i lag bör det dock även fortsättningsvis finnas upplysningsbestämmelser i de aktuella registerförfattningarna som klargör att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i lagen.

Även de andra bestämmelser i lagförslagen som gäller regeringens föreskriftsrätt omfattas av regeringens kompetens enligt 8 kap. 7 § regeringsformen.

6 Behandling för nya ändamål

6.1 Bestämmelser om rättslig grund och ändamål

	Dataskyddsregleringen utgår från att varje behandling av personuppgifter
	måste vila på en rättslig grund för att vara laglig. Det är alltså bara om
	det finns en rättslig grund som personuppgifter överhuvudtaget får
	behandlas.
	En annan grundläggande princip för all personuppgiftsbehandling är att
	personuppgifter får samlas in bara för särskilda, uttryckligt angivna och
	berättigade ändamål. Det finns därför normalt även bestämmelser om
	tillåtna ändamål för personuppgiftsbehandling i olika registerförfatt-
	ningar.
	I de brottsbekämpande myndigheternas nuvarande registerförfattningar
	delas ändamålen upp i primära och sekundära, se bl.a. 2 kap. 7 och 8 §§
	polisdatalagen, 2 kap. 5 och 6 §§ åklagardatalagen samt 2 kap. 5 och 6 §§
	tullbrottsdatalagen. Bestämmelserna har samma utformning och liknande
	innehåll. De primära ändamålen reglerar behandlingen av de personupp-
	gifter som behövs i den berörda myndighetens egen brottsbekämpande
	verksamhet. Polismyndigheten får t.ex. enligt 2 kap. 7 § polisdatalagen
	behandla personuppgifter om det behövs för att förebygga, förhindra
	eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra
	förpliktelser som följer av internationella åtaganden. De sekundära ända-
	målen reglerar i vilken utsträckning personuppgifter som behandlas för
	något av de primära ändamålen får behandlas för att lämnas ut till andra
	myndigheter eller verksamheter eller till enskilda för att tillgodose deras
	behov.
	Syftet med uppdelningen i primära och sekundära ändamål är att göra
138	det tydligt hur personuppgifter dels får användas i myndighetens egen
138

brottsbekämpande verksamhet, dels får behandlas för att lämnas ut till Prop. 2017/18:269 andra.

6.2En ny ordning i brottsdatalagen

Gränsen mellan bestämmelser om rättslig grund i dataskyddsrättslig mening och bestämmelser om ändamål för behandlingen av personupp- gifter är inte helt klar. I propositionen Brottsdatalag konstateras att vad som är bestämmelser om rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det anses därför vara lämpligt att göra tydligare skillnad mellan dessa typer av bestämmelser (se prop. 2017/18:232 s. 114 f.).

I den nämnda propositionen behandlas ingående hur kravet på rättslig grund förhåller sig till de primära och sekundära ändamålen i register- författningarna. Övervägandena leder till bedömningen att de primära och sekundära ändamålsbestämmelserna i de brottsbekämpande myndig- heternas registerförfattningar är så allmänt hållna att de bör ses som en del av den rättsliga grunden för behandlingen av personuppgifter och inte som ändamålsbestämmelser.

Framöver kommer de generella bestämmelserna om rättslig grund på direktivets område att finnas i brottsdatalagen. Där anges att lagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I brottsdatalagen kommer det även att stad- gas att personuppgifter bara får behandlas för särskilda, uttryckligt an- givna och berättigade ändamål.

Därutöver föreslås en ny ordning i brottsdatalagen när det gäller be- handling av personuppgifter för nya ändamål. Innan personuppgifter får behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsom- råde, ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att per- sonuppgifterna behandlas för det nya ändamålet. I den utsträckning en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan prövning inte göras (2 kap. 4 § brottsdatalagen).

Det föreslås också en motsvarande bestämmelse i brottsdatalagen som gäller vid ny behandling av uppgifter för ändamål utanför lagens tillämp- ningsområde (2 kap. 22 § brottsdatalagen).

6.3Bör sekundära ändamålsbestämmelser behållas?

Regeringens bedömning: De nya registerförfattningarna bör inte innehålla bestämmelser som motsvarar de sekundära ändamåls- bestämmelserna i polisdatalagen, kustbevakningsdatalagen, åklagar- datalagen, tullbrottsdatalagen och skattebrottsdatalagen.

Utredningens bedömning överensstämmer i sak med regeringens.

139

Prop. 2017/18:269

140

Remissinstanserna: Datainspektionen anser i likhet med utredningen att de sekundära ändamålsbestämmelser som gäller behandling för ändamål inom brottsdatalagens tillämpningsområde inte bör behållas. Övriga remissinstanser yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning

Nuvarande reglering

Enligt de sekundära ändamålsbestämmelserna i registerförfattningarna får myndigheterna lämna ut personuppgifter som redan behandlas i vissa uppräknade situationer, t.ex. när personuppgifterna behövs i en brottsbe- kämpande verksamhet hos någon annan svensk eller utländsk myndighet. De sekundära ändamålsbestämmelserna reglerar inte bara utlämnande på direktivets område. Polismyndigheten och Tullverket får exempelvis till- handahålla information som behövs i annan verksamhet som respektive myndighet ansvarar för, om det finns särskilda skäl för det. Motsvarande men mer preciserade bestämmelser finns för Kustbevakningen och Skat- teverket. Vidare finns det, efter modell från polisdatalagen, en generell bestämmelse i flertalet registerförfattningar som innebär att personupp- gifter i enskilda fall även får behandlas för att tillhandahålla information för något annat ändamål än de uttryckligt angivna, om ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

De nuvarande sekundära ändamålsbestämmelserna omfattar alltså ut- lämnande av uppgifter för syften som ligger både inom och utanför tillämpningsområdet för brottsdatalagen.

Behandling för nya ändamål på direktivets område

Behandling för nya ändamål kan leda till ökad spridning av personupp- gifter genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ett ökat intrång i en- skildas personliga integritet. Det är därför viktigt att en noggrann pröv- ning görs innan personuppgifter behandlas för ett nytt ändamål.

Som nyss nämnts innebär den nya regleringen i brottsdatalagen att det, innan personuppgifter behandlas för ett nytt ändamål inom lagens tillämpningsområde, ska säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Bestämmelsen genomför artikel 4.2 i direktivet om behandling för nya ändamål.

Om de sekundära ändamålsbestämmelserna med den nuvarande utformningen införs i de nya registerförfattningarna, skulle prövningen enligt 2 kap. 4 § brottsdatalagen inte få fullt genomslag. Ett åsidosättande av prövningen enligt brottsdatalagen kan inte heller anses vara förenligt med artikel 4.2 i direktivet. De sekundära ändamålsbestämmelser som faller inom direktivets tillämpningsområde bör därför inte överföras till de nya registerförfattningarna med den nuvarande utformningen.

Behövs en reglering i de nya registerförfattningarna?

Direktivet hindrar inte att den nationella rätten sätter gränser för i vilken utsträckning som personuppgifter får lämnas mellan myndigheter. Så-

dana begränsningar kan bidra till att skydda enskildas personliga integri- tet och göra det tydligt och förutsebart i vilken utsträckning som behöriga myndigheter får lämna personuppgifter till andra. Det skulle därför på den grunden vara möjligt att ersätta dagens sekundära ändamålsbestäm- melser med bestämmelser som innehåller begränsningar av möjligheten att lämna uppgifter myndigheter emellan.

I förarbetena till flera av registerförfattningarna har det dock framhål- lits att det ur ett brottsbekämpningsperspektiv är angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möj- ligt. Som nämnts där verkar brottsligheten över såväl geografiska gränser som myndighetsgränser och de brottsbekämpande myndigheterna måste samverka med varandra för att brottsbekämpning ska vara effektiv. Så- dan samverkan förutsätter möjligheter till effektivt utbyte av information (se bl.a. prop. 2009/10:85 s. 166 f. och prop. 2016/17:91 s. 96 f.).

Ett av syftena med brottsdatalagen är också att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Enligt brottsdatalagen ska ändå alltid en prövning göras innan personuppgifter behandlas för ett nytt ändamål. Regeringen instämmer i utredningens mening att den prövningen är tillräcklig för att skydda enskildas integritet. Det finns därför inte skäl för att i registerför- fattningarna föreslå någon annan begränsning än den som följer av brottsdatalagen när det gäller möjligheterna att tillhandahålla uppgifter för nya ändamål inom brottsdatalagens område.

Behandling för ändamål utanför direktivets tillämpningsområde

När en behörig myndighet behandlar personuppgifter för ändamål utan- för brottsdatalagens tillämpningsområde ska dataskyddsförordningen tillämpas i stället för brottsdatalagen. Förordningen ska tillämpas även när en behörig myndighet tillhandahåller personuppgifter till andra, om ändamålet med behandlingen där ligger utanför brottsdatalagens tillämp- ningsområde. Den ordningen skiljer sig från vad som gäller idag. Som exempel kan nämnas att Kustbevakningen lämnar personuppgifter till Sjöfartsverket efter en fartygskollision. Personuppgifter som en behörig myndighet behandlar enligt brottsdatalagen kan också behöva lämnas till en enhet inom samma myndighet som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyn- dighetens brottsbekämpande verksamhet kan exempelvis behöva lämnas till den verksamhet inom myndigheten där frågor om pass eller olika typer av tillstånd behandlas.

Dataskyddsförordningen utgår, på samma sätt som direktivet, från att varje behandling av personuppgifter ska vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i förordningen. Dit hör enligt punkten e) att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvari- ges myndighetsutövning. Det är främst den punkten som aktualiseras när behöriga myndigheter lämnar ut personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde.

Till skillnad från vad som gäller vid behandling för nya ändamål inom brottsdatalagens tillämpningsområde hindrar varken direktivet eller för-

Prop. 2017/18:269

141

Prop. 2017/18:269 ordningen att innehållet i de sekundära ändamålsbestämmelserna behålls när det gäller behandling för ändamål utanför brottsdatalagens område.

I 2 kap. 22 § brottsdatalagen finns dock en bestämmelse som innebär att innan personuppgifter som behandlas med stöd av lagen, behandlas för ändamål utanför lagens tillämpningsområde, ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning som en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan pröv- ning inte göras.

Med hänsyn till innehållet i den nya bestämmelsen i brottsdatalagen är det inte heller på förordningens område lämpligt att föra över de sekundära ändamålsbestämmelserna till de nya registerförfattningarna. De nya registerförfattningarna bör alltså inte innehålla några sådana bestämmelser.

Konsekvenser av att de nya registerförfattningarna saknar sekundära ändamålsbestämmelser

Avsaknaden av sekundära ändamålsbestämmelser i de nya registerförfattningarna innebär inte att de brottsbekämpande myndigheterna förlorar möjligheten att behandla personuppgifter för nya ändamål i motsvarande utsträckning framöver. Till att börja med anges det uttryckligen i brottsdatalagen att en prövning av nödvändighet och proportionalitet inte behöver göras om en skyldighet att lämna uppgifter följer av lag eller förordning. Detta undantag från prövningen motsvarar vissa av de situationer som anges i bestämmelserna om sekundära ändamål i myndigheternas nuvarande registerförfattningar, se t.ex. 2 kap. 8 § första stycket 7 polisdatalagen.

I de övriga situationer som anges i dagens bestämmelser om sekundära ändamål måste en behandling för nya ändamål i fortsättningen som regel anses vara nödvändig och proportionerlig enligt brottsdatalagens be- stämmelser (se prop. 2017/18:232 s. 130 och 136). Exempelvis bör det alltid anses vara nödvändigt och proportionerligt att behandla personuppgifter för att tillhandahålla information som behövs i andra behöriga myndigheters brottsbekämpande verksamhet, jfr t.ex. 2 kap. 8 § första stycket 1 polisdatalagen.

142

7	Polisens brottsdatalag	Prop. 2017/18:269

7.1Behovet av anpassning till brottsdatalagen

7.1.1Nuvarande reglering

Polisdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhets- polisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Den gäller enligt 1 kap. 3 § däremot inte vid behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens infor- mationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister (numera upphävd) och lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. I 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. För personuppgifter som har gjorts gemensamt tillgängliga gäller även 3 kap. Vid behandling av personuppgifter i särskilda register gäller 4 kap. i stället för 3 kap. Behandling för forensiska ändamål regleras i 5 kap. Slutligen finns bestämmelser om behandling av personuppgifter i Säker- hetspolisens verksamhet i 6 kap.

Innehållet i många bestämmelser i polisdatalagen behöver inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpass- ningar som är specifika för polisdatalagen behandlas däremot i detta avsnitt.

Regleringen av Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet behandlas inte i denna proposition, se avsnitt

7.2.1.För den behandlingen kommer 6 kap. polisdatalagen tillfälligt att fortsätta gälla genom en övergångsbestämmelse, se avsnitt 16.

7.1.2	Lagens namn

Regeringens förslag: Den nya lagen ska benämnas lag om polisens
behandling av personuppgifter inom brottsdatalagens område. Hänvis-
ningar till polisdatalagen i andra författningar ska ändras till lagen om
polisens behandling av personuppgifter inom brottsdatalagens område.

Utredningen föreslår att lagen ska benämnas polisens brottsdatalag.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: De registerförfattningar som ska gälla
utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till
brottsdatalagen. Utredningen föreslår att lagen ska benämnas polisens
brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Det
föreslagna namnet avviker dock från den systematik som gäller för
författningars rubriker (se Ds 2014:1 s. 17 f.). Det vore visserligen
önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för
vem författningen gäller, vad den handlar om och signalera en tydlig
koppling till brottsdatalagen. Gemensamt för de myndigheter som ska		143

Prop. 2017/18:269 tillämpa lagen är att den ska gälla i deras polisiära verksamhet. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om polisens behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för polisens brottsdatalag.

Alla hänvisningar till polisdatalagen i andra författningar, med undantag för hänvisningen i 1 kap. 3 § dataskyddslagen, ska ändras till lagen om polisens behandling av personuppgifter inom brottsdatalagens område.

7.2Allmänna bestämmelser

7.2.1Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när någon av följande myndigheter i egenskap av behörig myndighet be- handlar personuppgifter:

1.Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

2.Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet,

3.Säkerhetspolisen i frågor som inte rör nationell säkerhet, om upp- gifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott.

Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet ska inte regleras i lagen.

Lagen ska inte heller gälla vid personuppgiftsbehandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister eller lagen om Polismyndighetens elimineringsdatabas.

Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som har meddelats i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i polisens brottsdatalag.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna: Polismyndigheten förordar att uttrycket ”över-

vaka allmän ordning och säkerhet” används i stället för ”upprätthålla allmän ordning och säkerhet”. Övriga remissinstanser tillstyrker eller yttrar sig inte särskilt över förslaget.

	Skälen för regeringens förslag
	Den nuvarande regleringen behöver anpassas
	Polisdatalagen gäller enligt 1 kap. 2 § för behandling av personuppgifter
	i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhets-
144	polisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Tillämp-
144

ningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde, så att det dels utgår från syftet med behandlingen, dels omfattar den personuppgiftsbehandling som myndigheterna utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör också framgå att lagen endast gäller när myndigheterna agerar i egenskap av behöriga myndigheter.

Tillämpningsområdet för Polismyndigheten

För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av person- uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i polisens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.

Brottsdatalagens tillämpningsområde omfattar även personupp- giftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Polismyndigheten har enligt 2 § polislagen (1984:387) i uppdrag att före- bygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten, att övervaka den allmänna ordningen och säkerheten och att ingripa när störningar har inträffat. För att polisens brottsdatalag så långt möjligt ska täcka all Polismyndighetens behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet. Polismyndigheten förordar att uttrycket ”övervaka allmän ordning och säkerhet” används i stället för ”upprätthålla allmän ordning och säkerhet”. Den sistnämnda formuleringen har dock valts i brottsdatalagen och bör därför användas även här, se prop. 2017/18:232 s. 97. Där diskuteras också var gränsen för tillämpningsområdet bör gå.

Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbe- handling i syfte att verkställa straffrättsliga påföljder. För Polismyndig- hetens del blir sådan personuppgiftsbehandling framför allt aktuell i myndighetens uppbördsverksamhet. För närvarande bereds en departe- mentspromemoria som innehåller förslag till hur Polismyndighetens be- handling av personuppgifter vid uppbörd av böter bör regleras (Ds 2018:3). Mot den bakgrunden lämnas inte nu några förslag när det gäller Polismyndighetens personuppgiftsbehandling i syfte att verkställa straff.

Tillämpningsområdet för Ekobrottsmyndigheten

Ekobrottsmyndigheten är en åklagarmyndighet med ett utökat uppdrag. I myndigheten integreras åklagarverksamheten med den polisiära verk- samhet som krävs för att utreda de brott som Ekobrottsmyndigheten har i uppdrag att bekämpa (se prop. 2014/15:63 s. 21 f.). Den operativa verk- samheten kan delas in i tre verksamhetsområden: underrättelseverksam- het, utrednings- och lagföringsverksamhet och brottsförebyggande verk- samhet. Huvuddelen av Ekobrottsmyndighetens verksamhet består i att

Prop. 2017/18:269

145

Prop. 2017/18:269	utreda brott. Åklagare är alltid förundersökningsledare i förundersök-
	ningar vid myndigheten och fattar beslut om lagföring.
	Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i
	både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den
	polisiära verksamheten medan åklagardatalagen gäller i den övriga ope-
	rativa verksamheten. Det har framkommit att det finns osäkerhet om
	vilket regelverk som ska tillämpas.
	Utgångspunkten för vilket regelverk som ska tillämpas bör vara den-
	samma för Ekobrottsmyndigheten som för Åklagarmyndigheten och
	Polismyndigheten. Den personuppgiftsbehandling som utförs för att
	fullgöra åklagaruppgifter i utredningsverksamheten bör därför styras av
	den registerförfattning som gäller för åklagarväsendet. Den personupp-
	giftsbehandling som utförs i den övriga utredningsverksamheten vid
	Ekobrottsmyndigheten bör däremot regleras i polisens brottsdatalag
	I dag används uttrycket polisiär verksamhet för att avgränsa tillämp-
	ningsområdet för polisdatalagen. Det finns ingen definition av vad som
	är polisiär verksamhet. Sådan verksamhet är vittomfattande och berör
	många sektorer av samhället. Regeringen instämmer därför i utredning-
	ens bedömning att det är bättre att utgå från åklagarverksamheten än den
	polisiära verksamheten vid avgränsningen av tillämpningsområdet.
	Åklagarverksamhet består av två huvuddelar, brottsutredning och lag-
	föring, men åklagare har även vissa andra författningsreglerade uppgifter
	inom brottsdatalagens tillämpningsområde. Brottsutredning avser först
	och främst att åklagare fattar beslut i fråga om huruvida förundersökning
	ska inledas eller begränsas, läggas ned eller avslutas på annat sätt. Det
	innefattar också alla beslut som åklagare fattar om åtgärder under en
	förundersökning, exempelvis om straffprocessuella tvångsmedel eller
	framställningar till domstol. Beslut i samband med att förundersökningar
	läggs ned eller avslutas på annat sätt, t.ex. genom åtalsunderlåtelse, och
	uppgifter i samband med besluten ingår således i åklagarverksamheten.
	Åklagare är enligt 22 kap. rättegångsbalken skyldiga att biträda måls-
	ägande. Åklagarverksamhet inkluderar även att förbereda och föra olika
	former av talan som kan föras i ett brottmål i samband med ansvarstalan,
	t.ex. talan om enskilt anspråk, näringsförbud, rådgivningsförbud eller
	skattetillägg. Lagföring avser för åklagarnas del huvudsakligen att ut-
	färda strafförelägganden och besluta om åtal, att föra ansvarstalan och att
	företräda staten i andra frågor i brottmål. På samma sätt som domstol har
	åklagare även omfattande skyldigheter att expediera beslut.
	Det är dock inte längre möjligt att låta regleringen om personuppgifts-
	behandling utgå från den verksamhet som personuppgifterna behandlas i,
	eftersom syftet med personuppgiftsbehandlingen är avgörande för lagens
	tillämpningsområde.
	Polisens brottsdatalag bör därför gälla vid personuppgiftsbehandling
	hos Ekobrottsmyndigheten i syfte att utreda brott, om det inte är fråga om
	åklagarverksamhet. Vid Ekobrottsmyndigheten är det enbart åklagare
	som fattar beslut om lagföring. Därför bör myndighetens personuppgifts-
	behandling i det syftet inte regleras i polisens brottsdatalag.
	Det bedrivs även underrättelseverksamhet vid Ekobrottsmyndigheten.
	Den verksamheten leds och utförs dock av Polismyndigheten. Polisens
	brottsdatalag bör tillämpas på den behandlingen, på samma sätt som vid
146	annan personuppgiftsbehandling som Polismyndigheten utför.

Tillämpningsområdet för Säkerhetspolisen

Polisdatalagen gäller i dag även i Säkerhetspolisens brottsbekämpande verksamhet. Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet omfattas dock inte av dataskyddsdirektivet och brottsdatalagen kommer inte att vara tillämplig på den verksamheten. Polisens brottsdatalag kommer att gälla utöver brottsdatalagen. Många frågor som tidigare reglerades i polisdatalagen regleras i dag i brottsdatalagen.

Eftersom brottsdatalagen inte kommer att vara tillämplig i större delen av Säkerhetspolisens verksamhet och polisens brottsdatalag anpassas till brottsdatalagen blir det komplicerat att reglera Säkerhetspolisens personuppgiftsbehandling i polisens brottsdatalag. Regeringen delar därför utredningens uppfattning att det finns starka lagtekniska skäl för att Säkerhetspolisens behandling av personuppgifter bör regleras på annat sätt än i polisens brottsdatalag. Hur den regleringen bör utformas återkommer regeringen till ett annat lagstiftningsärende. Vad som ska gälla under mellantiden behandlas i avsnitt 16.

Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådant biträde omfattas personuppgiftsbehandlingen av brottsdatalagens tillämpningsområde, om den inte rör nationell säkerhet (se prop. 2017/18:232 s. 105).

Enligt 30 § förordningen (2014:1102) med instruktion för Polismyn- digheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en för- undersökning eller annan liknande uppgift i den brottsbekämpande verk- samheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (se prop. 2013/14:110 s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av brottsdatalagens tillämpningsområde bör Säkerhets- polisen tillämpa den lagen.

För Polismyndighetens del kompletteras brottsdatalagen av polisens brottsdatalag. När Säkerhetspolisen biträder eller övertar en arbetsuppgift från Polismyndigheten bör Säkerhetspolisen tillämpa samma reglering. Säkerhetspolisen bör således tillämpa polisens brottsdatalag i frågor som inte rör nationell säkerhet, om personuppgifter behandlas i syfte att bekämpa eller lagföra brott.

Lagen ska inte gälla vid behandling i vissa register

Enligt 1 kap. 3 § polisdatalagen gäller lagen inte vid behandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister, lagen om polisens allmänna spaningsregister (numera upphävd) och lagen om register över tillträdesförbud vid idrottsarrangemang.

Prop. 2017/18:269

147

Prop. 2017/18:269 Det är inte möjligt att reglera all Polismyndighetens personuppgifts- behandling inom brottsdatalagens tillämpningsområde i polisens brottsdatalag. Lagen bör därför inte gälla vid behandling av personupp- gifter som regleras särskilt i vissa andra uppräknade författningar. Till skillnad från utredningen anser regeringen att vapenlagen uttryckligen bör undantas från tillämpningsområdet. I vilken utsträckning vapenlagen omfattas av brottsdatalagens tillämpningsområde övervägs för närvarande i ett annat lagstiftningsärende.

148

Eftersom lagen (2010:362) om polisens allmänna spaningsregister har upphört att gälla bör hänvisningen till den lagen inte införas i polisens brottsdatalag. Regeringen anser vidare, i likhet med utredningen, att Polismyndighetens behandling av personuppgifter i tillträdesförbuds- registret bör regleras i polisens brottsdatalag (se avsnitt 14.2) och hänvisningen till den lagen bör därför inte heller införas i den nya lagen.

Enligt lagen om Polismyndighetens elimineringsdatabas får Polismyn- digheten föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser. Både dna-profiler som inte kan hänföras till en identifierbar person och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken från en misstänkt jämförs med dna-profilerna i elimineringsdatabasen innan de läggs in i spårregistret respektive utredningsregistret eller dna-registret. Syftet med det är att säkerställa att sökningar i registren inte ger felaktiga resultat på grund av att kontaminerade dna-profiler har registrerats. Regeringen instämmer i utredningens bedömning att behandling av dna-profiler i elimineringsdatabasen är en verksamhet som är oupplösligt förbunden med Polismyndighetens hantering av de övriga dna-registren och därför bör omfattas av brottsdatalagens tillämpningsområde. Med hänsyn till att elimineringsdatabasen inte får användas för att utreda brott ansåg rege- ringen dock tidigare att regleringen av den inte passade in i polisdata- lagen, eftersom den lagen gäller i den brottsbekämpande verksamheten (se prop. 2013/14:110 s. 456). Det finns fortfarande goda skäl att reglera databasen särskilt. Behandling som utförs enligt lagen om Polismyndig- hetens elimineringsdatabas bör därför undantas från tillämpnings- området.

Lagen om flygpassageraruppgifter i brottsbekämpningen

En ny lag om flygpassageraruppgifter i brottsbekämpningen föreslås träda i kraft den 1 augusti 2018, dvs. före polisens brottsdatalag (se prop. 2017/18:234). Lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Lagen kommer bl.a. att innehålla regler om behandling av personuppgifter. I samma proposition föreslås ändringar i polisdatalagen som innebär att om det i den nya lagen finns bestämmelser som avviker från polisdatalagen, ska dessa bestämmelser tillämpas i stället för polisdatalagens reglering. Polisdatalagen kommer alltså att vara subsidiär i förhållande till lagen om flygpassageraruppgifter i brottsbekämpningen. En motsvarande bestämmelse bör införas i den nya lagen. Polisdatalagen är sedan tidigare subsidiär även i förhållande till lagen (2017:496) om internationellt

polisiärt samarbete (1 kap. 4 § polisdatalagen). Även en sådan Prop. 2017/18:269 motsvarande bestämmelse bör finnas i den nya lagen.

7.2.2Personuppgiftsansvar

Regeringens förslag: Polismyndigheten ska vara personuppgiftsan- svarig för den behandling av personuppgifter som utförs vid myndig- heten och för den behandling som myndigheten utför vid Ekobrotts- myndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Ekobrottsmyndigheten ska vara personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför i syfte att utreda brott.

Säkerhetspolisen ska vara personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget men anför

att det kommer att uppstå gränsdragningsproblem i den operativa verk- samheten. Ekobrottsmyndigheten tillstyrker förslaget som tydliggör myn- dighetens personuppgiftsansvar. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Polismyndigheten är i dag enligt

2 kap. 4 § polisdatalagen personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisiär verksamhet vid Ekobrottsmyndigheten.

Att Polismyndigheten även fortsättningsvis bör vara personuppgifts- ansvarig för den behandling av personuppgifter som utförs vid den egna myndigheten är självklart, liksom att Säkerhetspolisen bör vara person- uppgiftsansvarig för den behandling som myndigheten utför enligt lagen. Vem som bör vara personuppgiftsansvarig för den behandling som utförs vid Ekobrottsmyndigheten är däremot inte lika givet.

Frågan har länge varit föremål för diskussion. Ekobrottsmyndigheten har i olika lagstiftningsärenden framfört att myndigheten bör vara per- sonuppgiftsansvarig för all den behandling av personuppgifter som utförs vid myndigheten, eftersom det inte är möjligt att dela upp personupp- giftsansvaret beroende på vem som hanterar personuppgifterna eller vilket it-system som används (se prop. 2009/10:85 s. 92 f. och prop. 2013/14:110 s. 447 f.).

Ekobrottsmyndigheten är enligt 2 kap. 3 § åklagardatalagen personupp- giftsansvarig för den personuppgiftsbehandling som utförs vid myndig- heten enligt åklagardatalagen. När Ekobrottsmyndigheten inrättades var myndigheten även personuppgiftsansvarig för personuppgiftsbehand- lingen i den polisverksamhet som bedrevs vid myndigheten. Myndig- heten omfattades däremot inte av den tidigare gällande polisdatalagens (1998:622) tillämpningsområde, eftersom den är en åklagarmyndighet. Myndighetens personuppgiftsbehandling reglerades, förutom i förord- ningen (2006:937) om behandling av personuppgifter inom åklagar- väsendet, i personuppgiftslagen. För att Ekobrottsmyndigheten skulle

kunna bedriva kriminalunderrättelseverksamhet ändrades den tidigare

149

Prop. 2017/18:269 gällande polisdatalagen (1998:622) och gjordes från den 1 januari 2004 tillämplig på polisverksamheten i myndigheten (prop. 2002/03:144 s. 15 f.). Dåvarande Rikspolisstyrelsen blev personuppgiftsansvarig för den personuppgiftsbehandling vid Ekobrottsmyndigheten som utfördes med stöd av polisdatalagen.

Personuppgiftsansvarig definieras i 1 kap. 6 § brottsdatalagen som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Enligt förarbetena till den nu gällande polisdatalagen bör huvudregeln vara att den myndighet som utför själva behandlingen också ska ha personupp- giftsansvaret för den. Regeringen ansåg dock att någon förändring av personuppgiftsansvaret vid Ekobrottsmyndigheten inte var motiverad när polisdatalagen infördes (se prop. 2009/10:85 s. 93). Inte heller när åkla- gardatalagen infördes gjordes någon ändring (se prop. 2014/15:63 s. 45).

Polismyndigheten leder underrättelse- och spaningsverksamheten vid de polisoperativa enheterna vid Ekobrottsmyndigheten. Även om per- sonuppgiftsbehandlingen utförs vid Ekobrottsmyndigheten är det Polis- myndigheten som leder den verksamheten och som därigenom bestäm- mer ändamålen med och medlen för behandlingen. Polismyndigheten bör därför även i fortsättningen vara personuppgiftsansvarig för den person- uppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upp- täcka brottslig verksamhet vid Ekobrottsmyndigheten. Däremot är det Ekobrottsmyndigheten som genomför brottsutredningarna och som där- igenom bestämmer ändamålen med och medlen för behandlingen i den delen av verksamheten. Polismyndigheten har ingen praktisk möjlighet att fullgöra personuppgiftsansvaret i den verksamheten. Ekobrottsmyn- digheten bör därför pekas ut som personuppgiftsansvarig för den behand- ling som myndigheten utför i syfte att utreda brott enligt lagen. Det är oundvikligt att, så som Datainspektionen påpekar, gränsdragningspro- blem kan komma att uppstå i enskilda fall. Sådana gränsdragningspro- blem förekommer även i dag, och får lösas med ledning av brottsdata- lagens definition av personuppgiftsansvarig enligt 1 kap. 6 §.

7.2.3En bestämmelse om hur lagen är uppbyggd

Regeringens förslag: Lagen ska innehålla en bestämmelse om hur den är uppbyggd.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Samtliga kapitel i polisdatalagen gäl- ler inte för all personuppgiftsbehandling inom tillämpningsområdet. Personuppgiftsbehandling i vissa register och i den forensiska verksam- heten kommer även i den nya lagen att regleras i särskilda kapitel på grund av att bara delar av lagen ska vara tillämpliga vid den behand- lingen. Vidare är det bara vissa kapitel som gäller för Ekobrottsmyndig- heten och Säkerhetspolisen. Det behöver därför tydliggöras vad som gäller för dem och hur lagens kapitel förhåller sig till varandra. Bestäm- melsen om lagens uppbyggnad bör således finnas även i den nya lagen.

150

7.3Grundläggande bestämmelser om behandling

7.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.

Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verk- samhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling

Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 7 § polisdatalagen bör således införas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Polismyndigheten, Ekobrotts- myndigheten och Säkerhetspolisen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.

Polismyndigheten får i dag behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internatio- nella åtaganden. Polismyndigheten ska få fortsätta att behandla person- uppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Det bör i tillämpliga delar gälla även för övriga myndigheter som tillämpar polisens brottsdatalag.

Som en följd av direktivets tillämpningsområde bör lagen tillämpas på Polismyndighetens personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Upprätthållande av allmän ordning och säkerhet bör därför också anges som en tillåten rättslig grund i lagen.

Prop. 2017/18:269

151

Prop. 2017/18:269 Polisens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rätts- liga grunder i polisens brottsdatalag bör den senare helt ersätta be- stämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Behandling för nya ändamål

I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 8 § polisdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar per- sonuppgifter för nya ändamål utanför tillämpningsområdet. Det bör infö- ras en bestämmelse i polisens brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.

152

7.3.2Behandling av biometriska och genetiska uppgifter

Regeringens förslag: Polismyndigheten och Säkerhetspolisen ska få behandla biometriska uppgifter om det är absolut nödvändigt för ända- målet med behandlingen.

Regeringens bedömning: Säkerhetspolisen och Ekobrottsmyndig- heten bör inte få behandla genetiska uppgifter. Polismyndigheten bör endast få behandla genetiska uppgifter i den forensiska verksamheten.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens.

Remissinstanserna: Datainspektionen tillstyrker förslaget. Polismyn- digheten välkomnar att möjligheterna i respektive verksamhet inte be- gränsas mer än att behandling av sådana uppgifter endast får ske när det är absolut nödvändigt för ändamålet med behandlingen. Övriga remiss- instanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag och bedömning

Förutsättningarna för att behandla biometriska och genetiska uppgifter

Biometriska uppgifter är enligt 1 kap. 6 § brottsdatalagen personupp- gifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Van- liga fotografier och filmer omfattas inte av definitionen om de inte bear- betas tekniskt på något sätt så att identifiering blir möjlig, t.ex. i ett ansiktsigenkänningsprogram (se prop. 2017/18:232 s. 85 f.).

Genetiska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår eller ett prov av personen i fråga. Det är framför allt fråga om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram vid andra analyser omfattas (se prop. 2017/18:232 s. 86 f.).

Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter käns- liga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Det finns därför skäl att överväga myndigheternas behov av att behandla sådana uppgifter.

Biometriska uppgifter

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identi- fieras. Fingeravtryck, ansiktsgeometri, ögats iris eller nät- eller regn- bågshinna, röst, hand, blodkärl, dna eller rörelsemönster kan användas.

Fingeravtryck och dna har använts länge i den polisiära verksamheten, men den tekniska utvecklingen har förändrat förutsättningarna för att använda framför allt biometri. Det har under de senaste åren utvecklats helt nya möjligheter att använda exempelvis ansikts- och röstigenkän-

Prop. 2017/18:269

153

Prop. 2017/18:269 ning. Som utredningen konstaterar går utvecklingen fort och det är svårt att förutse vad som kommer att vara möjligt inom några år.

Polisen bör även i fortsättningen ha möjlighet att behandla biometriska uppgifter i brottsbekämpningen. Det är viktigt att den rättsliga regle- ringen inte hämmar eller hindrar utvecklingen och användningen av ny teknik. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är absolut nödvändigt för ändamålet med behandlingen. Regeringen instämmer i utredningens bedömning att det för närvarande inte finns skäl att be- gränsa möjligheterna att använda biometriska uppgifter ytterligare.

Polismyndigheten och Säkerhetspolisen har behov av att behandla bio- metriska uppgifter medan det är svårt att se att Ekobrottsmyndigheten har ett sådant behov. Det bör därför införas en bestämmelse i lagen som medger att Polismyndigheten och Säkerhetspolisen får behandla biomet- riska uppgifter om det är absolut nödvändigt för ändamålet med behand- lingen.

Det bör anmärkas att de personuppgifter som förekommer i ett utlå- tande som baseras på en teknisk bearbetning av biometriska eller gene- tiska uppgifter inte i sig utgör sådana uppgifter. Det kommer alltså att vara möjligt att behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag.

Genetiska uppgifter

Genetiska uppgifter behandlas vid dna-analyser för att ta fram dna- profiler eller forensiska uppslag. Själva dna-profilen, som behandlas i Polismyndighetens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift (se prop. 2017/18:232 s. 150).

Vid sidan av den forensiska verksamheten hos Polismyndigheten har det inte framkommit något behov hos de behöriga myndigheterna att få behandla genetiska uppgifter. Någon allmän bestämmelse som medger sådan behandling bör följaktligen inte finnas i lagen.

7.3.3Sökning på känsliga personuppgifter

Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet ska inte heller hindra sökning i syfte att få fram ett ur- val av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller upp- gifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte omfattas av de särskilda bestämmel- serna om gemensamt tillgängliga uppgifter i polisens brottsdatalag.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget men fram-

håller att den nya författningstekniska lösningen innebär att undantagsbe-

stämmelser måste införas för penningtvättsregistret och det internatio-

154

nella registret för att sökmöjligheterna inte ska försämras i förhållande Prop. 2017/18:269 till vad som gäller i dag.

Skälen för regeringens förslag

Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter

I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering.

Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. En utgångspunkt är att en effektiv underrättelse- och utredningsverksamhet kräver att vissa avsteg från förbudet tillåts, trots att detta i någon mån innebär en försvagning av integritetsskyddet.

Enligt 3 kap. 5 § andra stycket i polisdatalagen är det tillåtet att använda brottsrubriceringar och uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemen- samt tillgängliga. Det finns även i fortsättningen behov av att kunna använda sådana uppgifter vid sökning, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. obe- roende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.

Polisen har även behov av att kunna göra sökningar på tillväga- gångssätt vid brott. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att tillvägagångssätt vid sexualbrott kan avslöja uppgifter om sexualliv eller sexuell läggning. Tillvägagångssätt vid både sexualbrott och andra brott kan avslöja skador som gärningsmannen ådragit sig, dvs. avslöja uppgifter om hälsa. Undantaget från sökförbudet bör därför omfatta till- vägagångssätt vid brott.

Även sökningar på verkställighet av påföljd kan ibland vara nöd- vändiga. Polisen kan exempelvis vid vissa typer av brott ha intresse av att kartlägga om personer som genomgår rättspsykiatrisk vård haft frigång eller permission. Att någon är föremål för rättspsykiatrisk vård avslöjar en uppgift om hälsa. Även information om permissioner eller vårdvistel- ser inom ramen för fängelsestraff, t.ex. att någon vistas på en viss typ av behandlingshem, kan avslöja uppgifter om hälsa. Undantaget från sök- förbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om verkställighet av påföljd.

Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga

Det nuvarande förbudet i polisdatalagen mot att använda känsliga per- sonuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgif-

155

Prop. 2017/18:269 ter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga person-

	uppgifter ska vara absolut nödvändig.
	De behöriga myndigheternas möjligheter att använda känsliga person-
	uppgifter vid sökningar bör inte försämras i förhållande till dagens regle-
	ring. För att effektivt kunna bekämpa brott kan polisen ha behov av att
	göra sammanställningar i syfte att få fram ett urval av personer grundat
	på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts
	gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från
	sökförbudet i brottsdatalagen även i sådana fall.
	Det är framför allt i polisens underrättelseverksamhet som det finns
	behov av sökningar som innebär att sammanställningar grundade på
	känsliga personuppgifter skapas. Bekämpningen av organiserad brotts-
	lighet kräver inte sällan kartläggning av misstänktas kontakter och vanor.
	Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas.
	Det kan t.ex. visa sig att en övervakad person regelbundet besöker en
	lokal där det förekommer religiösa ceremonier eller politisk eller facklig
	verksamhet. Ett annat exempel är att en övervakad person huvudsakligen
	umgås med personer som har ett visst etniskt ursprung. Polisen måste
	kunna göra sökningar i sådana underrättelseuppgifter för att förebygga,
	förhindra eller upptäcka brottslig verksamhet som begås av flera personer
	som förenas genom sitt etniska ursprung, sin religiösa eller filosofiska
	övertygelse eller sina politiska åsikter. Polisen måste även kunna göra
	sökningar i syfte att förebygga, förhindra och upptäcka brott som riktar
	sig mot personer av visst etniskt ursprung eller med viss religiös överty-
	gelse. Det finns motsvarande behov av att kunna söka på känsliga per-
	sonuppgifter i utredningsverksamheten.
	Behovet av att göra sammanställningar grundade på genetiska och bio-
	metriska uppgifter i den forensiska verksamheten vid Polismyndigheten
	behandlas senare (se avsnitt 7.8).
	Behandling av biometriska uppgifter i ett ansiktsigenkänningsprogram
	kan inte anses motsvara en sökning i syfte att få fram ett visst urval av
	personer, utan måste ses som en sådan normal behandling av biometriska
	uppgifter som är tillåten om den är absolut nödvändig för ändamålet med
	behandlingen. Det finns därför inte något behov av undantag för sök-
	ningar när det gäller biometriska uppgifter utanför den forensiska verk-
	samheten.
	Det kan inte finnas behov av att göra sammanställningar grundade på
	ras, eftersom det inte finns någon vetenskaplig grund för att dela in män-
	niskor i skilda raser (se prop. 2017/18:232 s. 151).
	Undantaget från sökförbudet i brottsdatalagen bör mot den bakgrunden
	utformas så att sökningar möjliggörs när det gäller etniskt ursprung,
	politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i
	fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell lägg-
	ning.
	För närvarande gäller inte något sökförbud vid sökningar i de särskilda
	register som regleras i 5 kap. polisdatalagen. Polismyndigheten invänder
	att den föreslagna regleringen skulle medföra att möjligheterna att söka i
	penningtvättsregistret och det internationella registret begränsas och att
	undantag från sökförbudet måste införas för dessa register för att upp-
156	rätthålla dagens ordning. Någon ändring i sak bör inte göras i fråga om

polisens möjligheter att söka i de aktuella registren. I förhållande till Prop. 2017/18:269 utredningens förslag bör det därför tydliggöras att sökförbudet inte gäller

vid sökningar i personuppgifter som inte har gjorts gemensamt tillgäng- liga med stöd av 3 kap. 2 §. Av 1 kap. 7 § framgår att 3 kap. inte gäller för de register som avses i 5 kap. Personuppgifterna i dessa register har alltså inte gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Det blir därigenom tydligt att sökförbudet inte hindrar sökningar där.

7.4Personuppgifter från transportföretag

7.4.1Personuppgiftsbehandlingen bör regleras i polisens brottsdatalag

Regeringens förslag: Bestämmelserna om behandling av personupp- gifter som tillhandahålls av transportföretag enligt polislagen ska tas in i polisens brottsdatalag. Sådana personuppgifter ska få behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Nuvarande reglering

Enligt 25 § polislagen är transportföretag skyldiga att på begäran skynd- samt lämna vissa personuppgifter till Polismyndigheten och Säkerhetspo- lisen. Det rör sig bl.a. om uppgifter om resenärers namn, medresenärers namn och transportmedel. Uppgifterna får endast begäras om de kan ha betydelse för myndighetens brottsbekämpande verksamhet.

Personuppgifterna får tillhandahållas genom terminalåtkomst till trans- portföretagens bokningssystem där polisen får läsa uppgifterna men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 26 § bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna får även lämnas på annat sätt om transportföre- taget anser att det är bättre. Uppgifterna lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper.

Uppgifter om enskilda som lämnas på annat sätt än genom terminal- åtkomst ska enligt 26 § tredje stycket polislagen omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Syftet med bestämmelsen är att hindra att uppgifterna sprids, eftersom det till största delen är fråga om information om enskilda personer som inte är misstänkta för brottslig verksamhet.

Personuppgiftsbehandlingen bör regleras i registerförfattningen

I polislagen regleras inte bara transportföretagens uppgiftsskyldighet, utan även på vilket sätt och hur länge polisen får behandla personuppgif- terna. Tullverket har motsvarande tillgång till uppgifter från transportfö-

retag enligt bestämmelser i lagen (1996:701) om Tullverkets befogenhe-

157

Prop. 2017/18:269 ter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inre- gränslagen) och tullagen (2016:253).

För polisens del finns det i dag ingen reglering av behandlingen av per- sonuppgifter från transportföretag i polisdatalagen. Tullverkets behand- ling av personuppgifter från transportföretag regleras däremot både i inregränslagen och tullagen och i 2 kap. 8 och 9 §§ tullbrottsdatalagen.

Inom brottsdatalagens tillämpningsområde är utgångspunkten att myn- digheternas personuppgiftsbehandling i så stor utsträckning som möjligt ska regleras i respektive registerförfattning. En annan ordning, med en- staka bestämmelser om personuppgiftsbehandling i andra lagar, skulle innebära att regleringen blir mer svåröverskådlig. Bestämmelserna om hur polisen får behandla personuppgifter från transportföretag bör därför föras över till polisens brottsdatalag. Transportföretagens skyldigheter bör dock fortfarande regleras i polislagen.

Hur får uppgifterna behandlas?

Enligt 26 § polislagen får transportföretagen tillhandahålla Polismyndig- heten och Säkerhetspolisen passageraruppgifter genom att göra dem läs- bara via terminalåtkomst. Uppgifter som hålls tillgängliga på det sättet får inte ändras eller på annat sätt bearbetas eller lagras av myndigheterna. Bestämmelsen kan uppfattas på det sättet att myndigheterna inte får han- tera personuppgifterna på annat sätt än att läsa dem på en terminal. Det kan dock inte ha varit avsikten att regleringen ska tolkas så snävt, efter- som tillgången till sådana uppgifter skulle vara meningslös om uppgifter av betydelse för brottsbekämpningen inte skulle få tillföras den brottsbe- kämpande verksamheten. I förarbetena till Tullverkets motsvarande be- stämmelse anges att uppgifterna kan behöva bevaras så länge de har betydelse för vidare åtgärder (se prop. 1995/96:166 s. 84).

Det bör förtydligas att den nu aktuella bestämmelsen endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system. Om personuppgifter i ett enskilt fall ger upphov till ett underrättelseupp- slag eller behövs i en brottsutredning kan de som regel behandlas enligt de generella bestämmelserna i brottsdatalagen och polisens brottsdatalag.

Polismyndigheten har framför allt behov av att kunna behandla bok- ningsuppgifter för att kontrollera en viss persons resande eller vilka som vid ett visst tillfälle reser till en viss destination. Polismyndigheten kan ha behov av sådana uppgifter både i sin underrättelseverksamhet och för brottsutredning. I underrättelseverksamheten kan det t.ex. vara viktigt att kartlägga hur vissa varor förs in i landet. Vid s.k. kontrollerade leveran- ser av narkotika kan bokningsuppgifter vara av stor betydelse. Vidare kan det vid utredning av brott exempelvis vara av värde att kartlägga möjliga vägar att föra stöldgods ut ur landet eller att följa narkotikans väg till Sverige. Polismyndigheten bör därför i enskilda fall kunna dra nytta av uppgifter från transportföretagen både för att förebygga, förhindra eller upptäcka brottslig verksamhet och för att utreda eller lag- föra brott.

I avsnitt 7.4.4 behandlas frågan om det i lagen bör finnas en särskild bestämmelse om att personuppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för brottsbekämpningen.

158

Lagen om flygpassageraruppgifter i brottsbekämpningen	Prop. 2017/18:269
Regeringen har nyligen beslutat en proposition med förslag till lag om
flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller
bestämmelser om personuppgiftsbehandling i enlighet med kraven i
PNR-direktivet (se prop. 2017:18/234). Där regleras skyldigheten för
flygbolag att överföra passageraruppgiftssamlingar till särskilda enheter
för passagerarinformation i medlemsstaterna, för vilka ändamål
personuppgifterna får behandlas, hur länge de får lagras och under vilka
förutsättningar de får lämnas ut. Den nya lagen kommer att ha företräde
framför bestämmelserna i polisdatalagen och polislagen.

7.4.2 Begränsningar i möjligheterna att behandla personuppgifter

Regeringens förslag: Personuppgifter som transportföretag tillhanda- håller ska endast i enskilda fall få behandlas för nya ändamål enligt brottsdatalagen.

Regeringens bedömning: Det bör inte införas någon begränsning av Polismyndighetens möjligheter att söka i uppgifter från transport- företag.

Utredningens förslag och bedömning överensstämmer delvis med regeringens förslag. Utredningen föreslår en begränsning av Polismyn- dighetens möjligheter att söka i uppgifter från transportföretag.

Remissinstanserna: Polismyndigheten motsätter sig att en begräns- ning av myndighetens möjligheter att behandla uppgifter införs utan att konsekvenserna för polisens verksamhet och förmåga har analyserats grundligt. Hovrätten för Västra Sverige har inte något att erinra mot för- slaget att inskränka polisens möjligheter att behandla personuppgifter, under förutsättning att det grundar sig på upplysningar från polisen. Datainspektionen ställer sig positiv till förslaget till begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag och bedömning
Det bör inte regleras vilka sökbegrepp som får användas
I dag gäller inga begränsningar i polisens möjligheter att söka i uppgifter
från transportföretag. Det gör det däremot om motsvarande uppgifter
lämnas till Tullverket. Enligt 2 kap. 9 § tullbrottsdatalagen får vid sök-
ning i uppgifter från transportföretag direkta personuppgifter som namn,
personnummer och samordningsnummer användas som sökbegrepp bara
om uppgifterna avser en person som är eller har varit misstänkt för brott
eller viss brottslig verksamhet eller som övervakas på visst sätt.
I förarbetena till bestämmelserna om hur Tullverket får behandla upp-
gifter från transportföretag konstateras att sökning på resenärers namn i
uppgifter från transportföretag är förenade med särskilda integritetsrisker
mot bakgrund av dels att transportföretagen är skyldiga att lämna ut upp-
gifterna, dels att de flesta uppgifterna avser personer som inte kan miss-
tänkas för någon brottslighet (se prop. 1995/96:166 s. 79 f.). Även om	159
	159

Prop. 2017/18:269 det vore effektivt för brottsbekämpningen om Tullverket kunde samköra uppgifter som kommit in från transportföretag med andra uppgifter från den brottsbekämpande verksamheten och på så sätt få fram vilka som redan övervakas eller kan misstänkas ha samband med brottslig verk- samhet, slås det fast i förarbetena till tullbrottsdatalagen att det inte bör tillåtas. Det anses vara tillräckligt att Tullverket har möjlighet att söka efter personer som redan är eller har varit misstänkta för brott eller kan antas ha samband med brottslig verksamhet eller personer som är före- mål för viss övervakning (se prop. 2016/17:91 s. 107 f.).

160

Det gäller alltså olika regler för samma typ av personuppgifter bero- ende på vilken myndighet som tar emot dem, vilket utredningen menar är otillfredsställande ur integritetssynpunkt. Utredningen föreslår därför att en sökbegränsning ska gälla även för Polismyndighetens del. Datain- spektionen ställer sig positiv till förslaget. Polismyndigheten anser dock att myndigheten bör ha vidare möjligheter att behandla personuppgifter från transportföretag än vad Tullverket har, eftersom polisens uppdrag och behov i väsentliga delar skiljer sig från Tullverkets (se prop. 1995/96:166 s. 78). Polismyndigheten framhåller att utredningens förslag innebär att möjligheterna att bekämpa den organiserade gränsöverskri- dande tillgreppsbrottsligheten minskar och att förslaget riskerar att för- sämra det internationella polissamarbetet. Hovrätten för Västra Sverige tillstyrker endast förslaget om det grundar sig på uppgifter från Polis- myndigheten.

Tullverket och Polismyndigheten har olika ansvarsområden vid brotts- bekämpningen, vilket kan motivera att reglerna för myndigheternas per- sonuppgiftsbehandling i viss mån skiljer sig åt. Den sökbegränsning som nu föreslås för Polismyndighetens del kan riskera att försämra myndig- hetens möjligheter att bekämpa den organiserade gränsöverskridande brottsligheten. Trots att förslaget skulle innebära en viss förstärkning av integritetsskyddet, anser regeringen därför att en sökbegränsning motsva- rande den som gäller för Tullverket inte bör genomföras för Polismyn- dighetens del.

Behandling för nya ändamål

I dag finns det inga bestämmelser om vidarebehandling av person- uppgifter som transportföretag tillhandahåller. Det gör det däremot om motsvarande uppgifter lämnas till Tullverket. Enligt 2 kap. 8 § tullbrotts- datalagen får Tullverket endast om det behövs i ett enskilt fall behandla personuppgifter från transportföretag för något annat primärt ändamål. Det innebär att uppgifterna exempelvis får användas för att utreda brott.

Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. Innan personuppgifter får behandlas för ett nytt ändamål inom lagens område ska det säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska göras innan personuppgifter som behandlas med stöd av brottsdatalagen får behandlas för ett ändamål utanför lagens tillämpningsområde.

Riksdagen har nyligen ställt sig bakom att Tullverket ska få behandla personuppgifter av nu aktuellt slag för nya ändamål endast om det be-

hövs i enskilda fall (se prop. 2016/17:91 s. 107). Mot den bakgrunden Prop. 2017/18:269 bör polisens rätt att behandla personuppgifter som tillhandahålls av transportföretag för nya ändamål begränsas på motsvarande sätt. Behand-

ling för nya ändamål bör därför vara tillåten endast i enskilda fall, t.ex. när ett brott upptäcks och personuppgifterna behövs för att utreda brottet.

7.4.3Uppgifter från transportföretag får göras gemensamt tillgängliga

Regeringens bedömning: Personuppgifter från transportföretag får göras gemensamt tillgängliga. Det kräver ingen särskild reglering.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning: Uppgifterna från transport- företagen är till allra största delen information om personer som inte är intressanta ur ett brottsbekämpningsperspektiv. Som utredningen konsta- terat är utgångspunkten därför att uppgifterna ska ges så liten spridning som möjligt.

När bestämmelserna om Tullverkets tillgång till uppgifter från trans- portföretag infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur uppgifterna fick användas (se prop. 1995/96:166 s. 83 f.). Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgäng- liga i enskilda fall. Om uppgifterna, t.ex. efter en kontroll, visar sig vara nödvändiga för att utreda brott eller ha samband med allvarlig misstänkt brottslig verksamhet får de dock behandlas inom ramen för den utred- ningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107).

Även polisen bör få göra nu aktuella personuppgifter gemensamt till- gängliga. Det kan dock inte bli fråga om att göra större mängder infor- mation gemensamt tillgänglig, eftersom den till största delen rör personer som inte är intressanta för brottsbekämpningen. I stället kommer det att vara uppgifter om någon eller några personer eller transporter som är av betydelse i underrättelseverksamheten eller i en brottsutredning som görs gemensamt tillgängliga. Vilka uppgifter som får göras gemensamt till- gängliga framgår av 3 kap. 2 § första stycket polisdatalagen. Enligt punk- ten 1 får uppgifter som kan antas ha samband med viss misstänkt brotts- lig verksamhet göras gemensamt tillgängliga. Detsamma gäller enligt punkten 3 uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. Någon särskild reglering behövs därför inte.

7.4.4Hur länge personuppgifterna får behandlas

Regeringens bedömning: Det ska inte finnas någon särskild bestäm- melse om att uppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Utredningens bedömning överensstämmer med regeringens.

161

Prop. 2017/18:269 Remissinstanserna yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning: Enligt 26 § tredje stycket polis- lagen ska uppgifter om enskilda personer som ett transportföretag lämnat på annat sätt än genom terminalåtkomst omedelbart förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Polismyndigheten har inte samma behov som Tullverket att i sin brottsbekämpande verksamhet fortlöpande ta del av alla uppgifter från transportföretag inför att transporterna ankommer. Behovet av uppgifter är mera relaterat till att i vissa fall kunna kontrollera vilka som förväntas komma med en viss transport eller att i efterhand kunna granska vilka personer som åkt med en viss transport. Mot den bakgrunden finns det inte samma behov av en särregel om förstörande. Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen. Den bestämmelsen ger tillräckligt skydd för uppgifterna. Det finns därför inte något behov av att införa en bestämmelse motsvarande 26 § tredje stycket polislagen när regleringen flyttas till polisens brottsdatalag.

	7.5	Gemensamt tillgängliga uppgifter
	7.5.1	Nya kategorier av personuppgifter får göras
		gemensamt tillgängliga

	Regeringens förslag: Personuppgifter som förekommer i ärenden om
	kontaktförbud eller om personskydd ska få göras gemensamt tillgäng-
	liga. Uppgifterna ska inte få behandlas längre än ett år efter det att
	ärendet som de behandlades i avslutades.
	Personuppgifter som behandlas i syfte att upprätthålla allmän ord-
	ning och säkerhet ska också få göras gemensamt tillgängliga. De ska
	inte få behandlas längre än ett år efter utgången av det kalenderår då
	de behandlades automatiserat första gången.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag
	Personuppgifter i ärenden om kontaktförbud eller personskydd
	I 3 kap. 2 § första stycket polisdatalagen anges vilka personuppgifter som
	får göras gemensamt tillgängliga. Det är bl.a. uppgifter som kan antas ha
	samband med misstänkt brottslig verksamhet, om den innefattar brott för
	vilket är föreskrivet fängelse i ett år eller däröver eller sker systematiskt.
	Om någon utsätts för hot eller våld är det viktigt att polisen så snabbt
	som möjligt får kännedom om huruvida han eller hon tidigare har varit
	utsatt för brott eller är föremål för skyddsåtgärder av något slag. Det
	finns då bättre förutsättningar att snabbt hitta gärningsmannen. När det
	gäller personer som skyddas av exempelvis kontaktförbud eller person-
	säkerhetsåtgärder är det dock inte alltid som personuppgifterna kan kny-
	tas till misstanke om brottslig verksamhet eller en utredning om brott så
162	att uppgifterna av det skälet får göras gemensamt tillgängliga. Det finns

därför behov av att kunna göra uppgifter om personer med någon form Prop. 2017/18:269 av skyddsbehov gemensamt tillgängliga. Det kan vara personer som

skyddas av ett kontaktförbud, är föremål för vittnesskydd eller annat personsäkerhetsarbete.

Det är dock inte bara uppgifter om den person som har ett sådant skyddsbehov som bör få göras gemensamt tillgängliga. Det bör även gälla uppgifter om närstående till sådana personer, eftersom hot eller våld kan riktas mot dem för att komma åt den person som har det egentliga skyddsbehovet. Bestämmelsen bör lämpligen formuleras så att person- uppgifter som förekommer i ärenden om kontaktförbud eller om person- skydd får göras gemensamt tillgängliga. Med hänsyn till att personupp- gifterna förekommer i ärenden bör de inte få behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.

Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet

Lagen ska tillämpas även på Polismyndighetens personuppgiftsbehand- ling i syfte att upprätthålla allmän ordning och säkerhet. I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning, vilket beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan också ofta övergå i brottsbekämpning (se prop. 2009/10:85 s. 75). Inför kommen- deringar vid särskilda händelser där ordningsstörningar befaras, t.ex. en fotbollsmatch eller en demonstration, kan det finnas behov av att göra uppgifter om tillträdesförbud eller uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Även om sådana uppgifter i vissa fall skulle kunna göras gemensamt tillgängliga med stöd av befintlig reglering är det inte givet att så alltid är fallet. Det bör därför införas en bestämmelse om att personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga.

Personuppgifter som görs gemensamt tillgängliga i syfte att upprätt- hålla allmän ordning och säkerhet bör inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

7.5.2Sökning i gemensamt tillgängliga uppgifter

Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller idag ska tas in i polisens brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Vid sådan sökning ska uppgifter om personer som berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende få tas fram.

163

Prop. 2017/18:269

164

Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av sär- skilt angivna tjänstemän

1.när de utför beredningsuppgifter inom underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

2.i syfte att i underrättelseverksamhet bearbeta och analysera per- sonuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till,

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller

4.i syfte att samordna utredningar om brott som kan vara systema- tiska och för vilka det är föreskrivet fängelse i två år eller mer.

Det ska också göras undantag för sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begräns-

ningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem, eftersom en sådan förändring riskerar att öppna för sökningar i vidare omfattning än idag. Polismyndigheten tillstyrker de förändringar och förtydliganden som föreslås när det gäller sökning i gemensamt tillgängliga uppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Begränsning endast i automatiserade behandlingssystem

Från integritetssynpunkt är en av de viktigaste aspekterna med behand- ling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Ett av syftena med polisdatalagen är att polisen på ett bättre sätt ska kunna dra nytta av redan insamlad information. Lagen ger utrymme för att samla in och behandla en mängd olika personuppgifter, vilket gör att det kan finnas uppgifter om samma person i olika system och uppgiftssamlingar. De möjligheter till behandling som lagen ger och mängden information skulle – om det inte fanns några begränsningar – skapa utrymme för kvalificerade kartläggningar av enskildas personliga förhållanden (se prop. 2009/10:85 s. 153). För att värna den personliga integriteten har det därför i polisdatalagen införts särskilda begränsningar vid sökning i gemensamt tillgängliga uppgifter.

Eftersom sökning med hjälp av personnummer är ett viktigt inslag i polisens verksamhet och sådana identitetsbeteckningar är av stor bety- delse för att säkerställa identiteten och undvika personförväxlingar, an- sågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § polisdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsuppgifter. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2009/10:85 s. 159 f.). Syftet med begränsningsregeln är att det vid

en initial allmän sökning bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara polisiärt intressanta. Om det finns förutsätt- ningar för att gå vidare och söka efter andra uppgifter beror på syftet med sökningen i det enskilda fallet och vilken behörighet den som söker informationen har tilldelats. Bestämmelsen ska alltså inte förstås så att den hindrar vidare sökning för den som har behov av det för att fullgöra sina arbetsuppgifter och som har tilldelats den behörighet som fortsatt sökning kräver.

Begränsningen gäller bara för uppgifter som behandlas med stöd av polisdatalagen. Den hindrar inte att det vid sökning även tas fram andra uppgifter som polisen har tillgång till, exempelvis genom direktåtkomst till folkbokföringen eller körkorts-, fordons- eller fastighetsregister. Vil- ken sökning som är tillåten i andra register regleras i de författningar som gäller för dem.

Som utredningen konstaterar är regleringen inte tänkt att träffa alla uppgifter som görs gemensamt tillgängliga. Eftersom det är möjligt att göra en fritextsökning i stora mängder information i vanliga ordbehand- lingsprogram, skulle det vara orimligt att ställa krav på att all information i textdokument kategoriseras och görs sökbar respektive icke sökbar beroende på vad uppgiften gäller, enbart för att uppfylla kraven på att begränsa resultatet vid sökning. För att tydliggöra att bestämmelsen inte är avsedd att träffa sådana sökningar bör begränsningen enbart gälla i automatiserade behandlingssystem. Därmed omfattas inte sökningar i standardprogram som Word, Outlook och Excel (se prop. 2017/18:232 s. 177 f.). Datainspektionen invänder att en sådan förändring riskerar att öppna för myndigheterna att söka i vidare omfattning än i dag och anser att argumenten för förändringen inte är tillräckligt starka. Regeringen har dock svårt att se att en annan ordning är praktiskt genomförbar och anser därför, trots Datainspektionens invändning, att begränsningarna vid sökning på uppgifter i gemensamt tillgängliga uppgifter bara bör gälla i automatiserade behandlingssystem. Det innebär dock inte att det saknas integritetsskyddande regler för personuppgiftsbehandling som inte sker i automatiserade behandlingssystem. De grundläggande kraven på person- uppgiftsbehandling i brottsdatalagen och polisens brottsdatalag gäller givetvis även sådan behandling, vilket innebär att en sökning bara får göras om det är nödvändigt för att utföra en uppgift enligt 2 kap. 1 § polisens brottsdatalag.

Bör ytterligare uppgifter få tas fram vid sökning?

Övergångsbestämmelserna till polisdatalagen innebär att bestämmelserna i 3 kap. 6 och 7 §§ ännu inte har börjat tillämpas. Det saknas därför erfa- renheter av hur begränsningarna kommer att fungera i praktiken. Det kan också noteras att regeringen enligt 3 kap. 7 § fjärde stycket har möjlighet att göra ytterligare undantag från bestämmelserna i 3 kap. 6 §.

Mot bakgrund av de noggranna överväganden som gjordes när reglerna infördes finns det nu främst anledning att överväga om den nya lagens delvis ändrade tillämpningsområde i förhållande till polisdatalagen bör föranleda någon ändring. För Polismyndighetens del omfattar lagen även behandling av personuppgifter för att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om

Prop. 2017/18:269

165

Prop. 2017/18:269 att någon har straffats för eller är misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett polisingripande med grovt våld. Något som i vissa sammanhang kan vara av intresse är uppgift om att någon har meddelats tillträdesförbud enligt lagen om tillträdesförbud vid idrottsarrangemang. Uppgifter om att någon har meddelats tillträdesförbud registreras i belastningsregistret och är på det sättet tillgängliga.

166

Personuppgifter i ärenden om kontaktförbud eller om personskydd ska nu få göras gemensamt tillgängliga, se avsnitt 7.5.1. För att den bestäm- melsen ska få avsedd effekt, bör det vid sökning i gemensamt tillgängliga uppgifter få tas fram uppgifter som visar att den sökta personen berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende. Genom användningen av ordet berörs täcks även närstående. Det kan vara svårt att avgöra vilka uppgifter om en sådan person som bör göras sökbara, eftersom personen i fråga kan ha skyddade adressuppgifter eller annat skydd. Som regel torde det räcka att uppgifter om att personen har sär- skilt skyddsbehov görs sökbara.

I övrigt finns det inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning.

Behövs det fler eller andra undantag från begränsningsregeln?

Enligt 3 kap. 7 § första stycket 2 gäller inte bestämmelserna i 3 kap. 6 § vid sökningar i uppgiftssamlingar som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har tillgång till. Detta undantag skulle kunna leda till att särskilda uppgiftssamlingar skapas enbart för att kringgå bestämmelsen i 6 §. Bestämmelsen bör därför ändras när den införs i den nya lagen.

Regeringen instämmer i utredningens bedömning att ändringen bör göras på det sättet att undantaget knyts till att uppgifter behandlas i underrättelseverksamhet i syfte att bearbeta och analysera information som dels har gjorts gemensamt tillgänglig enligt 3 kap. 2 § första stycket 1 eller 2, dels endast särskilt angivna tjänstemän har tillgång till. En sådan ändring täcker både nuvarande 3 kap. 7 § första stycket punk- ten 2 och andra stycket punkten 1. Den nya bestämmelsen ger ökade möjligheter till sökning, men begränsar samtidigt sökmöjligheterna på det sättet att endast särskilt angivna tjänstemän får utföra sådana sök- ningar. Regeringen anser i likhet med utredningen att en sådan reglering innebär en rimlig avvägning mellan brottsbekämpningens behov och skyddet för personlig integritet.

Mot bakgrund av ökande problem med organiserad brottslighet i form av bl.a. kringresande ligor och annan seriebrottslighet kan det också finnas skäl att göra undantag vid sökning som utförs som ett led i att utreda brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer, om sökningen görs av särskilt utpekade tjäns- temän som sysslar med brottssamordning.

Den polispersonal som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Polismyndighetens ledningscentraler med sök- ning i syfte att klarlägga t.ex. en gripen eller omhändertagen persons

identitet. Det kan också finnas behov av att ta fram uppgifter om min- Prop. 2017/18:269 derårigas adress och vårdnadshavare eller att söka efter anhöriga till

någon som har skadats i samband med ett brott. Vid sökningar av det slaget kan det vara nödvändigt att ta fram andra typer av information, samtidigt som den ingripande polismannen inte alltid har tillgång till nödvändiga sökmöjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sökning som görs i Polismyndig- hetens ledningscentraler på begäran av en polisman i yttre tjänst.

I 6 § polisdataförordningen görs undantag från 3 kap. 6 § första stycket polisdatalagen för sökningar som görs av särskilt angivna tjänstemän för att utföra beredningsuppgifter inom underrättelseverksamhet. Syftet med bestämmelsen är att möjliggöra att fler uppgifter kan tas fram i det inle- dande skedet av underrättelsearbete. Bestämmelsen bör i likhet med övriga undantag från begränsningsregeln finnas i lag. Det bör också tyd- liggöras att undantaget endast avser sökningar i ett inledande skede.

7.6Längsta tid för behandling av uppgifter i viss underrättelseverksamhet

Regeringens förslag: Personuppgifter som kan antas ha samband med viss brottslig verksamhet ska, om de behandlas i ett ärende, inte få be- handlas längre än ett år efter det att ärendet avslutades.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget.

Skälen för regeringens förslag: I 3 kap. 14 § andra stycket polis- datalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas.

I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när den senaste registreringen avseende en viss person gjor- des. I t.ex. samarbetet mot grov organiserad brottslighet görs vissa per- sonuppgifter gemensamt tillgängliga i underrättelseverksamheten för att andra myndigheter ska kunna ta del av dem, trots att de endast behandlas av ett fåtal personer vid Polismyndigheten. Sådan information behandlas då i särskilda ärenden. Detsamma kan vara fallet i anslutning till en sär- skild händelse eller om myndigheterna får i uppdrag att samarbeta på visst sätt inom underrättelseverksamheten. När personuppgifter behand- las i ärenden i underrättelseverksamhet bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestämmelse med den innebörden bör därför införas.

167

Prop. 2017/18:269 7.7

Personuppgiftsbehandling i särskilda register

7.7.1Dna-register

Regeringens förslag: Det ska i lagen anges för vilka syften Polismyn- digheten får föra dna-register.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 4 kap. 1 § första stycket polis- datalagen får Polismyndigheten i den brottsbekämpande verksamheten föra register över dna-profiler. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att dna- registren får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 351). Registren får även föras för att underlätta identifie- ring av avlidna personer.

På samma sätt som när det gäller bestämmelserna om tillämpnings- område och tillåtna rättsliga grunder för behandling bör regleringen av dna-registren inte längre utgå från i vilken verksamhet personuppgiftsbe- handlingen utförs, utan från syftet med behandlingen. Det blir tydligare att räkna upp för vilka syften registren får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Dna- registren bör på samma sätt som i dag få föras i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och under- lätta identifiering av avlidna personer.

7.7.2Fingeravtrycks- och signalementsregister

Regeringens förslag: Det ska i lagen anges för vilka syften Polismyn- digheten får föra fingeravtrycks- och signalementsregister.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 4 kap. 11 § polisdatalagen får Polismyndigheten föra fingeravtrycks- och signalementsregister. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att fingeravtrycks- och signalementsre- gister får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 355). Registren får även föras för att underlätta identifie- ring av okända personer.

På samma sätt som när det gäller dna-registren bör det genom en upp- räkning tydliggöras för vilka syften fingeravtrycks- och signalements- register får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Fingeravtrycks- och signalements- register bör på samma sätt som i dag få föras i syfte att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och under- lätta identifiering av okända personer.

168

Registren bör även i likhet med i dag få föras för att kontrollera finger- Prop. 2017/18:269 avtryck som Migrationsverket tagit enligt 9 kap. 8 § utlänningslagen,

vilket motsvarar regleringen i 2 kap. 8 § första stycket 6 polisdatalagen.

7.8Personuppgiftsbehandling för forensiska ändamål

7.8.1Vad är forensiska ändamål?

Personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål regleras i 5 kap. polisdatalagen. Forensik är ett sammanfattande begrepp för utveckling och tillämpning av metoder från olika vetenskapliga ämnesområden – t.ex. biologi, kemi eller teknologi – på frågeställningar om framför allt olika typer av fysiska spår som undersöks i anledning av misstanke om brott. Särskilda krav ställs på oberoende och vetenskaplig grund. Det är alltså bara de åtgärder som vilar på denna forensiska grund som kan sägas vara forensiska åtgärder. I kravet på oberoende ligger också att forensiska undersökningar, analyser och jämförelser hanteras helt separat från annat utredningsarbete under en förundersökning. Vad som görs och hur det dokumenteras är enbart beroende av vilket behov som finns i det enskilda ärendet av att forensiskt undersöka och analysera visst material. För frågan om ett visst föremål eller material hanteras för forensiska ändamål eller inte saknar det betydelse om det har tagits i beslag. Att en undersökning äger rum inom ramen för en förundersök- ning är inte heller avgörande för frågan om bevismaterial hanteras för forensiska ändamål eller inte. Gränsdragningen mellan forensiska ända- mål och brottsbekämpande ändamål diskuteras utförligt i förarbetena till 5 kap. (se Den nya polisorganisationen – några frågor om personupp- giftsbehandling m.m., prop. 2014/15:94 s. 56 f.).

Behandling för forensiska ändamål vid Polismyndigheten utförs huvudsakligen av Nationellt forensiskt centrum, men även andra enheter inom myndigheten utför viss sådan behandling. Den behandling för forensiska ändamål som Nationellt forensiskt centrum utför åt den egna myndigheten och åt andra behöriga myndigheter omfattas av brotts- datalagens tillämpningsområde. Det gäller även motsvarande behandling för forensiska ändamål av personuppgifter vid en annan enhet inom Polismyndigheten.

I förarbetena till 5 kap. anges att syftet med regleringen är att skapa en sammanhållen reglering av den forensiska processen inom Polismyndig- heten (se prop. 2014/15:94 s. 56). De särskilda reglerna för personupp- giftsbehandling för forensiska ändamål är således inte tillämpliga i Eko- brottsmyndighetens och Säkerhetspolisens verksamhet.

169

Prop. 2017/18:269 7.8.2

Regleringen av forensiska ändamål behålls

Regeringens förslag: Bestämmelser om för vilka ändamål per- sonuppgifter får behandlas i den forensiska verksamheten ska införas i den nya lagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I 5 kap. 1–3 §§ polisdatalagen anges för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten vid Polismyndigheten. Ändamålen delas upp i primära och sekundära på samma sätt som i 2 kap. 7 och 8 §§ polisdatalagen. De pri- mära ändamålen anger den behandling som utförs för forensiska ändamål vid Polismyndigheten, medan de sekundära ändamålen anger när uppgif- ter som behandlas för forensiska ändamål får användas i andra delar av myndighetens verksamhet eller lämnas ut till andra myndigheter eller organisationer för deras behov.

I propositionen Brottsdatalag konstateras att vad som i dataskydds- rättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman, se prop. 2017/18:232 s. 114 f. En ändamålsbestämmelse bör ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behandlingen. Regeringen anser därför att 2 kap. 7 § polisdatalagen inte är en ändamålsbestämmelse i egentlig mening utan att den är en del av den rättsliga grunden som anger ramen för när personuppgifter får behandlas (se avsnitt 6.2). Bestämmelserna i 5 kap. 1 och 2 §§ polisdatalagen om för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten är betydligt mer konkreta och ger tydlig ledning för vilka personuppgifter som är adekvata och relevanta för behand- lingen. De behöver därför inte anpassas till regleringen i brottsdatalagen utan bör föras över oförändrade till den nya lagen.

	7.8.3	Behandling för nya ändamål

	Regeringens förslag: Personuppgifter som behandlas för vissa
	forensiska ändamål ska få behandlas för nya ändamål inom
	brottsdatalagens tillämpningsområde. Samtliga personuppgifter som
	behandlas för forensiska ändamål ska i ett enskilt fall få behandlas för
	nya ändamål enligt de förutsättningar som gäller enligt
	brottsdatalagen.

	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag
	Kan den nuvarande regleringen av utlämnande behållas?
	Den sekundära ändamålsbestämmelsen i 5 kap. 3 § polisdatalagen regle-
	rar i vilken utsträckning personuppgifter som behandlas för något primärt
	forensiskt ändamål även får behandlas för att lämnas ut till andra för att
170	tillgodose deras behov. Den reglerar alltså behandling för nya ändamål.

Enligt paragrafen får personuppgifter som behandlas för vissa av de primära ändamålen även behandlas när det är nödvändigt för att tillhan- dahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säker- hetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket. I ett enskilt fall får personuppgifter som behandlas för forensiska ändamål även behandlas för att tillhanda- hålla information för något annat ändamål, under förutsättning att ända- målet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Innan personuppgifter behandlas för ett nytt ändamål inom brottsdata- lagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Det innebär att en prövning alltid måste göras innan personuppgifter behandlas för nya ändamål, oavsett om det är för forensiska ändamål eller för andra ändamål inom brottsdatalagens tillämpningsområde. Om den sekundära ändamålsbestämmelsen skulle föras över oförändrad till den nya lagen får prövningen enligt brottsdatalagen inte fullt genomslag eftersom brottsdatalagen är subsidiär i förhållande till polisens brottsdatalag. En sådan prövning krävs enligt artikel 4.2 i direktivet. Det är således knappast förenligt med direktivet att föra över den sekundära ändamålsbestämmelsen med den utformning den har i dag till den nya lagen.

Bör möjligheterna att lämna ut personuppgifter begränsas på annat sätt?

I dag är det som huvudregel bara personuppgifter som behandlas för vissa forensiska ändamål som får lämnas till de brottsbekämpande myn- digheterna. Bakgrunden till detta är att resultat som härrör från t.ex. internationella uppdrag normalt sett inte bör spridas till någon annan än uppdragsgivaren (se vidare prop. 2014/15:94 s. 67). Motsvarande begränsningar bör gälla även i fortsättningen men bestämmelsen måste formuleras om och anpassas till regleringen i direktivet och brottsdatalagen. Någon ändring i fråga om möjligheterna att lämna personuppgifter till de brottsbekämpande myndigheterna är inte avsedd.

I dag får också personuppgifter som behandlas för något forensiskt ändamål i ett enskilt fall behandlas för andra ändamål, om det inte är oförenligt med insamlingsändamålet. Det kan avse ändamål både inom och utanför brottsdatalagens tillämpningsområde. Med hänsyn till innehållet i direktivet och brottsdatalagen kan den nuvarande bestämmel- sen inte föras över oförändrad till den nya lagen. I stället för en prövning av förenligheten med insamlingsändamålet ska en prövning av nödvändighet och proportionalitet göras enligt 2 kap. 4 eller 22 § brottsdatalagen. Begränsningen till ett enskilt fall bör dock behållas. En sådan prövning innefattar en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet även när det gäller personuppgifter som behandlas för forensiska ändamål.

Prop. 2017/18:269

171

Prop. 2017/18:269 7.8.4

Behandling av känsliga personuppgifter

Regeringens förslag: Biometriska uppgifter och genetiska uppgifter ska få behandlas för forensiska ändamål enligt de förutsättningar som anges i brottsdatalagen.

Sökförbudet i brottsdatalagen ska inte hindra sökningar i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, som syftar till att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Behandling av biometriska och genetiska uppgifter

Behandling av sådana uppgifter är en viktig del i den forensiska verk- samheten, inte minst vid dna-analyser och behandling av personuppgifter

idna-registren och fingeravtrycks- och signalementsregistren. Den tek- niska utvecklingen ger också nya möjligheter att använda framför allt biometri. Det kommer därför sannolikt att finnas ett ökande behov av att kunna behandla biometriska uppgifter för forensiska ändamål. Det bör därför föreskrivas att biometriska och genetiska uppgifter får behandlas för sådana ändamål.

Med hänsyn till att sådana uppgifter enligt brottsdatalagen endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen finns det för närvarande inte skäl att begränsa möjligheterna att behandla biometriska och genetiska uppgifter ytterligare.

Undantag från sökförbudet i brottsdatalagen

Sökförbudet i 2 kap. 14 § brottsdatalagen utgår till skillnad från dagens reglering från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillå- ten, även om känsliga personuppgifter används vid sökningen.

Det är Nationellt forensiskt centrum vid Polismyndigheten som admi- nistrerar dna-registren och fingeravtrycks- och signalementsregister. Vid sökning i registren används dna-profiler respektive fingeravtryck, vilka är biometriska uppgifter. En sökning på fingeravtryck resulterar alltid i en träfflista som visar ett urval av personer grundat på biometriska upp- gifter. Det bör dock vara tillåtet att göra sådana sökningar i den foren- siska verksamheten. Information i forensiska databaser kan också använ- das för att ge övriga delar av Polismyndigheten spaningsuppslag, s.k. forensiska uppslag. Tanken med det är att de iakttagelser som görs vid forensiska undersökningar i olika ärenden ska kunna komma till nytta i polisverksamheten som helhet eller i annan brottsbekämpande verksam-

172

het (se prop. 2014/15:94 s. 62 f.). Det går exempelvis att genomföra s.k. Prop. 2017/18:269 familjesökning, vilket innebär att man jämför dna-profiler för att finna

släktingar till en viss person, exempelvis en oidentifierad misstänkt. Familjesökning baserar sig på att nära släktingar till viss del har överens- stämmande arvsmassa. Sådana sökningar kan resultera i ett urval av personer grundat på biometriska uppgifter. Det finns mot den bakgrun- den skäl att göra undantag från sökförbudet när det gäller behandling av biometriska uppgifter i den forensiska verksamheten.

Möjligheterna att ta fram information ur dna-prover utvecklas ständigt och det är redan i dag möjligt att få fram olika personliga egenskaper som ögonfärg, ärftliga sjukdomar eller en persons biogenetiska ursprung. Det bör vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på genetiska uppgifter eller uppgifter som rör hälsa i den forensiska verksamheten.

8Tullverkets brottsdatalag

8.1Behovet av anpassning till brottsdatalagen

8.1.1Nuvarande reglering

Tullbrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personupp- gifter i Tullverkets brottsbekämpande verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa bestämmelser behöver dock inte tillämpas förrän den 1 januari 2019.

Vid myndighetens personuppgiftsbehandling i annan verksamhet gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

Innehållet i tullbrottsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De

anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för tullbrottsdatalagen behandlas däremot i detta avsnitt.

8.1.2	Lagens namn

Regeringens förslag: Den nya lagen ska benämnas lag om
Tullverkets behandling av personuppgifter inom brottsdatalagens om-
råde. Hänvisningar till tullbrottsdatalagen i andra författningar ska
ändras till lagen om Tullverkets behandling av personuppgifter inom
brottsdatalagens område.

Utredningen föreslår att lagen ska benämnas Tullverkets brottsdata-
lag.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: De registerförfattningar som ska gälla
utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till		173

Prop. 2017/18:269 brottsdatalagen. Utredningen föreslår att lagen ska benämnas Tullverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Tullverkets brottsdatalag.

Alla hänvisningar till tullbrottsdatalagen i andra författningar ska ändras till lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

8.2Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Tull- verket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som regeringen har meddelat i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i Tullverkets brottsdatalag.

Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Utredningen lämnar inga förslag avseende lagen om flygpassage- raruppgifter i brottsbekämpningen. Förslaget är också något annorlunda utformat.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Tullbrottsdatalagen gäller enligt

1 kap. 2 § vid behandling av personuppgifter i Tullverkets brottsbe- kämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när Tullverket agerar i egenskap av behörig myndighet.

För att tillämpningsområdet för Tullverkets brottsdatalag ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Tullverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.

174

Lagen om flygpassageraruppgifter i brottsbekämpningen	Prop. 2017/18:269
Som redovisas i avsnitt 7.4.1 har regeringen lämnat förslag till en ny lag
om flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller
bestämmelser om personuppgiftsbehandling för uppgifter som samlas in
från flygbolag för vissa ändamål. Den nya lagen kommer att ha företräde
framför inregränslagen, tullagen och tullbrottsdatalagen. I det lagstift-
ningsärendet föreslås 2 kap. 8 § tullbrottsdatalagen om uppgifter från
transportföretag få ett tillägg som innebär att om lagen om flygpassage-
raruppgifter i brottsbekämpningen och föreskrifter som regeringen har
meddelat i anslutning till den lagen innehåller avvikande bestämmelser,
ska de tillämpas i stället för bestämmelserna i tullbrottsdatalagen. En
motsvarande bestämmelse bör införas i Tullverkets brottsdatalag och
placeras i den inledande bestämmelsen i 1 kap. 2 §. Tullbrottsdatalagen
är sedan tidigare subsidiär även i förhållande till lagen om internationellt
polisiärt samarbete (1 kap. 3 § tullbrottsdatalagen). Även en sådan
motsvarande bestämmelse bör finnas i den nya lagen.

8.3Grundläggande bestämmelser om behandling

8.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Tullverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott, eller

3. fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga
grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga
grunder för behandling av personuppgifter. En reglering som motsvarar
2 kap. 5 § tullbrottsdatalagen bör således införas, men det bör framgå att	175
	175

Prop. 2017/18:269 det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Tullverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.

Tullverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Tullverket bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.

Tullverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Tullverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Tullverkets del kan t.ex. 3 § förordningen (2016:1332) med instruktion för Tullverket nämnas, där det framgår att Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Sådana bestämmel- ser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Tullverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.

Behandling för nya ändamål

I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § tullbrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personupp- gifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i Tullverkets brottsdatalag som tydliggör att för-

176

utsättningarna för att behandla personuppgifter för nya ändamål regleras i Prop. 2017/18:269 brottsdatalagen.

8.3.2Behandling av biometriska och genetiska uppgifter

Regeringens förslag: Tullverket ska få behandla biometriska uppgif- ter om det är absolut nödvändigt för ändamålet med behandlingen.

Regeringens bedömning: Tullverket bör inte få behandla genetiska uppgifter.

Utredningens förslag och bedömning överensstämmer med rege- ringens.

Remissinstanserna yttrar sig inte särskilt över förslaget eller bedöm- ningen.

Skälen för regeringens förslag och bedömning: I avsnitt 7.3.2 anges vad som avses med biometriska och genetiska uppgifter och vilken bety- delse sådana uppgifter har vid brottsbekämpning. Tullverket bör på samma sätt som polisen ha möjlighet att använda biometriska uppgifter i brottsbekämpningen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behand- lingen. Regeringen bedömer i likhet med utredningen att det för närva- rande inte finns skäl att begränsa möjligheterna att använda biometriska uppgifter ytterligare. Det bör därför införas en bestämmelse i Tullverkets brottsdatalag som medger behandling av biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Det har inte framkommit att Tullverket har behov av att behandla gene- tiska uppgifter. I likhet med utredningen anser regeringen därför att myndigheten inte bör få behandla sådana uppgifter. Någon bestämmelse som medger sådan behandling bör därför inte finnas i lagen.

8.3.3Sökning på känsliga personuppgifter

Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller upp- gifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet ska inte heller hindra sökning i syfte att få fram ett ur- val av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

177

Prop. 2017/18:269

178

Skälen för regeringens förslag

Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter

Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket tull- brottsdatalagen är det tillåtet att använda uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. På samma sätt som Polismyndigheten har Tull- verket även i fortsättningen behov av att kunna använda sådana uppgifter som sökbegrepp, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter (se avsnitt 7.3.3). Det bör därför göras undantag från brottsdatalagens sökförbud i Tullverkets brottsdatalag. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.

Tullverket har i likhet med Polismyndigheten behov av att kunna göra sökningar på tillvägagångssätt vid brott och brottsrubriceringar. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på käns- liga personuppgifter. Som exempel kan nämnas att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller poli- tiska åsikter. Ett annat exempel är att Tullverket vid kontroll av förbudet mot införsel och utförsel av barnpornografi kan behöva söka på brottsru- briceringar som kan avslöja en persons sexualliv eller sexuella läggning. Undantaget från sökförbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om tillvägagångssätt vid brott och brottsrubrice- ringar.

I samband med att beslag hävs behöver Tullverket få kännedom om huruvida ägaren verkställer en straffrättslig påföljd och var han eller hon i så fall befinner sig. Om personen verkställer påföljden genom vårdvis- telse kan en sådan sökning avslöja uppgifter om hälsa. Behovet av sådan sökning kan enligt regeringens mening tillgodoses på annat sätt än genom ett undantag från sökförbudet. Det kan lämpligen göras genom att Kriminalvården ges skyldighet att på begäran underrätta Tullverket om var en häktad eller intagen är placerad. Tullverket behöver därför i mot- sats till Polismyndigheten inget undantag från sökförbudet när det gäller uppgifter om verkställighet av påföljd.

Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga

Det nuvarande förbudet i tullbrottsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga person- uppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.

De behöriga myndigheternas möjligheter att använda känsliga person- Prop. 2017/18:269 uppgifter vid sökningar bör inte försämras i förhållande till dagens regle-

ring. För att effektivt kunna bekämpa brott behöver Tullverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall.

Det är framför allt i Tullverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung, religiös övertygelse eller politiska åsikter skapas. Det kan t.ex. vara fallet om det är känt att en viss narkotikasort används av en grupp med visst etniskt ursprung eller religiös övertygelse. Smugg- ling av drogen kat, som endast odlas utomlands, hör hit. Vid hanteringen av frihetsberövade behöver Tullverket även kunna sammanställa uppgif- ter om personer som är självmordsbenägna eller s.k. sväljare, vilket inne- bär att uppgifter om hälsa kan avslöjas. Det är vidare sedan länge känt att det finns politiska eller andra ideologiskt motiverade grupperingar i ut- landet som finansierar sin verksamhet genom organiserad brottslighet, t.ex. smuggling av cigarretter eller narkotika. De kan vara aktiva även i Sverige (se Lägesbild organiserad brottslighet 2011, Tullverket). Be- kämpningen av organiserad brottslighet kräver inte sällan kartläggning av misstänktas kontakter och vanor. Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas (jfr avsnitt 7.3.3). I kampen mot smuggling av barnpornografiska bilder kan Tullverket även ha behov av att söka på uppgifter som kan avslöja en persons sexualliv eller sexuella läggning, t.ex. på ordet pedofil eller vissa typer av sexleksaker. I utred- ningsverksamheten finns motsvarande behov av att kunna söka på käns- liga personuppgifter vid brott med okänd gärningsman.

Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in män- niskor i skilda raser (se prop. 2017/18:232 s. 151). Det finns inte heller behov av att kunna göra sammanställningar grundade på medlemskap i fackförening eller på genetiska uppgifter.

Undantaget bör mot den bakgrunden utformas så att sökning möjlig- görs när det gäller uppgifter som kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och uppgifter om hälsa, sexu- alliv eller sexuell läggning. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga begränsas något i förhållande till vad som gäller enligt dagens reglering.

179

Prop. 2017/18:269 8.4		Personuppgifter från transportföretag
	8.4.1	Reglerna om personuppgiftsbehandling för
		uppgifter från transportföretag samlas

	Regeringens förslag: Bestämmelserna om behandling av personupp-
	gifter som transportföretag lämnar till Tullverket enligt bestämmelser i
	inregränslagen och tullagen ska tas in i Tullverkets brottsdatalag.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Tullverket är positivt till förslaget. Övriga remiss-
	instanser yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag
	Transportföretagens uppgiftsskyldighet
	Enligt 15 § inregränslagen och 4 kap. 6 och 7 §§ tullagen är transportfö-
	retag skyldiga att på begäran skyndsamt lämna vissa personuppgifter till
	Tullverket. Det rör sig bl.a. om resenärers namn, medresenärers namn
	och transportmedel. Av bestämmelserna framgår att Tullverket endast får
	begära sådana uppgifter om de kan antas ha betydelse för Tullverkets
	brottsbekämpande verksamhet.
	Personuppgifterna får tillhandahållas genom terminalåtkomst till trans-
	portföretagens bokningssystem, där Tullverket endast får läsa uppgifter-
	na men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 16 §
	inregränslagen och 4 kap. 8 § tullagen bara i den omfattning och under
	den tid som behövs för att kontrollera aktuella transporter. Uppgifterna
	kan även lämnas på annat sätt, om transportföretaget anser att det är
	bättre. De lämnas ofta elektroniskt, men det förekommer även att de
	tillhandahålls på papper. Personuppgifterna bör, oavsett på vilket sätt de
	tillhandahålls, normalt vara strukturerade på ett sådant sätt att tullbrotts-
	datalagen är tillämplig på behandlingen.
	Uppgifter om enskilda personer som har lämnats på annat sätt än
	genom terminalåtkomst ska enligt 16 § inregränslagen och 4 kap. 8 §
	tullagen omedelbart förstöras, om de visar sig sakna betydelse för utred-
	ning av eller lagföring för brott. Syftet med bestämmelserna är att hindra
	att uppgifterna sprids, eftersom det till allra största delen är fråga om
	information om enskilda personer som inte är misstänkta för brott eller
	har samband med brottslig verksamhet. I inregränslagen och tullagen
	regleras således inte bara transportföretagens uppgiftsskyldighet utan
	även på vilket sätt och hur länge personuppgifterna får behandlas.
	Uppgifter från transportföretag behandlas och analyseras i Tullverkets
	underrättelseverksamhet av ett fåtal särskilt utpekade tjänstemän. Efter-
	som Tullverkets möjlighet att utföra fysiska kontroller i princip är knuten
	till gränspassage är intresset av bokningsuppgifter bara kortvarigt. När en
	transport har anlänt har myndigheten normalt inte längre något behov av
	samtliga uppgifter. Bestämmelserna om Tullverkets tillgång till uppgifter
	är utformade med särskild hänsyn till det (se prop. 1995/96:166 s. 83 f).
	Bestämmelserna om transportföretagens uppgiftsskyldighet tillkom i
	samband med Sveriges anslutning till EU, som en kompensatorisk åtgärd
180	för att minska risken för negativa konsekvenser av den fria rörligheten

för personer och varor. För att skapa bättre förutsättningar för kontroller vid den inre gränsen i kampen mot narkotikabrottslighet och annan internationell brottslighet gavs Tullverket möjlighet att i den brottsbekämpande verksamheten inhämta vissa uppgifter om varor, passagerare och fordon. Avsikten var att uppgifterna från transportföretagen skulle användas för att med ökad träffsäkerhet rikta kontroller mot varusändningar och mot personer som skulle kunna misstänkas för brottslighet inom Tullverkets verksamhetsområde (se prop. 1995/96:166 s. 72 f.). Metoden att med hjälp av uppgifter från transportföretag göra profilsökningar och kunna identifiera riskbeteenden redan innan en transport har nått Sverige ansågs dock vara lika viktig vid den yttre som den inre gränsen. Uppgiftsskyldigheten reglerades därför i både inregränslagen och tullagen (se prop. 1995/96:166 s. 80 f.).

Regleringen i tullbrottsdatalagen

Enligt 2 kap. 8 § tullbrottsdatalagen får personuppgifter, som har lämnats av transportföretag enligt nyssnämnda bestämmelser i inregränslagen och tullagen, behandlas av Tullverket om det är tillåtet enligt dessa lagar, men enbart i den utsträckning det behövs för planering av kontrollverk- samheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall får sådana personuppgifter behandlas även för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen och göras gemensamt tillgängliga. Enligt 2 kap. 9 § är det endast tillåtet att söka på namn, personnummer eller annan identitetsbeteckning om uppgifterna avser en person som är eller har varit misstänkt för brott, är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet eller är föremål för övervak- ning enligt lagen.

Ett samlat regelverk i Tullverkets brottsdatalag

Tillgången till uppgifter från transportföretag är av stor betydelse för Tullverkets möjligheter att förebygga och förhindra brottslig verksamhet och att upptäcka brott i samband med gränspassage. Regeringen instäm- mer i utredningens bedömning att dagens reglering bör behållas men renodlas och anpassas till de nya förutsättningar som gäller för behandling av personuppgifter till följd av EU:s dataskyddsreform. Förslagen till hur regleringen ska utformas i Tullverkets brottsdatalag presenteras i efterföljande avsnitt.

Som framgått innehåller inregränslagen och tullagen inte bara bestäm- melser om transportföretagens uppgiftsskyldighet utan även regler som dels begränsar tillgången till personuppgifter i transportföretagens bok- ningssystem, dels anger hur uppgifterna får behandlas av Tullverket. Där finns bestämmelser om vilken sökning som är tillåten och hur länge upp- gifter som härrör från transportföretag får behandlas i den brottsbekäm- pande verksamheten. Samtidigt finns stödet för att behandla personupp- gifterna automatiserat i tullbrottsdatalagen.

Bestämmelserna om transportföretags uppgiftsskyldighet infördes som nyss nämnts i samband med att Sverige blev medlem i EU. I förarbetena till Tullverkets registerförfattningar har frågan om de delar av bestäm- melserna som avser Tullverkets behandling av personuppgifter borde samlas i en författning inte behandlats.

Prop. 2017/18:269

181

Prop. 2017/18:269 Som anges i bl.a. avsnitt 7.4.1 är utgångspunkten nu att myndigheter- nas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i så stor utsträckning som möjligt bör regleras i respektive registerför- fattning. Bestämmelserna om hur personuppgifter från transportföretag får behandlas och hur länge de får behandlas bör därför flyttas från inre- gränslagen och tullagen till Tullverkets brottsdatalag. Med en sådan lösning blir regleringen mer överskådlig och lättillämpad. Bedömningen innebär att vissa bestämmelser i 16 § inregränslagen och 4 kap. 8 § tullagen bör flyttas till Tullverkets brottsdatalag. Transportföretagens uppgiftsskyldighet bör däremot alltjämt regleras i inregränslagen och tullagen, liksom bestämmelserna om hur transportföretagen får lämna uppgifterna samt i vilken omfattning som Tullverket får ta del av uppgifterna.

Som framgår av avsnitt 8.2 kommer det att finnas en särreglering när det gäller flygpassageraruppgifter. Nu aktuella bestämmelser om uppgif- ter från transportföretag kommer inte att tillämpas vid sådan personupp- giftsbehandling som följer av lagen om flygpassageraruppgifter i brotts- bekämpningen.

8.4.2En i huvudsak oförändrad reglering

Regeringens förslag: I Tullverkets brottsdatalag ska en bestämmelse införas om att Tullverket får behandla personuppgifter som transportföretag på Tullverkets begäran tillhandahåller enligt bestäm- melser i inregränslagen och tullagen för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Sådana person- uppgifter ska endast i enskilda fall få behandlas för nya ändamål.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Tullverket är positivt till förslaget att verket ska få

behandla uppgifter från transportföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda och lagföra brott. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Syftet med nuvarande reglering

Av förarbetena till tullbrottsdatalagen framgår att den enda remissinstans som yttrade sig över 2 kap. 8 § ifrågasatte om användning av uppgifter för planering av kontrollverksamheten och urval av kontrollobjekt stäm- de överens med lagens övergripande syften. Regeringen bemötte det bl.a. genom att peka på att lagens tillämpningsområde är Tullverkets brottsbe- kämpande verksamhet (se prop. 2016/17:91 s. 108). Med den nya regle- ringen i brottsdatalagen finns det skäl att klargöra att syftet med bestäm- melsen inte är att planera Tullverkets allmänna kontrollverksamhet.

Vid inre gräns är det inte tillåtet att göra slumpmässiga kontroller, t.ex. att ta ut var tionde eller tjugonde person som passerar gränsen för kon- troll. Däremot är det tillåtet att göra selektiva kontroller. Med det avses

kontroller som bygger på att den som passerar gränsen uppfyller sär-

182

skilda kriterier som pekar på förhöjd risk för att personen begår brott Prop. 2017/18:269 genom att t.ex. medföra otillåtna varor. Arbetet med att ta fram sådana

kriterier som kan motivera att en viss person tas ut för kontroll och att identifiera riskprofiler görs av Tullverkets underrättelseverksamhet. Genom att med hjälp av transportföretagens uppgifter kartlägga bl.a. res- mönster, betalningssätt, ålder och vilka som reser i sällskap ökar möj- ligheterna att kunna avslöja brott och att upptäcka nya smugglings- metoder.

Den kontrollverksamhet som avses i 2 kap. 8 § tullbrottsdatalagen får enligt regeringens mening anses vara sådan som avser att förebygga, förhindra eller upptäcka brottslig verksamhet.

Bestämmelserna ska i huvudsak vara desamma

Enligt regeringens mening bör de bestämmelser som flyttas över från inregränslagen och tullagen till Tullverkets brottsdatalag i huvudsak ha samma innehåll som i dag. De behöver dock anpassas till den lagens tillämpningsområde. Att personuppgifterna får behandlas för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet bör framgå av bestämmelsen.

I avsnitt 7.4.1 föreslås att polisen ska få behandla uppgifter från trans- portföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda eller lagföra brott.

Även om Tullverket främst har intresse av att behandla uppgifter från transportföretag för att effektivt kunna förebygga brott och för att bygga upp kunskap om smugglingsvägar och smugglingsmetoder, har myndig- heten i likhet med polisen även behov av sådana uppgifter i sin utred- ningsverksamhet. Vid s.k. kontrollerade leveranser av narkotika kan bok- ningsuppgifter vara av stor praktisk betydelse. Vid utredning av smugg- lingsbrott är det viktigt att kunna kontrollera uppgifter om resväg, ressällskap och liknande. Tullverket bör därför kunna dra nytta av upp- gifter från transportföretagen både för att förebygga, förhindra eller upp- täcka brottslig verksamhet och för att utreda eller lagföra brott.

I 2 kap. 8 § tullbrottsdatalagen anges att sådana uppgifter bara får be- handlas i den utsträckning det är tillåtet enligt inregränslagen respektive tullagen. Någon motsvarande bestämmelse behövs inte i Tullverkets brottsdatalag, eftersom det alltid ska finnas en rättslig grund för behandlingen.

På samma sätt som i polisens brottsdatalag bör det förtydligas att bestämmelserna om terminalåtkomst endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system (se avsnitt 7.4.1). Regeringen föreslår därför att det i Tullverkets brottsdatalag anges att vid terminalåtkomst enligt 16 § inregränslagen och 4 kap. 8 § tullagen får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. Skulle Tullverket finna att personuppgifter i ett enskilt fall föranleder ett underrättelseuppslag eller behövs för en brottsutredning kan de som regel behandlas med stöd av de generella bestämmelserna i brottsdatalagen och Tullverkets brottsdatalag.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst bör liksom i dag omedelbart förstöras, om de saknar

betydelse för brottsbekämpning eller lagföring. Regleringen om förstö-

183

Prop. 2017/18:269 rande i inregränslagen och tullagen gäller inte bara personuppgifter som behandlas automatiserat utan även annan behandling. Den nya regle- ringen bör därför täcka all behandling som omfattas av tillämpningsom- rådet för Tullverkets brottsdatalag, vilket bör tydliggöras i lagtexten. Kravet på förstörande bör dock inte omfatta de personuppgifter som myndigheten i ett enskilt fall behandlar för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

Ovan nämnda förslag medför att bestämmelserna i 16 § inregränslagen och 4 kap. 8 § tullagen delvis flyttas till Tullverkets brottsdatalag och får en ändrad lydelse.

Regeringen återkommer i avsnitt 8.5.2 till frågan om uppgifter från transportföretag får göras gemensamt tillgängliga.

Behandling för nya ändamål

I 2 kap. 8 § andra stycket tullbrottsdatalagen föreskrivs att personuppgifter från transportföretag också får behandlas för något annat ändamål som anges i 2 kap. 5 § om det behövs i ett enskilt fall. Det innebär att sådana uppgifter exempelvis får användas för att utreda brott.

Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. För att sådan behandling ska vara tillåten krävs det dels att det finns en tillåten rättslig grund för behandling för det nya ändamålet, dels att det är nödvändigt och propor- tionerligt att personuppgifterna behandlas för det nya ändamålet.

Riksdagen har nyligen ställt sig bakom att Tullverket i ett enskilt fall ska få behandla personuppgifter av nu aktuellt slag för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen. Tullverkets rätt att behandla uppgifterna för nya ändamål bör begränsas på motsvarande sätt i Tullverkets brottsdatalag. Enligt direktivet är det inte möjligt att göra undantag från den prövning som kommer till uttryck i 2 kap. 4 § brottsdatalagen. Det innebär att en sådan prövning alltid krävs när uppgifter från transportföretag i ett enskilt fall ska behandlas för ett nytt ändamål.

8.5Gemensamt tillgängliga uppgifter

8.5.1Sökning i gemensamt tillgängliga uppgifter

Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i Tullverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem.

Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av sär- skilt angivna tjänstemän

1.när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

184

2.i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till,

3.i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer, eller

4.i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.

Det ska också göras undantag för sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tjäns- teman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begräns-

ningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Begränsning endast i automatiserade behandlingssystem

Eftersom sökning med hjälp av namn, personnummer och samordnings- nummer är ett viktigt inslag i Tullverkets verksamhet och sådana identi- tetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § tullbrottsdata- lagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identi- tetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:91 s. 138 ff.). Paragraferna är utformade efter mönster av polis- datalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § tullbrottsdatalagen bör införas i Tullverkets brottsdatalag.

Av de skäl som anges i avsnitt 7.5.2 anser regeringen att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. I samma avsnitt bemöts Datainspektionens invändning.

Behövs det fler eller andra undantag från begränsningsregeln?

Undantagen i 3 kap. 7 § tullbrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Tullverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Vidare bör även Tullverket kunna göra sökningar i syfte att samordna brottsutredningar som avser brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Regleringen bör utformas på samma sätt som för Polismyndigheten.

De tulltjänstemän som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Tullverkets ledningscentraler, t.ex. vakthavande

Prop. 2017/18:269

185

Prop. 2017/18:269 befäl eller rikssambandscentralen, med sökning i syfte att klarlägga t.ex. en gripen persons identitet. Vid sökningar av det slaget kan det vara nödvändigt att få fram andra typer av information, samtidigt som den ingripande tulltjänstemannen inte alltid har tillgång till nödvändiga sök- möjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sådana sökningar som görs i Tullverkets led- ningscentraler på begäran av en tulltjänsteman i yttre tjänst.

8.5.2Uppgifter från transportföretag får göras gemensamt tillgängliga i vissa fall

Regeringens förslag: En bestämmelse om i vilka fall personuppgifter från transportföretag får göras gemensamt tillgängliga ska tas in i regleringen om gemensamt tillgängliga uppgifter.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I avsnitt 8.4.2 föreslås att regleringen av Tullverkets behandling av personuppgifter från transportföretag i huvudsak ska vara densamma som i dag. Utgångspunkten är att uppgifter från transportföretagen till allra största delen är information om personer som inte är intressanta för brottsbekämpningen och att sådana person- uppgifter därför ska ges så liten spridning som möjligt. När bestämmel- serna i inregränslagen och tullagen infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur de fick användas (se prop. 1995/96:166 s. 83 f.). Uppgifterna får därför som utgångspunkt inte göras gemensamt tillgängliga.

Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgängliga i enskilda fall. Av förarbetena framgår att det skulle strida mot intentionerna bakom bestämmelserna att generellt tillåta att sådana uppgifter görs gemensamt tillgängliga. Om personuppgifterna, t.ex. efter en kontroll, behövs för en brottsutredning eller har samband med misstänkt brottslig verksamhet bör de dock få behandlas inom ramen för den utredningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107).

I 3 kap. 2 § tullbrottsdatalagen anges under vilka förutsättningar som personuppgifter får göras gemensamt tillgängliga. Genom särregleringen i 2 kap. 8 § andra stycket tullbrottsdatalagen av i vilka fall uppgifter från transportföretag får göras gemensamt tillgängliga finns det i dag en risk för en otydlighet som kan leda till motsatsslut när det gäller andra slag av personuppgifter. För att undanröja denna risk bör bestämmelsen utan någon ändring i sak tas in i den bestämmelse i Tullverkets brottsdatalag som motsvarar 3 kap. 2 § tullbrottsdatalagen. På samma sätt som enligt dagens reglering bör alltså sådana uppgifter få göras gemensamt tillgängliga om det behövs i ett enskilt fall.

186

8.6	Längsta tid för behandling av uppgifter i viss	Prop. 2017/18:269
	underrättelseverksamhet

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Övriga

remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I 4 kap. 9 § andra stycket tullbrotts- datalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas.

I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när registreringen avseende en viss person gjordes. Som anges i avsnitt 7.6 behandlas personuppgifter i underrättelseverksam- heten ibland i ärenden, exempelvis i samarbetet mot grov organiserad brottslighet eller i samband med en särskild händelse. När personuppgif- ter i underrättelseverksamhet behandlas i ärenden bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestäm- melse med den innebörden bör därför införas i Tullverkets brottsdatalag.

9Kustbevakningens brottsdatalag

9.1Behovet av anpassning till brottsdatalagen

9.1.1Nuvarande reglering

Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av per- sonuppgifter i Kustbevakningens brottsbekämpande verksamhet och i annan operativ verksamhet, t.ex. sjöövervakning och räddningstjänst. Bestämmelserna i 3 och 4 kap. gäller vid behandling av personuppgifter i den brottsbekämpande verksamheten, medan bestämmelserna i 5 kap. gäller vid personuppgiftsbehandling i annan operativ verksamhet.

Innehållet i kustbevakningsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas eller endast ändras redaktionellt. De

anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för Kustbevakningens nya registerförfattning behandlas i detta avsnitt.

Den del av kustbevakningens personuppgiftsreglering som ligger utanför brottsdatalagens tillämpningsområde behandlas i ett annat lagstiftningsärende (se Ds 2017:58 EU:s dataskyddsreform – anpassningar av vissa författningar om allmän ordning och säkerhet).

187

Prop. 2017/18:269	9.1.2	Kustbevakningsdatalagen delas upp

	Regeringens förslag: Kustbevakningens nya registerförfattning ska
	bara innehålla bestämmelser om personuppgiftsbehandling inom
	brottsdatalagens tillämpningsområde. Den ska benämnas lagen om
	Kustbevakningens behandling av personuppgifter inom brottsdata-
	lagens område. Hänvisningar till kustbevakningsdatalagen i andra
	författningar ska ändras.

	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Utredningen föreslår att lagen ska benämnas Kustbevakningens
	brottsdatalag.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag
	Den nuvarande regleringen renodlas
	Vid kustbevakningsdatalagens tillkomst konstaterades att övervägande
	skäl talade för att myndighetens personuppgiftsbehandling skulle regleras
	i en och samma lag (se prop. 2011/12:45 s. 63). Med hänsyn till hur den
	nya dataskyddsregleringen är utformad finns det dock, som utredningen
	konstaterat, skäl att på nytt överväga frågan.
	Kustbevakningsdatalagen reglerar i dag personuppgiftsbehandling
	inom både brottsdatalagens och dataskyddsförordningens tillämpnings-
	områden. Om man skulle behålla en samlad reglering för Kustbevak-
	ningens personuppgiftsbehandling skulle den därför behöva dels gälla
	utöver brottsdatalagen, dels komplettera dataskyddsförordningen.
	Den nya dataskyddsregleringen gör det nödvändigt att dela upp regle-
	ringen av Kustbevakningens personuppgiftsbehandling på ett annat sätt
	än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga
	ändringar i en och samma lag. Ett alternativ är att dela upp regleringen i
	två separata regelverk – ett för brottsdatalagens tillämpningsområde och
	ett för dataskyddsförordningens. Skatteverket har sedan tidigare olika
	regleringar för personuppgiftsbehandlingen beroende på i vilken verk-
	samhet uppgifterna behandlas, där regleringen för den brottsbekämpande
	verksamheten finns i en särskild lag. Kustbevakningen har visserligen till
	skillnad från Skatteverket inte någon organisatorisk uppdelning i olika
	verksamhetsgrenar. Regeringen instämmer ändå i utredningens bedöm-
	ning att en ordning med två separata regleringar även för Kustbevak-
	ningens del skulle bli tydligare och enklare att tillämpa än en lösning
	som innebär att förordningens och direktivets krav regleras i en och
	samma lag.
	Kustbevakningens personuppgiftsbehandling bör alltså fortsättningsvis
	regleras i två olika registerförfattningar. Den del av Kustbevakningens
	personuppgiftsbehandling som ligger inom brottsdatalagens tillämp-
	ningsområde bör regleras i en ny registerlag.
	Lagens namn
	De registerförfattningar som ska gälla utöver brottsdatalagen bör ha
	enhetliga benämningar som knyter an till brottsdatalagen. Utredningen
188	föreslår att lagen ska benämnas Kustbevakningens brottsdatalag. Även

Lagrådet förordar detta namn. Som anförs i avsnitt 7.1.2 avviker dock Prop. 2017/18:269 det föreslagna namnet från hur svenska författningar normalt benämns

och skulle bryta mot den systematik som gäller för författningars rubriker. Det vore visserligen önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Lagen bör mot den bakgrunden benämnas lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Samtliga hänvisningar till lagen måste också ändras. I det följande kallas den nya lagen för Kustbevakningens brottsdatalag.

9.2Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Kustbevakningen i egenskap av behörig myndighet behandlar person- uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för utredningens förslag

Den nuvarande regleringen behöver anpassas

Registerförfattningarna bör även i fortsättningen innehålla bestämmelser om tillämpningsområdet (se avsnitt 4.4). Registerförfattningarna bör vidare gälla utöver brottsdatalagen (se avsnitt 5.2).

Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör bl.a. brottsbekämpning, sjöövervakning och räddningstjänst. Tillämpningsom- rådet måste i den nya lagen anpassas till brottsdatalagens tillämp- ningsområde så att det dels utgår från syftet med behandlingen, dels bara omfattar den personuppgiftsbehandling som Kustbevakningen utför inom brottsdatalagens tillämpningsområde. Det bör också framgå att lagen endast gäller när Kustbevakningen agerar i egenskap av behörig myndighet.

Närmare om tillämpningsområdet

För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av person- uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Kustbevakningens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.

189

Prop. 2017/18:269 Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbe- handling i syfte att upprätthålla allmän ordning och säkerhet.

190

En av Kustbevakningens arbetsuppgifter är att genom sjöövervakning förebygga och ingripa mot störningar av ordningen i sjötrafiken (3 § för- ordningen [2007:853] med instruktion för Kustbevakningen). I 5 kap. 1 § första stycket 1 kustbevakningsdatalagen regleras behandling av per- sonuppgifter för ändamålet att övervaka den allmänna ordningen och säkerheten till sjöss. Sådan sjöövervakning syftar enligt förarbetena till att öka respekten för lagar och föreskrifter och till att öka säkerheten till sjöss. Verksamheten omfattar allmän övervakningsverksamhet i form av patrullering och sjösäkerhetsövervakning. Till denna verksamhet räknas inte aktiviteter som föranleds av misstanke om brott eller brottslig verk- samhet (se prop. 2011/12:45 s. 157).

Inom ramen för sjöövervakningen har Kustbevakningens tjänstemän rätt att ingripa vid ordningsstörningar i trafiken till sjöss eller när det behövs för att avvärja brott mot föreskrifter om trafikregler och säker- hetsanordningar för sjötrafiken, åtgärder mot vattenföroreningar från fartyg och dumpning av avfall i vatten. Vid ett sådant ingripande har en kustbevakningstjänsteman enligt 3 § lagen om Kustbevakningens med- verkan vid polisiär övervakning samma befogenhet som en polisman har enligt 13 § polislagen att avvisa, avlägsna eller omhänderta den som genom sitt uppträdande stör ordningen eller utgör omedelbar fara för den. Det gäller dock bara vid ordningsstörningar till sjöss som utgör en ome- delbar fara och i samband med att Kustbevakningen ingriper mot vissa brott enligt lagen om Kustbevakningens medverkan vid polisiär övervak- ning. Kustbevakningen har också ordningshållande uppgifter enligt dels lagen (2006:1209) om hamnskydd, dels lagen (2004:487) om sjöfarts- skydd.

För att lagen ska täcka all Kustbevakningens behandling av person- uppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet.

Gränsdragningen för tillämpningsområdet

Enbart personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet omfattas av brottsdatalagens tillämpningsområde. Utgångs- punkten är att det krävs fysisk närvaro på den plats där oordning före- kommer eller riskerar att uppstå för att det ska vara fråga om upprätthål- lande av allmän ordning och säkerhet (se prop. 2017/18:232 s. 97).

När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid sådan verksamhet bör följaktli- gen omfattas av tillämpningsområdet för lagen. Detsamma bör gälla vid ingripanden och andra åtgärder för att avvärja konkreta brott.

Den verksamhet som består av allmän övervakning i trygghets- skapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs, ligger däremot utanför tillämpningsområdet. Sådan övervakning kan utföras t.ex. genom rutinmässig patrullering till sjöss eller flygövervakning eller övervakning med hjälp av kameror eller

annan digital utrustning i en ledningscentral. Denna typ av övervakning Prop. 2017/18:269 görs utan att den är inriktad mot en konkret störning eller konkret risk för

störning. Allmän övervakning av sådant slag kan emellertid övergå till att ha ett ordningshållande syfte och därmed omfattas av tillämpningsområ- det. Så är fallet om ledningscentralen tar radiokontakt med ett övervakat fartyg för att ge anvisningar om t.ex. vilken kurs fartyget ska hålla för att undvika ett avlyst vattenområde. I dessa fall upprätthålls allmän ordning och säkerhet utan någon fysisk närvaro på platsen där oordning före- kommer eller riskerar att uppstå.

Även vid rutinmässig patrullering till sjöss kan det upptäckas ord- ningsstörningar som kräver ingripande. Det är oftast först vid ingripan- den som det blir fråga om att behandla personuppgifter. Gränsdragningen avseende vilket regelverk som gäller i enskilda fall blir ytterst en fråga för tillämpningen.

9.3Grundläggande bestämmelser om behandling

9.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Kustbevakningen ska få behandla personupp- gifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. upprätthålla allmän ordning och säkerhet, eller

4. fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksam- het sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag
En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga
grunder för behandling
Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga
grunder för behandling av personuppgifter. En reglering som motsvarar
3 kap. 2 § kustbevakningsdatalagen bör således införas, men det ska
framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening.	191
	191

Prop. 2017/18:269 Bestämmelserna är i stället på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Kustbevakningen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.

Kustbevakningen får i dag behandla personuppgifter i den brottsbe- kämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Kustbevakningen bör även i fortsättningen få behandla personuppgifter om det är nödvän- digt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.

Tillämpningsområdet för lagen ska omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Detta bör därför anges vara en tillåten rättslig grund för myndighetens personuppgiftsbe- handling.

Kustbevakningens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i registerförfattningen bör den senare ersätta bestämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas i lagen att den uppgift som Kustbevakningen ska utföra ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för sådan uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Kustbevakningens del nämns 3 § förordningen (2007:853) med instruktion för Kustbevakningen, där det anges att myndigheten bl.a. ska bedriva övervakning för att förebygga och ingripa mot störningar i sjötrafiken, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott och utreda och beivra eller bistå med utredningen av brott. Vilka brott Kustbevakningen har till uppgift att ingripa mot framgår bl.a. av lagen (1982:395) om Kustbevakningens medverkan vid polisiär över- vakning och lagen (2000:1225) om straff för smuggling. Hur det ska göras regleras framför allt i rättegångsbalken och nyss nämnda lagar. Dessa bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Kustbevakningens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar.

192

Behandling för nya ändamålProp. 2017/18:269

I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 3 kap. 3 § kustbevakningsdatalagen. I den nya regleringen anges förutsättningarna för behandling för nya ändamål i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. I Kustbevakningens brottsdatalag bör det införas en bestämmelse som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.

9.3.2 Behandling av biometriska och genetiska uppgifter

Regeringens bedömning: Kustbevakningen bör inte få behandla bio- metriska och genetiska uppgifter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra

mot bedömningen om ställningstagandet grundar sig på upplysningar från Kustbevakningen. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens bedömning: Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identi- fiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

Regeringen instämmer i utredningens bedömning att det inte har fram- kommit något behov för Kustbevakningen att behandla biometriska och genetiska uppgifter för brottsbekämpande syften. Kustbevakningen har inte heller invänt mot bedömningen. Det bör därför inte finnas någon bestämmelse som medger sådan behandling i Kustbevakningens brotts- datalag.

9.3.3Sökning på känsliga personuppgifter

Sökförbudet ska inte heller hindra sökning i syfte att få fram ett ur- val av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i person- uppgifter som inte har gjorts gemensamt tillgängliga.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inte några invändningar mot förslaget.

193

Prop. 2017/18:269

194

Skälen för regeringens förslag

Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter

Enligt 4 kap. 4 § andra stycket i kustbevakningsdatalagen är det tillåtet att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemen- samt tillgängliga. Kustbevakningen har fortfarande behov av att kunna använda sådana uppgifter vid sökning, även om det leder till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud i Kust- bevakningens brottsdatalag för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökning i alla slags personuppgifter, dvs. oberoende av om de har gjorts gemensamt tillgängliga eller inte.

Kustbevakningen behöver i likhet med Polismyndigheten och Tullver- ket kunna göra sökningar på tillvägagångssätt vid brott. Sådana sök- ningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att smugglingsmetoder kan avslöja uppgifter om såväl religiös övertygelse och politiska åsikter som uppgifter om gärningsmannens hälsa.

Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga

Det nuvarande förbudet i kustbevakningsdatalagen mot att använda käns- liga personuppgifter som sökbegrepp gäller endast vid sökning i uppgif- ter som har gjorts gemensamt tillgängliga. Det innebär att känsliga per- sonuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig.

De behöriga myndigheternas möjlighet att använda känsliga person- uppgifter vid sökning bör inte försämras. Framför allt inom Kustbevak- ningens underrättelseverksamhet kan det behöva göras sökningar som innebär att sammanställningar grundade på etniskt ursprung eller religiös eller filosofisk övertygelse skapas. Kustbevakningen måste kunna göra sökningar för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas genom sitt etniska ursprung eller sin religiösa eller filosofiska övertygelse. I utredningsverksamheten finns motsvarande behov av att kunna söka på känsliga personuppgifter vid brott med okänd gärningsman. Det finns därför skäl att göra undantag från sökförbudet i brottsdatalagen när det gäller sökning i uppgifter som inte har gjorts gemensamt tillgängliga.

Kustbevakningen har dock inte behov av att kunna ta fram urval av personer grundade på alla kategorier av känsliga personuppgifter. Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in männi- skor i skilda raser (se prop. 2017/18:232 s. 151). Regeringen instämmer vidare i utredningens bedömning att det inte finns något behov av att kunna göra sammanställningar grundade på genetiska eller biometriska uppgifter, uppgifter om medlemskap i fackförening eller politiska åsikter eller uppgifter som rör sexualliv eller sexuell läggning. Undantaget från

sökförbudet i brottsdatalagen bör därför utformas så att sökning i person- Prop. 2017/18:269 uppgifter som inte har gjorts gemensamt tillgängliga möjliggörs när det

gäller uppgifter som kan avslöja etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa.

9.4Gemensamt tillgängliga uppgifter

9.4.1Behandling för diarieföring ska undantas

Regeringens förslag: Det som föreskrivs om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av den särskilda bestämmelsen i brottsdatalagen om behandling av person- uppgifter för diarieföring eller för att utföra andra nödvändiga hand- läggningsuppgifter.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I polisdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen föreskrivs att reglerna om gemensamt tillgängliga personuppgifter inte är tillämpliga när person- uppgifter behandlas med stöd av den särskilda bestämmelsen om behand- ling av personuppgifter för diarieföring eller för att utföra andra nödvän- diga handläggningsuppgifter. Någon sådan bestämmelse finns inte i kustbevakningsdatalagen.

Bestämmelsen om personuppgiftsbehandling vid diarieföring syftar inte till att möjliggöra behandling av personuppgifter i den operativa verksamheten, utan enbart till att inkomna handlingar ska kunna hanteras enligt offentlighets- och sekretesslagen och att tillgodose rätten till till- gång till allmänna handlingar enligt tryckfrihetsförordningen. Flera av de bestämmelser som gäller vid behandling av gemensamt tillgängliga per- sonuppgifter är inte anpassade för att reglera behandling av personupp- gifter i diarier (se bl.a. prop. 2016/17:89, s. 87 f.). Det bör därför föreskrivas att reglerna om gemensamt tillgängliga personuppgifter inte gäller när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdata- lagen.

9.4.2En ny kategori av personuppgifter får göras gemensamt tillgängliga

Regeringens förslag: Personuppgifter som behandlas i syfte att upp- rätthålla allmän ordning och säkerhet ska få göras gemensamt tillgäng- liga. De ska inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: De personuppgifter som Kustbevak- ningen behandlar i annan operativ verksamhet än den brottsbekämpande

och som behövs för att övervaka den allmänna ordningen och säkerheten

195

Prop. 2017/18:269 till sjöss får i dag göras gemensamt tillgängliga enligt 5 kap. 1 § kustbe- vakningsdatalagen. Kustbevakningens brottsdatalag ska även tillämpas vid personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Inför kommenderingar vid särskilda händelser där ordningsstörningar befaras kan det finnas behov av att göra uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Kustbevakningen bör därför även kunna göra personuppgifter som be- handlas i syfte att upprätthålla allmän ordning och säkerhet gemensamt tillgängliga.

9.4.3Sökning i gemensamt tillgängliga uppgifter

Regeringens förslag: En bestämmelse som begränsar resultatet vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, per- sonnummer, samordningsnummer eller liknande identitetsbeteck- ningar ska tas in i Kustbevakningens brottsdatalag men sökbegränsningarna ska enbart gälla i automatiserade behandlings- system.

Begränsningarna ska inte gälla vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga en- ligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begräns-

ningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem.

Skälen för regeringens förslag

Begränsning endast i automatiserade behandlingssystem

Eftersom sökning med hjälp av namn, personnummer och samordnings- nummer är ett viktigt inslag i Kustbevakningens verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter (se prop. 2011/12:45 s. 126 och avsnitt 7.5.2). I 4 kap. 5 § kustbevakningsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 4 kap. 6 § görs vissa undantag från bestämmelserna i 4 kap. 5 §. I förarbetena diskuteras ingående vilka typer av sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2011/12:45 s. 126 f.). Para- graferna är utformade utifrån regleringen i polisdatalagen.

196

Av de skäl som anges i avsnitt 7.5.2 anser regeringen, till skillnad från Prop. 2017/18:269 Datainspektionen, att begränsningarna endast bör gälla vid sökningar i

automatiserade behandlingssystem.

Sökning i gemensamt tillgängliga uppgifter

Det bör övervägas om det för Kustbevakningen delvis ändrade tillämp- ningsområdet för lagen bör föranleda någon ändring av begränsnings- regeln i 4 kap. 5 § kustbevakningsdatalagen. Kustbevakningens brottsdatalag omfattar även behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om att någon är eller har varit misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid en sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett ingripande med grovt våld. Det finns därför inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning.

Av de skäl som anges i avsnitt 7.5.2 bör undantaget för sökning i underrättelseverksamhet utformas på motsvarande sätt i Kustbe- vakningens brottsdatalag för att motverka att regleringen misstolkas.

10Skatteverkets brottsdatalag

10.1Behovet av anpassning till brottsdatalagen

10.1.1Nuvarande reglering

Skattebrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av person- uppgifter i Skatteverkets brottsbekämpande verksamhet. Det är dock bara en mycket begränsad del av myndighetens verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa av bestämmelserna i lagen behöver dock inte tillämpas förrän den 1 januari 2019.

Innehållet i skattebrottsdatalagen måste, i likhet med övriga registerförfattningar anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De

anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för skattebrottsdatalagen behandlas däremot i detta avsnitt.

10.1.2Lagens namn

Regeringens förslag: Den nya lagen ska benämnas lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.

197

Prop. 2017/18:269 Utredningen föreslår att lagen ska benämnas Skatteverkets brottsdatalag.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas Skatteverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange vem författningen gäller för, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Skatteverkets brottsdatalag.

Alla hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.

10.2Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Skatteverket i egenskap av behörig myndighet behandlar personupp- gifter i syfte att förebygga, förhindra eller upptäcka brottslig verksam- het eller utreda brott.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Skattebrottsdatalagen gäller enligt

1 kap. 2 § vid behandling av personuppgifter i Skatteverkets brottsbe- kämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när Skatteverket agerar i egenskap av behörig myndighet.

Utredningen föreslår att tillämpningsområdet ska omfatta personupp- giftsbehandling i syfte att bekämpa brott. I bestämmelsen om brottsdata- lagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Skatteverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.

198

10.3Grundläggande bestämmelser om behandling

10.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Skatteverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Skälen för regeringens förslag

En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling

Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 5 § skattebrottsdatalagen bör således införas, men det bör framgå att det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Skatteverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter.

Skatteverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Myndigheten bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi.

Skatteverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Skatteverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt

Prop. 2017/18:269

199

Prop. 2017/18:269 myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Skatteverkets del kan t.ex. 6 § förordningen (2017:154) med instruktion för Skatteverket nämnas, varav det framgår att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott. Sådana bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Skatteverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, pre- cis och förutsägbar.

Behandling för nya ändamål

I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § skattebrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål bör i stället regleras i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Regeringen anser att det bör införas en bestämmelse i Skatteverkets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.

10.3.2Behandling av biometriska och genetiska uppgifter

Regeringens bedömning: Skatteverket bör inte få behandla biomet- riska och genetiska uppgifter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra

mot bedömningen om ställningstagandet grundar sig på upplysningar från Skatteverket. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning.

200

Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter Prop. 2017/18:269 som används för att identifiera en person och genetiska uppgifter käns-

liga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

I likhet med utredningen finner inte regeringen något behov för Skatteverket att behandla biometriska och genetiska uppgifter. Skatteverket har inte heller invänt mot bedömningen. Det finns därför inte skäl att föreslå någon bestämmelse som medger sådan behandling i Skatteverkets brottsdatalag.

10.3.3	Sökning på känsliga personuppgifter

Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att
uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet ska inte heller hindra sökning i syfte att få fram ett ur-
val av personer grundat på etniskt ursprung, om sökningen görs i per-
sonuppgifter som inte har gjorts gemensamt tillgängliga.

Utredningens förslag överensstämmer med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag
Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags
personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår
från syftet med sökningen. Om syftet inte är att få fram ett urval av
personer grundat på känsliga personuppgifter är sökningen tillåten, även
om känsliga personuppgifter används vid sökningen (se prop.
2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering.
Eftersom sökförbudet får en ny utformning är det nödvändigt att se
över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket skatte-
brottsdatalagen är det tillåtet att använda uppgifter som beskriver en
persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts
gemensamt tillgängliga. Det finns även i fortsättningen behov att kunna
använda sådana uppgifter vid sökning, trots att det kan leda till att man
får fram ett urval av personer grundat på känsliga personuppgifter. Det
bör därför göras undantag från brottsdatalagens sökförbud i Skatteverkets
brottsdatalag. För att möjligheterna till sökning ska vara desamma som i
dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs.
oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte.
Undantag vid sökning i personuppgifter som inte har gjorts gemensamt
tillgängliga
Det nuvarande förbudet i skattebrottsdatalagen mot att använda känsliga
personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter
som har gjorts gemensamt tillgängliga. Det innebär att känsliga person-
uppgifter kan användas vid sökning i uppgifter som endast ett fåtal har
tillgång till. Den enda begränsningen i dag är att behandling av känsliga
personuppgifter ska vara absolut nödvändig.		201

Prop. 2017/18:269 De behöriga myndigheternas möjligheter att använda känsliga person- uppgifter vid sökning bör inte försämras i förhållande till dagens regle- ring. För att effektivt kunna bekämpa brott behöver Skatteverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på vissa känsliga personuppgifter vid sökning i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undan- tag från sökförbudet i brottsdatalagen även i sådana fall.

Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter. Det har inte framkommit att Skatteverket i övrigt skulle ha behov av att kunna ta fram urval av personer grundade på känsliga personuppgifter.

Undantaget från sökförbudet i brottsdatalagen bör utformas så att sök- ning möjliggörs endast när det gäller etniskt ursprung. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i upp- gifter som inte har gjorts gemensamt tillgängliga begränsas i förhållande till vad som gäller enligt dagens reglering.

10.4Gemensamt tillgängliga uppgifter

Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i Skatteverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem.

Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av sär- skilt angivna tjänstemän

1.när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede,

2.i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till, eller

3.i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begräns-

202

Skälen för regeringens förslag

Prop. 2017/18:269

Begränsning endast i automatiserade behandlingssystem

Eftersom sökning med hjälp av namn, personnummer och samordnings- nummer är ett viktigt inslag i Skatteverkets verksamhet och sådana iden- titetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § skattebrottsdata- lagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identi- tetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:89 s. 96 f). Paragraferna är utformade efter mönster av polisd- atalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § skattebrottsdatalagen bör införas i Skatteverkets brottsdatalag.

Sökning i gemensamt tillgängliga uppgifter

Undantagen i 3 kap. 7 § skattebrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Skatteverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Regleringen bör utformas på samma sätt som i polisens brottsdatalag.

11Åklagarväsendets brottsdatalag

11.1Behovet av anpassning till brottsdatalagen

11.1.1Nuvarande reglering

Åklagardatalagen gäller enligt 1 kap. 2 § första stycket vid behandling av personuppgifter i Åklagarmyndighetens och Ekobrottsmyndighetens (åklagarväsendets) operativa verksamhet. Med operativ verksamhet avses dels brottsbekämpande verksamhet, dels fullgörandet av andra åklagar- uppgifter enligt lag eller förordning. Det senare kan t.ex. vara att föra talan om hävande av registrering av varumärkesrätt, att företräda staten i mål om vattenföroreningsavgift eller att fatta beslut om förstörande av vissa hälsofarliga missbrukssubstanser (se avsnitt 1.2 och prop. 2014/15:63 Åklagardatalag s. 43 f. och 68 f.). Lagen gäller enligt 1 kap.

2 § andra stycket inte vid behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten. Vid sådan behandling gäller i stället polisdatalagen och andra författningar som reglerar polisens per-

sonuppgiftsbehandling.

203

Prop. 2017/18:269 Innehållet i många bestämmelser i åklagardatalagen behöver dock inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna behandlas i avsnitt 4, 5 och 6. De anpassningar som är specifika för åklagarväsendets verksamhet behandlas däremot i detta avsnitt.

204

11.1.2En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde

Regeringens förslag: Den nya lagen ska benämnas lag om åkla- garväsendets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till åklagardatalagen i andra författningar ska därmed också ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område.

Utredningen föreslår att lagen ska benämnas åklagarväsendets brotts- datalag.

Remissinstanserna: Ingen remissinstans invänder mot förslaget. Ekobrottsmyndigheten menar dock att myndighetens personuppgiftsbe- handling borde kunna särregleras i en egen registerförfattning.

Skälen för regeringens förslag

Den nuvarande regleringen bör renodlas

Vid åklagardatalagens tillkomst övervägde regeringen om åklagardata- lagen endast skulle omfatta personuppgiftsbehandling i den brottsbekäm- pande verksamheten. Eftersom arbetsuppgifter utanför den brottsbekäm- pande verksamheten utgör en mycket liten del av åklagarverksamheten ansåg regeringen dock att det inte behövdes någon särskild författning för annan operativ verksamhet. Eftersom personuppgiftslagens allmänna bestämmelser inte bedömdes ändamålsenliga för sådan integritetskänslig verksamhet ansåg regeringen att åklagardatalagen borde omfatta all per- sonuppgiftbehandling som rör åklagaruppgifter (se prop. 2014/15:63 s. 43 f.). Med hänsyn till hur den nya dataskyddsregleringen är utformad finns det emellertid skäl att på nytt överväga den frågan.

Åklagardatalagen reglerar alltså huvudsakligen personuppgiftsbehand- ling inom brottsdatalagens tillämpningsområde, men även till viss del inom dataskyddsförordningens. Om man skulle behålla en samlad regle- ring för åklagarväsendets personuppgiftsbehandling skulle den därför till största delen gälla utöver brottsdatalagen, men skulle i övrigt komplettera dataskyddsförordningen.

Den nya dataskyddsregleringen gör det nödvändigt att dela upp regle- ringen av åklagarväsendets personuppgiftsbehandling på ett annat sätt än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga änd- ringar i den befintliga lagen. En separat reglering för sådan personupp- giftsbehandling som faller inom ramen för brottsdatalagens tillämpnings- område blir emellertid tydligare och lättare att tillämpa. Trots de skäl som anges i förarbetena till åklagardatalagen bör därför åklagarväsendets personuppgiftsbehandling fortsättningsvis inte regleras i en och samma

registerförfattning. Den del av personuppgiftsbehandlingen som ligger Prop. 2017/18:269 inom brottsdatalagens tillämpningsområde bör regleras i den nya lagen

eftersom den i dag till största delen rör brottsbekämpande verksamhet. Mot den bakgrunden bör det i den nya lagen inte införas någon bestämmelse som reglerar behandling av personuppgifter utanför brottsdatalagens tillämpningsområde, vilket idag regleras i 2 kap. 5 § andra stycket åklagardatalagen.

För sådan operativ verksamhet som faller utanför brottsdatalagens tillämpningsområde kommer i stället EU:s dataskyddsförordning och dataskyddslagen att gälla. Den regleringen bedöms tillräcklig och det behövs därför inte någon särreglering för personuppgiftsbehandling i sådan verksamhet.

Till skillnad från Ekobrottsmyndigheten bedömer regeringen att det inte heller behövs någon särreglering för Ekobrottsmyndighetens person- uppgiftsbehandling.

Åklagardatalagen upphävs och en ny lag införs

Av de skäl som anges i avsnitt 4.4 finns det anledning att införa en ny lag som gäller för åklagarväsendet och ge den ett namn som knyter an till brottsdatalagen. Eftersom lagen ska gälla för både Åklagarmyndigheten och Ekobrottsmyndigheten bör det av namnet framgå att lagen omfattar båda myndigheterna, som tillsammans bildar åklagarväsendet. Regeringen anser mot den bakgrunden att den nya lagen bör benämnas lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. I det följande kallas lagen åklagarväsendets brottsdatalag.

Som en följd av den nya lagen måste alla hänvisningar till åklagardatalagen ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område.

11.2Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när myndigheterna i åklagarväsendet i egenskap av behöriga myndigheter behandlar personuppgifter i åklagarverksamhet i syfte att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår dock att det i lagen ska upplysas om att det finns bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten i polisens brottsdatalag.

Remissinstanserna: Ingen remissinstans invänder mot förslaget.

205

Prop. 2017/18:269

206

Skälen för regeringens förslag

Den nuvarande regleringen behöver anpassas

Enligt 1 kap. 2 § åklagardatalagen gäller lagen vid behandling av person- uppgifter i åklagarväsendets operativa verksamhet. Brottsdatalagens tillämpningsområde knyts både till vilket syfte behandlingen av person- uppgifter har och till att det är en behörig myndighet som utför behand- lingen. Tillämpningsområdet för åklagarväsendets brottsdatalag måste anpassas till brottsdatalagens, så att det dels utgår från syftet med behandlingen, dels omfattar bara den personuppgiftsbehandling som

Åklagarmyndigheten och Ekobrottsmyndigheten utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör framgå att lagen endast gäller när någon av myndigheterna agerar i egenskap av behöriga myndigheter. I propositionen Brottsdatalag definieras behörig myndighet som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften (1 kap. 6 §).

Närmare om tillämpningsområdet

För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen i åklagardatalagen föreslår utredningen att tillämpningsom- rådet bör inkludera personuppgiftsbehandling i syfte att bekämpa eller lagföra brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att bl.a. förebygga eller för- hindra brottslig verksamhet eller utreda brott. Regeringen anser att mot- svarande uttryck bör användas i åklagarväsendets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag.

Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbe- handling i syfte att verkställa straffrättsliga påföljder. Åklagare för talan om ändring av påföljd enligt bestämmelser i 27, 28 och 38 kap. brotts- balken. Åklagare prövar även vissa frågor om straffverkställighet vid beslut att utfärda en europeisk eller nordisk arresteringsorder (se 2 och 4 §§ förordningen [2003:1178] om överlämnande till Sverige enligt en europeisk arresteringsorder och 2 och 4 §§ förordningen [2012:566] om överlämnande till Sverige enligt en nordisk arresteringsorder). Åklagare ska också yttra sig i vissa frågor om rättspsykiatrisk vård med särskild utskrivningsprövning. Personuppgiftsbehandling när åklagare handlägger frågor som rör ändring av påföljd eller frågor om straffverkställighet bör därför också omfattas av lagens tillämpningsområde.

Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbe- handling i syfte att upprätthålla allmän ordning och säkerhet. Enligt 6 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang prövar allmän åklagare frågor om tillträdesförbud. Brottsdatalagen är tillämplig

på behandling	av personuppgifter		vid	sådan	prövning	(se
prop. 2017/18:232 s. 94).		Tillämpningsområdet		för	åklagarväsendets
brottsdatalag bör	därför	också omfatta	personuppgiftsbehandling			när

åklagare handlägger frågor om upprätthållande av allmän ordning och säkerhet.

Åklagare handlägger även vissa frågor som inte anses falla under brottsdatalagens tillämpningsområde (jfr prop. 2014/15:63 s. 68 f.). Till dem hör följande:

–talan enligt 3 § lagen (1985:277) om vissa bulvanförhållanden om tvångsförsäljning av fast egendom som förvärvats eller behålls genom bulvanförhållande och framställning om kvarstad enligt 6 § samma lag,

–talan om äktenskapsskillnad enligt 5 kap. 5 § äktenskapsbalken,

–talan om hävande av registrering av växtförädlarrätt, se 30 § växtför- ädlarrättsförordningen (1997:383),

–talan om hävande av registring av mönsterrätt grundad på att ett mönster strider mot goda seder eller allmän ordning eller att det i ett mönster utan tillstånd har tagits in statsvapen, statsflagga eller annat statsemblem, statlig kontroll- eller garantibeteckning, eller annan be- teckning som hänsyftar på svenska staten och som därigenom ger mönstret en officiell karaktär, eller svenskt kommunalt vapen eller sådan internationell beteckning som skyddas enligt lagen (1970:498) om skydd för vapen och vissa andra officiella beteckningar eller något som lätt kan förväxlas med något av det som nämnts, se 36 § mönsterskyddsförordningen (1970:486),

–talan förd i enlighet med 8 kap. 2 § varumärkesförordningen

(2011:594) om hävning av registrering av varumärkesrätt enligt 3 kap. 5 § andra stycket varumärkeslagen (2010:1877),

–talan enligt 6 § lagen (1989:532) om tillstånd för anställning på fartyg om påförande av avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd,

–talan enligt 20 kap. 13 § utlänningslagen (2005:716) om påförande av avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd, om talan inte förs i samband med ett brottmål,

–talan enligt 29 § lagen (2005:395) om arbetstid vid visst vägtrans- portarbete om övertidsavgift,

–företräda staten i mål om vattenföroreningsavgift enligt 9 kap. 5 § lagen (1980:424) om åtgärder mot förorening från fartyg,

–företräda staten i mål om barlastvattenavgift enligt 9 kap. 2 § barlast- vattenlagen (2009:1165),

–beslut enligt 4 § lagen (2011:111) om förstörande av vissa hälsofar- liga missbrukssubstanser att förstöra vissa varor som ännu inte har förklarats utgöra narkotika, samt

–beslut enligt 2 § lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål att kroppsbesiktning ska utfö- ras för att kunna avgöra om det finns risk att hivinfektion eller annan allvarlig blodsmitta kunnat överföras till målsäganden.

För personuppgiftsbehandling som sker vid handläggning av dessa frågor kommer EU:s dataskyddsförordning och dataskyddslagen att gälla.

I propositionen Brottsdatalag konstateras att när de processuella reg- lerna om ansvar för brott gäller för talan som kumuleras med ansvarsta-

Prop. 2017/18:269

207

Prop. 2017/18:269 lan ska brottsdatalagen tillämpas. Det gäller bl.a. när åklagare för talan om särskild rättsverkan av brott, inom ramen för ett brottmål, med stöd av reglerna i 20 kap. utlänningslagen (se prop. 2017/18:232 s. 112 f.). Till skillnad från den bedömning som gjordes i tidigare förarbeten till åklagardatalagen omfattar således regleringen i nya 1 kap. 1 § i lagen talan enligt 20 kap. 15 och 16 §§ utlänningslagen om att en fysisk eller juridisk person för viss tid ska fråntas sin rätt till en del av eller alla offentliga stöd, bidrag och förmåner som har beviljats men ännu inte betalats ut eller kommit honom eller henne till del och att det som har erhållits ska återbetalas.

Särskilt om verksamheten vid Ekobrottsmyndigheten

Ekobrottsmyndigheten är en åklagarmyndighet som ansvarar för be- kämpning av ekonomisk brottslighet. Åklagarmyndigheten ansvarar huvudsakligen för all annan åklagarverksamhet än den som ankommer på Ekobrottsmyndigheten. I avsnitt 7.2.1 redogörs för Ekobrottsmyndighe- tens organisation och arbetsuppgifter. Som framgår där består Ekobrotts- myndighetens operativa verksamhet av underrättelseverksamhet, utred- nings- och lagföringsverksamhet och brottsförebyggande verksamhet. Huvuddelen av myndighetens verksamhet består i att utreda brott.

Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den polisiära verksamheten, medan åklagardatalagen gäller i den övriga ope- rativa verksamheten. I avsnitt 7.2.1 anges att uttrycket åklagarverksamhet bör användas för att avgränsa tillämpningsområdet för polisdatalagen. Skälet till det är att det är tydligare vad som ingår i åklagarverksamhet än i polisiär verksamhet. Vidare anges i samma avsnitt att polisens brottsdatalag bör gälla vid personuppgiftsbehandling i syfte att utreda brott, om det inte är fråga om åklagarverksamhet. Åklagarväsendets brottsdatalag bör med hänsyn till det gälla vid personuppgiftsbehandling som utförs i åklagarverksamhet i syfte att utreda och lagföra brott.

Behandling av personuppgifter i den underrättelseverksamhet som bed- rivs vid Ekobrottsmyndigheten bör inte omfattas av åklagarväsendets brottsdatalag, eftersom den verksamheten leds, styrs och utförs av Polismyndigheten på Ekobrottsmyndighetens uppdrag. Den utgör därmed inte någon åklagarverksamhet utan i stället sådan verksamhet som omfattas av polisens brottsdatalag. Regeringen anser, till skillnad från utredningen, att det inte finns skäl att i åklagarväsendets brottsdatalag upplysa om att det i andra lagar finns specialbestämmelser för Ekobrottsmyndigheten.

208

11.3Grundläggande bestämmelser om behandling

11.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att myndigheten ska kunna utföra sin uppgift att

1.förebygga eller förhindra brottslig verksamhet,

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller

5.fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Skälen för regeringens förslag

En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling

Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. Regleringen som den framgår i hittillsvarande 2 kap. 5 § första stycket åklagardatalagen bör alltså behållas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger åklagare rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. I propositionen anges vad som avses med rättslig grund och att direktivet kräver att grunden ska vara tydlig, precis och förutsägbar (se prop. 2017/18:232 s. 116). Det konstateras där att kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. För åklagarväsendets del kan t.ex. 2 § första stycket förordning (2015:743) med instruktion för Åklagarmyndigheten nämnas, varav det framgår att Åklagarmyndigheten ska se till att personer som begår brott blir föremål för brottsutredning och lagföring. Sådana slag av bestämmelser, tillsammans med den

Prop. 2017/18:269

209

Prop. 2017/18:269 föreslagna regleringen i 2 kap. 1 § i lagen, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar (se även avsnitt 11.2 för en översikt av författningsstödet för åklagarnas verksamhet).

210

I dag får personuppgifter behandlas i åklagarväsendets brottsbekäm- pande verksamhet om det behövs för att förebygga eller förhindra brotts- lig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Åklagarmyndigheten och Eko- brottsmyndigheten bör givetvis även i fortsättningen få behandla person- uppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör anpassas till brottsdatalagens terminologi. Det brottsförebyggande arbete som utförs vid Ekobrottsmyndigheten är inte något underrättelsearbete, utan ett strategiskt förebyggande arbete där personuppgifter normalt inte förekommer, men det kan inte uteslutas att personuppgifter förekommer (se prop. 2014/15:63 s. 64). Underrättelse- verksamheten regleras i polisens brottsdatalag.

Åklagare för talan om ändring av påföljder bl.a. med stöd av 38 kap.

2 och 2 a §§ brottsbalken. Åklagare prövar numera även vissa frågor om straffverkställighet när de utfärdar en nordisk eller europeisk arreste- ringsorder. Åklagare vidtar även åtgärder inom ramen för verkställighet av ett strafföreläggande. Som exempel kan nämnas att information om ett utfärdat strafföreläggande överförs till Polismyndighetens system för uppbördsverksamhet. Eftersom det ingår i åklagares arbetsuppgifter att handlägga frågor om ändring eller verkställighet av straffrättsliga påfölj- der bör det i lagen anges som en tillåten rättslig grund för åklagares per- sonuppgiftsbehandling.

Åklagare prövar även frågor enligt lagen (2005:321) om tillträdesför- bud vid idrottsarrangemang. Sådan verksamhet rör allmän ordning och säkerhet. Att handlägga frågor som rör upprätthållande av allmän ord- ning och säkerhet bör därför också anges i lagen som en tillåten rättslig grund för personuppgiftsbehandling.

Åklagarväsendets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i åklagarväsendets brottsdatalag bör den senare, som utredningen föreslår, helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt åklagare att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Till skillnad från Datainspektionen anser regeringen att den analys som gjorts är tillräcklig när det gäller frågan om direktivets krav på en tydlig, precis och förutsägbar rättslig grund för åklagarväsendets behandling av personuppgifter.

Behandling för nya ändamål

I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § åklagardatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte

behövs och således inte bör ingå i åklagarväsendets brottsdatalag. Prop. 2017/18:269 Förutsättningarna för behandling för nya ändamål bör i stället regleras i

brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Samma prövning ska göras när de brottsbekämpande myndigheterna behandlar personupp- gifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i åklagarväsendets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen.

11.3.2Behandling av biometriska och genetiska uppgifter

Regeringens bedömning: Det finns inte skäl att särskilt föreskriva att Åklagarmyndigheten och Ekobrottsmyndigheten får behandla biomet- riska och genetiska uppgifter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anför att det even-

tuellt skulle kunna uppkomma behov för åklagare att behandla biomet- riska uppgifter och att det är viktigt att säkerställa att de föreslagna be- gränsningarna i uppgiftsbehandling inte inverkar negativt på den miss- tänktes möjlighet att själv föranstalta genetiska och biometriska under- sökningar. Ekobrottsmyndigheten ser ett behov av att behandla biomet- riska uppgifter för att effektivt kunna bekämpa den ekonomiska brotts- ligheten. Övriga remissinstanser yttrar sig inte i denna del.

Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning.

Till skillnad från Hovrätten för Västra Sverige och Ekobrottsmyndig- heten instämmer regeringen i utredningens bedömning att det är svårt att se att åklagare har något behov av att behandla biometriska och genetiska uppgifter. Det ska i sammanhanget anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av bio- metriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Åkla- gare kommer alltså att kunna behandla personuppgifter i sådana utlåtan- den i samma utsträckning som i dag. Den behandlingen är för åklagare tillräcklig. Det finns därför inte behov av någon bestämmelse i lagen som medger behandling av biometriska och genetiska uppgifter. Samhälls- och teknikutvecklingen kan dock innebära att det framöver finns anled- ning att överväga denna fråga på nytt.

Att åklagare inte medges behandla biometriska och genetiska uppgifter

bedöms inte inverka negativt på den misstänktes möjlighet att själv för-

211

Prop. 2017/18:269 anstalta om genetiska och biometriska undersökningar. Det finns därför inte skäl att, som Hovrätten för Västra Sverige anför, särskilt säkerställa att den misstänkte har möjlighet att själv föranstalta om sådana under- sökningar.

11.3.3Sökning på känsliga personuppgifter

Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans invänder mot förslaget.

Skälen för regeringens förslag

Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter

I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, enligt vilket det är förbjudet att utföra sökningar i alla slags personuppgifter i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet inte är att få fram ett sådant urval av personer är sökningen tillåten, även om känsliga personuppgifter används vid sökningen. Detta skiljer sig från dagens reglering i 3 kap. 4 § första stycket åklagardatalagen, som förbjuder att känsliga personuppgifter används som sökbegrepp vid sök- ning i personuppgifter som har gjorts gemensamt tillgängliga. Det inne- bär att känsliga personuppgifter enligt nu gällande reglering får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Vidare följer av 3 kap. 4 § andra stycket åklagardatalagen att brottsrubriceringar eller uppgifter som beskriver en persons utseende får användas som sökbe- grepp även vid sökning i uppgifter som har gjorts gemensamt tillgäng- liga. Eftersom sökförbudet utformats på ett nytt sätt i brottsdatalagen är det nödvändigt att se över bestämmelserna om sökning för åklagarväsen- dets del.

Sökförbudet kommer att gälla i större utsträckning än i dag, eftersom det även träffar uppgifter som inte gjorts gemensamt tillgängliga. De för- ändrade reglerna kring myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämra förmågan att bedriva en effektiv verksamhet. Enligt utredningen innebär förändringen dock inte någon försämring i praktiken, eftersom sammanställningar grundande på känsliga personuppgifter normalt inte görs av åklagare. Regeringen delar denna bedömning. I vissa fall kan det dock uppstå behov för en åklagare att utföra sökningar på känsliga personuppgifter. Det ska då framhållas att den föreslagna regleringen medger en sådan sökning så länge inte syftet med den är att få fram ett urval av personer grundat på känsliga personuppgifter (2 kap. 14 § brottsdatalagen).

Myndigheterna har även i fortsättningen behov av att kunna använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp, trots att det kan leda till att man får fram ett urval av

personer grundat på känsliga personuppgifter. Det bör alltså även fort-

212

sättningsvis vara tillåtet att söka på t.ex. brottsrubriceringen ”våldtäkt Prop. 2017/18:269 mot barn”, även om det kan avslöja en sexuell preferens hos en gär-

ningsman. Det kan vidare finnas behov av att t.ex. söka efter hur många vittnen som har beskrivit en gärningsmans utseende på ett visst sätt, även om det kan avslöja ras eller uppgifter om hälsa. Det bör därför göras undantag i åklagarväsendets brottsdatalag för sådana sökningar. Eftersom det generella sökförbudet i 2 kap. 14 § brottsdatalagen gäller oavsett om uppgifterna har gjorts gemensamt tillgängliga eller inte bör undantaget omfatta sökning i alla slags personuppgifter.

11.4Gemensamt tillgängliga uppgifter

Regeringens förslag: Bestämmelsen som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar ska enbart gälla i automatiserade behandlings- system.

Vid sådan sökning får även uppgifter som anger att den sökta perso- nen är anmäld för brott tas fram.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget om att be-

stämmelsen, som anger vilka uppgifter som får tas fram, enbart ska gälla i automatiserade behandlingssystem och menar att en sådan reglering riskerar att öppna upp möjligheten för de aktuella myndigheterna att söka i vidare omfattning än vad som gäller i dag. Övriga remissinstanser yttrar sig inte i denna del.

Skälen för regeringens förslag

Begränsning endast i automatiserade behandlingssystem

Eftersom sökning med hjälp av namn, personnummer och samordnings- nummer är ett viktigt inslag i åklagares verksamhet och sådana identitets- beteckningar är av stor betydelse för att säkerställa identiteten och und- vika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter (se prop. 2014/15:63 s. 88 f.). I 3 kap. 5 § åklagardatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra lik- nande identitetsbeteckningar. I 3 kap. 6 § görs undantag från bestämmel- serna i 3 kap. 5 § vid sökning i en viss handling eller i ett visst ärende. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2014/15:63 s. 88 f.). Paragraferna är utformade efter mönster av polisdatalagen. Dessa bestämmelser införs också i åklagarväsendets brottsdatalag.

Av de skäl som anges i avsnitt 7.5.2 anser regeringen, till skillnad från Datainspektionen, att begränsningen enbart bör gälla vid sökning i auto- matiserade behandlingssystem.

213

Prop. 2017/18:269 Bör ytterligare uppgifter få tas fram vid sökning?

I 3 kap. 5 § åklagardatalagen regleras alltså vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemen- samt tillgängliga. Det rör sig bl.a. om uppgifter som anger att den sökta personen är eller har varit misstänkt för brott, är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet eller har anmält ett brott. Motsvarande bestämmelser finns i bl.a. 3 kap. 6 § polisdatalagen, 4 kap. 5 § kustbevakningsdatalagen och 3 kap. 6 § tullbrottsdatalagen. De senare bestämmelserna skiljer sig dock från bestämmelsen i åklagar- datalagen på det sättet att de även anger att uppgift om att någon är an- mäld för brott får tas fram. Frågan är om det bör införas en motsvarande bestämmelse i åklagarväsendets brottsdatalag.

Utgångspunkten är att brott normalt ska anmälas till Polismyndigheten eller någon av de andra myndigheter som har till uppgift att ta upp an- mälningar om brott. I vissa fall görs dock en brottsanmälan direkt till åklagare. Det gäller t.ex. anmälningar enligt 7 kap. 16 § konkurslagen (1987:672) från konkursförvaltare, men det kan även förekomma i andra fall. I likhet med utredningen menar regeringen att det förhållandet att vissa anmälningar görs direkt till åklagare motiverar att även sådana uppgifter bör vara sökbara.

12Domstolarnas brottsdatalag

12.1Behovet av en ny ordning

12.1.1Nuvarande ordning

Domstolsdatalagen gäller enligt 2 § vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksam- het. Lagen gäller också när personuppgifter vidarebehandlas i den admi- nistrativa verksamheten för att lämnas ut efter begäran.

I domstolsdatalagen regleras personuppgiftsbehandling inom både brottsdatalagens och dataskyddsförordningens tillämpningsområde. Genom en lagändring som trädde i kraft den 25 maj 2018 har domstols- datalagen anpassats till dataskyddsförordningen (prop. 2017/18:113 Anpassning av domstolsdatalagen till EU:s dataskyddsförordning). Då infördes bl.a. ändrade regler om domstolsdatalagens förhållande till annan reglering, dataskyddsombud, känsliga personuppgifter och över- klagande.

214

12.1.2En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde

Regeringens förslag: En ny lag ska införas som ersätter domstols- datalagen inom brottsdatalagens tillämpningsområde. Lagen ska be- nämnas lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas domstolarnas brottsdatalag.

Remissinstanserna: En majoritet av remissinstanserna, bl.a. Umeå tingsrätt och Eskilstuna tingsrätt, tillstyrker utredningens förslag eller har ingen invändning mot det. Förvaltningsrätten i Malmö anser att det är nödvändigt att särreglera domstolarnas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Ett antal remissinstanser, t.ex. Förvaltningsrätten i Jönköping och Förvaltningsrätten i Linköping, är negativa till att domstolarnas personuppgiftsreglering delas upp i två olika lagar. Södertörns tingsrätt, Helsingborgs tingsrätt och Domstols- verket anser att en uppdelning i två lagar kan orsaka gränsdragnings- problem och göra regelverket svåröverskådligt. Hovrätten för Västra Sverige och Förvaltningsrätten i Stockholm framför liknande synpunkter. Några remissinstanser, däribland Svea hovrätt och Domstolsverket, fram- håller att domstolarnas personuppgiftsreglering bör vara så enhetlig som möjligt. Hovrätten för Västra Sverige anser att domstolsdatalagen och den nya lagen i möjligaste mån bör samordnas vad gäller systematik och terminologi. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Den nuvarande ordningen bör renodlas

När brottsdatalagen och dataskyddsförordningen börjar tillämpas kom- mer domstolsdatalagen att vara tillämplig både vid personuppgiftsbe- handling inom och utanför brottsdatalagens tillämpningsområde, om ingen ändring görs. Ett alternativ är att dela upp regleringen i två separata regelverk – ett för brottsdatalagens tillämpningsområde och ett för data- skyddsförordningens. En sådan lagteknisk lösning förordas av utred- ningen och i promemorian En omarbetad domstolsdatalag – anpassning till EU:s dataskyddsförordning (Ds 2017:41). Som flera remissinstanser påpekar är ett annat alternativ att göra alla nödvändiga ändringar i den befintliga lagen. Förvaltningsrätten i Stockholm föreslår att detta sker genom ett eller flera kapitel som reglerar domstolarnas personuppgifts- behandling i samband med brottsbekämpande verksamhet.

Dataskyddsreformen innebär att domstolarnas behandling av person- uppgifter i den rättskipande och rättsvårdande verksamheten kommer att omfattas av två olika EU-rättsakter: dataskyddsförordningen och data- skyddsdirektivet. Det innebär att den materiella regleringen kommer att skilja sig åt i vissa avseenden, t.ex. när det gäller känsliga personupp- gifter och behandling för nya ändamål. Dessutom kommer domstolarnas registerlagstiftning att behöva utformas i förhållande till såväl data- skyddsförordningen och dataskyddslagen som brottsdatalagen. Att det

Prop. 2017/18:269

215

Prop. 2017/18:269 delvis blir fråga om skilda regelverk talar för att regleringen bör delas upp i två lagar.

216

På direktivets område kommer den grundläggande regleringen om personuppgiftsbehandling i domstol att finnas i brottsdatalagen. Den sektorsspecifika regleringen kommer till skillnad från i dag alltså inte att kunna vara uttömmande. Enligt regeringens uppfattning blir det genom en särskild registerförfattning på brottsdatalagens område tydligare att de grundläggande bestämmelserna om personuppgiftsbehandling finns i ramlagen och att registerförfattningen endast utgör ett komplement till denna.

Brottsdatalagen innehåller motsvarigheter till vissa bestämmelser i domstolsdatalagen. Det gäller t.ex. bestämmelser om lagens syfte, dataskyddsombud, tillgången till personuppgifter och information om personuppgiftsincidenter (1 kap. 1 § och 3 kap. 6, 11 och 13 §§ brotts- datalagen och 1, 8, 10 och 11 §§ domstolsdatalagen). För att undvika dubbelreglering bör bestämmelser som finns i brottsdatalagen inte tas in i en kompletterande registerförfattning. Det innebär att vissa typer av bestämmelser som på dataskyddsförordningens område finns i en registerförfattning (domstolsdatalagen) på direktivets område kommer att finnas i en ramlag (brottsdatalagen). Detta förhållande kan leda till att en samlad reglering i vissa avseenden riskerar att bli svårtillgänglig.

Vissa remissinstanser, bl.a. Södertörns tingsrätt och Domstolsverket, anser att en uppdelning i två lagar kan orsaka gränsdragningsproblem. Några remissinstanser, t.ex. Helsingborgs tingsrätt, anser också att den föreslagna uppdelningen kan leda till att regelverket blir svåröverskåd- ligt. Enligt regeringen är de problem som kan uppstå i huvudsak en konsekvens av den uppdelning i separata regelverk som finns på EU- nivå. Problemen kan således inte undvikas genom att den sektorsspeci- fika regleringen samlas i domstolsdatalagen. För att minimera gränsdrag- ningsproblem och öka överskådligheten bör dock den materiella regleringen göras så likartad som möjligt och de två lagarna ges en likartad lagteknisk utformning. På så sätt blir det lättare för domstolarna att jämföra regelverken och identifiera de skillnader som finns.

Att ha separata registerförfattningar för en myndighets olika verksam- heter är inget nytt. Skatteverket har i dag olika regleringar för personupp- giftsbehandlingen beroende på i vilken verksamhet uppgifterna behand- las, där regleringen för den brottsbekämpande verksamheten finns i en särskild lag. Att domstolarna inte på samma sätt som Skatteverket har en organisatorisk uppdelning i olika verksamhetsgrenar hindrar inte en sådan lösning, eftersom syftet med personuppgiftsbehandlingen är avgö- rande för vilket regelverk som ska tillämpas.

Regeringen anser sammantaget att övervägande skäl talar för att regle- ringen av domstolarnas personuppgiftsbehandling bör delas upp i två lagar. Det bör därför införas en ny lag som ersätter domstolsdatalagen inom brottsdatalagens tillämpningsområde.

Lagens namn

Eftersom endast den del av domstolarnas personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde ska regleras i den nya lagen, bör lagen ha ett namn som tydliggör registerförfattningens anknyt-

ning till brottsdatalagen. Namnet bör tydligt ange för vem författningen Prop. 2017/18:269 gäller och vad den rör. Den nya lagens namn bör följa samma systematik

som föreslås för registerförfattningarna i övrigt (se t.ex. avsnitt 7.1.2). Regeringen anser mot den bakgrunden att lagen bör benämnas lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område.

I det följande kallas den nya lagen för domstolarnas brottsdatalag.

Domstolsdatalagen kan bilda mönster

Domstolsdatalagen har nyligen införts. Det innebär att den lagen i likhet med övriga registerförfattningar uppfyller kraven som ställs i data- skyddsrambeslutet. Mot bakgrund av att dataskyddsdirektivet i stor utsträckning bygger vidare på regleringen i dataskyddsrambeslutet är domstolsdatalagen därmed till stor del redan anpassad till de krav som ställs i direktivet. Det innebär att den nya lagen kan utformas med domstolsdatalagen som förebild.

Det är en fördel om regleringen i den nya lagen i materiellt hänseende kan stämma överens med regleringen i domstolsdatalagen. I vissa av- seenden skiljer sig dock dataskyddsdirektivets reglering från dataskydds- förordningens. Eftersom den nya lagen måste vara förenlig med direk- tivet är det oundvikligt att den till viss del kommer att avvika från regle- ringen i domstolsdatalagen.

Lagens systematik och terminologi bör följa domstolsdatalagen

Utredningen anser att den nya lagen bör ha samma struktur som övriga registerförfattningar. Det finns i och för sig ett värde i att de registerför- fattningar som kompletterar brottsdatalagen har en likartad utformning. För att underlätta tillämpningen framstår det dock som mer angeläget att domstolarnas personuppgiftsreglering är så enhetlig som möjligt, vilket även framhålls av t.ex. Svea hovrätt och Domstolsverket. Detta framstår som särskilt tydligt eftersom domstolarna inte har någon organisatorisk uppdelning som avspeglar den nya lagens tillämpningsområde. Rege- ringen anser därför i likhet med Hovrätten för Västra Sverige att dom- stolsdatalagen och domstolarnas brottsdatalag i möjligaste mån bör samordnas vad gäller systematik och terminologi. Till skillnad från utredningen anser regeringen t.ex. att den nya lagen i likhet med dom- stolsdatalagen inte bör vara indelad i kapitel.

12.2Utgångspunkter för regleringen

12.2.1Förhållandet till brottsdatalagen

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Malmö anser att regleringen

blir svåröverskådlig och att tillämpningsproblem kan uppstå. Enligt för- valtningsrätten kan dessa svårigheter undvikas genom att de bestäm-

melser i brottsdatalagen som aktualiseras även i domstolarnas verksam-

217

Prop. 2017/18:269 het förs in i den nya lagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I avsnitt 5.2 föreslår regeringen att registerförfattningarna för övriga myndigheter i rättskedjan ska gälla utöver brottsdatalagen. Domstolsdatalagen har motsvarande förhållande till dataskyddslagen (prop. 2017/18:113 s. 14 f.). Brottsdatalagen inne- håller ett stort antal bestämmelser som aktualiseras i domstolarnas verksamhet. Det framstår därför inte som ändamålsenligt att, som Förvaltningsrätten i Malmö föreslår, ta in dessa bestämmelser i den nya lagen. Regeringen anser mot denna bakgrund att domstolarnas brottsdata- lag bör gälla utöver brottsdatalagen. Lagen bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestäm- melserna i brottsdatalagen. Det medför att bestämmelserna i den nya lagen måste läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.

12.2.2 Vissa bestämmelser i domstolsdatalagen har sin motsvarighet i ramlagen

Regeringens bedömning: Eftersom brottsdatalagen innehåller en generell reglering behöver inte någon motsvarighet till vissa av de bestämmelser som i dag finns i domstolsdatalagen föras in i domstolarnas brottsdatalag.

	Utredningens bedömning överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt över bedömningen.
	Skälen för regeringens bedömning: Den nya lagen ska gälla utöver
	brottsdatalagen. Eftersom brottsdatalagen innehåller en generell reglering
	behövs ingen motsvarighet till vissa bestämmelser i domstolsdatalagen.
	Det gäller bl.a. bestämmelserna om lagens syfte, dataskyddsombud,
	behandling av känsliga personuppgifter, tillgången till personuppgifter
	och information om personuppgiftsincidenter (1, 8 och 10–13 §§
	domstolsdatalagen).
	I 11 § domstolsdatalagen i lydelsen före den 25 maj 2018 anges att den
	som är personuppgiftsombud ska föra en förteckning över de
	behandlingar som utförs. Bestämmelsen har upphävts inom ramen för
	anpassningen av domstolsdatalagen till dataskyddsförordningen. Skälet
	är att den personuppgiftsansvarige enligt artikel 30 i dataskydds-
	förordningen är skyldig att föra ett register över den personuppgifts-
	behandling som utförs under dess ansvar (prop. 2017/18:113 s. 25). En
	motsvarande reglering finns i artikel 24 i dataskyddsdirektivet och denna
	artikel kommer att genomföras på generell nivå (prop. 2017/18:232
	s. 186 f.). Någon bestämmelse som motsvarar den tidigare lydelsen av
	11 § domstolsdatalagen behövs därför inte i den nya lagen.
	Enligt 12 § domstolsdatalagen i lydelsen före den 25 maj 2018 ska den
	personuppgiftsansvarige till var och en som begär det lämna upp-
	lysningar om de behandlingar som utförs med stöd av lagen. Upplys-
	ningarna ska i princip omfatta samma information som ska framgå av
	den förteckning som personuppgiftsombudet ska föra enligt 11 § i den
218	äldre lydelsen. Motsvarande bestämmelse fanns i 42 § personuppgifts-
218

lagen, men av lagtekniska skäl ansågs det inte lämpligt att hänvisa till Prop. 2017/18:269 den (prop. 2014/15:148 s. 86). Det finns ingen motsvarighet till 42 § personuppgiftslagen i direktivet. Inte heller dataskyddsförordningen eller dataskyddslagen innehåller någon sådan bestämmelse. Det saknas skäl

för att domstolarna ska ha mer långtgående skyldigheter än andra personuppgiftsansvariga i detta avseende och 12 § domstolsdatalagen har därför upphävts i samband med anpassningen av domstolsdatalagen till dataskyddsförordningen (prop. 2017/18:113 s. 35). Samma överväganden gör sig gällande på brottsdatalagens område. Den nya lagen bör därför inte innehålla någon bestämmelse som motsvarar den som tidigare fanns i 12 § domstolsdatalagen.

12.3Allmänna bestämmelser

12.3.1Den nya lagens tillämpningsområde

Regeringens förslag: Lagen ska gälla när allmän domstol i egenskap av behörig myndighet behandlar personuppgifter, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

Lagen ska också gälla när allmän förvaltningsdomstol i egenskap av behörig myndighet behandlar personuppgifter, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: De flesta av remissinstanserna, t.ex. Förvalt-

ningsrätten i Malmö och Datainspektionen, tillstyrker utredningens förslag eller har ingen invändning mot det. Domstolsverket påpekar att tillämpningsområdet utgår från vad syftet med behandlingen är och att det kommer vara svårt att utforma it-system som tar hänsyn till detta. Domstolsverket anser också att det framstår som överflödigt att hänvisa till behörig myndighet eftersom en myndighet alltid är behörig om den får behandla personuppgifter för något av de syften som anges i bestämmelsen. Svea hovrätt anser att det skulle vara önskvärt med ett förtydligande av om domstolars handläggning av enskilda åtal, åtal som tagits över av målsäganden efter att åklagare lagt ned åtal och mål där enbart målsäganden väljer att överklaga efter frikännande dom omfattas av brottsdatalagen. Hovrätten anser vidare att brottsdatalagen, men inte domstolarnas brottsdatalag, bör vara tillämplig vid allmänna säkerhets- kontroller i domstol. Enligt hovrätten bör det också förtydligas vilka bestämmelser som ska tillämpas vid hanteringen av personuppgifter vid säkerhetskontroller i enskilda mål och ärenden, både vad gäller brottmål och tvistemål. Kammarrätten i Stockholm anser att det så långt möjligt bör redogöras för de olika måltyper i de allmänna förvaltnings- domstolarna där den nya lagen ska tillämpas. Kammarrätten väcker också frågan om vilken lag som ska vara tillämplig vid Migrations- överdomstolens behandling av personuppgifter i mål enligt lagen

219

Prop. 2017/18:269 (1991:572) om särskild utlänningskontroll. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Utgångspunkter för avgränsningen av tillämpningsområdet

I avsnitt 4.5 tar regeringen ställning till att registerförfattningarna bör innehålla bestämmelser om tillämpningsområdet. Domstolsdatalagen gäller vid personuppgiftsbehandling i domstolarnas rättskipande och rättsvårdande verksamhet och när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.

Brottsdatalagen gäller enligt 1 kap. 2 § för behandling av person- uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätt- hålla allmän ordning och säkerhet. Det som är avgörande för brottsdata- lagens tillämpning är alltså, förutom att det ska vara en behörig myndig- het som behandlar personuppgifterna, att personuppgiftsbehandlingen utförs för något av dessa syften. Tillämpningsområdet för den nya lagen kan därför inte knytas till domstolarnas rättskipande och rättsvårdande verksamhet utan bör avgränsas på ett annat sätt. Tillämpningsområdet bör i stället utgå från syftet med behandlingen. Domstolsverket anser att en sådan ordning kan medföra problem, t.ex. när det gäller it-system. Det bör dock vara möjligt att utforma tekniska system som lever upp till de krav som gäller på såväl dataskyddsförordningens som brottsdatalagens område. Sådana system bör alltså kunna användas oavsett vilket syfte personuppgifter behandlas för i det enskilda fallet.

Eftersom hyres- och arrendenämnderna inte behandlar personuppgifter för något av de syften som omfattas av direktivets tillämpningsområde kommer nämndernas personuppgiftsbehandling inte att omfattas av den nya lagen. Lagen kommer alltså att gälla i allmän domstol och allmän förvaltningsdomstol.

Utredningen föreslår att det också ska framgå att domstolarnas brottsdatalag gäller när domstolar agerar i egenskap av behöriga myndig- heter. Domstolsverket anser att en sådan avgränsning är överflödig. Det är riktigt att en domstol som behandlar personuppgifter i syfte att handlägga exempelvis ett brottmål normalt agerar i egenskap av behörig myndighet. Regeringen anser dock, i likhet med utredningen, att avgränsningen till behöriga myndigheter är av sådan grundläggande betydelse att den bör komma till uttryck inte bara i ramlagen utan även i den nya lagen (avsnitt 4.5).

Närmare om tillämpningsområdet

Domstolarnas brottsdatalag bör omfatta all personuppgiftsbehandling som domstolar utför inom brottsdatalagens tillämpningsområde. Domsto- larnas kärnverksamhet består i att handlägga mål och ärenden (jfr 6 § domstolsdatalagen). Tillämpningsområdet för den nya lagen bör därför knytas till personuppgiftsbehandling som utförs i syfte att handlägga mål

och ärenden av vissa slag.

220

För allmän domstol bör tillämpningsområdet framför allt omfatta brottmålsförfarandet. Tillämpningsområdet bör alltså omfatta person- uppgiftsbehandling i syfte att handlägga mål och ärenden om lagföring för brott. Med anledning av Svea hovrätts synpunkter kan det noteras att det innefattar handläggning av enskilda åtal, åtal som tagits över av målsäganden efter att åklagare lagt ned åtal och mål där enbart målsäganden väljer att överklaga efter frikännande dom.

Allmän domstol prövar också frågor om häktning och andra straff- processuella tvångsmedel under en förundersökning. Domstolarna fattar även beslut enligt 23 kap. 19 § rättegångsbalken om komplettering av förundersökningar och kan hålla vittnesförhör och besluta i andra frågor under pågående förundersökningar. Personuppgiftsbehandling för sådana syften bör också omfattas av tillämpningsområdet. I linje med hur tillämpningsområdet uttrycks för de brottsbekämpande myndigheterna bör den arbetsuppgiften anges som handläggning av mål eller ärenden om utredning av brott.

Vidare prövar allmän domstol vissa frågor om ändring av påföljd och om verkställighet av påföljd. Handläggning av mål och ärenden som rör ändring och verkställighet av straffrättsliga påföljder bör därmed också omfattas av lagens tillämpningsområde.

Eftersom allmän domstol även prövar frågor om tillträdesförbud vid idrottsarrangemang bör tillämpningsområdet även omfatta handläggning av mål och ärenden om upprätthållande av allmän ordning och säkerhet.

Svea hovrätt anser att brottsdatalagen, men inte domstolarnas brottsdatalag, bör vara tillämplig vid allmänna säkerhetskontroller i dom- stol. Som anförs ovan är avsikten att den nya lagen ska omfatta all personuppgiftsbehandling som domstolar utför inom brottsdatalagens tillämpningsområde. Det kommer alltså inte bli aktuellt för domstolarna att tillämpa brottsdatalagen i de fall domstolarnas brottsdatalag inte är tillämplig. Vid säkerhetskontroller enligt lagen (1981:1064) om säker- hetskontroll i domstol torde det enligt regeringens mening inte vara fråga om att upprätthålla allmän ordning och säkerhet i den mening som avses i ramlagen. Hovrätten väcker även frågan om vilka bestämmelser som ska tillämpas vid behandling av personuppgifter i samband med säker- hetskontroller som genomförs med anledning av en viss förhandling. Regeringen bedömer att lagen om domstolarnas behandling av person- uppgifter inom brottsdatalagens område kommer att vara tillämplig vid sådan personuppgiftsbehandling, om behandlingen sker inom ramen för handläggningen av exempelvis ett brottmål. Om säkerhetskontrollen däremot genomförs med anledning av en förhandling i ett tvistemål, kommer den nya lagen inte vara tillämplig. I sådana fall kommer i stället domstolsdatalagen att bli tillämplig.

För allmän förvaltningsdomstol bör tillämpningsområdet endast om- fatta personuppgiftsbehandling i syfte att handlägga mål om verkställig- het av häktning och straffrättsliga påföljder. Därmed omfattas verk- ställighet av rättspsykiatrisk vård, andra vårdpåföljder och vissa frihets- berövande påföljder. Personuppgifter behandlas i sådant syfte även när migrationsdomstolarna och Migrationsöverdomstolen handlägger mål om utvisning på grund av brott.

Kammarrätten i Stockholm efterfrågar en redogörelse för de olika måltyper i de allmänna förvaltningsdomstolarna där den nya lagen ska

Prop. 2017/18:269

221

Prop. 2017/18:269

222

tillämpas. Kammarrätten väcker också frågan om vilken lag som ska vara tillämplig vid Migrationsöverdomstolens behandling av personuppgifter i mål enligt lagen om särskild utlänningskontroll. Regeringen bedömer att avgränsningen till mål om verkställighet av häktning och straffrättsliga påföljder innebär att det inte bör uppstå några oklarheter avseende det stora flertalet av de måltyper som förekommer i allmän förvaltnings- domstol. Mål i Migrationsöverdomstolen enligt lagen om särskild utlänningskontroll kan exempelvis inte anses röra verkställighet av en straffrättslig påföljd. I författningskommentaren ges exempel på måltyper där domstolarnas brottsdatalag ska tillämpas.

Hela målets eller ärendets handläggning bör omfattas

När mål eller ärenden handläggs för något av de syften som anges i lagen bör hela handläggningen fram till dess att domstolen slutligt avgjort frågan omfattas av lagens tillämpningsområde. Det innebär att all person- uppgiftsbehandling som utförs vid handläggningen av ett brottmål om- fattas av tillämpningsområdet. Även handläggning av enskilda anspråk bör omfattas, trots att det är en civilrättslig talan, så länge de handläggs inom ramen för brottmålet. Lagen bör dock inte vara tillämplig om anspråket avskiljs för att handläggas som ett tvistemål. Detsamma bör på motsvarande sätt gälla för vissa andra former av särskild talan och talan om förbud som förs i brottmål.

Vidare bör all expediering i ett mål eller ärende som är en del av handläggningen omfattas. Det spelar exempelvis alltså ingen roll om domar eller beslut expedieras till Kriminalvården för verkställighet av påföljd eller till Inspektionen för vård och omsorg för att myndigheten ska kunna ta ställning till om en läkare som dömts för brott ska få behålla sin läkarlegitimation. Även expediering för att tillgodose partsinsynen i mål eller ärenden bör omfattas. Det avgörande är att expedieringen utförs i mål eller ärenden som domstolen handlägger för något av de syften som omfattas av lagens tillämpningsområde och att expedieringen utgör en del av handläggningen. Tillämpningsområdet bör även omfatta den ex- pediering som är direkt knuten till att avgörandet får laga kraft.

Däremot bör domstolens behandling av personuppgifter för arkivering eller för att överlämna allmänna handlingar till en arkivmyndighet inte omfattas av den nya lagens tillämpningsområde. Som anges i proposit- ionen Brottsdatalag omfattas behandling av personuppgifter i enlighet med föreskrifter om arkiv av dataskyddsförordningens tillämpnings- område, oavsett om det är den behöriga myndigheten som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet (prop. 2017/18:232 s. 167).

Om handläggning för något av de syften som anges i lagen aktualiseras på nytt, t.ex. genom en ansökan om resning i ett brottmål, är den nya lagen tillämplig på handläggningen.

Utlämnande omfattas inte av tillämpningsområdet

Domstolsdatalagen gäller inte bara i den rättskipande och rättsvårdande verksamheten utan även när personuppgifter vidarebehandlas i den admi- nistrativa verksamheten för att efter begäran lämnas ut till en enskild eller en myndighet (prop. 2014/15:148 s. 27 f.). Lagens tillämpnings-

område omfattar exempelvis utlämnande av allmänna handlingar enligt Prop. 2017/18:269 2 kap. tryckfrihetsförordningen. Sådan vidarebehandling av person-

uppgifter ingår inte i direktivets tillämpningsområde och kan därför inte heller omfattas av den nya lagen. Det gäller oavsett om målet eller ärendet är under handläggning eller har avslutats.

12.3.2Domstolsdatalagens tillämpningsområde

Regeringens förslag: Domstolsdatalagen ska inte gälla vid behand- ling av personuppgifter som omfattas av domstolarnas brottsdatalag.

Promemorians förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot den föreslagna

avgränsningen av domstolsdatalagens tillämpningsområde.

Skälen för regeringens förslag: Domstolsdatalagen gäller vid behand- ling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet. Eftersom viss behandling av personuppgifter i denna verk- samhet kommer att regleras i domstolarnas brottsdatalag, bör sådan behandling undantas från domstolsdatalagens tillämpningsområde. I promemorian En omarbetad domstolsdatalag – anpassning till EU:s data- skyddsförordning (Ds 2017:41) föreslås mot denna bakgrund att domstolsdatalagen inte ska gälla vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verk- samhet som omfattas av brottsdatalagens tillämpningsområde. Regering- en anser att den föreslagna bestämmelsen kan utformas så att den anger att domstolsdatalagen inte gäller vid behandling av personuppgifter som omfattas av lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Eftersom det i den nya lagen framgår vilka domstolsslag som är aktuella behöver det inte anges i domstolsdatalagen.

12.3.3	Varje domstol är personuppgiftsansvarig

Regeringens förslag: Varje domstol ska vara personuppgiftsansvarig
för den behandling av personuppgifter som den utför.

Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Domstolsverket anser att utformningen av 9 §
domstolsdatalagen har orsakat vissa tillämpningsproblem och att fördel-
ningen av personuppgiftsansvar i domstolarnas registerlagstiftning därför
bör ses över. Övriga remissinstanser har ingen invändning mot utred-
ningens förslag.
Skälen för regeringens förslag: Personuppgiftsansvarig definieras i
1 kap. 6 § brottsdatalagen som den behöriga myndighet som ensam eller
tillsammans med andra bestämmer ändamålen med och medlen för
behandlingen av personuppgifter. Enligt 3 kap. 1 § är den personupp-
giftsansvarige ansvarig för all behandling av personuppgifter som utförs
under dennes ledning eller på dennes vägnar.
Enligt 9 § domstolsdatalagen är varje domstol personuppgiftsansvarig
för den behandling av personuppgifter som den utför. I förarbetena
framhölls att fördelarna med att varje enskild domstol ska vara person-		223

Prop. 2017/18:269 uppgiftsansvarig är bl.a. att det blir tydligt för den enskilde vem han eller hon ska vända sig till med klagomål och att det skapas förutsättningar för en effektiv tillsyn av tillsynsmyndigheten. Enligt regeringen skulle ett delat eller gemensamt personuppgiftsansvar (mellan en domstol och Domstolsverket) medföra beaktansvärda nackdelar, inte minst gräns- dragningsproblem och otydligheter (prop. 2014/15:148 s. 33 f.). Reger- ingen anser att dessa överväganden är relevanta även för den nya lagen och att domstolarnas personuppgiftsansvar bör regleras på samma sätt i domstolarnas brottsdatalag som i domstolsdatalagen. En bestämmelse som motsvarar 9 § domstolsdatalagen bör därför tas in i den nya lagen.

Domstolsverket anser att utformningen av 9 § domstolsdatalagen har orsakat vissa tillämpningsproblem och att regleringen av domstolarnas personuppgiftsansvar därför bör ses över. Regeringen konstaterar att det saknas underlag för att i detta lagstiftningsärende göra en sådan översyn.

12.3.4Dataskyddsombud även i den dömande verksamheten

Regeringens bedömning: Behandling av personuppgifter i den dömande verksamheten bör inte undantas från dataskyddsombudets ansvarsområde.

	Utredningens bedömning överensstämmer med regeringens.
	Remissinstanserna: En majoritet av remissinstanserna, bl.a. Hovrätten
	för Västra Sverige och Förvaltningsrätten i Stockholm, instämmer i
	utredningens bedömning eller har ingen invändning mot den. Data-
	inspektionen anser att dataskyddsombud är en viktig funktion för att den
	personuppgiftsansvarige ska kunna följa integritetsskyddslagstiftningen.
	Domstolsverket påpekar att det kan uppstå gränsdragningsproblem om
	dataskyddsombudets uppdrag inte omfattar den dömande verksamheten.
	Domstolsverket anser också att det är lämpligt att frågan om dataskydds-
	ombud regleras på samma sätt på brottsdatalagens och dataskyddsför-
	ordningens områden. Med hänsyn till att tillsynsmyndigheten inte är
	behörig att utöva tillsyn över domstolarna i deras dömande verksamhet
	och att dataskyddsombudets uppgifter bl.a. är att övervaka efterlevnaden
	av dataskyddet och att samarbeta med tillsynsmyndigheten, anser
	Riksdagens ombudsmän att det inte är lämpligt att dataskyddsombud
	också ska utses i domstolarnas dömande verksamhet. Förvaltningsrätten
	i Linköping efterfrågar ett klargörande av hur skyldigheten att utse data-
	skyddsombud enligt 3 kap. 13 § brottsdatalagen förhåller sig till mot-
	svarande skyldighet enligt förslaget till ändring av 10 § domstolsdata-
	lagen. Övriga remissinstanser yttrar sig inte särskilt över bedömningen.
	Skälen för regeringens bedömning: Enligt 3 kap. 13 § brottsdata-
	lagen ska behöriga myndigheter utse dataskyddsombud. Domstolars och
	andra oberoende rättsliga myndigheters dömande verksamhet får dock
	enligt artikel 32.1 i dataskyddsdirektivet undantas från skyldigheten att
	utse dataskyddsombud.
	Enligt 10 §	första stycket	domstolsdatalagen i lydelsen före	den
	25 maj 2018	är domstolarna	skyldiga att utse ett eller	flera
224	personuppgiftsombud. I förarbetena till domstolsdatalagen framhölls att

hanteringen av personuppgifter i den rättskipande och rättsvårdande Prop. 2017/18:269 verksamheten indirekt begränsas av de processuella regelverken och att

risken för att det i verksamheten utförs obefogade integritetskänsliga behandlingar därför får anses vara mindre än inom t.ex. polisen. I syfte att åstadkomma ett stärkt integritetsskydd ansåg regeringen dock att domstolarna borde vara skyldiga att utse ett eller flera personuppgifts- ombud (prop. 2014/15:148 s. 91).

Regeringen föreslog i det lagstiftningsärende som rör domstolsdata- lagens anpassning till dataskyddsförordningen att bestämmelsen i domstolsdatalagen ska behållas och ändras endast på så sätt att ordet personuppgiftsombud ersätts med dataskyddsombud. I det ärendet gjordes bedömningen att dataskyddsförordningens möjlighet att undanta den dömande verksamheten från dataskyddsombudets ansvarsområde inte bör utnyttjas. Som skäl anfördes bl.a. att ombuden fortfarande är av central betydelse för skyddet av den personliga integriteten, även i den dömande verksamheten, och att ett undantag för den dömande verksamheten kan leda till gränsdragningsproblem (prop. 2017/18:113 s. 20–25). Regeringen anser, i likhet med bl.a. Datainspektionen, att dessa skäl gör sig gällande även på brottsdatalagens område. Som Domstolsverket påpekar är det lämpligt att frågan om dataskyddsombud regleras på samma sätt på brottsdatalagens och dataskyddsförordningens områden. Det finns därför inte skäl att utnyttja möjligheten i artikel 32.1 i direktivet att undanta domstolarnas dömande verksamhet från skyldig- heten att utse dataskyddsombud. Till skillnad från Riksdagens ombuds- män anser regeringen att en sådan ordning framstår som lämplig även med beaktande av direktivets reglering av tillsynsmyndighetens behörig- het och dataskyddsombudets uppgifter.

Förvaltningsrätten i Linköping efterfrågar ett klargörande av hur skyldigheten att utse dataskyddsombud enligt 3 kap. 13 § brottsdatalagen förhåller sig till motsvarande skyldighet enligt 10 § domstolsdatalagen. Regleringen innebär att domstolarnas skyldighet att utse ett eller flera dataskyddsombud gäller inom såväl dataskyddsförordningens som brottsdatalagens tillämpningsområde. Det finns inget hinder mot att ett dataskyddsombud har ansvar för personuppgiftsbehandling på båda områdena. Det finns även en möjlighet att utse ett gemensamt data- skyddsombud för flera domstolar (artikel 37.3 i dataskyddsförordningen, artikel 32.3 i dataskyddsdirektivet och prop. 2017/18:232 s. 201).

12.3.5Uppgifter om juridiska personer bör inte omfattas

Regeringens bedömning: Lagen bör inte reglera behandling av upp- gifter om juridiska personer.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Göteborg anser att om det finns

tillräckliga skäl i sak för att införa ett skydd för juridiska personer, bör enhetlighet i domstolarnas personuppgiftsreglering uppnås genom att skyddet införs både i domstolsdatalagen och den nya lagen. Övriga remissinstanser har ingen invändning mot utredningens bedömning.

225

Prop. 2017/18:269 Skälen för regeringens bedömning: Frågan om domstolsdatalagen skulle tillämpas på uppgifter om juridiska personer lyftes under lagstift- ningsarbetet men ledde inte till något förslag. Som skäl för det angavs bl.a. att det är tveksamt om begreppet personlig integritet har någon relevans för juridiska personer (Ds 2013:10 s. 49–51). Domstolsdata- lagen är alltså inte tillämplig på uppgifter om juridiska personer.

Ipolisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrotts- datalagen och skattebrottsdatalagen föreskrivs däremot att vissa bestäm- melser i respektive lag ska tillämpas på uppgifter om juridiska personer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer har det på dessa områden ansetts att vissa grund- läggande bestämmelser om personuppgiftsbehandling bör tillämpas även på uppgifter om juridiska personer. Dessutom kan det vara svårt att i elektronisk hantering skilja uppgifter om juridiska personer från upp- gifter om fysiska personer som är ägare av eller ställföreträdare för sådana (prop. 2009/10:85 s. 78). Regeringen anser att det bör finnas bestämmelser i övriga registerförfattningar som rör behandling av uppgifter om juridiska personer, motsvarande de som finns i nuvarande reglering (avsnitt 5.4.1).

Frågan är om det finns skäl att införa en motsvarande reglering i domstolarnas brottsdatalag, trots att uppgifter om juridiska personer inte har något särskilt skydd i dag. Om den nya lagen skulle tillämpas på upp- gifter om juridiska personer skulle lagarna om domstolarnas person- uppgiftsbehandling skilja sig åt utan att det krävs för att genomföra dataskyddsdirektivet. Även om det finns fördelar med en enhetlig reglering för myndigheterna i rättskedjan bör en enhetlig reglering för domstolarna i detta fall väga tyngre. Mot den bakgrunden bör den nya lagen inte reglera behandling av uppgifter om juridiska personer. Som Kammarrätten i Göteborg påpekar skulle enhetlighet i domstolarnas registerförfattningar i och för sig kunna uppnås genom att ett skydd för juridiska personer införs både i domstolsdatalagen och den nya lagen. Regeringen kan dock konstatera att det saknas underlag för att nu över- väga en sådan reglering.

	12.4	Grundläggande bestämmelser om behandling
	12.4.1	Rättsliga grunder för behandling

	Regeringens förslag: Personuppgifter ska få behandlas om det är
	nödvändigt för handläggning av mål och ärenden om utredning av
	eller lagföring för brott, om verkställighet av häktning eller ändring
	eller verkställighet av straffrättsliga påföljder eller om upprätthållande
	av allmän ordning och säkerhet.

	Utredningens förslag överensstämmer i sak med regeringens.
	Remissinstanserna: De flesta av remissinstanserna, t.ex. Svea hovrätt
	och Förvaltningsrätten i Jönköping, tillstyrker förslaget eller har ingen
	invändning mot det. Eskilstuna tingsrätt och Domstolsverket påpekar att
	förslaget skiljer sig från domstolsdatalagen och anser att det kan leda till
226	tillämpningsproblem. Umeå tingsrätt föreslår att det i domstolsdatalagen

ska tas in en bestämmelse som liknar den föreslagna bestämmelsen i den Prop. 2017/18:269 nya lagen. Hovrätten för Västra Sverige väcker frågan om det bör vara

någon skillnad i tillämpningen av rekvisitet att behandlingen är nöd- vändig respektive att behandlingen behövs. Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdata- lagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling

I 6 och 7 §§ domstolsdatalagen regleras för vilka ändamål domstolarna får behandla personuppgifter. Enligt den primära ändamålsbestämmelsen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Enligt den sekundära ändamålsbestämmelsen får person- uppgifter som behandlas för handläggning av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sedan domstolsdatalagen har anpassats till dataskyddsförordningen gäller dessutom att person- uppgifter som behandlas för handläggning av mål och ärenden får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelsen innebär att finalitetsprincipen gäller och att vidarebehandling som är förenlig med denna är tillåten (prop. 2017/18:113 s. 40–42).

Den primära ändamålsbestämmelsen i 6 § domstolsdatalagen tydliggör att domstolarna får behandla personuppgifter när de fullgör sina arbets- uppgifter. Bestämmelsen anger den yttersta ram inom vilken person- uppgifter får behandlas. Det är inom denna ram som de särskilda, uttryckliga och berättigade ändamålen med behandlingen i enskilda fall ska bestämmas (2 kap. 3 § brottsdatalagen). Regeringen anser att den nya lagen bör innehålla en motsvarighet till domstolsdatalagens primära ändamålsbestämmelse. För att tydliggöra bestämmelsens funktion bör den emellertid betecknas som en bestämmelse om rättsliga grunder snarare än en ändamålsbestämmelse. På så sätt minskar risken att tilläm- paren godtar ett i lagen angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet (prop. 2017/18:232

s.123).

Domstolarna bör få behandla personuppgifter om det är nödvändigt för

att fullgöra en arbetsuppgift inom den nya lagens tillämpningsområde.
För att terminologin ska stämma överens med dataskyddsdirektivet och
brottsdatalagen bör ordet nödvändigt användas. Ordet bör tolkas som att
det är fråga om något som behövs för att på ett effektivt sätt kunna utföra
arbetsuppgiften (prop. 2017/18:232 s. 117). Som Hovrätten för Västra
Sverige påpekar används ordet behövs i domstolsdatalagens ändamåls-
bestämmelser. Åtgärder som är en naturlig del av domstolarnas kärnverk-
samhet, t.ex. handläggning av enskilda mål och ärenden eller planering,
uppföljning och utvärdering av verksamheten, är både behövliga och	227

Prop. 2017/18:269 nödvändiga (jfr prop. 2014/15:148 s. 108). Skillnaden i uttryckssätt bör därför inte få någon praktisk betydelse.

228

De tillåtna rättsliga grunderna bör omfatta handläggning av mål och ärenden inom den nya lagens tillämpningsområde. Allmän domstol bör få behandla personuppgifter om det är nödvändigt för handläggning av mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol bör få behandla personuppgifter om det är nödvändigt för handläggning av mål om verkställighet av häktning eller straffrättsliga påföljder.

Lagen om domstolarnas behandling av personuppgifter inom brotts- datalagens område föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om rättsliga grunder i register- författningen bör den senare helt ersätta bestämmelsen i brottsdatalagen.

Domstolsdatalagens terminologi ska inte ändras

Regeringens förslag innebär att motsvarande bestämmelser i domstols- datalagen och domstolarnas brottsdatalag kommer att kategoriseras på olika sätt, dvs. som en ändamålsbestämmelse respektive en bestämmelse om rättsliga grunder.

Terminologin i domstolsdatalagen och den nya lagen bör i möjligaste mån samordnas (avsnitt 12.1.2). Umeå tingsrätt föreslår i linje med detta att det i domstolsdatalagen ska tas in en bestämmelse som liknar den föreslagna bestämmelsen om rättsliga grunder i den nya lagen. Regeringen bedömer dock att domstolsdatalagens primära ändamåls- bestämmelse inte utan vidare kan betecknas som en bestämmelse om rättsliga grunder. Ett skäl till det är att det i brottsdatalagen, till skillnad från vad som gäller på dataskyddsförordningens område, inte finns någon bestämmelse om finalitetsprincipen. Anledningen till det är att olika ändamål inom brottsdatalagens tillämpningsområde ska betraktas som förenliga med varandra, under förutsättning att en behandling för ett nytt ändamål är nödvändig och proportionerlig (prop. 2017/18:232 s. 126). Både dataskyddsförordningen och domstolsdatalagen innehåller däremot bestämmelser om finalitetsprincipen (artiklarna 5.1 b och 6.4 i

dataskyddsförordningen och 7 § andra stycket domstolsdatalagen). Prop. 2017/18:269 Förordningen använder i detta och andra sammanhang ordet ändamål på

ett sätt som stämmer väl överens med terminologin i domstolsdatalagen. Om 6 § domstolsdatalagen skulle betecknas som en bestämmelse om rättsliga grunder kan det uppstå osäkerhet kring hur vidarebehandling av insamlade personuppgifter får ske och hur finalitetsprincipen enligt dataskyddsförordningen och domstolsdatalagen ska tillämpas. En förändring av domstolsdatalagens terminologi skulle därför kräva över- väganden som inte kan göras inom ramen för detta lagstiftningsärende.

Eskilstuna tingsrätt och Domstolsverket befarar att avvikelsen i förhållande till bestämmelsen i domstolsdatalagen kan leda till tillämp- ningsproblem. Det bör framhållas att skillnaden mellan bestämmelserna i allt väsentligt är terminologisk. Oavsett hur bestämmelserna kategor- iseras syftar de till att ange den yttersta ram inom vilken personuppgifter får behandlas. Risken för tillämpningsproblem framstår därför som begränsad.

12.4.2Behandling för nya ändamål

Regeringens förslag: Det ska genom en hänvisning till brottsdata- lagen framgå att personuppgifter som behandlas med stöd av den nya lagen får behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Regeringens bedömning: Ytterligare behandling av personupp- gifter som behandlas enligt domstolarnas brottsdatalag bör inte regleras i domstolsdatalagen.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår att någon prövning av om behandlingen är nödvändig och proportionerlig inte ska krävas när personuppgifter behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde och domstolsdata- lagen är tillämplig.

Remissinstanserna: Ingen remissinstans invänder mot utredningens förslag. Hovrätten för Västra Sverige efterfrågar vägledning om när något ska anses vara ett nytt ändamål.

Promemorians förslag överensstämmer inte med regeringens bedöm- ning. I promemorian föreslås att det av domstolsdatalagen ska framgå att personuppgifter som behandlas enligt den nya lagen får behandlas även för uppgiftslämnande som sker i överensstämmelse med lag eller förord- ning eller för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål.

Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Domstolsverket anser att lagstiftningen blir något komplicerad eftersom personuppgifter som behandlas enligt brottsdatalagen ska han- teras enligt domstolsdatalagen när de lämnas ut eller behandlas för arkiv- ändamål.

229

Prop. 2017/18:269

230

Skälen för regeringens förslag och bedömning

Nya ändamål inom brottsdatalagens tillämpningsområde

Innan personuppgifter behandlas för ett nytt ändamål inom brottsdata- lagens tillämpningsområde ska det säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 4 § brottsdatalagen). Hovrätten för Västra Sverige efterfrågar vägledning om när något ska anses vara ett nytt ändamål. Enligt 2 kap. 3 § brottsdatalagen får personuppgifter bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Vad som utgör ett nytt ändamål ska bedömas i förhållande till ett sådant preciserat ändamål, t.ex. handläggningen av ett visst mål. Som exempel på behandling för ett nytt ändamål inom brottsdatalagens tillämpningsområde kan nämnas att personuppgifter i ett brottmål används för handläggningen av ett annat brottmål.

Enligt 7 § första stycket domstolsdatalagen får personuppgifter som behandlas för handläggning av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen innebär att domstolen får lämna ut personuppgifter inte bara om det finns en uttrycklig skyldighet i lag eller förordning att göra det, utan också i de situationer där det kan anses påbjudet eller önskvärt att domstolen gör det (prop. 2014/15:148 s. 41 f.). En prövning av nödvändighet och proportionalitet krävs enligt artikel 4.2 i dataskyddsdirektivet alltid innan personuppgifter behandlas för ett nytt ändamål inom tillämpningsområdet för direktivet. Regeringen anser att det bara är i de fall där det finns en uttrycklig uppgiftsskyldighet som lagstiftaren kan anses ha tagit ställning till att uppgiftslämnandet är nöd- vändigt och proportionerligt (prop. 2017/18:232 s. 138). Det skulle därför inte vara förenligt med direktivet att ha en bestämmelse som motsvarar domstolsdatalagens bestämmelse om behandling för uppgifts- lämnande i den nya lagen. Det bör i stället, i enlighet med utredningens förslag, tas in en bestämmelse som tydliggör att personuppgifter som redan behandlas får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde enligt de förutsättningar som anges i 2 kap. 4 § den lagen.

Nya ändamål utanför brottsdatalagens tillämpningsområde

Innan personuppgifter som behandlas med stöd av brottsdatalagen be- handlas för ett ändamål utanför lagens tillämpningsområde ska det säker- ställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 22 § brottsdatalagen). Ett exem- pel på ett nytt ändamål utanför brottsdatalagens tillämpningsområde är när personuppgifter i ett brottmål används för handläggningen av ett tvistemål. Ett annat exempel är när personuppgifter i ett mål om rätts- psykiatrisk vård lämnas ut efter begäran från en enskild som inte är part i målet. Vid sådan behandling är dataskyddsförordningen tillämplig.

Utredningen föreslår att någon prövning av om behandlingen är nöd- vändig och proportionerlig inte ska krävas när personuppgifter behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde och dom- stolsdatalagen är tillämplig. Som skäl anförs att en stor del av behand-

lingen för nya ändamål utanför brottsdatalagens tillämpningsområde, t.ex. utlämnande på begäran, då skulle följa samma regelverk som dom- stolarnas personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde. En konsekvens av utredningens förslag är att det inte skulle krävas någon prövning av nödvändighet och proportionalitet om en domstol i den egna verksamheten behandlar personuppgifter för nya ändamål utanför brottsdatalagens tillämpningsområde, t.ex. om personuppgifter i ett brottmål används vid handläggningen av ett tviste- mål. Regeringen anser att det inte vore rimligt att kräva en noggrannare prövning för behandling för nya ändamål inom brottsdatalagens område än utanför det (prop. 2017/18:232 s. 134). När det gäller personuppgifter som lämnas ut efter begäran ska någon prövning av nödvändighet och proportionalitet inte göras i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning (2 kap. 22 § brottsdatalagen). Till skillnad från utredningens förslag gäller undantaget även uppgiftsläm- nande enligt 6 kap. 5 § offentlighets- och sekretesslagen (prop. 2017/18:232 s. 138). Brottsdatalagens reglering av uppgiftslämnande överensstämmer alltså med domstolsdatalagens när domstolen har en skyldighet att lämna uppgifter. En skillnad mellan regelverken finns endast i de fall då det inte finns någon uttrycklig skyldighet till uppgifts- lämnande. Domstolens prövning enligt brottsdatalagen torde i sådana fall emellertid ofta mynna ut i att det är nödvändigt och proportionerligt att lämna uppgifterna (prop. 2017/18:232 s. 138). Skillnaden mellan brotts- datalagen och domstolsdatalagen bör därför ha begränsad betydelse i praktiken. Regeringen anser sammantaget att det inte finns tillräckliga skäl att i domstolarnas brottsdatalag göra undantag från brottsdatalagens reglering av behandling för nya ändamål utanför den lagens tillämpnings- område. Det bör i stället tas in en bestämmelse som tydliggör att person- uppgifter som redan behandlas får behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde enligt de förutsättningar som anges i 2 kap. 22 § den lagen.

Domstolsdatalagens ändamålsbestämmelser bör inte ändras

Dataskyddsförordningen och dataskyddslagen är tillämpliga när dom- stolar behandlar personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde. Vid behandling av personuppgifter i den rättski- pande och rättsvårdande verksamheten och när personuppgifterna lämnas ut efter begäran, är även domstolsdatalagen tillämplig. Personuppgifter som behandlas enligt domstolsdatalagen kommer i vissa fall att ha sam- lats in för ändamål inom brottsdatalagens tillämpningsområde, t.ex. i samband med handläggningen av ett brottmål. Sådan behandling bör på samma sätt som i dag vara tillåten. Frågan är om regleringen i domstols- datalagen uppfyller detta syfte eller om den behöver anpassas.

Domstolarna kan behöva behandla personuppgifter som samlats in för handläggning av mål och ärenden inom tillämpningsområdet för den nya lagen, för handläggning av andra mål och ärenden. Till exempel kan en adressuppgift i ett brottmål återanvändas i ett tvistemål. Eftersom sådan behandling behövs för handläggning av mål och ärenden är den tillåten enligt 6 § domstolsdatalagen.

Prop. 2017/18:269

231

Prop. 2017/18:269 Domstolsdatalagen kan även bli tillämplig vid utlämnande av uppgifter i exempelvis ett brottmål. I promemorian En omarbetad domstolsdatalag

–anpassning till EU:s dataskyddsförordning (Ds 2017:41) föreslås att det i domstolsdatalagen ska framgå att personuppgifter som behandlas enligt den nya lagen får behandlas för uppgiftslämnande som sker i överens- stämmelse med lag eller förordning. Som skäl anförs att domstols- datalagens sekundära ändamålsbestämmelse endast gäller personupp- gifter som behandlas enligt lagens primära ändamålsbestämmelse, dvs. i den del av verksamheten som inte omfattas av den nya lagen. Regeringen instämmer i denna bedömning. Sedan domstolsdatalagen har anpassats till dataskyddsförordningen är den sekundära ändamålsbestämmelsen emellertid inte längre uttömmande (prop. 2017/18:113 s. 41). Det innebär att bestämmelsen inte utgör något hinder mot utlämnande av person- uppgifter som behandlas enligt domstolarnas brottsdatalag. Eftersom frågan om behandling för nya ändamål utanför brottsdatalagens tillämp- ningsområde regleras i den lagen, skulle den bestämmelse som föreslås i promemorian utgöra en form av dubbelreglering. Som Domstolsverket påpekar innebär förslaget också att lagstiftningen skulle bli komplicerad. Regeringen bedömer därför att utlämnande av personuppgifter som behandlas enligt den nya lagen inte bör regleras särskilt i domstolsdatalagen. Däremot kan vissa befintliga bestämmelser i dom- stolsdatalagen bli tillämpliga vid sådan behandling, t.ex. bestämmelserna om elektroniskt utlämnande av personuppgifter.

Dataskyddsförordningen, dataskyddslagen och domstolsdatalagen är även tillämpliga när domstolarna behandlar personuppgifter för arkiv- ändamål av allmänt intresse, t.ex. vid arkivering av allmänna handlingar i att avslutat mål. I promemorian föreslås att det i domstolsdatalagen ska tas in en bestämmelse som klargör att personuppgifter som behandlas enligt den nya lagen får behandlas även för arkivändamål av allmänt intresse. Att domstolarna får behandla personuppgifter för arkivändamål av allmänt intresse följer av dataskyddsförordningen och föreskrifter om arkiv (prop. 2017/18:105 s. 109–111 och prop. 2017/18:113 s. 40). Dom- stolsdatalagens sekundära ändamålsbestämmelse är inte uttömmande och utgör därför inte något hinder mot att handlingar i exempelvis ett brottmål tas om hand för arkivering. Regeringen bedömer att inte heller sådan behandling av personuppgifter behöver regleras särskilt i dom- stolsdatalagen.

Sammantaget bedömer regeringen att ytterligare behandling av person- uppgifter som behandlas enligt domstolarnas brottsdatalag inte bör regleras i domstolsdatalagen.

12.4.3Särskilda upplysningar

Regeringens bedömning: Lagen bör inte innehålla något undantag från brottsdatalagens bestämmelser om särskilda upplysningar.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens

bedömning.

232

Skälen för regeringens bedömning: Enligt 2 kap. 3 § andra stycket Prop. 2017/18:269 brottsdatalagen ska det ändamål som personuppgifter behandlas för

tydliggöras genom en särskild upplysning, om det inte framgår av sammanhanget eller på något annat sätt. I 2 kap. 9 § brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott. Om det inte framgår av sammanhanget eller på något annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning. Enligt 2 kap. 10 § brottsdatalagen ska personuppgifter som grundar sig på fakta så långt det är möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på något annat sätt ska den tydliggöras genom en särskild upplysning.

I avsnitt 5.3.4 föreslår regeringen att bestämmelser om särskilda upplysningar på samma sätt som i dag enbart ska gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga. För domstolarna finns det i dag inga bestämmelser om särskilda upplysningar. Det beror på att det i domstolsdatalagen inte görs någon skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och uppgifter som endast ett fåtal personer har tillgång till. I motsats till de brottsbekämpande myndig- heterna behöver domstolarna därför inte något undantag från brottsdata- lagens bestämmelser. Det kan förefalla som om det därmed ställs högre krav på domstolarna, som i dag inte behöver förse personuppgifter med särskilda upplysningar, medan de myndigheter som har en sådan regle- ring får undantag från kraven i brottsdatalagen. Enligt brottsdatalagen ska personuppgifter emellertid förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sam- manhanget eller på något annat sätt. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. Vid handläggningen i domstol anges det tydligt vem som är misstänkt, tilltalad, målsägande, vittne eller anhörig till någon av dessa. Det framgår också normalt av sammanhanget eller på annat sätt vilket ändamål personuppgifter behandlas för och om uppgif- terna grundar sig på fakta eller på personliga bedömningar (prop. 2017/18:232 s. 122 och 146). Det innebär att domstolarna endast i undantagsfall kommer att behöva förse personuppgifter med särskilda upplysningar enligt brottsdatalagens bestämmelser.

12.4.4Behandling av personnummer

Regeringens förslag: Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag omfattar även liknande identitetsbeteckningar och

233

Prop. 2017/18:269 en upplysning om en föreslagen bestämmelse om sökning. Utredningens förslag omfattar inte ändamålet med behandlingen.

Remissinstanserna: Ingen remissinstans uttalar sig särskilt i denna del.

Skälen för regeringens förslag: I 3 kap. 10 § dataskyddslagen före- skrivs att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras (prop. 2017/18:105 s. 199). Bestämmelsen är tillämplig i domstolarnas verksamhet. Regeringen anser att det finns anledning att överväga en liknande bestämmelse i domstolarnas brottsdatalag.

Domstolarnas verksamhet är till största delen offentlig. Allmänheten har stora möjligheter att få kännedom om de personer vilkas uppgifter behandlas. En tillgång till personnummer öppnar ytterligare möjligheter att få fram uppgifter om dessa personer. Detta motiverar en fortsatt reglering av hur personnummer och samordningsnummer får behandlas i domstolarnas verksamhet. Regeringen anser att det bör tas in en bestämmelse om behandling av personnummer och samordningsnummer i den nya lagen. Utformningen av bestämmelsen bör överensstämma med vad som gäller enligt dataskyddslagen och bör, i förhållande till utred- ningens förslag, kompletteras med att hänsyn även ska tas till ändamålet med behandlingen.

Det finns inte anledning att i bestämmelsen reglera annat än person- nummer och samordningsnummer, vilka är de identitetsbeteckningar som domstolarna använder sig av i sin verksamhet. Den del i utredningens förslag som avser liknande identitetsbeteckningar bör alltså inte tas in i bestämmelsen.

12.4.5Biometriska och genetiska uppgifter

Regeringens bedömning: Det finns inte skäl att särskilt föreskriva att domstolarna får behandla biometriska och genetiska uppgifter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anför att det kan

uppkomma behov för domstolarna att behandla biometriska uppgifter och att det är viktigt att säkerställa att de föreslagna begränsningarna i uppgiftsbehandling inte inverkar negativt på den misstänktes möjlighet att själv vidta genetiska och biometriska undersökningar. Övriga remiss- instanser yttrar sig inte i denna del.

Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning.

Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska och genetiska uppgifter känsliga personuppgifter. Biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

234

Till skillnad från Hovrätten för Västra Sverige instämmer regeringen i Prop. 2017/18:269 utredningens bedömning att det är svårt att se att domstolarna har något

behov av att behandla biometriska och genetiska uppgifter. Det ska i sammanhanget anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Domstolarna kommer alltså att kunna behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag. Den behandlingen är för domstolarna tillräcklig. Det finns därför inte behov av någon bestämmelse i den nya lagen som medger behandling av biometriska och genetiska uppgifter. Samhälls- och teknikutvecklingen kan dock innebära att det framöver finns anledning att överväga denna fråga på nytt.

Att domstolarna inte medges behandla biometriska och genetiska uppgifter bedöms inte inverka negativt på den misstänktes möjlighet att själv föranstalta om genetiska och biometriska undersökningar. Det finns därför inte skäl att, som Hovrätten för Västra Sverige anför, särskilt säkerställa att den misstänkte har möjlighet att själv vidta sådana under- sökningar.

12.5Sökbegränsningar

12.5.1	Sökförbudet i brottsdatalagen ska inte gälla

Regeringens bedömning: Förbudet i brottsdatalagen mot sökning i
syfte att få fram ett urval av personer grundat på känsliga person-
uppgifter bör inte gälla för domstolarna.

Utredningens förslag överensstämmer med regeringens bedömning.
Utredningen föreslår att det i lagen uttryckligen upplyses om att andra
bestämmelser än brottsdatalagens sökförbud ska gälla.
Remissinstanserna: Domstolsverket ställer sig positivt till förslaget att
brottsdatalagens sökbegränsning inte ska tillämpas i domstolarnas verk-
samhet eftersom det kommer att underlätta domstolarnas behandling av
personuppgifter. Övriga remissinstanser yttrar sig inte särskilt i denna
del.
Skälen för regeringens bedömning: Dataskyddsdirektivet kräver inte
att det införs något förbud mot att använda känsliga personuppgifter vid
sökning. Sådana uppgifter får emellertid behandlas endast om det finns
lämpliga skyddsåtgärder för behandlingen (artikel 10). En verkningsfull
skyddsåtgärd kan vara att förbjuda att känsliga personuppgifter används
vid sökning och att reglera eventuella undantag. I 2 kap. 14 § brottsdata-
lagen förbjuds sökning i syfte att få fram ett urval av personer grundat på
känsliga personuppgifter. I 2 kap. 11–13 §§ brottsdatalagen anges vilka
uppgifter som betecknas som känsliga personuppgifter.
Enligt 14 § domstolsdatalagen är det förbjudet att vid sökning i per-
sonuppgifter använda sökbegrepp som avslöjar känsliga personuppgifter.
Bestämmelsen omfattar också uppgifter om nationell anknytning och
brott eller misstanke om brott eftersom sökning med användande av
sådana uppgifter har ansetts innebära särskilda integritetsrisker (prop.
2014/15:148 s. 59). Från sökförbudet görs vissa undantag i 14 § andra		235

Prop. 2017/18:269 stycket och 15 §. Undantagen begränsas i 3–6 §§ domstolsdataförord- ningen.

Regleringen av vilken sökning som är tillåten enligt domstolsdatalagen har utformats med beaktande av dels domstolarnas behov och intresset av insyn, dels skyddet för enskildas personliga integritet. Det har inte bedömts motiverat att begränsa endast domstolspersonalens möjligheter till sökning, om inte allmänhetens möjligheter att med stöd av offentlig- hetsprincipen begära sökning begränsas på motsvarande sätt. De största integritetsriskerna ligger inte i de sökningar som domstolens personal gör utan i de möjligheter till kartläggning som sökningar på begäran av allmänheten innebär (prop. 2014/15:148 s. 53–55). Någon särskild sekre- tessbestämmelse för sådana personuppgifter som sökningar kan resultera i finns inte, eftersom principiella skäl har ansetts tala mot att ha en sådan bestämmelse. Intresset av insyn och öppenhet är särskilt starkt i domsto- larna och det finns ett betydande värde i att både journalister och en- skilda kan begära att avgöranden söks fram efter bestämda kriterier (prop. 2014/15:148 s. 55–57). Dessa skäl gör sig alltjämt gällande.

Mot denna bakgrund bedömer regeringen, i likhet med Domstolsverket, att sökförbudet i brottsdatalagen inte bör gälla för domstolarna utan att en annan, för domstolarna särskilt anpassad, reglering bör gälla i stället. Utredningen föreslår att detta bör komma till uttryck genom en upp- lysning i lagen. Lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område föreslås gälla utöver brottsdatalagen (av- snitt 12.2.1). Mot bakgrund av det och eftersom den nya lagen innehåller särskilda avvikande bestämmelser om sökförbud bedömer regeringen att det saknas behov av en sådan upplysning om att sökförbudet i brotts- datalagen inte ska gälla i domstolarna.

12.5.2Sökförbuden i den nya lagen

Regeringens förslag: Vid sökning i personuppgifter ska det vara för- bjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller nationell anknytning.

Sökförbudet ska inte gälla användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sådana sökbegrepp.

I lagen informeras också om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott.

Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet.

Sökförbudet hindrar inte sökning i en viss handling eller i ett visst mål eller ärende.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att begränsningar av möjligheten att använda

236

sökbegreppen brott, misstanke om brott och hälsa ska finnas i den nya Prop. 2017/18:269 lagen i stället för att regleras på förordningsnivå.

Remissinstanserna: Domstolsverket anser att det bör övervägas om sökbegränsningarna ska finnas i lag eller i förordning och att frågan bör hanteras på samma sätt i den nya lagen och domstolsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över förslagen.

Skälen för regeringens förslag

Nuvarande reglering

I 14 § domstolsdatalagen förbjuds användning av sökbegrepp som avslö- jar känsliga personuppgifter, uppgifter om nationell anknytning och upp- gifter om brott eller misstanke om brott. Förbudet omfattar dock inte sökbegrepp i form av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp. Från förbudet undantas enligt 15 § sökning i en viss handling eller i ett visst mål eller ärende. Förbudet gäller inte heller i allmän domstol eller allmän förvaltningsdomstol, såvitt gäller sökbe- grepp som avslöjar brott eller misstanke om brott, eller i allmän förvalt- ningsdomstol såvitt gäller sökbegrepp som avslöjar hälsa. I 3–5 §§ dom- stolsdataförordningen begränsas möjligheten till sökning i äldre avgjorda mål och ärenden. Vidare förbjuds användning av sökbegrepp som avslöjar brott eller misstanke om brott i allmän domstol vid sökning i tvistemål, och i Migrationsöverdomstolen och migrationsdomstolarna användning av sökbegrepp som avslöjar brott eller misstanke om brott eller uppgifter om hälsa.

Utgångspunkter för regleringen i den nya lagen

Den nuvarande regleringen i domstolsdatalagen och domstolsdataförord- ningen tillgodoser både domstolarnas berättigade behov av att kunna utföra sökningar på känsliga personuppgifter och andra integritets- känsliga uppgifter och skyddet för enskildas integritet. Den innefattar också en rimlig avvägning mellan domstolarnas behov och allmänhetens rätt till insyn. Regleringen i domstolsdatalagen kan därför bilda ut- gångspunkt för regleringen i den nya lagen.

Detaljerade begränsningar av möjligheten till sökning enligt domstols- datalagen regleras i förordning. Av integritetsskyddsskäl ansågs det vik- tigt att begränsningarna skulle kunna avgränsas så specifikt som möjligt. Ytterligare avgränsningar skulle kunna anpassas kontinuerligt, efterhand som nya måltyper tillkommer och domstolarnas organisation förändras. Regeringen bedömde det därför lämpligt att i förordning precisera vilka möjligheter till sökning som ska finnas (prop. 2014/15:148 s. 62). Utred- ningen anser att dessa argument inte har samma tyngd när brottsdata- lagen är tillämplig och föreslår att sökbegränsningarna regleras i lag. Regeringen anser emellertid att de ställningstaganden som gjordes i för- hållande till sökbegränsningar i domstolsdatalagen fortfarande är giltiga. Begränsningar av möjligheten till sökning i vissa typer av personuppgif- ter inom tillämpningsområdet för den nya lagen bör därför regleras i förordning.

237

Prop. 2017/18:269

238

Sökförbud för känsliga personuppgifter

Enligt artikel 10 i dataskyddsdirektivet får känsliga personuppgifter be- handlas bara om det är absolut nödvändigt och det finns särskilda skyddsåtgärder. Regeringen bedömer att sökförbudet i 2 kap. 14 § brotts- datalagen är en sådan skyddsåtgärd som direktivet kräver (prop. 2017/18:232 s. 155). Eftersom sökförbudet i brottsdatalagen inte ska gälla för domstolarna behövs en skyddsåtgärd i den nya lagen. Regeringen anser att en lämplig skyddsåtgärd är att på samma sätt som i dag förbjuda användningen av sökbegrepp som avslöjar känsliga per- sonuppgifter. Genom en hänvisning till bestämmelserna om känsliga per- sonuppgifter i 2 kap. 11 och 12 §§ brottsdatalagen kommer alla uppgifter som benämns känsliga personuppgifter att omfattas av förbudet.

Sökförbud för andra integritetskänsliga uppgifter

Sökförbudet i domstolsdatalagen gäller inte bara för känsliga person- uppgifter utan även för vissa andra uppgifter som ansetts vara särskilt integritetskänsliga, nämligen uppgifter som avslöjar nationell anknytning och brott eller misstanke om brott. I motsats till regleringen i det nu gällande dataskyddsdirektivet och dataskyddsförordningen finns det inte några särskilda restriktioner för behandling av uppgifter om lagöverträ- delser i det nya dataskyddsdirektivet. Uppgifter om nationell anknytning regleras inte heller. Något sökförbud för uppgifter som avslöjar nationell anknytning och brott eller misstanke om brott krävs därför inte för att genomföra direktivet.

Regeringen anser emellertid att de skäl som ligger bakom att sökför- budet i domstolsdatalagen även omfattar uppgifter om bl.a. nationell anknytning alltjämt har bärighet (prop. 2014/15:148 s. 59). Direktivet tillåter nationella regler som ger starkare integritetsskydd. Uppgifter om nationell anknytning bör därför omfattas av sökförbudet i den nya lagen.

När det gäller användningen av uppgifter som avslöjar brott eller miss- tanke om brott som sökbegrepp bör dock regleringen i den nya lagen inte utgå från domstolsdatalagens systematik, vilken bygger på ett förbud och ett generellt undantag för allmänna domstolar och allmänna förvaltnings- domstolar. Skälet härtill är att den nya lagen, till skillnad från domstols- datalagen, endast är tillämplig i nämnda domstolsslag. Begränsningarna för de allmänna domstolarna och de allmänna förvaltningsdomstolarna att använda sökbegrepp som avslöjar brott eller misstanke om brott finns i dag i domstolsdataförordningen. Som anförs ovan anser regeringen att det av integritetsskyddsskäl är viktigt att begränsningarna i dessa delar kan avgränsas så specifikt som möjligt och anpassas kontinuerligt. Det är därför lämpligt att det i förordning preciseras vilka sökbegränsningar som bör finnas för uppgifter som avslöjar brott eller misstanke om brott. I lagen bör därför upplysas om att regeringen eller den myndighet rege- ringen bestämmer kan meddela föreskrifter om begränsningar av möjlig- heten att använda uppgifter som avslöjar brott eller misstanke om brott som sökbegrepp. Innehållet i förordningsbestämmelserna bör ligga i linje med utredningens förslag och de sökbegränsningar som gäller enligt domstolsdataförordningen.

Tillåtna sökningar	Prop. 2017/18:269
Det behövs på samma sätt som i dag vissa undantag från sökförbuden.
Domstolarna använder i stor utsträckning särskilda beteckningar för att
identifiera en viss mål- eller ärendetyp, s.k. målgrupps- och måltyps-
koder. Målgrupps- och måltypskoder används i mycket stor utsträckning
i den dagliga verksamheten och det har inte framkommit att detta skulle
medföra några särskilda risker i integritetshänseende (prop. 2014/15:148
s. 63). Sökning med användning av sådana beteckningar bör därför
undantas från sökförbuden i den nya lagen.
Sökförbuden bör på samma sätt som i dag inte heller gälla vid sökning
i en viss handling eller i ett visst mål eller ärende. Som regeringen
tidigare konstaterat innebär sökning bland en begränsad mängd uppgifter
mindre integritetsrisker än sökning i större uppgiftsmängder (prop.
2014/15:148 s. 63 f.). Det bör således göras undantag från sökförbuden
även för sådana sökningar.
Domstolarnas brottsdatalag bör också innehålla ett undantag för de
allmänna förvaltningsdomstolarna att använda uppgifter om hälsa som
sökbegrepp. Genom att använda till exempel uppgifter om en sjukdoms-
diagnos som sökbegrepp är det möjligt för domstolarna att med hjälp av
sökning identifiera öppna mål som innehåller likartade frågeställningar
så att handläggningen kan samordnas, vilket kan främja såväl
effektiviteten som rättssäkerheten (prop. 2014/15:148 s. 60).
När det gäller sökbegrepp som avslöjar hälsa i allmän förvaltnings-
domstol finns begränsningarna i dag i domstolsdataförordningen. Som
anförs ovan anser regeringen att det av integritetsskyddsskäl är viktigt att
begränsningar kan avgränsas så specifikt som möjligt och anpassas
kontinuerligt. Det är därför lämpligt att det i förordning preciseras vilka
sökbegränsningar som ska finnas. Mot denna bakgrund bör det tas in en
upplysning i den nya lagen om att regeringen kan meddela föreskrifter
om begränsningar av möjligheten att använda uppgifter om hälsa som
sökbegrepp.

12.6Utlämnande av personuppgifter

12.6.1Direktåtkomst

Regeringens förslag: Direktåtkomst ska endast få medges en allmän domstol, en allmän förvaltningsdomstol eller en part eller partens ombud, biträde eller försvarare.

Direktåtkomst för en part eller en parts ombud, biträde eller för- svarare får endast avse personuppgifter i partens mål eller ärende.

En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ytterligare begränsning av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans lämnar synpunkter i denna

del.

239

Prop. 2017/18:269 Skälen för regeringens förslag: Enligt 17 § domstolsdatalagen får direktåtkomst endast medges en allmän domstol, en allmän förvaltnings- domstol, en hyres- och arrendenämnd eller en part eller partens ombud, biträde eller försvarare. Direktåtkomst för en part eller en parts ombud, biträde eller försvarare får endast avse personuppgifter i partens mål eller ärende. I 7–13 §§ domstolsdataförordningen preciseras när direktåtkomst är tillåten till äldre avgjorda mål och ärenden, vid överklagande, till rätts- praxis och i samband med beredskapsverksamhet.

240

Reglerna om direktåtkomst i domstolsdatalagen och domstolsdata- förordningen är resultatet av en avvägning mellan domstolarnas behov och skyddet för enskildas integritet. Den bedömning som gjordes i dessa avseenden vid domstolsdatalagens tillkomst har alltjämt bärkraft och regleringen i den nya lagen bör därför utformas på samma sätt. Det gäller även uppdelningen av bestämmelserna mellan lag och förordning (prop. 2014/15:148 s. 64–73).

Regeringen eller den myndighet som regeringen bestämmer bör på samma sätt som i dag kunna meddela föreskrifter om ytterligare begräns- ning av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

12.6.2Elektroniskt utlämnande av personuppgifter

Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ytterligare begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

Utredningens förslag överensstämmer i sak med regeringens. Utred- ningen föreslår även en bestämmelse som anger att elektroniskt utläm- nande genom direktåtkomst är tillåtet bara i den utsträckning som anges i lagen och föreskrifter som har meddelats i anslutning till den.

Remissinstanserna: Datainspektionen avstyrker förslaget eftersom det inte utan närmare analys av vilka effekter för den personliga integriteten som utvidgningen kan få inte går att avgöra om den kan anses propor- tionerlig i förhållande till enskildas personliga integritet. Svea hovrätt, Eskilstuna tingsrätt, Förvaltningsrätten i Jönköping och Domstolsverket påtalar att domstolsdatalagen och den nya lagen skiljer sig åt i termino- logi och understryker vikten av en så enhetlig lagstiftning som möjligt. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsning av möj- ligheten att lämna ut personuppgifter på det sättet (prop. 2014/15:148

s.73–78).

Varken brottsdatalagen eller dataskyddsdirektivet innehåller bestäm-

melser om på vilket sätt personuppgifter får lämnas ut. Det finns dock inget som hindrar att nationell lagstiftning innehåller sådana bestämmel-

ser. Domstolarna bör kunna lämna ut personuppgifter elektroniskt i Prop. 2017/18:269 samma utsträckning som i dag. En bestämmelse som motsvarar 16 § domstolsdatalagen bör därför tas in i den nya lagen. Regeringen bedömer

i avsnitt 5.6.4 att uttrycket utlämnande på medium för automatiserad behandling bör ersättas med det modernare uttrycket utlämnande i elektronisk form. Någon ändring i sak är inte avsedd. För att lagstift- ningen ska vara så enhetlig som möjligt bör samma terminologi användas i såväl den nya lagen som i domstolsdatalagen.

Regeringen anser att regleringen är utformad på ett sätt som ger ett gott skydd för den personliga integriteten (avsnitt 5.6.4). Regeringen delar således inte Datainspektionens uppfattning att förslaget utgör en utvidg- ning i förhållande till vad som gäller i dag.

Som regeringen anför i avsnitt 12.1.2 är det en fördel om domstolarnas personuppgiftsreglering är så enhetlig som möjligt. Mot denna bakgrund och då ett särskilt behov inte framkommit bedömer regeringen att den av utredningen föreslagna bestämmelsen om att elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i lagen och föreskrifter som har meddelats i anslutning till den inte bör tas in i lagen.

Regeringen eller den myndighet som regeringen bestämmer bör på samma sätt som i dag kunna meddela föreskrifter om ytterligare begräns- ning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

12.7	Personuppgifter i avgjorda mål och ärenden

Regeringens förslag: I lagen upplyses om att regeringen eller den
myndighet regeringen bestämmer kan meddela ytterligare föreskrifter
om begränsningar för behandling av personuppgifter som hänför sig
till ett mål eller ärende som har avgjorts genom en dom eller ett beslut
som har fått laga kraft.

Utredningens förslag överensstämmer inte med regeringens. Utred-
ningen föreslår att begränsningarna ska finnas i lag i stället för att reg-
leras på förordningsnivå.
Remissinstanserna: Domstolsverket anser att det bör övervägas om
sökbegränsningarna ska finnas i lag eller förordning och att frågan bör
hanteras på samma sätt i den nya lagen och domstolsdatalagen. Övriga
remissinstanser yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: I domstolsdatalagen finns en bestäm-
melse som upplyser om att regeringen eller den myndighet regeringen
bestämmer kan meddela ytterligare föreskrifter om begränsningar för
behandling av personuppgifter som hänför sig till ett mål eller ärende
som har avgjorts genom en dom eller ett beslut som har fått laga kraft.
Bestämmelsen har sin grund i att det t.ex. kan behövas begränsningar
avseende sökning, direktåtkomst eller intern åtkomst vid domstolarna.
Det är fråga om bestämmelser som bör vara relativt detaljerade och som
bör kunna justeras exempelvis när domstolarnas arbetssätt utvecklas eller
då nya måltyper tillkommer i verksamheterna. En mer detaljerad regle-
ring ger bättre förutsättningar för den avvägning som ska göras mellan		241

Prop. 2017/18:269 integritets- och effektivitetsintressena. Det är viktigt att domstolarna har möjlighet att i den utsträckning det är motiverat utnyttja de möjligheter till ökad effektivitet, rättssäkerhet och insyn som erbjuds tack vare över- gången till elektroniskt bevarande (prop. 2014/15:148 s. 83). Regeringen bedömer att angivna skäl fortfarande är giltiga.

En likalydande upplysningsbestämmelse som i domstolsdatalagen bör införas i den nya lagen. Innehållet i förordningsbestämmelserna bör ligga i linje med utredningens förslag och de sökbegränsningar som gäller enligt domstolsdataförordningen.

	12.8	Administrativa sanktionsavgifter

	Regeringens förslag: Sanktionsavgift ska få tas ut av den person-
	uppgiftsansvarige vid överträdelse av bestämmelserna om rättsliga
	grunder och sökförbud.
	Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

	Utredningens förslag överensstämmer delvis med regeringens. Utred-
	ningen föreslår att sanktionsavgiften ska bestämmas till minst 50 000
	kronor och högst 20 000 000 kronor.
	Remissinstanserna: De flesta av remissinstanserna, bl.a. Helsingborgs
	tingsrätt och Justitiekanslern, tillstyrker utredningens förslag eller har
	ingen invändning mot det. Södertörns tingsrätt anser att det är viktigt att
	sanktionerna utgör en rimlig reaktion på överträdelserna och att det i
	domstolarnas fall ofta rör sig om allvarliga överträdelser. Enligt tings-
	rätten kan dock även en lägre avgift förväntas vara tillräckligt avskräck-
	ande. Förvaltningsrätten i Malmö anser att det inte är nödvändigt att
	införa en möjlighet att ta ut administrativa sanktionsavgifter inom ramen
	för den nya lagen. Riksdagens ombudsmän och Förvaltningsrätten i
	Linköping påpekar att tillsynsmyndigheten inte är behörig att utöva
	tillsyn över personuppgiftsbehandling i domstolarnas dömande verksam-
	het. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag: Tillsynsmyndigheten kommer enligt
	brottsdatalagen att utöva tillsyn över domstolarnas behandling av person-
	uppgifter. Tillsynen omfattar dock inte personuppgiftsbehandling inom
	ramen för domstolarnas dömande verksamhet (5 kap. 2 § brottsdata-
	lagen). Till tillsynsmyndighetens befogenheter hör att besluta om sank-
	tionsavgift	enligt 6 kap. brottsdatalagen. De överträdelser som enligt
	brottsdatalagen kan leda till att sanktionsavgift tas ut är bl.a. överträdel-
	ser av bestämmelser om hur personuppgifter får behandlas.
	Reglerna om sanktionsavgift i brottsdatalagen gäller vid överträdelse
	av bestämmelser i den lagen. Som framgår av avsnitt 5.4.2 anser reger-
	ingen att sanktionsavgift också bör kunna tas ut vid överträdelse av vissa
	bestämmelser i registerförfattningarna. Det gäller bestämmelser som
	ersätter, preciserar eller kompletterar bestämmelser i brottsdatalagen som
	kan föranleda sanktionsavgift. Enligt regeringen finns det inte skäl att,
	som Förvaltningsrätten i Malmö menar, göra en annan bedömning för
	domstolarnas del.
	I likhet med vad som gäller enligt brottsdatalagen bör överträdelse av
242	bestämmelser om rättsliga grunder för behandling kunna föranleda sank-

tionsavgift. Enligt brottsdatalagen är det också möjligt att ta ut sanktions- Prop. 2017/18:269 avgift vid överträdelse av sökförbudet avseende känsliga personupp-

gifter. För domstolarna kommer dock det sökförbudet inte att gälla. Regeringen föreslår i stället att domstolarnas brottsdatalag ska innehålla ett generellt förbud mot att använda integritetskänsliga sökbegrepp. Vidare föreslås ett antal undantag från sökförbudet. Slutligen görs bedömningen att vissa sökbegränsningar bör regleras i förordning (avsnitt 12.5.2). En överträdelse av bestämmelsen om sökförbud i den nya lagen bör kunna leda till att sanktionsavgift tas ut. Sanktionsavgift bör däremot inte kunna tas ut vid överträdelse av sådana sökbegränsningar som endast regleras i förordning. En förutsättning för att det ska vara fråga om en överträdelse av bestämmelsen om sökförbud är att sökningen inte omfattas av något av undantagen från förbudet. Undantagen kommer att regleras i domstolarnas brottsdatalag och anslutande föreskrifter och rör t.ex. sökning i ett visst mål och användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. Det bör framgå av en bestämmelse i den nya lagen i vilka fall det är möjligt att ta ut sanktionsavgift.

Enligt 6 kap. 3 § brottsdatalagen ska sanktionsavgift tas ut med högst

5 000 000 kronor vid mindre allvarliga överträdelser och högst

10 000 000 kronor vid allvarligare överträdelser. Det framgår av paragra- fen vilka överträdelser som är mindre allvarliga respektive allvarliga. Överträdelser av bestämmelser om rättsliga grunder för behandling och sökförbudet avseende känsliga personuppgifter är enligt paragrafen all- varliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i domstolarnas brottsdatalag. Regeringen ser inte skäl att ha högre sanktionsavgifter för domstolarna än för övriga myndigheter (prop. 2017/18:232 s. 325–329). Sanktionsavgift bör därför kunna tas ut med högst 10 000 000 kronor.

Som Riksdagens ombudsmän och Förvaltningsrätten i Linköping på- pekar är tillsynsmyndigheten inte behörig att utöva tillsyn över den personuppgiftsbehandling som sker i domstolarnas dömande verksamhet. Sanktionsavgift kan därför endast beslutas för överträdelser utanför den dömande verksamheten.

12.9Skadestånd och överklagande

12.9.1	Skadestånd

Regeringens förslag: Bestämmelsen om skadestånd i brottsdatalagen
ska tillämpas vid behandling av personuppgifter i strid med den nya
lagen eller föreskrifter som har meddelats i anslutning till den.

Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser tillstyrker utredningens
förslag eller har ingen invändning mot det.
Skälen för regeringens förslag: Enligt 7 kap. 1 § brottsdatalagen ska
den personuppgiftsansvarige ersätta den registrerade för den skada och
kränkning av den personliga integriteten som orsakats av behandling av
personuppgifter i strid med brottsdatalagen, eller föreskrifter som har		243

Prop. 2017/18:269 meddelats i anslutning till den. Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med domstolarnas brottsdatalag som vid behandling i strid med brottsdata- lagen. Det bör därför framgå att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med den nya lagen eller föreskrifter som har meddelats i anslutning till den.

12.9.2 Överklagande

Regeringens förslag: En domstols beslut i sådana frågor som avses i brottsdatalagens bestämmelse om överklagande av personuppgifts- ansvariga myndigheters beslut, får överklagas. Högsta domstolens och Högsta förvaltningsdomstolens beslut får dock inte överklagas.

Beslut av en hovrätt, tingsrätt eller förvaltningsrätt överklagas till kammarrätten. Beslut av en kammarrätt överklagas till Högsta förvalt- ningsdomstolen.

Regeringens bedömning: Den nya lagen bör inte innehålla några bestämmelser om överklagande av tillsynsmyndighetens beslut.

Utredningens förslag och bedömning överensstämmer i sak med regeringens.

Remissinstanserna: Ingen remissinstans invänder mot utredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning

Bestämmelser om överklagande finns i brottsdatalagen

I 7 kap. brottsdatalagen finns bestämmelser om överklagande. Bestäm- melserna reglerar rätten att överklaga beslut av personuppgiftsansvariga myndigheter och av tillsynsmyndigheten. Det finns även ett förbud mot att överklaga andra beslut enligt brottsdatalagen än de som särskilt anges.

Domstolarnas brottsdatalag bör endast innehålla bestämmelser om överklagande som avviker från den generella regleringen. Den nya lagen bör även i möjligaste mån ha samma systematik som domstolsdatalagen (avsnitt 12.1.2). Regeringen anser därför att den nya lagen, till skillnad från vad som föreslås avseende övriga registerförfattningar, inte bör innehålla en reglering som upplyser om att bestämmelser om överklagande finns i brottsdatalagen. Det är samma lagtekniska lösning som finns i domstolsdatalagen (prop. 2017/18:113 s. 45–48).

En särskild instansordning

Bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol finns i 20 § domstolsdatalagen. En hovrätts, tingsrätts eller förvaltningsrätts beslut enligt artiklarna 12.5 och 15–21 i dataskyddsförordningen får överklagas till kammarrätten utan krav på prövningstillstånd. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut får inte överklagas. Bestämmelsen i 20 § domstolsdatalagen motsvarar 7 kap. 2 § dataskyddslagen, men

244	föreskriver en avvikande instansordning som motiveras av att förvalt-

ningsrätterna inte ska behöva överpröva sina egna eller högre instansers Prop. 2017/18:269 beslut (prop. 2014/15:148 s. 94 och prop. 2017/18:113 s. 46 f.).

I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personupp- gifter, som har meddelats av en myndighet i egenskap av personuppgifts- ansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge prövning av ett automatiserat beslut. Det saknas skäl att för domstolarnas del ha avvikande bestämmelser om vilka beslut som får överklagas. Den sär- skilda instansordning som enligt domstolsdatalagen gäller för beslut av personuppgiftsansvariga domstolar bör dock gälla även enligt den nya lagen.

Beslut av tillsynsmyndigheten

Enligt 7 kap. 3 § brottsdatalagen får tillsynsmyndighetens beslut enligt den lagen överklagas till allmän förvaltningsdomstol. I enlighet med regeringens förslag i avsnitt 12.8 ska det i domstolarnas brottsdatalag anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsyns- myndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av bestäm- melserna i de särskilda registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs inte. Det finns alltså inte skäl att i den nya lagen särskilt reglera frågan om överklagande av tillsyns- myndighetens beslut.

13Kriminalvårdens brottsdatalag

13.1Behovet av anpassning till brottsdatalagen

13.1.1 Nuvarande reglering

I kriminalvården ingår myndigheten Kriminalvården och övervaknings-
nämnderna. Lagen (2001:617) om behandling av personuppgifter inom
kriminalvården gäller enligt 1 § vid behandling av personuppgifter i
kriminalvårdens verksamhet i fråga om vissa personkategorier, bl.a. den
som är föremål för personutredning, häktad eller dömd till fängelse,
skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst. Kri-
minalvården får enligt 3 § behandla personuppgifter bara om det behövs
för vissa särskilt angivna ändamål, däribland att fullgöra sina uppgifter i
enlighet med vad som föreskrivs i lag eller förordning och att underlätta
tillgången till sådana uppgifter om verkställighet av påföljd eller häkt-
ning som rättsväsendets övriga myndigheter behöver.
Lagen, som enligt 2 § gäller utöver personuppgiftslagen, innehåller
även bestämmelser om personuppgiftsansvar (4 §), behandling av käns-
liga personuppgifter (5 §), direktåtkomst (6 §), gallring (7 §) och utlämn-	245
	245

Prop. 2017/18:269 ande av uppgifter för rättsstatistiken (9 §). I fråga om rättelse och skade- stånd gäller personuppgiftslagens bestämmelser (8 §). Lagen innehåller särskilda bestämmelser om omprövning och överklagande (12–16 §§). Merparten av regleringen finns emellertid i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.

246

Även annan reglering av personuppgiftsbehandling är i viss utsträck- ning tillämplig i Kriminalvården. Det gäller bl.a. patientdatalagen (2008:355), som gäller när Kriminalvården bedriver hälso- och sjukvård.

13.1.2Behovet av en uppdaterad lagstiftning

Kriminalvårdens lagstiftning avviker i många avseenden från den lag- stiftning som gäller för övriga myndigheter i rättskedjan. De andra regis- terförfattningarna har tillkommit under de senaste åren, medan krimi- nalvårdens registerlagstiftning tillkom bara några år efter personuppgifts- lagen. Kriminalvårdens lagstiftning har en annan lagteknisk struktur än övriga registerförfattningar. Den gäller utöver personuppgiftslagen och är inte som de andra registerförfattningarna indelad i kapitel. Större delen av Kriminalvårdens personuppgiftsreglering finns i förordning, vilket skulle kunna ifrågasättas mot bakgrund av det utökade grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. I förarbetena pekas bl.a. på att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (se prop. 2009/10:80 s. 183). Moder- nare registerlagstiftning bygger inte i samma utsträckning som kriminal- vårdens registerlagstiftning på en detaljerad uppräkning av vilka person- uppgifter som får behandlas.

Förutsättningarna för verksamheten på häkten och kriminalvårds- anstalter har förändrats. Brottsligheten har ändrat karaktär och påföljds- systemet har ändrats, särskilt möjligheten att avtjäna fängelsestraff utan- för anstalt i form av intensivövervakning medför att de som verkställer fängelsestraff i anstalt i dag generellt sett avtjänar straff för tyngre krimi- nalitet än förr. Även demografiska faktorer påverkar hur verksamheten på häkten och i kriminalvårdsanstalter bedrivs. Kriminalvården måste t.ex. vid placering av intagna ta större hänsyn än tidigare till faktorer som organiserad brottslighet och tillhörighet till olika kriminella grupp- eringar. Mot denna bakgrund kan det finnas behov av att i framtiden göra en översyn av kriminalvårdens registerlagstiftning. Detta är också något som Kriminalvården efterlyser. Även Justitiekanslern och Datainspek- tionen pekar på behovet av en översyn av kriminalvårdens registerlag- stiftning. Den bör ges en struktur och ett innehåll som i större utsträck- ning liknar övriga registerförfattningar.

I detta lagstiftningsärende föreslås vissa förändringar som ett led i an- passningen till brottsdatalagen. Anpassningar och ändringar som är gemensamma för registerförfattningarna behandlas i avsnitt 5. De ytter- ligare ändringar som bör göras kriminalvårdens registerlagstiftning behandlas i detta avsnitt.

En sakkunnig person har haft i uppdrag att lämna förslag på de författ- ningsändringar som behövs för att komplettera den del av kriminal- vårdens registerlagstiftning som ligger utanför brottsdatalagens tillämp- ningsområde till dataskyddsförordningen (Kriminalvårdens datalag –

anpassning till EU:s dataskyddsförordning, Ds 2017:46). I april 2018 Prop. 2017/18:269 beslutades propositionen Kriminalvårdsdatalag – en ny lag med

anpassning till EU:s dataskyddsförordning (prop. 2017/18:248).

13.1.3Lagens namn

Regeringens förslag: Den nya lagen ska benämnas lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.

Utredningen föreslår att lagen ska benämnas kriminalvårdens brotts- datalag.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Lagen om behandling av personuppgifter inom kriminalvården reglerar huvudsakligen person- uppgiftsbehandling inom brottsdatalagens tillämpningsområde, men även till viss del inom dataskyddsförordningens tillämpningsområde. Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av kriminalvårdens personuppgiftsbehandling på ett annat sätt än i dag. Om man skulle behålla en samlad reglering för kriminalvårdens person- uppgiftsbehandling skulle den till största delen gälla utöver brottsdata- lagen, men den skulle också komplettera dataskyddsförordningen med tillhörande lagstiftning. Ett alternativ är att i stället dela upp regleringen i två separata regelverk – ett för brottsdatalagens tillämpningsområde och ett för dataskyddsförordningens. Strukturen med olika registerförfatt- ningar för en myndighets olika verksamheter är ingen nyhet och den lös- ningen framstår enligt regeringens mening som den mest lämpliga. Den del av kriminalvårdens personuppgiftsbehandling som ligger inom brotts- datalagens tillämpningsområde bör som tidigare konstaterats regleras i en ny särskild lag, se avsnitt 3.4.

En närmare redogörelse för brottsdatalagens tillämpningsområde finns i propositionen Brottsdatalag 2017/18:232 avsnitten 6.4 och 6.7.

I propositionen Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning, föreslås en ny lag som ska tillämpas vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen inte är tillämplig.

Av de skäl som anges i avsnitt 7.1.2 finns det anledning att införa en- hetliga benämningar på de registerförfattningar som ska gälla utöver brottsdatalagen. Namnet bör knyta an till hur brottsdatalagen benämns och ange för vem författningen gäller och vad den rör. Övriga register- författningar föreslås få namn där ordet brottsdatalag ingår, vilket av systematiska skäl även bör gälla för kriminalvården. Lagen bör benäm- nas lag om kriminalvårdens behandling av personuppgifter inom brotts- datalagens område. I det följande kallas den nya lagen för kriminal- vårdens brottsdatalag. Som en följd av namnbytet måste hänvisningar till lagen ändras.

247

Prop. 2017/18:269 13.2

Allmänna bestämmelser

13.2.1Tillämpningsområdet

Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verk- ställa häktning eller straffrättsliga påföljder eller biträda en annan be- hörig myndighet när den utför uppgifter för ett syfte som anges i brottsdatalagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag

avseende tillämpningsområdet men framhåller att regleringen riskerar att bli svårtillämpad i förhållande till dataskyddsförordningens tillämpnings- område. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Den nuvarande regleringen behöver anpassas

I avsnitt 4.5 tar regeringen ställning till att registerförfattningarna även i fortsättningen ska innehålla bestämmelser om tillämpningsområdet och anger övergripande vad som bör gälla för den regleringen. Vidare före- slås i avsnitt 5.2 att registerförfattningarna ska gälla utöver brottsdata- lagen.

Enligt 1 § lagen om behandling av personuppgifter inom kriminalvård- en gäller lagen vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer som är föremål för personutredning, som är häktade eller som är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, som är ålagda fängelse som för- vandlingsstraff för böter eller vite, som på grund av utländsk dom ska verkställa nämnda påföljder i Sverige, som på annan grund är intagna i häkte eller kriminalvårdsanstalt eller som annars transporteras av krimi- nalvårdens transporttjänst.

Tillämpningsområdet utgår i dag från att personuppgiftsbehandlingen ska avse en person i någon av de uppräknade kategorierna. Den utform- ningen är inte förenlig med regleringen i brottsdatalagen, eftersom det är syftet med personuppgiftsbehandlingen som är avgörande för vilket regelverk som ska tillämpas, inte om personen tillhör en viss kategori. Tillämpningsområdet bör i stället utgå från syftet med personuppgifts- behandlingen. Det bör också framgå att lagen endast gäller när myndig- heterna agerar i egenskap av behöriga myndigheter.

Personuppgiftsbehandling vid verkställighet av häktning och straffrätts- liga påföljder

En av Kriminalvårdens huvuduppgifter är enligt 1 § förordningen (2007:1172) med instruktion för Kriminalvården att verkställa utdömda påföljder. Det som avses är verkställighet av fängelsestraff och vissa frivårdspåföljder. Personuppgiftsbehandling för sådana syften bör därför omfattas av lagens tillämpningsområde.

248

Enligt 2 § instruktionen ska Kriminalvården verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. Kriminal- vården ska särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras. Enligt 3 § första stycket 3 lagen om behand- ling av personuppgifter inom kriminalvården får Kriminalvården be- handla personuppgifter om det behövs för att upprätthålla säkerheten och förebygga brott under häktning och verkställighet av påföljder. Person- uppgiftsbehandling för sådana syften bör även i fortsättningen omfattas av lagens tillämpningsområde.

En annan av Kriminalvårdens huvuduppgifter är enligt 1 § instruktio- nen att bedriva häktesverksamhet. Brottsdatalagen ska tillämpas vid be- handling av personuppgifter avseende den som är anhållen eller häktad för brott. Detsamma gäller den som är häktad efter dom i avvaktan på att domen får laga kraft och vid häktning för att hindra att den dömde undandrar sig verkställighet av beslut om utvisning på grund av brott. Lagen ska också tillämpas på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b § brottsbalken och förvaras i häkte. Personuppgiftsbehandling i syfte att verkställa häktning bör därmed också omfattas av lagens tillämpningsområde. Verkställighet av häktning för syften som ligger utanför brottsdatalagens tillämpningsområde bör dock inte falla under lagens tillämpningsområde. Personuppgiftsbehand- ling i samband med förvaring i häkte och transporter som Kriminalvård- en utför för ändamål som ligger utanför brottsdatalagens tillämpnings- område bör således inte omfattas av lagen.

Övervakningsnämnderna prövar vissa frågor om verkställighet utanför anstalt enligt fängelselagen (2010:610). Nämnderna har även uppgifter som rör verkställigheten av skyddstillsyn. När övervakningsnämnderna hanterar personuppgifter för sådana syften görs det inom ramen för straffverkställighet och hanteringen bör därför omfattas av lagens till- ämpningsområde.

I propositionen Brottsdatalag redogör regeringen för ett antal allmänna principer för hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig (se prop. 2017/18:232 s. 109 f). Utredningen utvecklar dessa principer ytterligare genom exempel från olika verksamheter inom ramlagens tillämpningsområde (se SOU 2017:29 s. 185–234).

Personuppgiftsbehandling vid biträde åt andra behöriga myndigheter

Kriminalvården ansvarar enligt 1 § förordningen med instruktion för Kri- minalvården också för att utföra personutredningar i brottmål. I lagen (1991:2041) om särskild personutredning i brottmål, m.m. föreskrivs att Kriminalvården dels ska genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan, dels ska avge yttranden som belyser återfallsrisken. När Kriminalvården genomför en personutredning eller avger ett yttrande görs det primärt för att det ska finnas ett tillräckligt underlag för att kunna lagföra någon för brott. Vid personutredning kan Kriminalvården sägas biträda framför allt domstolarna vid lagföring av brott.

Enligt överenskommelse med Polismyndigheten driver Kriminalvården Polismyndighetens arrestverksamhet på vissa platser i landet. I sådan

Prop. 2017/18:269

249

Prop. 2017/18:269 verksamhet får Kriminalvården anses biträda Polismyndigheten i dess

brottsbekämpande och ordningshållande verksamhet.

Kriminalvården bedriver även transporttjänst. När t.ex. häktade trans- porteras till och från häkten i samband med domstolsförhandlingar biträ- der Kriminalvården åklagare och domstolar vid brottsbekämpning och lagföring. När personer transporteras från häkten till kriminalvårds- anstalter eller mellan kriminalvårdsanstalter görs det inom ramen för straffverkställigheten. Transporter som inte görs för lagföring eller straff- verkställighet utan med stöd av t.ex. tvångsvårdslagstiftningen eller ut- länningslagstiftningen, ligger däremot utanför lagens tillämpnings- område.

Kriminalvården ansvarar vidare för den som av domstol eller övervak- ningsnämnd har omhändertagits med stöd av 28 kap. 11 § brottsbalken och som förvaras i häkte. Kriminalvården biträder i dessa fall andra be- höriga myndigheter vid verkställighet av påföljd. Lagens tillämpnings- område bör därför även omfatta behandling av personuppgifter vid Kri- minalvårdens biträde åt andra behöriga myndigheter för något syfte inom brottsdatalagens tillämpningsområde.

13.2.2Personuppgiftsansvar

Regeringens förslag: Kriminalvården ska vara personuppgiftsansva- rig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd ska vara personuppgiftsansvarig för den personuppgiftsbehandling som nämnden utför.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 4 § lagen om behandling av personuppgifter inom kriminalvården är Kriminalvården personuppgifts- ansvarig. Det bör framgå av kriminalvårdens brottsdatalag att Kriminal- vården är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför.

Övervakningsnämnderna ska som framgår av avsnitt 12.2.1 tillämpa lagen. Det finns i dag 28 övervakningsnämnder. De är fristående myn- digheter och har en domstolsliknande funktion. För övervakningsnämnd- erna gäller förordningen (2007:1174) med instruktion för övervaknings- nämnderna. Eftersom övervakningsnämnderna är fristående myndigheter är det inte lämpligt att Kriminalvården ansvarar för den personuppgifts- behandling som de utför. Det bör därför framgå av lagen att varje över- vakningsnämnd är personuppgiftsansvarig för sin personuppgiftsbehand- ling.

Den omständigheten att övervakningsnämnderna blir personuppgifts- ansvariga hindrar inte att de samarbetar med Kriminalvården, t.ex. på det sättet att Kriminalvården kan vara personuppgiftsbiträde åt nämnderna. Möjligheten att utse ett gemensamt dataskyddsombud kan också över- vägas.

250

13.3Grundläggande bestämmelser om behandling av personuppgifter

13.3.1Rättsliga grunder och behandling för nya ändamål

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att någon av myndigheterna inom kriminalvården ska kunna utföra följande uppgifter:

1.verkställa häktning eller straffrättsliga påföljder,

2.förebygga, förhindra eller upptäcka brottslig verksamhet i sam- band med sådan verkställighet,

3.biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i brottsdatalagen, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Det ska framgå genom en hänvisning att personuppgifter som be- handlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.

Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksam- het sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Regleringen behöver anpassas

Enligt 2 kap. 1 § brottsdatalagen får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Enligt 3 § lagen om behandling av personuppgifter inom kriminal- vården får kriminalvården behandla personuppgifter om det behövs för att myndigheten ska kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning, underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver eller upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2–9 pågår. Hänvis- ningen avser tid under vilken någon är häktad eller avtjänar ett fängelse- straff, verkställer en frivårdande påföljd i form av villkorlig dom med föreskrift om samhällstjänst eller skyddstillsyn, är ålagd fängelse som förvandlingsstraff för böter eller vite eller på grund av utländsk dom verkställer någon av nämnda påföljder i Sverige, på annan grund är inta- gen i häkte eller kriminalvårdsanstalt eller annars transporteras av Krimi-

Prop. 2017/18:269

251

Prop. 2017/18:269 nalvårdens transporttjänst. De personuppgifter som kriminalvården får behandla får också behandlas om det behövs för tillsyn, planering, upp- följning och kvalitetssäkring av verksamheten.

De brottsbekämpande myndigheternas registerförfattningar bör inne- hålla bestämmelser om tillåtna rättsliga grunder för behandling av per- sonuppgifter. Det bör även gälla för Kriminalvården och övervak- ningsnämnderna.

Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. Som tidigare kon- staterats anser regeringen att direktivets krav är uppfyllt genom de för- fattningar och regeringsbeslut som reglerar den verksamhet i vilken per- sonuppgifterna behandlas, tillsammans med ramlagen och registerför- fattningarna. För Kriminalvårdens del framgår det av förordningen med instruktion för Kriminalvården att myndigheten ansvarar för att verk- ställa utdömda påföljder, bedriva häktesverksamhet samt utföra person- utredningar i brottmål. För övervakningsnämnderna följer av 1 § förord- ningen med instruktion för övervakningsnämnderna att nämndernas verksamhetsområden beslutas av regeringen (se förordning [1998:1318] om övervakningsnämndernas verksamhetsområden m.m.). Denna regle- ring, tillsammans med den föreslagna regleringen i 2 kap. 1 § i kriminalvårdens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara entydig, precis och förutsägbar.

En bestämmelse som ersätter brottsdatalagens bestämmelse om tillåtna rättsliga grunder för behandling

Kriminalvårdens brottsdatalag bör innehålla en bestämmelse om tillåtna rättsliga grunder för behandling av personuppgifter som ger Kriminal- vården rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina uppgifter.

I avsnitt 13.2.1 föreslås att tillämpningsområdet ska omfatta behand- ling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder. Det bör framgå av lagen att personuppgifter får behandlas för de syftena. Det omfattar även behandling av personuppgifter som rör säkerheten vid verkställighet, exempelvis frågor om en intagen medför förhöjd risk för rymning eller fritagning och vem som besöker den häk- tade eller intagne.

Personuppgifter bör även få behandlas när kriminalvården biträder andra behöriga myndigheter vid brottsbekämpning, lagföring, verkstäl- lighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Vad sådant biträde kan innebära redovisas i avsnitt 13.2.1. I biträdet ingår att ge rättsväsendets myndigheter information om häktes- verksamheten och verkställigheten av påföljder och att tillhandahålla de personuppgifter som behövs för att andra myndigheter ska kunna fullgöra uppgifter inom brottsdatalagens tillämpningsområde. Ett exempel på det förstnämnda är information till åklagare och domstolar som rör häktade och på det sistnämnda den information som Kriminalvården ger Polis- myndigheten om avslutade vårdvistelser. Kriminalvården bör därför få

252

behandla personuppgifter om det är nödvändigt för att biträda en annan behörig myndighet för ett syfte som anges i brottsdatalagen.

Kriminalvården har vissa internationella förpliktelser, bl.a. att under vissa förutsättningar ta över verkställigheten av en utländsk frivårds- påföljd eller ett utländskt fängelsestraff och att förvara personer som är föremål för transitering genom Sverige för verkställighet av fängelse- straff i annat land. Fullgörande av internationella förpliktelser bör därför vara en tillåten rättslig grund för Kriminalvårdens personuppgiftsbehand- ling (jfr bl.a. 2 kap. 1 § polisens brottsdatalag, 2 kap. 1 § Skatteverkets brottsdatalag och 2 kap. 1 § Tullverkets brottsdatalag).

Kriminalvårdens brottsdatalag föreslås i avsnitt 13.2.1 gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestäm- melsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till be- stämmelsen om tillåtna rättsliga grunder i registerförfattningen bör den senare helt ersätta den i brottsdatalagen. Det behöver inte, som utred- ningen föreslår, föreskrivas att den uppgift som myndigheten ska utföra ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar.

Särskilt om Kriminalvårdens brottsförebyggande arbete

Enligt 2 § myndighetens instruktion ska Kriminalvården särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruket bekämpas och innehållet i verkställigheten anpassas efter varje individs behov. Arbetet med att förebygga och förhindra att brott begås av den som verkställer straff är en viktig del i straffverkställigheten. Fokus är att förhindra både att brott planeras eller begås under verkställigheten och att de intagna återfaller i brott senare. Andra viktiga frågor är att förhindra att narkotika förekom- mer på häkten och i kriminalvårdsanstalter och att hindra rymning och fritagning.

Det bör emellertid framhållas att Kriminalvården varken har särskilda uppgifter eller befogenheter på området, utöver rätten att ta hand om och förstöra narkotika som påträffas på häkten och i kriminalvårdsanstalter. Det brottsförebyggande arbetet består därför i åtgärder som Kriminal- vården vidtar eller beslutar om under själva verkställigheten, även om syftet är att förebygga att den häktade eller intagne begår brott efter fri- givning eller avslutad straffverkställighet. Kriminalvården har således inte någon uppgift som syftar till brottsbekämpning som inte har att göra med häktesverksamheten eller verkställighet av straff.

Kriminalvården behöver kunna behandla personuppgifter för den brottsförebyggande verksamheten. Det bör därför framgå av lagen att Kriminalvården har rätt att behandla uppgifter för att förebygga, för- hindra eller upptäcka brottslig verksamhet i samband med verkställighet av häktning eller straffrättsliga påföljder.

Kriminalvårdens forsknings- och statistikverksamhet

Kriminalvården ansvarar i dag för underlaget till en stor del av den sam- lade rättsstatistiken. Myndigheten har även för sin egen verksamhet be- hov av omfattande statistik. Dessutom bedriver Kriminalvården sedan

Prop. 2017/18:269

253

Prop. 2017/18:269 länge viss forskning som rör framför allt verkställighet av straffrättsliga påföljder. Enligt 2 kap. 5 § brottsdatalagen får en behörig myndighet be- handla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Kriminalvårdens statistik- och forskningsverksamhet är ett led i uppgifter som ligger inom brottsdata- lagens tillämpningsområde. Den rättsliga grunden i kriminalvårdens brottsdatalag täcker därmed även behandling av personuppgifter för sådana syften.

Behandling för nya ändamål

Lagen om behandling av personuppgifter inom kriminalvården reglerar inte när personuppgifter får behandlas för nya ändamål. Det har i stället styrts av finalitetsprincipen i personuppgiftslagen.

I brottsdatalagen regleras förutsättningarna för att personuppgifter ska få behandlas för nya ändamål. Enligt 2 kap. 4 § brottsdatalagen ska den som överväger att behandla personuppgifter för ett nytt ändamål göra en prövning av om det är nödvändigt och proportionerligt att personuppgift- erna behandlas för det nya ändamålet innan uppgifterna får behandlas för nya ändamål inom lagens tillämpningsområde. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför till- ämpningsområdet. En sådan prövning utgör en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas per- sonliga integritet. Samma prövning bör göras av Kriminalvården innan personuppgifter behandlas för ett nytt ändamål utanför brottsdatalagens tillämpningsområde. Det bör därför införas en bestämmelse i kriminal- vårdens brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter som behandlas med stöd av den lagen för nya ändamål regleras i brottsdatalagen.

	13.3.2	Behandling av biometriska och genetiska
		uppgifter

	Regeringens förslag: Kriminalvården ska få behandla biometriska
	uppgifter om det är absolut nödvändigt för ändamålet med behand-
	lingen.
	Regeringens bedömning: Kriminalvården bör inte få behandla
	genetiska uppgifter.

	Utredningens förslag och bedömning överensstämmer med rege-
	ringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget eller bedöm-
	ningen.
	Skälen för regeringens förslag och bedömning: Av 1 kap. 6 kap.
	brottsdatalagen följer vad som avses med biometriska och genetiska upp-
	gifter. Enligt 2 kap. 12 § brottsdatalagen får sådana uppgifter behandlas
	endast om det är särskilt föreskrivet och det är absolut nödvändigt för
	ändamålet med behandlingen.
	I dag behandlar Kriminalvården varken biometriska eller genetiska
254	uppgifter. Det pågår emellertid utveckling av teknik för att med hjälp av

biometri möjliggöra säkrare identifiering vid exempelvis transporter Prop. 2017/18:269 inom en kriminalvårdsanstalt. På samma sätt som för polisen och Tull-

verket är det viktigt för Kriminalvården att den rättsliga regleringen inte hämmar eller hindrar utvecklingen och användningen av ny teknik. Även om Kriminalvården i dagsläget inte använder biometri anser regeringen, i likhet med utredningen, att myndigheten bör ges rättslig möjlighet att behandla biometriska uppgifter, eftersom det inom en snar framtid kom- mer att finnas behov av det. För närvarande bedöms det inte finnas skäl att begränsa möjligheten att behandla biometriska uppgifter utöver vad som föreskrivs i brottsdatalagen. Det bör därför införas en bestämmelse kriminalvårdens brottsdatalag som medger behandling av biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Det har inte framkommit att Kriminalvården har behov av att behandla genetiska uppgifter och regeringen instämmer därför i utredningens be- dömning att myndigheten inte bör få behandla sådana uppgifter. Någon bestämmelse som medger sådan behandling bör därför inte finnas i kriminalvårdens brottsdatalag.

13.3.3Utlämnande av personuppgifter

Regeringens förslag: Kriminalvården ska till en utländsk myndighet eller internationell organisation få lämna ut de personuppgifter som behövs för

1.prövning och genomförande av överflyttning av straffverkställig-

het,

2.transitering och förvaring av en person som är frihetsberövad för utredning av eller lagföring för brott eller straffverkställighet, eller

3.tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I 8 kap. brottsdatalagen regleras frå- gor om överföring av personuppgifter till tredjeland och internationella organisationer. Uttrycket internationell organisation definieras i 1 kap.

6 § brottsdatalagen.

I 48 § förordningen om behandling av personuppgifter inom kriminal- vården regleras förutsättningarna för att lämna ut personuppgifter till en annan stat när verkställighet av påföljd ska överflyttas dit. Enligt para- grafen får uppgifter lämnas ut om bl.a. namn, personnummer eller andra identifikationsbeteckningar, genomförd personutredning och andra lik- nande utredningar, domstols dom och avräkningsunderlag, liksom upp- gifter i journal för häktad, fängelsedömd, skyddstillsynsdömd eller den som är dömd till villkorlig dom med föreskrift om samhällstjänst. Sådana personuppgifter får lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.

Bestämmelsen om att personuppgifter får lämnas ut till annan stat om det behövs för att den staten ska kunna överta straffverkställigheten av en påföljd är av sådant slag att den bör ha lagform. Den bör därför tas in i

kriminalvårdens brottsdatalag. Bestämmelsen bör dock göras mer gene-

255

Prop. 2017/18:269 rell eftersom det kan förutses att det internationella samarbetet kommer att öka, särskilt inom EU. Den nya bestämmelsen bör utformas så att den täcker de områden där det kan förutses behov av att kunna behandla och överlämna personuppgifter till en annan stats myndigheter. Bestämmel- sen bör vara sekretessbrytande. Det är framför allt för tre ärendetyper som det finns behov av att kunna lämna information.

En av dessa är överflyttning av straffverkställighet. Den ökade rörlig- heten över gränserna har medfört att frågor om överflyttning av verk- ställighet till en annan stat är betydligt vanligare i dag än tidigare. I de fallen behövs ofta ingående information om den dömde, både för att pröva frågan om överflyttning och för den framtida verkställigheten om överflyttning kommer till stånd. Den reglering som i dag finns i 48 § förordningen om behandling av personuppgifter inom kriminalvården ger ledning för vilka typer av personuppgifter som kan behöva överföras. Regleringen behöver dock inte vara så detaljerad.

En annan situation där Kriminalvården behöver kunna överföra person- uppgifter är vid transitering av frihetsberövade. Vid transitering ska den frihetsberövade tas om hand tillfälligt i transiteringsstaten. Kriminal- vården måste då kunna lämna nödvändig information till en annan stats myndigheter om personen som ska transiteras och i samband med det tillfälligt förvaras i den andra staten.

Den tredje situationen som den nya bestämmelsen bör täcka är tillfällig överflyttning till en annan stat. Om exempelvis en person som avtjänar ett längre fängelsestraff i Sverige behöver överföras tillfälligt till en annan stat för att lagföras eller medverka i en brottsutredning där behöver personuppgifter överföras för att den andra staten ska kunna förvara den dömde på ett säkert sätt till dess att han eller hon återförs till Sverige för att återuppta straffverkställigheten här.

Förslaget tar sikte på Kriminalvårdens behov av att kunna överföra personuppgifter till en annan stat. Att Kriminalvården i motsvarande fall får behandla personuppgifter som myndigheten får från en annan stat följer av rätten att behandla personuppgifter för att fullgöra förpliktelser som följer av internationella åtaganden.

13.4 Kriminalvårdens register

13.4.1 Nuvarande reglering

	I förordningen om behandling av personuppgifter inom kriminalvården
	regleras två register, det centrala kriminalvårdsregistret och säkerhets-
	registret. Det centrala kriminalvårdsregistret innehåller uppgifter om i
	princip alla som verkställer en påföljd som Kriminalvården ansvarar för.
	Säkerhetsregistret innehåller något förenklat uppgifter om personer som
	verkställer häktning eller påföljd och som kan utgöra en säkerhetsrisk i
	något avseende. Det finns också ett flertal bestämmelser i förordningen
	om journalföring.
	I 34 § förordningen om behandling av personuppgifter inom kriminal-
	vården regleras det centrala kriminalvårdsregistret, som förs av Kriminal-
	vården. Registret innehåller uppgifter om personer som har dömts till
256	fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhälls-
256

tjänst, har ålagts förvandlingsstraff för böter eller vite eller som på grund Prop. 2017/18:269 av en utländsk brottmålsdom verkställer en sådan påföljd i Sverige. I

35 § anges genom hänvisningar till andra bestämmelser i förordningen vilka uppgifter registret får innehålla. Andra myndigheters skyldighet att lämna uppgifter som ska registreras i centrala kriminalvårdsregistret regleras i 36 §. Kriminalvårdens skyldighet att lämna uppgifter till andra myndigheter regleras i 37 §. Där anges också vilka myndigheter som får medges direktåtkomst till registret.

Enligt 39 § för Kriminalvården också säkerhetsregistret. Registret inne- håller uppgifter om häktade eller intagna som är dömda till fängelse eller som på grund av utländsk dom verkställer fängelsestraff och som på något av de i paragrafen uppräknade sätten utgör en säkerhetsrisk. Det är fråga om personer som är eller tidigare har varit placerade på säkerhets- avdelning, under tid i häkte eller under verkställighet av ett fängelsestraff har gjort sig skyldiga till allvarligt hot eller våld mot personal eller andra intagna, under sådan tid har befattat sig med narkotika som inte varit avsedd för eget bruk eller som rymt eller fritagits från häkte eller krimi- nalvårdsanstalt eller förberett eller gjort försök till rymning eller fritag- ning. Dessutom omfattar regleringen personer som misstänks för att under tid i häkte eller under verkställighet av ett fängelsestraff ha deltagit i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verk- samhet.

Utöver de personkategorier som nämnts får säkerhetsregistret enligt 40 § innehålla uppgifter om häktade eller intagna, om det finns särskild anledning att anta att de under häktning eller verkställighet av fängelse- straff kan komma att utöva allvarlig brottslig verksamhet tillsammans med andra, göra sig skyldiga till hets mot folkgrupp eller vissa andra brott mot allmän verksamhet, allvarligt störa ordningen inom häktet eller anstalten, delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet eller förbereda rymning eller fritagning.

Säkerhetsregistret får enligt 41 § första stycket föras för att samla, bearbeta och analysera information som ger underlag för åtgärder för att upprätthålla säkerheten eller förebygga brott. Registret får innehålla de uppgifter som behövs för det. Enligt andra stycket ska säkerhetsregistret innehålla skälen för registreringen, med särskilt angivande av de omstän- digheter som ger anledning till ett sådant antagande som avses i 40 §, och upplysning om varifrån uppgifterna kommer och, om det inte är obehöv- ligt, en bedömning av uppgiftslämnarens trovärdighet. I 43 och 44 §§ finns det bestämmelser om direktåtkomst till uppgifter i och utlämnande av uppgifter ur säkerhetsregistret. I 45 § regleras gallring av uppgifter i registret.

13.4.2Hur bör den framtida regleringen se ut?

Både det centrala kriminalvårdsregistret och säkerhetsregistret innehåller uppgifter om ett stort antal registrerade. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden.

Det skydd som bestämmelsen ger får endast begränsas genom lag och

257

Prop. 2017/18:269 under vissa förutsättningar (2 kap. 20 och 21 §§ regeringsformen). I för- arbetena pekas bl.a. på att myndighetsregister med ett stort antal registre- rade och särskilt känsligt innehåll normalt ska regleras i lag (se prop. 2009/10:80 s. 183). Det kan ifrågasättas om inte de två större regis- ter som Kriminalvården för bör regleras i lag, både med hänsyn till anta- let registrerade och karaktären av de uppgifter som registreras (jfr Be- handling av personuppgifter inom kriminalvården, prop. 2000/01:126, s. 21). Det har inte ingått i utredningens uppdrag att göra en materiell översyn av de författningar som berörs av brottsdatalagen utan enbart att anpassa dem till den lagen. Det har emellertid stått utredningen fritt att ta upp och lämna förslag i närliggande frågor som aktualiseras under utred- ningsarbetet. Utredningen har lämnat förslag som rör säkerhetsregistret och gör därutöver bedömningen att det finns ett behov av en översyn avseende det centrala kriminalvårdsregistret, en bedömning som delas av Datainspektionen. En sådan översyn kräver dock ytterligare analyser, bl.a. på grund av att regleringen av vilka uppgifter som får föras i regist- ret är svåröverskådlig och att behovet av registrering och informa- tionsutbyte behöver analyseras närmare. Det låter sig inte göras inom ramen för detta lagstiftningsärende.

	13.5	Säkerhetsregistret
	13.5.1	Reglering i lag

	Regeringens förslag: Det ska i lagen föreskrivas att Kriminalvården
	får föra ett säkerhetsregister. I säkerhetsregistret ska personuppgifter
	få behandlas i syfte att
	1. förebygga, förhindra eller upptäcka brott eller brottslig verksam-
	het på häkten och i kriminalvårdsanstalter eller i samband med annan
	straffverkställighet, och
	2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstal-
	ter och i annan verksamhet som Kriminalvården bedriver.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag: Behandling av personuppgifter i
	register med många registrerade eller känsligt innehåll regleras inom
	brottsdatalagens tillämpningsområde huvudsakligen i lag. Säkerhets-
	registret innehåller personuppgifter av sådant slag att åtminstone huvud-
	dragen bör regleras i lag.
	Det bör således av lagen framgå att Kriminalvården får föra ett säker-
	hetsregister. Syftet med registret bör vara att Kriminalvården ska kunna
	förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på
	häkten och i kriminalvårdsanstalter eller i samband med annan straff-
	verkställighet som Kriminalvården ansvarar för. Uppgifterna i registret
	bör också kunna användas i syfte att säkerställa ordning och säkerhet på
	häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminal-
	vården bedriver. Att även annan verksamhet omfattas är viktigt med
	tanke på kriminalvårdens frivårdsverksamhet och att fängelsestraff till
258	stor del kan verkställas utanför anstalt.

När rätten att föra säkerhetsregistret lagregleras bör också de bestäm- Prop. 2017/18:269 melser om registret som i motsvarande fall brukar finnas i lag tas in i kriminalvårdens brottsdatalag. Det gäller bestämmelser om innehållet i

registret, sökning på känsliga personuppgifter, vilka som får medges direktåtkomst och hur länge personuppgifterna får behandlas. Vissa detaljer beträffande säkerhetsregistret bör dock alltjämt regleras i för- ordning.

13.5.2Registrering av häktade och intagna

Regeringens förslag: I säkerhetsregistret ska uppgifter få behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I registret ska även uppgifter få behandlas om en person som är häktad eller verkstäl- ler fängelsestraff, om det finns risk för att han eller hon

1.under häktning eller verkställighet av ett fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer,

2.förbereder rymning eller försöker rymma,

3.blir föremål för fritagning,

4.bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller

5.under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen tillstyrker att de personer som i

dag får registreras i säkerhetsregistret även fortsättningsvis ska få regi- streras. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

En riskbedömning blir avgörande för om registrering i säkerhetsregistret ska få ske

Säkerhetsregistret bör i allt väsentligt omfatta uppgifter om samma kate- gorier av häktade och intagna som i dag. Det bör således inte omfatta uppgifter om alla häktade eller intagna utan enbart de som är häktade eller intagna för de syften som anges i brottsdatalagen och som bedöms medföra särskilda säkerhetsrisker. De personkategorier som i dag anges i 39 och 40 §§ förordningen om behandling av personuppgifter inom kri- minalvården kan medföra sådana särskilda risker vid verkställigheten eller för häktesverksamheten att behandling av personuppgifter i säker- hetsregistret är motiverad. Regleringen bör dock moderniseras och göras generell.

Regeringen instämmer i utredningens bedömning att regleringen bör utgå från vilka personer som kan medföra säkerhetsrisk under verk- ställigheten och en bedömning av den risken. Rekvisitet risk förekommer i olika typer av lagstiftning. Det används t.ex. i 4 § lagen (2006:45) om omvandling av fängelse på livstid. Det är också ett centralt rekvisit i

24 kap. 1 § och 25 kap. 1 § rättegångsbalken för när vissa straffprocessu-

259

Prop. 2017/18:269

260

ella tvångsmedel får användas. Enligt 23 och 24 a §§ polislagen ska lika- så en bedömning av risken för att något inträffar göras. Ett annat exempel är bestämmelsen i 4 kap. 12 § andra stycket utsökningsbalken. Inom Kriminalvården är man van vid att göra olika former av riskbedöm- ningar, se t.ex. 2 kap. 4 §, 10 kap. 1 och 2 §§ och 11 kap. 1–5 §§ fängel- selagen (2010:610). Regeringen anser därför att förutsättningen för att registrera någon i säkerhetsregistret som huvudregel ska utgå från en riskbedömning.

Häktade och intagna som är eller har varit placerade på säkerhets- avdelning

I dag är placering på säkerhetsavdelning enligt 39 § 1 förordningen om behandling av personuppgifter inom kriminalvården en grund för regi- strering i säkerhetsregistret. Förutsättningarna för placering på säker- hetsavdelning anges i 2 kap. 4 § fängelselagen. Sådan placering förut- sätter antingen varaktig risk för rymning eller fritagning och att det kan antas att den intagne är särskilt benägen att fortsätta brottslig verksamhet eller att det finns särskild anledning att anta att placeringen behövs för att hindra den intagne från allvarlig brottslig verksamhet under anstalts- vistelsen. Om omständigheterna är sådana att det finns grund för placer- ing på en säkerhetsavdelning, bör också förutsättningarna för behandling av personuppgifter i säkerhetsregistret vara uppfyllda. Personuppgifter om någon som är häktad eller intagen och är eller har varit placerad på en säkerhetsavdelning bör därför få behandlas i säkerhetsregistret.

Risk för brott som inte är ringa eller att brottslig verksamhet utövas

Enligt 39 § 2 förordningen om behandling av personuppgifter inom kri- minalvården får personuppgifter behandlas i säkerhetsregistret bl.a. om någon under tid i häkte eller under verkställighet gjort sig skyldig till allvarligt hot eller våld mot personal eller andra intagna. Enligt 39 § 3 får uppgifter även behandlas om någon befattat sig med narkotika som inte varit avsedd för eget bruk. Vidare får, enligt 40 §, uppgifter behandlas i säkerhetsregistret om häktade eller intagna om det finns särskild anled- ning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att utöva all- varlig brottslig verksamhet (punkt 1), göra sig skyldig till vissa särskilda brott (punkt 2) eller delta i nätverk som bidrar till allvarliga ordnings- störningar eller brottslig verksamhet (punkt 4). Med allvarlig brottslighet avses enligt 2 § förordningen om behandling av personuppgifter inom kriminalvården verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Enligt regeringens mening bör nuvarande bestämmelser vara utgångspunkten för i vilka fall personer får registreras i säkerhetsregistret. Regleringen bör dock göras mer generell.

Det nuvarande kravet att någon ska ha gjort sig skyldig till våld eller hot kan uppfattas som att det krävs en straffrättslig prövning för att per- sonuppgifter ska få behandlas, vilket knappast kan ha varit avsikten. Det bör därför vara tillräckligt att det finns risk för att en häktad eller intagen begår brott, t.ex. utsätter personal eller andra intagna för hot eller våld.

Om det finns risk för att personer begår brott på häkte eller under verk- ställighet av fängelsestraff, bör uppgifter om dem få behandlas i säker-

hetsregistret om det är fråga om brott som kan antas påverka vistelsen på häktet eller i anstalten eller annars påverka Kriminalvårdens verksamhet. Det finns andra typer av brott än de som i dag räknas upp i förordningen som kan skapa säkerhetsrisker. Som exempel kan nämnas att brott som rör dopningsmedel kan innebära en minst lika stor risk för säkerheten och ordningen under verkställigheten som brott som rör narkotika. En mer generell reglering ger Kriminalvården bättre förutsättningar att reagera bl.a. mot pågående brott eller brottslig verksamhet.

I princip kan alla typer av brott som en häktad eller intagen begår på ett häkte eller under verkställighet i anstalt eller motsvarande innebära risk för att han eller hon begår nya brott i den miljön. Det ter sig dock inte rimligt att ringa brott, t.ex. snatteri eller andra brott som har ett lågt straffvärde, skulle få sådana konsekvenser. Därför bör endast brott som inte är ringa kunna läggas till grund för registrering i säkerhetsregistret.

Av samma skäl bör endast risk för utövande av brottslig verksamhet av allvarligare slag kunna föranleda registrering. Begreppet brottslig verk- samhet förekommer även i fängelselagen, t.ex. i 2 kap. 4 § som reglerar förutsättningarna för placering i säkerhetsavdelning och 7 kap. 10 § om besök m.m. Med brottslig verksamhet av allvarligare slag avses brott där två års fängelse eller mer ingår i straffskalan. Det motsvarar det krav för registrering som gäller i dag (se 2 § förordningen om behandling av per- sonuppgifter i kriminalvården).

Risk för rymning eller fritagning

Enligt 39 § 4 förordningen får personuppgifter behandlas i säkerhets- registret om den som har rymt eller fritagits från häkte eller kriminal- vårdsanstalt eller har förberett eller gjort försök till rymning eller fritag- ning. Enligt 40 § 5 får säkerhetsregistret även omfatta häktade eller in- tagna om det finns särskild anledning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att förbereda rymning eller fritagning. Dessa kategorier bör liksom i dag kunna registreras. Regleringen bör utgå från risken för att personen rymmer eller blir föremål för fritagning. Har en rymning eller fritagning inträffat får det anses föreligga risk för framtida rymning eller fritagning, om inte omständigheterna talar emot det.

Risk för allvarliga ordningsstörningar

Enligt 39 § 5 förordningen får personuppgifter registreras om en häktad eller intagen som under tid i häkte eller under verkställighet av ett fäng- elsestraff misstänks för att ha deltagit i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet. Enligt 40 § får säkerhets- registret även omfatta häktade eller intagna om det finns särskild anled- ning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att allvarligt störa ordningen inom häktet eller anstalten (punkt 3) eller delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet (punkt 4). Användningen av uttrycket misstänks i 39 § kan ge intryck av att deltagande i nätverk är kriminaliserat i sig, vilket inte är fallet. Grund- en för registrering bör därför uttryckas annorlunda. Regleringen bör utgå från behovet av att förebygga allvarliga ordningsstörningar och annat

Prop. 2017/18:269

261

Prop. 2017/18:269 som kan äventyra säkerheten på häkten och i kriminalvårdsanstalter. Om det finns risk för att en person på något sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt under verkställigheten bör det kunna vara grund för behandling av per- sonuppgifter i säkerhetsregistret.

Risk för våld eller hot mot häktade eller intagna

I dag har Kriminalvården inte rätt att behandla uppgifter i säkerhets- registret om häktade eller intagna som inte själva utgör säkerhetsrisker men som riskerar att utsättas för våld eller hot av andra häktade eller intagna. Oftast kan ett hot härledas till andra häktade eller intagna och därmed utgöra en grund för att behandla personuppgifter om dem. Det kan emellertid ibland finnas en allvarlig hotbild mot en häktad eller inta- gen, samtidigt som det saknas kunskap om vem eller vilka som ligger bakom hotet. Det är då viktigt att Kriminalvården kan ta hänsyn till hot- bilden vid placering och transporter, för att undvika att den häktade eller intagne utsätts för brott under verkställigheten. Det kan också ha bety- delse för vilka säkerhetsåtgärder och andra åtgärder som krävs för att möta hotet och hur personalen bör dimensioneras vid ett visst tillfälle. Att det finns risk för att en häktad eller intagen utsätts för våld eller hot bör således enligt regeringens mening också kunna utgöra grund för behandling av personuppgifter i säkerhetsregistret. Det följer av 2 kap. 9 § brottsdatalagen att det genom en särskild upplysning ska tydliggöras att personen i fråga inte själv utgör en säkerhetsrisk.

	13.5.3	Registrering när det finns risk för att en person
		utövar våld eller hot

	Regeringens förslag: I säkerhetsregistret ska uppgifter få behandlas
	om en person som verkställer en påföljd inom kriminalvården, om det
	finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig
	påverkan på personal eller andra personer som uppehåller sig i krimi-
	nalvårdens lokaler.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Datainspektionen, som avstyrker förslaget, saknar
	en analys av vilka effekter en sådan registrering kan få på den personliga
	integriteten. Övriga remissinstanser yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag: I dag har Kriminalvården ingen rätt
	att behandla personuppgifter i säkerhetsregistret om andra än häktade och
	intagna, trots att det kan finnas personer som utgör säkerhetsrisker i Kri-
	minalvårdens övriga verksamhet. Det finns enligt utredningens mening
	behov av att i vissa fall kunna behandla uppgifter om personer oavsett
	vilken påföljd de avtjänar dels för att de ska kunna bemötas på rätt sätt,
	dels för att trygga personalens och andra klienters säkerhet. Även Krimi-
	nalvården har lyft den frågan. Myndigheten har i en skrivelse till reger-
	ingen daterad den 26 juni 2017, kopplad till frågan om säkerheten i fri-
	vården, anfört att frivården kommer i kontakt med personer som är allt-
	mer kriminellt belastade och att det bland frivårdens klienter återfinns de
262	som varit häktade och i anstalt klassats som högriskintagna vad gäller hot

och våld (Ju2013/04149/L5). Datainspektionen anför att även om det kan Prop. 2017/18:269 antas att Kriminalvården har ett behov av att registrera dessa personer,

saknas det en analys av vilka effekter en sådan registrering kan få på den personliga integriteten. Regeringen instämmer i utredningens bedömning när det gäller behovet av en utvidgning avseende vilka personer som får registreras. I syfte att nå en rimlig avvägning mellan Kriminalvårdens intresse av att få behandla de aktuella uppgifterna och skyddet för den enskildes personliga integritet bör dock, som utredningen föreslår, förut- sättningarna för att få behandla uppgifter i säkerhetsregistret på denna grund vara snävare än i övriga fall. Det bör därför krävas att det finns risk för att klienten riktar hot mot eller utövar våld mot eller otillbörlig påverkan på personal, klienter eller andra personer. Regleringen bör täcka angrepp mot både kriminalvårdens personal och andra som befin- ner sig i kriminalvårdens lokaler.

13.5.4Registrering av andra

Regeringens förslag: Om det är absolut nödvändigt för ändamålet med behandlingen ska uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en registrerad få be- handlas i säkerhetsregistret. Om personen inte är häktad eller verk- ställer fängelsestraff ska det framgå genom en särskild upplysning.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det krävs mycket nog-

granna överväganden för att utvidga registreringen till att omfatta även personer som har en personlig anknytning eller annan nära förbindelse till den som finns registrerad och avstyrker förslaget. Övriga remissin- stanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Även den häktades eller intagnes kontakter med omvärlden, t.ex. besök och annan kommunikation, kan vara förknippade med säkerhetsrisker. Utredningen föreslår därför att Kriminalvården bör få behandla uppgifter om vissa andra personer i säkerhetsregistret.

Utredningens förslag innebär att registrering av andra personer än häk- tade och intagna bör kunna avse personer som den registrerade får besök av eller på annat sätt håller kontakt med. Behovet av registrering rör i första hand anhöriga eller andra som har en personlig anknytning till den registrerade. Det är störst risk att intagna försöker påverka närstående att t.ex. medföra otillåtna föremål till häkten eller kriminalvårdsanstalter. Även andra personer som på något sätt har en nära förbindelse med den registrerade kan på motsvarande sätt leda till säkerhetsrisker. Det kan t.ex. vara fråga om personer som har begått brott tillsammans. Det kan även röra sig om personer som tillhör samma kriminella nätverk eller våldsbejakande extremistiska rörelse. Regleringen bör däremot inte om- fatta personer som har professionella kontakter med registrerade, exem- pelvis advokater. Regeringen instämmer i utredningens bedömning avse- ende behovet av att få behandla uppgifter i säkerhetsregistret i de nu aktuella fallen.

263

Prop. 2017/18:269 I syfte att uppnå en lämplig avvägning mellan Kriminalvårdens behov av uppgifterna och skyddet för den enskildes personliga integritet anser regeringen, i likhet med utredningen, att det bör ställas väsentligt högre krav för registrering på denna grund. Ett grundläggande krav för registre- ring bör vara att personuppgiftsbehandlingen är absolut nödvändig för ändamålet med behandlingen. Det innebär att bestämmelsen ska tilläm- pas restriktivt. Det kan exempelvis vara absolut nödvändigt att behandla personuppgifter om någon som försökt arrangera fritagning eller försökt föra in eller har fört in otillåtna föremål på ett häkte eller i en kriminal- vårdsanstalt.

264

Det är viktigt att den som tar del av uppgifter i säkerhetsregistret får vetskap om det är den registrerade som utgör säkerhetsrisken eller om registreringen gjorts av något annat skäl. Enligt 2 kap. 9 § brottsdata- lagen ska olika personkategorier kunna särskiljas. Det kravet gäller även för dem som registreras i säkerhetsregistret. Den regleringen täcker t.ex. den situationen att en intagen utgör ett hot mot en annan intagen. Den täcker emellertid inte behovet av att kunna skilja ut personer som regi- streras på grund av deras anknytning till någon som förekommer i säker- hetsregistret. För att det tydligt ska framgå om personerna inte själva är häktade eller verkställer fängelsestraff, utan är personer med anknytning till en sådan person, bör registreringen förses med en särskild upplysning om det.

13.5.5Sökning i känsliga personuppgifter

Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett ur- val av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Sökförbudet i 2 kap. 14 § brottsdata- lagen utgår till skillnad från dagens reglering från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen.

Enligt 41 § tredje stycket andra meningen förordningen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter användas som sökbegrepp för sökning i säkerhetsregistret. Kriminalvår- den har även i fortsättningen behov av att kunna använda känsliga per- sonuppgifter vid sökning i personuppgifter i säkerhetsregistret. Det bör därför göras undantag i kriminalvårdens brottsdatalag från det generella sökförbudet i brottsdatalagen. För att kunna placera intagna och av hän- syn till de intagnas och personalens säkerhet har Kriminalvården behov av att kunna göra sökning i syfte att få fram urval av personer grundade på de flesta kategorier av känsliga personuppgifter. Det kan dock aldrig finnas behov av att söka på ras, eftersom det inte finns någon vetenskap- lig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s.

151 f.). Kriminalvården har inte heller behov av att kunna göra sökning i Prop. 2017/18:269 syfte att få fram ett urval av personer grundat på medlemskap i fack-

förening eller biometriska eller genetiska uppgifter. Sådana sökningar bör därför inte vara tillåtna. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökning i säkerhetsregistret begränsas i för- hållande till vad som gäller i dag.

13.5.6Direktåtkomst och annat utlämnande

Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten och Åklagarmyndigheten ska få medges direktåtkomst till personuppgifter i säkerhetsregistret.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Direktåtkomst till uppgifter i säkerhetsregistret

Enligt 44 § förordningen om behandling av personuppgifter inom krimi- nalvården får rikspolischefen, säkerhetspolischefen och de personer som respektive chef utser ha direktåtkomst till uppgifter om huruvida en per- son är registrerad i säkerhetsregistret. Polismyndigheten och Säkerhets- polisen får i sin tur lämna ut en sådan uppgift till Åklagarmyndigheten och Ekobrottsmyndigheten, om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksam- het eller för andra brottsbekämpande åtgärder. Det finns ett behov att modernisera bestämmelsen om direktåtkomst till personuppgifter i säker- hetsregistret, bl.a. av det skälet att den detaljreglerar tillgången till upp- gifterna och att den även reglerar mottagarens användning.

Regeringen instämmer i utredningens bedömning att direktåtkomst bör ges till myndigheter i stället för enskilda befattningshavare. Det bör där- för föreskrivas att Polismyndigheten och Säkerhetspolisen får medges direktåtkomst. Även Ekobrottsmyndigheten och Åklagarmyndigheten bör kunna medges direktåtkomst, så att samma krets som i dag även fort- sättningsvis får tillgång till uppgifter i registret. Detaljerna kring direkt- åtkomst kan regleras i förordning.

Skälet till att vissa befattningshavare pekas ut i 44 § får antas vara att endast en mycket begränsad krets ska ges tillgång till uppgifter i regist- ret. I 3 kap. 6 § brottsdatalagen föreskrivs att den personuppgiftsansva- rige ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Det gäller även uppgifter som en myndighet får tillgång till genom direktåtkomst. Som framgår av avsnitt 5.3.10 behövs därför inte längre bestämmelser som begränsar tillgången till uppgifter.

Tillgången till personuppgifter i registret för Kriminalvårdens personal bör inte längre regleras genom en bestämmelse om direktåtkomst. Regle- ringen i 3 kap. 6 § brottsdatalagen är tillräcklig. Kriminalvården kan, för- utom att begränsa behörigheten tekniskt, utfärda interna föreskrifter om

265

Prop. 2017/18:269 tillgången om det anses nödvändigt. Någon ytterligare reglering av till- gången till personuppgifter i registret behövs därför inte.

Det bör inte heller regleras hur mottagaren får behandla sådana person- uppgifter. Det styrs av brottsdatalagen och den mottagande myndighetens registerförfattning.

Behovet av en sekretessbrytande bestämmelse

Direktåtkomsten till uppgifter i säkerhetsregistret är i dag författnings- reglerad. Frågan om det behövs sekretessbrytande bestämmelser för att kunna medge direktåtkomst övervägs normalt innan det införs möjlighet till direktåtkomst. Den frågan berördes emellertid inte i förarbetena till kriminalvårdens registerlagstiftning och förefaller hittills inte ha utgjort något problem. Att vissa bestämmelser om registret nu föreslås flyttas till lag gör dock att frågan om det krävs sekretessbrytande bestämmelser aktualiseras. Utredningen har inte haft utrymme att behandla den frågan. Det kan finnas anledning att återkomma till den frågan vid en översyn av kriminalvårdens registerlagstiftning.

	13.5.7	Längsta tid som personuppgifter får behandlas

	Regeringens förslag: Personuppgifter i säkerhetsregistret ska inte få
	behandlas längre än fem år efter det att
	1. den registrerade blivit villkorligt frigiven från fängelsestraff eller
	annars helt har verkställt straffet eller, utan att ha dömts till sådan på-
	följd, har frigetts från häkte,
	2. den registrerade helt har verkställt en påföljd inom kriminal-
	vården, eller
	3. den person som en registrerad har personlig anknytning till eller
	annan nära förbindelse med, har blivit villkorligt frigiven från
	fängelsestraff eller annars helt har verkställt straffet eller, utan att ha
	dömts till sådan påföljd, har frigetts från häkte.
	Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen ska inte
	gälla vid denna tillämpningen.

	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Utredningen föreslår ingen längsta tid som personuppgifter får behandlas
	i de fall uppgifter behandlas avseende en person som verkställer en på-
	följd inom kriminalvården och det finns risk för våld eller hot eller i fall
	där personuppgifter behandlas avseende en person som har en personlig
	anknytning till eller annan nära förbindelse med en registrerad.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag: Enligt 45 § förordningen om behand-
	ling av personuppgifter inom kriminalvården ska uppgifter i säkerhets-
	registret gallras senast fem år efter det att den registrerade har frigetts
	från häkte eller blivit frigiven. Om villkorlig frigivning inte har ägt rum
	ska uppgifterna gallras senast fem år efter att den registrerade helt verk-
	ställt fängelsestraffet. En bestämmelse med motsvarande innehåll bör tas
	in i lagen.
	Bestämmelsen syftar till att skydda enskildas integritet och är därför
266	inte en gallringsbestämmelse i arkivrättslig mening. Den bör av de skäl

som anges i avsnitt 5.5 i stället ange hur länge personuppgifter i registret Prop. 2017/18:269 får behandlas. Utöver utredningens förslag bör det även anges vilken

längsta tid som personuppgifter får behandlas i de fall när behandlingen görs med stöd av att det finns risk för att en person utövar våld eller hot eller registrering avseende andra.

13.5.8Rätt att meddela föreskrifter

Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om innehållet i säkerhetsregistret och utlämnande av personuppgifter ur registret.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för utredningens förslag: Enligt 41 § förordningen om be- handling av personuppgifter inom kriminalvården ska säkerhetsregistret innehålla uppgift om bl.a. skälen för registreringen och ytterligare upp- lysningar om omständigheterna kring registreringen. I 43 och 44 §§ finns bestämmelser om utlämnande av personuppgifter ur registret.

Vissa bestämmelser om innehållet i säkerhetsregistret och utlämnande av uppgifter ur registret bör även fortsättningsvis finnas i förordning. Det bör därför framgå av lagen att regeringen eller den myndighet som reger- ingen bestämmer kan meddela föreskrifter i sådana frågor.

13.6Bestämmelser som inte längre behöver regleras i kriminalvårdens sektoranpassade registerlagstiftning

Regeringens bedömning: Vissa bestämmelser som funnits i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område behövs inte i kriminalvårdens brottsdatalag. Detta avser bestämmelser om

1. att känsliga personuppgifter inte får användas som sökbegrepp om inte regeringen har föreskrivit det,

2. tillgång till personuppgifter vid direktåtkomst,

3. omprövning av beslut, och

4. överklagande.

Det ska införas en bestämmelse som upplyser om att bestämmelser om överklagande finns i brottsdatalagen.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag
Sökning på känsliga personuppgifter
I 2 kap. 14 § brottsdatalagen finns ett generellt förbud mot att utföra sök-
ningar i syfte att få fram ett urval av personer grundat på känsliga person-
uppgifter. Mot bakgrund av att brottsdatalagen innehåller ett generellt	267

Prop. 2017/18:269

268

sökförbud behövs det inte en bestämmelse som motsvarar den i 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården om förbud mot att använda känsliga personuppgifter som sökbegrepp i kriminalvårdens brottsdatalag. I avsnitt 13.5.5 föreslås en särskild regel om sökning i säkerhetsregistret.

Tillgången till personuppgifter

Enligt 3 kap. 6 § brottsdatalagen ska den personuppgiftsansvarige se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Eftersom det finns en bestämmelse i brottsdatalagen som begränsar tillgången till personupp- gifter behövs inga sådana bestämmelser i de sektorspecifika registerförfattningarna. Enligt 6 § första stycket lagen om behandling av personuppgifter inom kriminalvården ska direktåtkomst till de person- uppgifter som behandlas enligt lagen vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna. Bestämmelsen fyller samma funktion som 3 kap. 6 § brottsdatalagen och en motsvarighet till den bestämmelsen behövs därför inte i kriminalvårdens brottsdatalag.

Av 6 § andra stycket lagen om behandling av personuppgifter inom kriminalvården följer att 10 § gäller i fråga om direktåtkomst till upp- gifter som får lämnas ut till en annan myndighet. Där föreskrivs att direktåtkomst till personuppgifter ska förbehållas de personer som på grund av sina arbetsuppgifter behöver tillgång till dem. Med hänsyn till regleringen i 3 kap. 6 § brottsdatalagen finns det inte behov av en be- stämmelse om tillgången till personuppgifter hos andra behöriga myn- digheter i kriminalvårdens brottsdatalag.

Omprövning

Enligt 13 § lagen om behandling av personuppgifter inom kriminal- vården får Kriminalvårdens beslut om rättelse och om information enligt 26 § personuppgiftslagen inte överklagas innan beslutet har omprövats av Kriminalvården. Omprövning får begäras av den som beslutet angår om det har gått honom eller henne emot. Överklagande av ett beslut som inte har omprövats ska enligt 13 § ses som en begäran om omprövning. Vid omprövningen får beslutet inte ändras till den enskildes nackdel. I 14 och 15 §§ anges formkraven för begäran om omprövning och rättidspröv- ning. Omprövningsförfarandet tillkom i samband med att Kriminalvår- den blev en myndighet. Syftet var bl.a. att begränsa antalet överklag- anden och undvika att måltillströmningen till de allmänna förvaltnings- domstolarna ökade (se prop. 2004/05:176 s. 61 f.). Varken direktivet eller brottsdatalagen ställer krav på att ett beslut ska omprövas innan det får överklagas. I övriga registerförfattningar föreskrivs inte heller något omprövningsförfarande. Det saknas därför anledning att fördröja över- klagandena genom krav på omprövning. Omprövningsförfarandet bör därför tas bort.

Överklagande

I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 §

första stycket eller begränsning av behandlingen enligt 4 kap. 9 § andra Prop. 2017/18:269 stycket eller 10 § andra stycket, som har meddelats av en myndighet i

egenskap av personuppgiftsansvarig, får överklagas till allmän förvalt- ningsdomstol. Detsamma gäller beslut att inte lämna information enligt

4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge omprövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket. Av överklagandebestämmelsen framgår även att det krävs prövningstillstånd vid överklagande till kammarrätten och att beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen och riks- dagens ombudsmän inte får överklagas.

Eftersom det finns generella bestämmelser om överklagande i brotts- datalagen behövs inte sådana bestämmelser i kriminalvårdens brottsdatalag. Det bör i stället införas en bestämmelse som upplyser om att bestämmelser om överklagande finns i brottsdatalagen.

Den särskilda forumbestämmelsen

Enligt 14 § lagen (1971:289) om allmänna förvaltningsdomstolar ska beslut överklagas till en förvaltningsrätt, om det i lag eller annan författ- ning föreskrivs att talan ska väckas vid eller beslut överklagas till allmän förvaltningsdomstol. Som huvudregel ska ett beslut överklagas till den förvaltningsrätt inom vars domkrets ärendet först prövats.

I 16 § lagen om behandling av personuppgifter inom kriminalvården finns en särskild forumbestämmelse. Kriminalvårdens beslut om rättelse och om information enligt 26 § personuppgiftslagen ska överklagas till den förvaltningsrätt inom vars domkrets den kriminalvårdsanstalt, det häkte eller det frivårdskontor är beläget där den enskilde var inskriven när det första beslutet i ärendet fattades. Beslut som gäller en person som inte är inskriven vid en kriminalvårdsanstalt, ett häkte eller ett frivårds- kontor i landet ska överklagas till den förvaltningsrätt som regeringen bestämmer. Enligt 7 d § 2 förordningen (1977:937) om allmänna förvalt- ningsdomstolars behörighet m.m. ska beslut av Kriminalvården som överklagas till en förvaltningsrätt tas upp av Förvaltningsrätten i Lin- köping om beslutet gäller en person som inte är inskriven vid en krim- inalvårdsanstalt, ett häkte eller ett frivårdskontor i landet och beslutet avser bl.a. ärenden enligt lagen om behandling av personuppgifter inom kriminalvården.

Den särskilda forumbestämmelsen tillkom i samband med att Krimi- nalvården blev en myndighet. Syftet var att så långt möjligt sprida målen över landets samtliga förvaltningsdomstolar (se prop. 2004/05:176 s. 67).

Regeringen bedömer att det i dag inte finns något behov av en särskild forumbestämmelse för överklagande av beslut som rör personuppgifts- behandling. Någon motsvarande bestämmelse finns varken i brottsdata- lagen eller i övriga registerförfattningar. Någon sådan forumbestämmelse bör därför inte föras in i kriminalvårdens brottsdatalag. Det innebär att de allmänna bestämmelserna om forum ska tillämpas vid överklagande av beslut som meddelas inom kriminalvården.

269

Prop. 2017/18:269 14	Register över tillträdesförbud vid
	idrottsarrangemang

14.1Nuvarande reglering

14.1.1Tillträdesförbudsregistret

Förutsättningarna för beslut om tillträdesförbud

Enligt 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang får en person förbjudas att få tillträde till och vistas på en inhägnad plats som huvudsakligen är avsedd för idrottsutövning när idrottsarrangemang anordnas på platsen av en idrottsorganisation, s.k. tillträdesförbud. Det gäller även om allmänheten har tillträde till platsen.

För att en person ska kunna meddelas tillträdesförbud ska det på grund av särskilda omständigheter finnas risk att han eller hon kommer att begå brott under idrottsarrangemang som anordnas av en idrottsorganisation på en inhägnad plats huvudsakligen avsedd för idrottsutövning och att brottet är ägnat att störa ordningen eller säkerheten där.

Frågor om tillträdesförbud prövas av åklagare, som kan utfärda tillträ- desförbud för viss tid, högst tre år med möjlighet till förlängning. Åkla- garens beslut kan prövas av allmän domstol. Den som bryter mot ett tillträdesförbud döms för överträdelse av tillträdesförbud till böter eller fängelse i högst sex månader.

Tillträdesförbudsregistrets syfte och innehåll

I samband med att reglerna om tillträdesförbud skärptes år 2015 infördes särskilda regler om registrering av sådana förbud. Lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang syftar enligt 1 § till att ge dels Polismyndigheten, dels idrottsorganisationer möjlighet att be- handla personuppgifter för att på ett ändamålsenligt sätt kunna upprätt- hålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Lagen gäller enligt 4 § utöver personuppgiftslagen. Det innebär att om det inte finns avvikande bestämmelser i lagen eller föreskrifter som har medde- lats med stöd av den ska personuppgiftslagen tillämpas.

Polismyndigheten för enligt 2 § ett särskilt register, tillträdesförbuds- registret. Det får enligt 8 § endast innehålla de uppgifter om en person som har meddelats tillträdesförbud som behövs för de ändamål för vilka Polismyndigheten får föra registret och som avser namn, personnummer eller samordningsnummer, folkbokföringsadress och annan stadigva- rande adress, alias, fotografi, anknytning till idrott och idrottsorganisa- tion, omfattningen och giltighetstiden av beslut om tillträdesförbud, och överträdelse av gällande tillträdesförbud.

En uppgift i tillträdesförbudsregistret ska enligt 12 § gallras om uppgif- ten inte längre behövs för något av de ändamål för vilka Polismyndighe- ten får behandla personuppgifter enligt lagen. Uppgifterna ska dock gall- ras senast när tillträdesförbudets giltighetstid löper ut eller om tillträdes- förbudet dessförinnan upphävs.

270

14.1.2

Polismyndighetens roll

Prop. 2017/18:269

Enligt 3 § gäller lagen vid Polismyndighetens behandling av person- uppgifter i tillträdesförbudsregistret. Lagen gäller vid behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Polismyndigheten är enligt 5 § personuppgiftsansvarig för den person- uppgiftsbehandling som myndigheten utför enligt lagen.

Polisdatalagen är tillämplig på behandling av personuppgifter som rör tillträdesförbud och som inte utförs i tillträdesförbudsregistret. Polisdata- lagen tillämpas således dels i sådana utredningar som ska föregå beslut om tillträdesförbud, dels vid utredning av överträdelser av tillträdesför- bud.

Polismyndigheten får enligt 6 § behandla personuppgifter i till- trädesförbudsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Personuppgifter som behand- las enligt 6 § får också behandlas av Polismyndigheten för att dels till- handahålla idrottsorganisationer den information som behövs för att de ska kunna upprätthålla gällande tillträdesförbud, dels fullgöra myndig- hetens uppgiftslämnande enligt lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen.

Personuppgifter får enligt 10 § lagen om register över tillträdesförbud vid idrottsarrangemang lämnas ut på medium för automatiserad behand- ling.

Enligt 11 § ska tillgången till personuppgifter begränsas till vad den som arbetar vid Polismyndigheten behöver för att kunna fullgöra sina arbetsuppgifter.

Polismyndighetens behandling av personuppgifter enligt lagen är åt- minstone delvis brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254 s. 43).

14.1.3Idrottsorganisationernas roll

En idrottsorganisation får enligt 7 § lagen om register över tillträdesför- bud vid idrottsarrangemang behandla personuppgifter från tillträdesför- budsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud vid ett idrottsarrangemang som organi- sationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det enligt 35 kap. 4 a § offentlighets- och sekretesslagen gäller sekretess för uppgifterna.

Tillgången till personuppgifter ska enligt 11 § begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget.

En uppgift som en idrottsorganisation har fått tillgång till från tillträ- desförbudsregistret ska enligt 13 § tas bort om uppgiften inte längre be- hövs för de ändamål för vilka idrottsorganisationen får behandla uppgif- ter. Uppgifterna ska dock tas bort senast när tillträdesförbudets giltighets- tid löper ut eller om tillträdesförbudet dessförinnan upphävs.

271

Prop. 2017/18:269 Den som arbetar eller utför uppdrag åt en idrottsorganisation och som tar befattning med en uppgift som har inhämtats med stöd av lagen får enligt 14 § inte obehörigen röja vad han eller hon fått veta om någon enskilds personliga förhållanden. Tystnadsplikten har ett vidare tillämp- ningsområde och träffar inte bara den som behandlar personuppgifter (se prop. 2013/14:254 s. 25).

	14.2	Två olika regleringar

	Regeringens förslag: Polismyndighetens behandling av personupp-
	gifter i tillträdesförbudsregistret ska regleras i polisens brottsdatalag.
	Lagen om register över tillträdesförbud vid idrottsarrangemang ska i
	fortsättningen endast reglera idrottsorganisationernas behandling av
	personuppgifter och benämnas lagen om idrottsorganisationers
	behandling av uppgifter om tillträdesförbud. Bestämmelserna i lagen
	som rör Polismyndighetens personuppgiftsbehandling ska upphävas.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbun-
	det tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt
	över förslaget.
	Skälen för regeringens förslag
	Ändrade förutsättningar
	EU:s dataskyddsreform medför skillnader mellan behandling av person-
	uppgifter som regleras i brottsdatalagen och dataskyddsförordningen. Det
	får framför allt betydelse för anpassningen av sådana författningar som
	reglerar personuppgiftsbehandling både inom och utanför brottsdata-
	lagens tillämpningsområde. Hit hör lagen om register över tillträdesför-
	bud vid idrottsarrangemang, eftersom den både reglerar Polismyndighe-
	tens och idrottsorganisationernas behandling av personuppgifter. Idrotts-
	organisationernas behandling av personuppgifter enligt lagen ligger utan-
	för brottsdatalagens tillämpningsområde, eftersom någon myndighets-
	utövning inte har överlåtits till dem.
	Det sagda innebär att idrottsorganisationer som utgångspunkt ska
	tillämpa dataskyddsförordningen med kompletterande lagstiftning vid
	behandling av personuppgifter som härrör från tillträdesförbudsregistret.
	Som framgår av Dataskyddsutredningens betänkande finns det inget som
	hindrar att Sverige i viss utsträckning behåller särreglering även inom
	dataskyddsförordningens tillämpningsområde (se SOU 2017:39 s. 78 f.).
	Det finns starka skäl för att behålla den särskilda regleringen av hur
	idrottsorganisationer får behandla personuppgifter som härrör från tillträ-
	desförbudsregistret. Det rör sig om uppgifter som kan vara integritets-
	känsliga. Är det fråga om uppgifter om överträdelse av tillträdesförbud
	avser uppgifterna lagöverträdelser. För att idrottsorganisationerna ska
	kunna behandla uppgifter om lagöverträdelser i samma utsträckning som
	i dag krävs det särreglering.
	Behöriga myndigheters behandling av personuppgifter som rör tillträ-
272	desförbud	ligger inom brottsdatalagens tillämpningsområde, eftersom

den inte bara omfattar brottsbekämpning utan även upprätthållande av allmän ordning och säkerhet. Bestämmelserna om Polismyndighetens personuppgiftsbehandling i tillträdesförbudsregistret behöver därmed anpassas till brottsdatalagen.

Bör dagens reglering behållas?

Polismyndighetens och idrottsorganisationernas behandling av person- uppgifter regleras idag i samma författning. Om samma lagtekniska lös- ning skulle gälla även fortsättningsvis måste Polismyndighetens person- uppgiftsbehandling regleras så att bestämmelserna gäller utöver brotts- datalagen, medan idrottsorganisationernas personuppgiftsbehandling ska förhålla sig till dataskyddsförordningen och den svenska lagstiftning som kompletterar den. Det skulle i och för sig vara möjligt att skapa en sådan reglering, t.ex. genom att dela in lagen i kapitel och låta dem förhålla sig till respektive lagstiftning. Det är emellertid svårt att finna några överty- gande skäl för att behålla en gemensam reglering. Varken handlägg- ningsskäl eller effektivitetsskäl talar för det. Lagtekniska skäl talar också mot det, om det går att finna en annan rimlig lösning.

För idrottsorganisationerna regleras framför allt hur uppgifter som här- rör från tillträdesförbudsregistret får behandlas. Motsvarande regelverk finns normalt inte i de författningar som reglerar myndighetsregister. Även det talar mot att behålla den nuvarande författningsstrukturen.

Den nuvarande regleringen bör sammanfattningsvis delas upp på två olika regelverk – ett för Polismyndighetens personuppgiftsbehandling och ett för idrottsorganisationernas personuppgiftsbehandling.

Polismyndighetens personuppgiftsbehandling bör regleras i polisens brottsdatalag

I dag undantas i 1 kap. 3 § polisdatalagen behandling av personuppgifter i bl.a. tillträdesförbudsregistret från lagens tillämpningsområde. Skälen för det är framför allt att lagen om register över tillträdesförbud vid idrottsarrangemang bara till viss del ansågs kunna hänföras till brottsbe- kämpning. För att inte fler än en författning skulle vara tillämplig på samma behandling av personuppgifter undantogs behandlingen i registret från polisdatalagens tillämpningsområde (se prop. 2013/14:254 s. 43).

Även om lagstiftningen om tillträdesförbudsregistret är relativt ny finns det skäl att på nytt överväga frågan om bestämmelserna om Polis- myndighetens behandling av personuppgifter i tillträdesförbudsregistret kan föras in i polisens registerförfattning. Det är möjligt att arbeta in bestämmelserna i den nya lagen när den genom dataskyddsreformen får ett bredare tillämpningsområde och även omfattar upprätthållande av allmän ordning och säkerhet. Det tidigare hindret mot att reglera all Polismyndighetens personuppgiftsbehandling i samma författning har därmed undanröjts. En förutsättning för att föra över regleringen till polisens brottsdatalag bör dock vara att tillträdesförbudsregistret alltjämt regleras som ett särskilt register.

Om bestämmelserna om Polismyndighetens behandling av personupp- gifter i tillträdesförbudsregistret upphävs och motsvarande bestämmelser införs i polisens brottsdatalag kan lagen om register över tillträdesförbud vid idrottsarrangemang renodlas till att enbart omfatta idrottsorganisa-

Prop. 2017/18:269

273

Prop. 2017/18:269 tionernas personuppgiftsbehandling, vilket leder till en tydligare reglering

274

Idrottsorganisationernas personuppgiftsbehandling

Den som anordnar en offentlig tillställning, exempelvis sporttävlingar, ansvarar enligt 2 kap. 16 § ordningslagen (1993:1617) för att det gäller god ordning vid tillställningen. Polismyndigheten får meddela de villkor som behövs för att upprätthålla ordning och säkerhet vid tillställningen. Ansvaret för att idrottsarrangemang kan anordnas på ett tryggt sätt med hög säkerhet för såväl aktiva som publik vilar alltså i första hand på de arrangerande idrottsorganisationerna (se prop. 2013/14:254 s. 19). Det är också de som ska se till att gällande tillträdesförbud respekteras. Det är av det skälet som idrottsorganisationerna ges tillgång till uppgifter om tillträdesförbud. Att arrangörerna har kännedom om vilka personer som har tillträdesförbud och kan identifiera dem vid inpasseringskontrollen ger möjlighet att hindra att personer med tillträdesförbud släpps in när ett idrottsarrangemang äger rum.

Enligt artikel 6.1 c dataskyddsförordningen är personuppgiftsbehandl- ing tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 6.1 e är det vidare tillåtet att behandla personuppgifter om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Enligt artikel 6.3 ska den rättsliga grunden för sådan behandling som avses i artikel 6.1 c och 6.1 e fastställas i enlighet med unionsrätten eller nationell rätt.

Idrottsorganisationernas uppgift att förebygga och förhindra ordnings- störningar vid idrottsarrangemang genom att se till att utfärdade tillträ- desförbud får effekt innebär att idrottsorganisationerna utför en uppgift av allmänt intresse. Som redovisas närmare i förarbetena till lagen om register över tillträdesförbud vid idrottsarrangemang är det då nödvändigt att de kan behandla vissa personuppgifter rörande dem som har medde- lats tillträdesförbud. Reglerna om idrottsorganisationernas rätt att be- handla vissa personuppgifter i lagen bör därför behållas. Viss anpassning av bestämmelserna kan dock krävas.

Idrottsorganisationernas personuppgiftsbehandling bör även fortsätt- ningsvis regleras i lagen om register över tillträdesförbud vid idrotts- arrangemang. Om lagen renodlas på det sättet att bestämmelserna om Polismyndighetens behandling av personuppgifter om tillträdesförbud i sin helhet regleras i polisens brottsdatalag bör dock namnet på lagen ändras. Den bör benämnas lagen om idrottsorganisationers behandling av uppgifter om tillträdesförbud.

Lagrådet har, i likhet med vad som anförts beträffande myndigheternas sektorspecifika registerförfattningar, förordat att lagen ska upphävas och ersättas av en ny lag (jfr avsnitt 4.4). Den förevarande lagen gäller dock inte inom brottsdatalagens område och till skillnad från vad som gäller för de sektorspecifika registerförfattningarna uppkommer inte någon oklarhet i förhållande till brottsdatalagen genom att lagen behåller sitt gamla SFS-nummer. Lagen genomgår inte heller lika stora förändringar som de sektorspecifika registerförfattningarna. Bestämmelser flyttas visserligen till polisens brottsdatalag men det tillkommer endast en ny paragraf angående lagens förhållande till annan reglering. Vidare görs en

paragraf om gallring om till en paragraf om längsta tid för behandling. I	Prop. 2017/18:269
övrigt görs inte några ändringar i sak när det gäller idrottsorganisation-
ernas personuppgiftsbehandling (se avsnitt 14.4). Regeringen anser
därför i likhet med utredningen att anpassningen till brottsdatalagen kan
ske genom en ändringslag och att lagen, till skillnad från de sektorspeci-
fika registerförfattningarna, inte bör upphävas och ersättas av en ny lag.

14.3 Regleringen för Polismyndigheten

Regeringens förslag: De nuvarande bestämmelserna om rätten att föra tillträdesförbudsregistret, om för vilka ändamål personuppgifter får behandlas i registret, om dess innehåll, hur länge uppgifterna får behandlas, under vilka förutsättningar de får lämnas ut och om den sekretessbrytande bestämmelsen, ska flyttas till polisens brottsdatalag.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbun-

det tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Syftet med Polismyndighetens be- handling av personuppgifter i tillträdesförbudsregistret är sådant att det ligger inom brottsdatalagens tillämpningsområde. De nuvarande be- stämmelserna om Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret bör oförändrade i sak föras över till polisens brottsdatalag. De bör placeras i det kapitel där vissa andra register som myndigheten för särregleras. Härigenom kommer fortsättningsvis all behandling av personuppgifter som Polismyndigheten utför när det gäller tillträdesförbud att regleras i den lagen.

Många bestämmelser som i dag reglerar Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret blir emellertid överflödiga om regleringen flyttas till polisens brottsdatalag, eftersom motsvarande bestämmelser redan finns antingen i den lagen eller brottsdatalagen. Det gäller bl.a. bestämmelserna om att behandlingen enligt huvudregeln ska vara automatiserad, om personuppgiftsansvar och om tillgången till personuppgifter. De kan därför upphävas utan att ersättas. Det behövs inte heller någon särskild bestämmelse om rättelse eller skadestånd.

De bestämmelser som bör flyttas, och i förekommande fall anpassas, är bestämmelserna om rätten att föra tillträdesförbudsregistret (2 §), för vilka ändamål personuppgifter får behandlas i registret (6 §), dess inne- håll (8 §) och hur länge uppgifterna får behandlas (12 §). Någon föränd- ring i sak bör inte göras, men bestämmelserna behöver anpassas till polisens brottsdatalag. Det innebär bl.a. att gallringsbestämmelsen, av de skäl som anges i avsnitt 5.5.2, bör göras om till en bestämmelse om längsta tid för behandling.

Även den sekretessbrytande bestämmelsen, som ger idrottsorganisa- tioner rätt att ta del av uppgifter ur registret trots den sekretess som gäller för sådana uppgifter (9 §), bör flyttas. Bestämmelsen, som bör placeras i 2 kap. tillsammans med övriga sekretessbrytande regler, bör inte ändras i sak.

275

Prop. 2017/18:269 Förslagen kräver vissa följdändringar i förordningen (2015:54) om

14.4Regleringen för idrottsorganisationerna

Regeringens förslag: En bestämmelse som anger hur lagen om idrottsorganisationers behandling av uppgifter om tillträdesförbud för- håller sig till dataskyddsförordningen och kompletterande nationell lagstiftning ska införas.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbun-

det har tillstyrkt förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Lagen om register över tillträdesför- bud vid idrottsarrangemang gäller i dag utöver personuppgiftslagen. Den hänvisningen bör upphävas eftersom personuppgiftslagen har upphört att gälla. Det bör i stället införas en bestämmelse som upplyser om att lagen kompletterar dataskyddsförordningen och att, om det inte finns särregler i lagen, dataskyddslagen ska gälla vid idrottsorganisationers behandling av uppgifter som rör tillträdesförbud. Hänvisningen till dataskydds- förordningen bör vara dynamisk till sin karaktär, vilket. innebär att den avser förordningen i den vid varje tidpunkt gällande lydelsen.

Vidare bör gallringsbestämmelsen göras om till en bestämmelse om längsta tid för behandling. I övrigt kan bestämmelserna om idrottsorgani- sationers behandling av personuppgifter behållas oförändrade. På grund av att bestämmelserna om Polismyndighetens behandling av personupp- gifter bryts ut krävs det omfattande redaktionella ändringar i lagen.

14.5Följdändringar

Regeringens förslag: Hänvisningar till lagen om register över tillträ- desförbud vid idrottsarrangemang ska ändras till hänvisningar till lagen om polisens behandling av personuppgifter inom brottsdata- lagens område.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbun-

det har tillstyrkt förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

	Skälen för regeringens förslag
	Sekretessen för uppgifter i tillträdesförbudsregistret
	Sekretessen för uppgifter i tillträdesförbudsregistret	regleras i 35 kap.
	4 a § offentlighets- och sekretesslagen. Den gäller	i verksamhet som
	avser förande av register enligt lagen om register över tillträdesförbud
	vid idrottsarrangemang för uppgift om enskildas personliga förhållanden,
276	om det inte står klart att uppgiften kan röjas utan men för den enskilde

eller någon närstående. För uppgift i en allmän handling gäller sekretes- Prop. 2017/18:269 sen i högst sjuttio år.

När bestämmelserna om tillträdesförbudsregistret flyttas till polisens brottsdatalag, och regleras i 5 kap. (nuvarande 4 kap. polisdatalagen) till- sammans med vissa andra register, kan det diskuteras om den särskilda sekretessbestämmelsen behövs. Enligt 35 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för bl.a. uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i register som Polismyndigheten för enligt 4 kap. polisdatalagen. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Den särskilda sekretessbestämmelsen för tillträdesförbudsregistret är dock inte identisk med den som gäller för övriga register som nu regleras i 4 kap. polisdatalagen. Skaderekvisitet i 35 kap. 1 § är vidare och omfat- tar både skada och men. Föremålet för sekretessen skiljer sig också på det sättet att sekretessen i 35 kap. 4 a § enbart skyddar enskilds person- liga förhållanden, medan sekretessen i 35 kap. 1 § skyddar enskilds per- sonliga och ekonomiska förhållanden. Mot denna bakgrund bör den sär- skilda sekretessbestämmelsen för tillträdesförbudsregistret behållas men en hänvisning behöver ändras när regleringen flyttas.

Lagen och förordningen om tillträdesförbud vid idrottsarrangemang

I 8 a § lagen om tillträdesförbud vid idrottsarrangemang föreskrivs att en polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt lagen, för att fotografiet ska kunna tillföras tillträdesförbudsregistret. Eftersom regleringen av tillträdesförbudsregistret flyttas bör hänvisningen till lagen om register över tillträdesförbud vid idrottsarrangemang ändras. Det krävs även ändringar i förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang.

15Övriga författningsändringar

15.1Följdändringar i offentlighets- och sekretesslagen

Regeringens förslag: Hänvisningar i offentlighets- och sekretesslagen till de lagar som ersätts av de nya registerförfattningarna ska ändras.

Hänvisningen till lagen om polisens allmänna spaningsregister ska upphävas.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Tidningsutgivarna tillstyrker förslaget. Övriga

remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Ett stort antal paragrafer i offentlig-

hets- och sekretesslagen innehåller hänvisningar till en eller flera av de

277

Prop. 2017/18:269 registerförfattningar som ska ersättas av de nya registerförfattningarna. Det gäller 18 kap. 2 och 18 §§, 35 kap. 1 och 10 §§ och 37 kap. 7 §, i vilka polisens, Skatteverkets, Tullverkets, Kustbevakningens och åklagarväsendets registerförfattningar nämns vid namn. Hänvisningarna i dessa paragrafer behöver därför ändras till att i stället avse motsvarande bestämmelser i de nya registerförfattningarna. Vidare bör hänvisningarna i 35 kap. 4 a § och 10 b § ändras med anledning av de ändringar som genomförs beträffande regleringen av tillträdesförbudsregistret.

Eftersom lagen om polisens allmänna spaningsregister upphörde att gälla den 1 mars 2017, utan att ersättas av någon annan lag, fyller hän- visningen till den lagen inte längre någon funktion. Hänvisningen bör därför upphävas.

När det gäller personuppgiftsbehandlingen vid Säkerhetspolisen ska regleringen i 6 kap. polisdatalagen fortsätta att gälla för myndigheten under en övergångsperiod i avvaktan på att en ny reglering för Säkerhetspolisens personuppgiftsbehandling träder i kraft, se avsnitt 16. Hänvisningarna i 18 kap. 2 och 18 §§ och 35 kap. 1 och 10 §§ offentlighets- och sekretesslagen till den reglering i polisdatalagen som idag gäller för Säkerhetspolisen ska därför stå kvar.

	15.2	Lagen om internationellt polisiärt samarbete

	Regeringens förslag: Lagen om internationellt polisiärt samarbete ska
	gälla utöver brottsdatalagen. Förhållandet mellan personuppgiftsregle-
	ringen i den lagen och personuppgiftsregleringen i andra lagar inom
	brottsdatalagens tillämpningsområde ska tydliggöras genom en be-
	stämmelse i förstnämnda lag, där också vissa bestämmelser ska anpas-
	sas till brottsdatalagens reglering.
	Bestämmelser i lagen om internationellt polisiärt samarbete som
	hänvisar till personuppgiftslagen i fråga om skadestånd ska i stället
	hänvisa till brottsdatalagen.

	Utredningens förslag överensstämmer i sak med regeringens.
	Remissinstanserna yttrar sig inte särskilt över förslaget.
	Skälen för regeringens förslag
	Anpassningar till brottsdatalagen och registerförfattningarna
	I lagen om internationellt polisiärt samarbete finns det bestämmelser om
	informationsutbyte i 6–10 kap. Dessa behöver anpassas till den nya
	personuppgiftsregleringen i flera olika avseenden.
	Av 6 kap. 1 § framgår att lagen om internationellt polisiärt samarbete
	gäller utöver polisdatalagen, kustbevakningsdatalagen och tullbrottsdata-
	lagen. Det innebär att även de generella bestämmelserna i personupp-
	giftslagen som registerförfattningarna hänvisar till ska tillämpas vid
	behandling av personuppgifter vid internationellt polisiärt samarbete (se
	prop. 2010/11:129 s. 47 f). För att samma reglering som i dag ska gälla
	bör det föreskrivas att lagen om internationellt polisiärt samarbete ska
	gälla utöver brottsdatalagen. Det innebär att lagen bör tillämpas i den
278	utsträckning den innehåller bestämmelser om personuppgiftsbehandling

som avviker från bestämmelserna i brottsdatalagen och de särskilt upp- Prop. 2017/18:269 räknade registerförfattningarna. Dessutom måste hänvisningarna till

polisdatalagen, kustbevakningsdatalagen och tullbrottsdatalagen ändras till att i stället avse de nya registerförfattningarna som ersätter dessa.

Hänvisningar till personuppgiftslagen

I 7 kap. 7 §, 8 kap. 3 §, 9 kap. 5 § och 10 kap. 3 § lagen om internatio- nellt polisiärt samarbete finns hänvisningar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Hänvisningarna till bestäm- melser om skadestånd bör ändras till att gälla 7 kap. 1 § brottsdatalagen. Eftersom brottsdatalagen innehåller generella bestämmelser om rättelse och lagen om internationellt polisiärt samarbete föreslås gälla utöver brottsdatalagen behövs inga hänvisningar till brottsdatalagens bestäm- melser i den delen.

I 9 kap. 4 § och 10 kap. 1 § lagen om internationellt polisiärt samarbete finns det hänvisningar till regleringen i 33 och 34 §§ personuppgiftslagen om överföring av personuppgifter till tredjeland. Hänvisningen i 9 kap. 4 § bör ersättas med en hänvisning till bestämmelsen om grundläggande förutsättningar för överföring av personuppgifter i 8 kap. 1 § brottsdata- lagen. När det gäller hänvisningen i 10 kap. 1 § är den av en annan karaktär. Den hör samman med att 33 § personuppgiftslagen förbjuder överföring till tredjeland. Eftersom brottsdatalagen har en annan lagtek- nisk utformning behövs inte någon motsvarande bestämmelse. Den bör därför inte ersättas.

Viss anpassning bör också göras i förordningen (2017:504) om inter- nationellt polisiärt samarbete.

15.3Lagen om Polismyndighetens elimineringsdatabas

Regeringens förslag: Lagen om Polismyndighetens elimineringsdata- bas ska gälla utöver brottsdatalagen. Bestämmelser som blir överflö- diga till följd av det ska upphävas.

Bestämmelserna om gallring ska ändras till bestämmelser om längsta tid som personuppgifter får behandlas. Hänvisningen till per- sonuppgiftslagens bestämmelse om skadestånd ska ändras till en hän- visning till brottsdatalagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 2 § lagen (2014:400) om Polis- myndighetens elimineringsdatabas gäller lagen utöver personuppgifts- lagen. Bestämmelsen bör ändras till att gälla brottsdatalagen.

Förslaget att lagen om Polismyndighetens elimineringsdatabas ska gälla utöver brottsdatalagen innebär att 6 § om skyldighet att utse per- sonuppgiftsombud och 7 § om tillgången till personuppgifter inte längre behövs, eftersom det finns en generell reglering om det i brottsdatalagen. De paragraferna bör därför upphävas.

279

Prop. 2017/18:269 Gallringsbestämmelserna i 11 § lagen om Polismyndighetens elimine- ringsdatabas är dataskyddsbestämmelser och bör därför ändras så att de i stället anger hur länge uppgifterna i registret får behandlas.

I 12 § föreskrivs att personuppgiftslagens bestämmelser om rättelse och skadestånd ska tillämpas på motsvarande sätt vid personuppgifts- behandling enligt lagen om Polismyndighetens elimineringsdatabas eller enligt föreskrifter som har meddelats i anslutning till den. Eftersom lagen föreslås gälla utöver brottsdatalagen behövs det ingen särskild bestäm- melse om rättelse. Eftersom personuppgiftslagen är upphävd ska paragrafen ändras så att den i stället hänvisar till brottsdatalagens be- stämmelse om skadestånd.

Viss anpassning bör också göras i förordningen (2014:405) om Polis- myndighetens elimineringsdatabas.

15.4Lagen om tillsyn över viss brottsbekämpande verksamhet

Regeringens förslag: Hänvisningen i lagen om tillsyn över viss brottsbekämpande verksamhet till polisdatalagen ska ändras till att avse brottsdatalagen och polisens brottsdatalag. Hänvisningen till lagen om polisens allmänna spaningsregister ska upphävas.

Det ska tydliggöras i lagen att Säkerhets- och integritetsskydds- nämnden har rätt att få tillgång till all information och alla upplysningar som den behöver för sin tillsyn.

Nämnden ska kunna vägra utföra kontroll på begäran av en enskild om begäran är orimlig eller uppenbart ogrundad.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningens förslag utgår från att nämndens tillsyn enbart ska avse Säkerhets- polisens personuppgiftsbehandling enligt förslag i SOU 2016:65.

Remissinstanserna: Datainspektionen tillstyrker förslaget om att nämnden ska kunna vägra att utföra en kontroll på begäran av enskild om den är orimlig eller uppenbart ogrundad. Datainspektionen påpekar dock att rätten att vägra en kontroll bör tillämpas restriktivt eftersom den en- skilde i övrigt har små möjligheter att få en behandling av personuppgif- ter kontrollerad.

Skälen för regeringens förslag

Tillsynsområdet och hänvisningar

I 1 § andra stycket lagen om tillsyn över viss brottsbekämpande verk- samhet föreskrivs att nämnden ska utöva tillsyn över den behandling av personuppgifter enligt polisdatalagen och lagen om polisens allmänna spaningsregister som utförs av bl.a. Polismyndigheten och Ekobrotts- myndigheten. Tillsynen ska särskilt avse behandlingen av känsliga per- sonuppgifter. Av 1 § tredje stycket framgår att tillsynen ska syfta till att säkerställa att den verksamhet som tillsynen omfattar bedrivs i enlighet med lag eller annan författning.

280

I propositionen Brottsdatalag tar regeringen ställning för att Säkerhets- och integritetsskyddsnämnden ska fortsätta att utöva tillsyn över polisens personuppgiftsbehandling på samma sätt som i dag och inte enbart utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling (prop. 2017/18:232 s. 271). Regeringen har således valt en delvis annan lösning för Säkerhets- och integritetsskyddsnämndens tillsyn än vad utredningen har utgått från.

Hänvisningen till polisdatalagen bör ändras för att anpassa lagen till brottsdatalagen och polisens brottsdatalag. Denna hänvisning kommer att medföra en marginell utvidgning av nämndens tillsynsområde, eftersom även behandling i syfte att upprätthålla allmän ordning och säkerhet omfattas av de nämnda lagarnas tillämpningsområde. Hänvisningen till lagen om polisens allmänna spaningsregister bör upphävas av de skäl som angetts under avsnitt 15.1.

Undersökningsbefogenheter

Enligt 4 § lagen om tillsyn över viss brottsbekämpande verksamhet har nämnden rätt att av de myndigheter som omfattas av tillsynen få de upp- gifter och det biträde som den begär. Regleringen omfattar alla uppgifter och handlingar som nämnden bedömer behövs för tillsynen. Biträde kan bestå i att tillsynsobjekten gör lokaler, arkiv och personuppgiftssamlingar tillgängliga för nämnden (se prop. 2006/07:133 s. 68 f. och s. 82).

Det är viktigt att nämnden har tillgång till alla de handlingar och upp- gifter som kan behövas för att klarlägga de förhållanden som nämnden har tillsyn över. Regleringen bör därför ändras så att det framgår att nämnden har rätt till de uppgifter, upplysningar och information som den behöver för sin tillsyn.

En begäran om kontroll bör kunna vägras

Enligt 3 § lagen om tillsyn över viss brottsbekämpande verksamhet är nämnden skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel eller viss behandling av person- uppgifter och om detta har skett i enlighet med lag eller annan författ- ning. Enskild ska enligt förarbetena tolkas så att kontroll kan begäras av antingen en fysisk eller en juridisk person (se prop. 2006/07:133 s. 81). Den enskilde ska underrättas om att kontrollen har utförts.

Kontroller på begäran av enskilda fyller en viktig funktion. De kan dock vara mycket resurskrävande för tillsynsmyndigheten. Mot den bak- grunden har 5 kap. 3 § brottsdatalagen utformats på ett annat sätt än tidi- gare reglering. Enligt den bestämmelsen ska en enskild som begär kontroll visa att han eller hon först har begärt information av den person- uppgiftsansvarige för att kontrollen ska utföras. Tillsynsmyndigheten får vidare vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.

Frågan är om det är möjligt att begränsa nämndens skyldighet att utföra kontroll på motsvarande sätt. I stora delar av Polismyndighetens verk- samhet hindrar sekretess enskilda från att få information om huruvida uppgifter om honom eller henne behandlas. Det kan därför inte göras till en förutsättning för kontroll att en begäran har gjorts hos myndigheten. En enskild kan inte heller känna till vilka behandlingar som utförs. Att

Prop. 2017/18:269

281

Prop. 2017/18:269 ställa upp krav på att en begäran preciseras eller avgränsas på liknande sätt som i brottsdatalagen är därför inte möjligt. Det är då inte heller möjligt att begränsa nämndens skyldighet att utföra kontroll på begäran av enskild på det sätt som görs i brottsdatalagen.

I dag har nämnden ingen möjlighet att vägra att utföra kontroll ens om begäran om kontroll är orimlig eller uppenbart ogrundad. Det skulle innebära en viss lättnad om nämnden får stöd för att inte utföra någon kontroll i sådana fall. Som nyss nämnts kan en vägran dock inte grundas på att den enskilde inte har gjort tillräckligt för att själv klarlägga om hans eller hennes personuppgifter behandlas eller om han eller hon varit föremål för hemliga tvångsmedel.

Vid tillsynen bör det t.ex. kunna ses som orimligt att utföra upprepade kontroller med korta tidsintervall eller beträffande frågor som redan har kontrollerats av nämnden eller någon annan tillsynsmyndighet. Rege- ringen föreslår därför att nämnden bör ges möjlighet att vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. Även om nämnden måste fatta beslut om att vägra utföra kontroll är en sådan ord- ning mindre resurskrävande för nämnden än att genomföra orimliga eller uppenbart ogrundade kontroller.

Enskildas möjlighet att begära kontroll bör inte begränsas utöver det, mot bakgrund av rätten till ett effektivt rättsmedel enligt Europakonven- tionen (jfr prop. 2006/07:133 s. 64 f. och SOU 2016:65 s. 177 f.). På sätt som Datainspektionen bedömer bör rätten att vägra en kontroll vidare tillämpas restriktivt eftersom den enskilde i övrigt har små möjligheter att få en behandling av personuppgifter kontrollerad.

Nämndens avgöranden bör inte kunna överklagas

Enligt 6 § lagen om tillsyn över viss brottsbekämpande verksamhet får nämndens avgöranden inte överklagas, vilket hör samman med att dess uttalanden inte är bindande. Det får till följd att den enskilde fritt kan återkomma med begäran om ny kontroll (se prop. 2006/07:133 s. 71). Ett beslut av nämnden om att vägra att utföra kontroll innebär inte heller något hinder för den enskilde att återkomma med en ny begäran. Det finns därför inte skäl att införa någon särskild möjlighet att överklaga ett sådant beslut av nämnden.

15.5Säkerhetsskyddslagen

Regeringens förslag: Hänvisningen i säkerhetsskyddslagen till lagen om polisens allmänna spaningsregister ska upphävas.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: I 12 § säkerhetsskyddslagen (1996:627) finns en hänvisning till lagen om polisens allmänna spanings- register. Hänvisningen bör upphävas av de skäl som angetts under av- snitt 15.1.

282

16	Ikraftträdande- och	Prop. 2017/18:269

övergångsbestämmelser

Regeringens förslag: De nya författningarna och övriga författningsförslag ska träda i kraft den 1 januari 2019. De nuvarande registerförfattningarna ska upphävas.

En sanktionsavgift ska inte få tas ut för överträdelse av bestämmel- ser om personuppgiftsbehandling i registerförfattningarna, om över- trädelsen har skett före ikraftträdandet av de nya lagarna.

Äldre föreskrifter ska fortfarande gälla för överträdelser som har skett före ikraftträdandet när det gäller kriminalvårdens behandling av personuppgifter.

Inom tillämpningsområdet för domstolarnas brottsdatalag ska domstolsdatalagen i lydelsen före den 25 maj 2018 fortfarande gälla för överklagande av beslut som har meddelats före ikraftträdandet. En övergångsbestämmelse till en tidigare ändring av domstolsdatalagen ska upphävas.

Polisdatalagen ska fortfarande gälla för Säkerhetspolisens behand- ling av personuppgifter i frågor som rör nationell säkerhet. Även vissa äldre bestämmelser i offentlighets- och sekretesslagen, säkerhets- skyddslagen och lagen om internationellt polisiärt samarbete ska övergångsvis gälla vid Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen.

Kustbevakningsdatalagen ska fortfarande gälla för Kustbevak- ningens behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

Lagen om tillsyn över viss brottsbekämpande verksamhet ska fortfarande gälla avseende Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen. Den förra lagen ska även gälla i sin äldre lydelse för nämndens tillsyn över annan personuppgiftsbehandling som utförts före ikraftträdandet.

Regeringens bedömning: Det behövs inte några övergångsbestäm- melser i fråga om ärenden om skadestånd.

Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att författningarna ska träda i kraft den 1 maj 2018 samt att det ska finnas övergångsbestämmelser som anger att äldre bestämmelser om tillsyn och skadestånd i registerförfattningarna ska fortsätta att gälla.

Remissinstanserna yttrar sig inte särskilt över förslagen.

Skälen för regeringens förslag och bedömning

Ikraftträdande

Brottsdatalagen, som genomför dataskyddsdirektivet, träder i kraft den 1 augusti 2018. De nya registerförfattningarna ska gälla utöver brottsdatalagen och bör därför träda i kraft så snart som möjligt efter

283

Prop. 2017/18:269 brottsdatalagens ikraftträdande. Regeringen föreslår mot den bakgrunden att de ska träda i kraft den 1 januari 2019.

Övergångsbestämmelser angående sanktioner, skadestånd och tillsyn

Enligt ikraftträdande- och övergångsbestämmelserna till brottsdatalagen får sanktionsavgift inte tas ut för överträdelser av bestämmelser om per- sonuppgiftsbehandling som har skett före ikraftträdandet. Äldre före- skrifter ska dock fortsätta att gälla för överträdelser som har skett före ikraftträdandet (se prop. 2017/18:232 s. 426).

Vissa överträdelser av bestämmelser i registerförfattningarna ska också kunna leda till att sanktionsavgift tas ut (se avsnitt 5.4.2). Det behövs därför motsvarande övergångsbestämmelser angående sanktionsavgifter i registerförfattningarna. Det är dock endast för Kriminalvårdens person- uppgiftsbehandling som straffbestämmelsen i 49 § personuppgiftslagen gäller idag. Det är därför bara till kriminalvårdens brottsdatalag som det behövs en särskild övergångsbestämmelse som anger att äldre föreskrifter ska fortsätta att tillämpas på överträdelser som har skett före ikraftträdandet.

Utredningen föreslår även övergångsbestämmelser som anger att äldre föreskrifter om skadestånd fortfarande ska gälla i vissa situationer. Det har dock i tidigare lagstiftningsärenden ansetts att det saknas ett egentligt behov av sådana övergångsbestämmelser (se t.ex. prop. 2017/18:105 s. 176). Regeringen gör inte nu någon annan bedömning. Utredningens förslag i dessa delar bör därför inte genomföras.

Det krävs övergångsbestämmelser såvitt avser Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisen och Polis- myndigheten för att nämnden ska kunna granska personuppgifts- behandling som utförts före ikraftträdandet av polisens brottsdatalag.

Övergångsbestämmelser för domstolarna

Genom lagen (2018:250) om ändring i domstolsdatalagen anpassas den lagen till dataskyddsförordningen. Lagändringarna trädde i kraft den 25 maj 2018. Enligt punkt 3 i ikraftträdande- och övergångsbestäm- melserna till lagändringen gäller äldre föreskrifter fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i dataskydds- förordningen, dvs. personuppgiftsbehandling som regleras i dataskydds- direktivet (prop. 2017/18:113 s. 49 f.). Bakgrunden till bestämmelsen är att de nya reglerna i domstolsdatalagen är anpassade till dataskyddsförordningen och därför inte bör gälla på direktivets område. Sådan behandling av personuppgifter som regleras i direktivet kommer att omfattas av domstolarnas brottsdatalag. Övergångsbestämmelsen bör upphävas eftersom det saknas behov av den när den nya lagen träder i kraft.

Den nya lagen för domstolarna föreslås gälla för domstolarnas be- handling av personuppgifter inom brottsdatalagens tillämpningsområde.

Som framgår ovan gäller domstolsdatalagen	i lydelsen före den
25 maj 2018 för sådan behandling till dess att	den nya lagen träder

i kraft. När det gäller överklagande av beslut som har meddelats före den 1 januari 2019 bör en särskild övergångsbestämmelse införas som

284

innebär de besluten överklagas enligt bestämmelserna i domstols- Prop. 2017/18:269 datalagen i den äldre lydelsen.

Övergångsbestämmelser för Säkerhetspolisen

Säkerhetspolisens personuppgiftsbehandling på området för nationell säkerhet ska inte regleras i polisens brottsdatalag. I SOU 2017:74 föreslås en anpassad lagstiftning om Säkerhetspolisens behandling av personuppgifter. Förslaget har remitterats och bereds för närvarande i Regeringskansliet. I avvaktan på att förslaget bereds behöver polisdata- lagen gälla för Säkerhetspolisens behandling av uppgifter som rör nationell säkerhet, varför en övergångsbestämmelse av den innebörden bör införas. Bestämmelsen ska upphävas i samband med att den nya regleringen om behandling av personuppgifter i Säkerhetspolisens verksamhet träder i kraft.

Vidare krävs att vissa bestämmelser i offentlighets- och sekretesslagen, säkerhetsskyddslagen och lagen om internationellt polisiärt samarbete övergångsvis fortsätter att gälla vid Säkerhetspolisens behandling av personuppgifter. Innebörden av bestämmelserna ska vara att det under övergångsperioden inte sker någon ändring av Säkerhetspolisens möjlig- heter att behandla personuppgifter. För att Säkerhets- och integritets- skyddsnämnden även fortsättningsvis ska kunna utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling i frågor som gäller nationell säkerhet krävs också att äldre föreskrifter i lagen om tillsyn över viss brottsbekämpande verksamhet övergångsvis fortsätter att gälla.

Övergångsbestämmelse till lagen om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område

I Ds 2017:58 föreslås en ny lag med en anpassad dataskyddsreglering för Kustbevakningen på dataskyddsförordningens område. Förslaget har remitterats och bereds för närvarande i Regeringskansliet. I avvaktan på att förslaget bereds behöver kustbevakningsdatalagen gälla för Kustbevakningens personuppgiftsbehandling på förordningens område. En övergångsbestämmelse med den innebörden bör därför införas. Bestämmelsen ska upphävas i samband med att den nya regleringen för Kustbevakningen på dataskyddsförordningens område träder i kraft.

17Konsekvenser

17.1Allmänt om konsekvenserna

17.1.1	Nya registerförfattningar

Regeringens bedömning: De nya registerförfattningarna medför inga
andra konsekvenser än de som följer av att brottsdatalagen införs och
att författningarna därigenom får ett delvis annat tillämpningsområde
än tidigare.

Utredningens bedömning överensstämmer i sak med regeringens.		285

Prop. 2017/18:269 Remissinstanserna har inte några synpunkter på utredningens bedöm- ning.

Skälen för regeringens bedömning: De nya registerförfattningarna för myndigheterna i rättskedjan får genom anpassningen till brottsdata- lagen ett något ändrat innehåll i jämförelse med dagens reglering och reglerar bara personuppgiftsbehandling inom brottsdatalagens tillämp- ningsområde. Det gäller för Kustbevakningens, åklagarväsendets och Kriminalvårdens författningar. För Polismyndigheten blir också tillämpningsområdet för den nya registerförfattningen ett annat eftersom det utökas till att även omfatta upprätthållande av allmän ordning och säkerhet. För Ekobrottsmyndigheten förtydligas det när myndigheten ska tillämpa Polismyndighetens respektive åklagarväsendets registerförfatt- ningar.

Den generella regleringen i brottsdatalagen ersätter till stor del be- stämmelser som finns i de nuvarande registerförfattningarna och de nya lagarna blir därför inte lika omfattande som tidigare. Bestämmelser om sanktionsavgift för överträdelser av bestämmelserna i de nya lagarna införs. Vidare ändras terminologin och görs mer enhetlig. Ett annat led i att göra registerförfattningarna mer enhetliga är att genomgående samla vissa bestämmelser, antingen i ett visst kapitel eller inom kapitlen. Bestämmelserna om föreskrifter anpassas också något i den nya regleringen.

17.1.2En ny lag för domstolarna men inga nya arbetsuppgifter

Regeringens bedömning: Den nya lagen för domstolarnas person- uppgiftsbehandling innebär inga nya arbetsuppgifter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna har inte några synpunkter på utredningens bedöm-

ning.

Skälen för regeringens bedömning: Regleringen i lagen om domsto- larnas behandling av personuppgifter inom brottsdatalagens område mot- svarar i stor utsträckning den reglering som gäller för domstolarna när de ska tillämpa dataskyddsförordningen. Den nya lagen får inte några sär- skilda konsekvenser, utöver de som hör samman med att domstolarna kommer att tillämpa olika regelverk beroende på för vilket syfte person- uppgifterna behandlas.

	17.1.3	Modernisering av vissa författningar

	Regeringens bedömning: Moderniserade och tydliga registerförfatt-
	ningar leder till att myndigheternas personuppgiftsbehandling för-
	enklas.

	Utredningens bedömning överensstämmer med regeringens.
	Remissinstanserna: Ekobrottsmyndigheten instämmer i att många av
	förslagen till moderniseringar och förtydliganden bör leda till förenk-
286	lingar för myndigheten, särskilt med beaktande av att myndigheten får ett

tydligare personuppgiftsansvar. Myndigheten vill i sammanhanget peka Prop. 2017/18:269 på konsekvenserna av att det samlade regelverket för personuppgiftshan-

tering föreslås bli omfattande vilket ställer höga krav på rättstillämparen. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens bedömning: Ett av syftena med dataskydds- direktivet är att underlätta informationsutbytet mellan myndigheter. En naturlig följd av dataskyddsreformen i sin helhet är dock att ett stort antal myndigheter, däribland Ekobrottsmyndigheten, kommer att behöva tillämpa flera olika regelverk och att de därigenom kommer att ställas inför gränsdragningsproblem som ställer särskilda krav på tillämparen. Detta är ofrånkomligt. En förutsättning för ett förenklat informationsutbyte på direktivets område är då att myndigheternas registerförfattningar i vart fall är likartade. I samband med att nödvändiga anpassningar till det nya dataskyddsregelverket genomförs görs myndigheternas nya registerförfattningar därför mer enhetliga.

När det gäller regleringen för polisen flyttas dels bestämmelserna om tillträdesförbudsregistret, dels de bestämmelser om personuppgifts- behandling som i dag finns i polislagen till polisens brottsdatalag. Detta innebär att registerförfattningen blir mer heltäckande. Vidare har vissa bestämmelser om hur gemensamt tillgängliga uppgifter får behandlas setts över så att de blir enklare att tillämpa i praktiken i den nya lagen. Andra bestämmelser, t.ex. de som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, förtydligas i den nya lagen vad gäller de krav som ställs på behandlingen. Detta gör lagstiftningen mer transparent och lättillämpad. Den moderniserade bestämmelsen om att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt underlättar dessutom elektronisk kommunikation. Motsvarande förändringar görs i de andra myndigheternas nya registerförfattningar i den utsträckningen det är aktuellt.

Kriminalvårdens registerlag får en modernare utformning. Regleringen görs mer generell och lättillämpad. Bestämmelserna om säkerhetsregist- ret lyfts av integritetsskäl upp i lag. Vissa detaljregler förs inte in i den nya lagen och tas bort ur både lagen och förordningen. De särskilda bestämmelserna om överklagande, omprövning och forum som finns i kriminalvårdens registerförfattning idag förs inte heller över till den nya regleringen.

17.2Ekonomiska konsekvenser

Regeringens bedömning: De nya registerförfattningarna medför inga extra kostnader för berörda myndigheter och innebär viss effektivisering som uppväger de ökade utbildningskostnader som den nya regleringen kan kräva.

Förslagen medför inga ökade kostnader för kommuner och landsting eller för enskilda.

Utredningens bedömning överensstämmer i sak med regeringens.

287

Prop. 2017/18:269 Remissinstanserna: Hovrätten för Västra Sverige, Förvaltningsrätten i Linköping, Domstolsverket, Polismyndigheten och Sveriges advokat- samfund bedömer att det inte är rimligt att utgå ifrån att kostnaderna för genomförandet av förslaget kommer att rymmas inom befintliga anslag. Sveriges advokatsamfund har även ifrågasatt slutsatsen om att förslaget inte torde kunna medföra några ekonomiska konsekvenser för enskilda. Domstolsverket framhåller vidare det problematiska i att det inte i något sammanhang görs en samlad bedömning av de konsekvenser som data- skyddsreformen i sin helhet medför. Övriga remissinstanser yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning

Konsekvenser för staten, kommuner och landsting

Polismyndigheten bedömer att förslaget väntas medföra behov av nya strukturer, ny mjukvara och eventuellt ny hårdvara. De ökade kostnader som detta medför kommer enligt Polismyndigheten inte att rymmas inom befintligt anslag. De nya registerförfattningarna innebär emellertid inte några skyldigheter för myndigheterna att inrätta t.ex. nya it-system och det finns därför inte skäl för att generellt förutsätta att sådana kostnader kommer att uppstå. De nya registerförfattningarna medför ändå vissa extra kostnader för berörda myndigheter för exempelvis utbildning men dessa kostnader bedöms kunna rymmas inom befintliga ramar. Förslaget medför också viss effektivisering som till del kan väga upp de ökade kostnaderna. Hovrätten för Västra Sverige bedömer att det torde krävas en inte oväsentlig utbildningsinsats för att utbilda och uppdatera domstolarnas personal. Kostnaderna för utbildning bör emellertid som nämnts rymmas inom befintliga ekonomiska ramar och de nya författningarna kan leda till viss effektivisering som uppväger utbild- ningskostnaderna. Sammantaget bedöms förändringarna för berörda myndigheter inte bli större än att de kan finansieras inom ramen för befintliga anslag trots det som Hovrätten för Västra Sverige, Förvalt- ningsrätten i Linköping, Domstolsverket, Polismyndigheten och Sveriges advokatsamfund anför.

Domstolsverket anser att det är problematiskt att det inte i något sam- manhang görs en samlad bedömning av de konsekvenser som reformen i sin helhet medför. En sådan samlad konsekvensanalys går dock inte att utföra i ett enskilt lagstiftningsärende. Det är dessutom först när samtliga förslag till anpassningar av dessa författningar har lagts fram som det skulle vara möjligt att göra en samlad bedömning.

Eftersom författningsförslagen inte berör kommunerna direkt kan anpassningarna inte antas påverka dessa ekonomiskt.

Konsekvenser för enskilda

Sveriges advokatsamfund anser att de nya regelverken ska uppfattas som att ökade krav ska ställas på skydd för den personliga integriteten och att dessa krav inte kommer att kunna uppfyllas utan sådana åtgärder som medför ekonomiska konsekvenser för bl.a. enskilda.

Regeringen har bedömt att förslagen som gäller brottsdatalagens infö-

rande inte kan förväntas leda till några sådana kostnadsökningar för en-

288

skilda (se prop. 2017/18:232 s. 421) och det finns inte heller anledning Prop. 2017/18:269 att förvänta en sådan effekt av de nya registerförfattningarna på det sätt

som Sveriges advokatsamfund anser.

17.3Konsekvenser för det brottsförebyggande arbetet

Regeringens bedömning: Förbättrat dataskydd och moderna författ- ningar ger möjlighet till ökat informationsutbyte mellan brottsbekäm- pande myndigheter, vilket är positivt för det brottsförebyggande arbe- tet. Förslagen förväntas inte få några direkta effekter på brottsligheten.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten framhåller att en reform av den

här omfattningen oundvikligen får konsekvenser för polisens kärnverk- samhet och att det finns risk för oönskade hämmande effekter på de brottsbekämpande myndigheternas förmåga att fullgöra sina uppdrag då ökade krav på administration och dokumentation innebär att resurser måste omfördelas från den brottsbekämpande verksamheten. Övriga remissinstanser yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning: Förslagen kan inte förväntas få några direkta effekter på brottsligheten eftersom det handlar om en administrativ reform. Ett ökat informationsflöde inom Sverige och mel- lan medlemsstater kan dock få en positiv effekt på det brottsförebyggan- de arbetet. Dessa bedömningar gäller även med beaktande av vad Polis- myndigheten framför i sin kritik.

17.4Konsekvenser i övrigt

Regeringens bedömning: Förslagen förväntas förbättra skyddet för enskildas personliga integritet. De förväntas inte få några andra kon- sekvenser.

Utredningens bedömning överensstämmer i huvudsak med regering- ens. Utredningen har inte bedömt förslagens inverkan på enskildas per- sonliga integritet.

Remissinstanserna: Kiruna kommun bedömer att förslagen inte kom- mer att få några negativa konsekvenser för kommunen eller för den en- skilde. Kommunen bedömer därutöver att förslagen inte kommer att få några samhällsekonomiska konsekvenser, några konsekvenser för den kommunala självstyrelsen eller konsekvenser för jämställdheten. Övriga remissinstanser yttrar sig inte särskilt över bedömningen.

Skälen för regeringens bedömning: Förslagen förväntas stärka inte- gritetsskyddet för enskilda och att ge dem bättre möjligheter att kontrollera hur deras personuppgifter behandlas. Förslagen får inte några samhällsekonomiska konsekvenser eller några konsekvenser för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser

för jämställdheten eller andra sådana konsekvenser som avses i 14 §

289

Prop. 2017/18:269 kommittéförordningen (1998:1474) eller 7 § förordningen (2007:1244) om konsekvensutredning vid regelgivning.

290

18	Författningskommentar	Prop. 2017/18:269

18.1Förslaget till lag om polisens behandling av personuppgifter inom brottsdatalagens område

I enlighet med Lagrådets synpunkt upphävs polisdatalagen (2010:361) och ersätts av en ny lag om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag). Innehållet i polisens brottsdatalag motsvarar till stora delar innehållet i polisdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. Vidare flyttas bestämmelserna om behandling av personuppgifter som transportföretag tillhandahåller enligt polislagen (1984:387) och bestämmelserna om Polismyndighetens behandling av personuppgifter i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang till polisens brottsdatalag.

Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet ska inte regleras i polisens brottsdatalag. Enligt utredningens förslag ska den behandlingen regleras i en särskild lag. Polisdatalagen gäller dock tills vidare enligt en övergångsbestämmelse för sådan personuppgiftsbehandling.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde
1 §
I paragrafen, som inte har någon motsvarighet i polisdatalagen, anges
lagens tillämpningsområde. Övervägandena finns i avsnitt 7.2.1.
Av första stycket framgår att lagen gäller utöver brottsdatalagen för
Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen när
någon av dem i egenskap av behörig myndighet enligt den lagen behand-
lar personuppgifter för vissa syften. Lagen är tillämplig även när svenska
myndigheter behandlar personuppgifter inom ramen för det internatio-
nella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verk-
samhet.
Att lagen gäller utöver brottsdatalagen innebär att de grundläggande
bestämmelserna om hur personuppgifter får behandlas finns i brottsdata-
lagen. Polisens brottsdatalag innehåller endast preciseringar, undantag
eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i
lagen måste följaktligen läsas tillsammans med regleringen i
brottsdatalagen och tolkas i ljuset av den regleringen.
Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan be-
handling av personuppgifter som är helt eller delvis automatiserad och
för annan behandling av personuppgifter som ingår i eller är avsedda att
ingå i en strukturerad samling av personuppgifter som är tillgängliga för
sökning eller sammanställning enligt särskilda kriterier. Uttrycken behö-	291

Prop. 2017/18:269 rig myndighet, personuppgift och behandling av personuppgifter definie- ras i 1 kap. 6 § brottsdatalagen.

Enligt punkt 1 gäller lagen för Polismyndigheten om personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Vad det närmare innebär utvecklas i kommentaren till 2 kap.

1§.

För Ekobrottsmyndigheten gäller lagen enligt punkt 2 om syftet med

personuppgiftsbehandlingen är att utreda brott och det inte är fråga om åklagarverksamhet. I sådan verksamhet gäller i stället åklagarväsendets brottsdatalag (se avsnitt 2.5) Vad som avses med åklagarverksamhet utvecklas i avsnitt 7.2.1. Polisens brottsdatalag ska tillämpas i myndighetens övriga verksamhet för att utreda brott. Att lagen även ska tillämpas i den underrättelseverksamhet som förekommer vid Ekobrottsmyndigheten följer av punkten 1, eftersom det är Polismyndigheten som bedriver den verksamheten.

För Säkerhetspolisen gäller lagen enligt punkt 3 enbart när myndighe- ten agerar som behörig myndighet enligt brottsdatalagen i frågor som inte rör nationell säkerhet och syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, eller utreda eller lagföra brott. Det handlar om ett fåtal situationer där Säkerhetspoli- sen övertar en arbetsuppgift från Polismyndigheten eller där Säkerhets- polisen biträder Polismyndigheten.

I andra stycket tydliggörs att det endast är vissa kapitel i lagen som gäller för Ekobrottsmyndigheten och Säkerhetspolisen. Kapitel 5 om särskilda register och kapitel 6 om behandling av personuppgifter vid Polismyndigheten för forensiska ändamål ska bara tillämpas av Polis- myndigheten.

2 §

I paragrafen, som i huvudsak motsvarar 1 kap. 3 § polisdatalagen, före- skrivs att lagen inte gäller vid behandling av personuppgifter enligt sex uppräknade lagar (se prop. 2009/10:85 s. 307). Dessa lagar innehåller särregler inom brottsdatalagens tillämpningsområde. Övervägandena finns i avsnitt 7.2.1.

3 §

Paragrafen, som delvis motsvarar 1 kap. 4 § polisdatalagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete och lagen om flygpassageraruppgifter i brottsbekämpningen (se prop. 2016/17:139 s. 112 och prop. 2017/18:234 s. 161).

Personuppgiftsansvar

4 §

I paragrafen, som delvis motsvarar 2 kap. 4 § och 6 kap. 5 § första stycket polisdatalagen, regleras personuppgiftsansvaret (se prop. 2009/10:85 s. 315 f.). Övervägandena finns i avsnitt 7.2.2.

292

Personuppgiftsansvarig är den behöriga myndighet som ensam eller Prop. 2017/18:269 tillsammans med andra bestämmer ändamålen med och medlen för

behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personupp- giftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen.

Regleringen i första stycket av Polismyndighetens personuppgifts- ansvar följer den terminologi som används i lagen i övrigt. Ansvaret omfattar dels all behandling av personuppgifter enligt lagen vid Polis- myndigheten, dels den behandling av personuppgifter som myndigheten utför vid Ekobrottsmyndigheten. Det sistnämnda avser behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Av andra stycket framgår att Ekobrottsmyndigheten är personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen i syfte att utreda brott.

Säkerhetspolisens personuppgiftsansvar, som regleras i tredje stycket, omfattar behandling av personuppgifter som myndigheten utför enligt lagen.

Definitioner

5 §

Paragrafen, som motsvarar 2 kap. 3 § polisdatalagen, innehåller defini- tioner av vissa uttryck som används i lagen (se prop. 2009/10:85 s. 314 f.).

Behandling av uppgifter om juridiska personer

6 §

I paragrafen, som i huvudsak motsvarar 1 kap. 6 § polisdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1.

Lagens uppbyggnad

7 §

Paragrafen, som i huvudsak motsvarar 1 kap. 7 § polisdatalagen, anger hur lagen är uppbyggd. Övervägandena finns i avsnitt 7.2.3.

Enligt första stycket gäller 1 kap., som innehåller allmänna bestämmel- ser, för all behandling enligt lagen. I 2 kap. finns det grundläggande bestämmelser om behandling. Det kapitlet gäller också för all behandling enligt lagen, med undantag för behandling enligt 6 kap., som rör Polismyndighetens behandling av personuppgifter för forensiska ändamål. I 4 kap., som reglerar längsta tid för behandling av personuppgifter, finns det också generella regler, men de är inte tillämpliga på behandling i de särskilda register som regleras i 5 kap. De ska inte heller tillämpas vid behandling av personuppgifter i Polis- myndighetens forensiska verksamhet, som regleras i 6 kap.

Av andra stycket framgår att 3 kap. enbart gäller för uppgifter som görs eller har gjorts gemensamt tillgängliga.

293

Prop. 2017/18:269 I 5 kap. särregleras vissa register. Av tredje stycket framgår att 5 kap. gäller i stället för 3 och 4 kap.

I fjärde stycket anges vad som gäller för behandling av personuppgifter i den forensiska verksamheten, som regleras i 6 kap. Då gäller det kapitlet i stället för 2–4 kap.

I femte stycket anges att det i 7 kap. finns bestämmelser om administ- rativa sanktionsavgifter, skadestånd och överklagande.

2 kap. Grundläggande bestämmelser om behandling

	Rättsliga grunder
	1 §
	Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar de
	tillåtna rättsliga grunderna för behandling av personuppgifter.
	Övervägandena finns i avsnitt 7.3.1.
	Paragrafen, som är anpassad till hur de rättsliga grunderna för behand-
	ling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap.
	1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap.
	2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall
	behandla personuppgifter enbart för diarieföring och nödvändig
	handläggning.
	Bestämmelsen bildar den yttre ramen för när behandling av
	personuppgifter är tillåten. Eftersom lagen tillämpas av flera myndigheter
	måste bestämmelsen läsas tillsammans med regleringen av tillämpning-
	sområdet i 1 kap. 1 § för att det ska kunna avgöras vilka punkter som är
	relevanta för respektive myndighet.
	Personuppgifter får behandlas om det är nödvändigt för att
	myndigheterna ska kunna utföra vissa uppgifter. Av 2 kap. 1 § andra
	stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning
	eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att
	ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440).
	Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för
	att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är fram-
	för allt underrättelseverksamhet som regleras i punkten. Med det avses
	arbete med insamling, bearbetning och analys av information i syfte att
	förhindra eller upptäcka brottslig verksamhet när det ännu inte finns
	misstankar om att något konkret brott har begåtts (se prop. 2009/10:85
	s. 318). Även behandling av överskottsinformation med stöd av 27 kap.
	23 a § rättegångsbalken omfattas, om syftet är att förhindra brott. Per-
	sonuppgiftsbehandling vid Polismyndighetens brottsofferarbete omfattas
	också.
	Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för
	att utreda eller lagföra brott. Med utreda brott avses framför allt att
	genomföra förundersökning enligt 23 kap. rättegångsbalken, oavsett om
	det är Polismyndigheten eller åklagare som leder förundersökningen.
	Med brott avses konkreta brott, men det kan vara fråga om både brott
	som bevisligen har begåtts och brott som det enbart finns misstankar om.
	Misstankarna behöver inte vara riktade mot någon bestämd person. Är
	det fråga om undersökning av icke konkretiserad brottslig verksamhet
294	tillämpas punkt 1 (se prop. 2009/10:85 s. 318).

Även personuppgiftsbehandling inom ramen för den form av förenklat Prop. 2017/18:269 utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och personuppgiftsbehandling vid åtgärder som vidtas med stöd av 23 kap. 3

och 8 §§ rättegångsbalken omfattas. Punkten omfattar även annan ut- redning som görs enligt bestämmelserna i 23 kap. rättegångsbalken (se prop. 2009/10:85 s. 319).

Med lagföra brott avses här utfärdande av förelägganden av ordnings- bot. I tidigare förarbeten utvecklas närmare vad det innebär (se prop. 2009/10:85 s. 318 f.).

Enligt punkt 3 får personuppgifter behandlas om det är nödvändigt för att upprätthålla allmän ordning och säkerhet. Det är endast Polismyndig- heten som har sådana uppgifter att personuppgiftsbehandling enligt denna punkt kan bli aktuell. Vilka uppgifter det kan vara fråga om utvecklas i prop. 2017/18:232 s. 431.

Personuppgifter får enligt punkt 4 också behandlas om det är nödvän- digt för att fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på sådana förpliktelser som syf- tar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2009/10:85 s. 319).

Behandling för nya ändamål

2 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 7.3.1.

Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.).

Särskilda upplysningar

3 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.11.

Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upplys- ningar. Det innebär att när personuppgifter behandlas bara av ett fåtal personer behöver särskilda upplysningar inte lämnas. Personuppgifter som förekommer i de särskilda register som behandlas i 5 kap. behöver inte heller förses med särskilda upplysningar, eftersom dessa personupp- gifter inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

295

Prop. 2017/18:269

296

Känsliga personuppgifter

4 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, regleras när biometriska uppgifter får behandlas. Övervägandena finns i avsnitt 7.3.2.

Biometriska uppgifter, som definieras i 1 kap. 6 § brottsdatalagen, är känsliga personuppgifter och får enligt 2 kap. 12 § brottsdatalagen behandlas endast om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen.

Paragrafen, som är en sådan särskild föreskrift som avses i 2 kap. 12 § brottsdatalagen, möjliggör användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingerav- tryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person.

Biometriska uppgifter får behandlas av Polismyndigheten och Säker- hetspolisen om det är absolut nödvändigt för ändamålet med behand- lingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga.

Det kan noteras att genetiska uppgifter inte får behandlas av myndigheterna med stöd av förevarande paragraf (jfr 6 kap. 4 §).

5 §

I paragrafen, som tillsammans med 6 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 3 kap. 5 § andra stycket polisdatalagen. Övervägandena finns i avsnitt 7.3.3.

Undantaget gäller både vid sökning i personuppgifter som har gjorts gemensamt tillgängliga och i personuppgifter som inte har det. Sökför- budet hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som be- skriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter som t.ex. hälsa eller sexuell läggning

Med uppgifter som beskriver en persons utseende avses signalements- uppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klä- dsel och fysiska kännetecken som födelsemärken, blindhet och tatue- ringar (jfr prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett urval av personer grundat på uppgifter som rör hälsa.

Sökning på t.ex. vissa sexualbrott eller tillvägagångssätt vid brott kan resultera i ett urval av personer grundat på sexualliv eller sexuell lägg- ning. Ett urval av personer grundat på uppgifter om hälsa kan även bli resultatet vid sökning på exempelvis olika vårdpåföljder. Uppgifter om tatueringar kan t.ex. avslöja viss politisk åsikt eller religiös övertygelse.

I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sök- ningen resulterat i får prövas mot huvudregeln om behandling av käns- liga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna.

6 §

I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs det undantag från sök- förbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i polisdatalagen. Övervägandena finns i avsnitt 7.3.3.

Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Det avser dels uppgifter som endast ett fåtal personer har tillgång till och dels uppgifter som finns i de register som behandlas i 5 kap. (t.ex. penningtvättsregist- ret och internationella registret). Som framgår av 1 kap. 7 § gäller inte 3 kap. för de register som behandlas i 5 kap, varför uppgifter i dessa regis- ter inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Sökning i sådana uppgifter får göras i syfte att få fram ett urval av per- soner grundat på etniskt ursprung, politiska åsikter, religiös eller filoso- fisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan aktualiseras bl.a. vid utredning av brott som kan ha etniska, politiska eller religiösa motiv. Sökning kan också vara motiverad för att kartlägga sambandet mellan personer i kriminella nätverk som hålls samman av etniskt ur- sprung eller personer som begår vissa brott på grund av sin ideologiska övertygelse. Vid vissa brottstyper, exempelvis sexualbrott, kan återfall i brott vara vanligt och motivera att sökning görs som kan avslöja sexual- liv eller sexuell läggning vid brott med okänd gärningsman.

Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras. Sökning i genetiska eller biometriska uppgifter är enligt 6 kap. 4 § enbart tillåtet i den forensiska verksamheten.

Utlämnande av personuppgifter

7 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisa- tioner. Den motsvarar i huvudsak 2 kap. 15 § polisdatalagen (se prop. 2009/10:85 s. 329 f.).

Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket om mottagaren behöver dem för att utföra en sådan uppgift som avses i 1 §. Det innebär att möjligheterna till utlämnande utökas något i förhållande till dagens reglering, eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet.

Vid överföring av personuppgifter till tredjeland ska regleringen i

8 kap. brottsdatalagen också tillämpas.

Prop. 2017/18:269

297

Prop. 2017/18:269

298

8 §

Genom paragrafen bryts viss sekretess som annars skulle ha gällt gent- emot andra brottsbekämpande myndigheter. Den motsvarar i huvudsak 2 kap. 16 § polisdatalagen (se prop. 2009/10:85 s. 330 f.).

I förhållande till dagens reglering har Polismyndigheten lagts till i uppräkningen av mottagande myndigheter. Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

9 §

Paragrafen innehåller en bestämmelse som i fråga om uppgifter i dna- register bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar i huvudsak 2 kap. 17 § polisdatalagen (se prop. 2009/10:85 s.331 f.).

Sekretessen bryts om den mottagande myndigheten behöver uppgift- erna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

10 §

Paragrafen innehåller en bestämmelse som i fråga om uppgifter i finger- avtrycks- och signalementsregister bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den mot- svarar i huvudsak 2 kap. 18 § polisdatalagen (se prop. 2009/10:85 s.332).

Sekretessen bryts om den mottagande myndigheten behöver uppgif- terna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

11 §

Paragrafen innehåller en sekretessbrytande bestämmelse som motsvarar nuvarande 9 § lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 50). Tillträdesförbudsregist- ret regleras i 5 kap. 23–26 §§. Övervägandena finns i avsnitt 14.3.

12 §

Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt.

I första stycket, som delvis motsvarar 2 kap. 20 § polisdatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4.

Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämp- ligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113).

När det gäller utlämnande till enskilda krävs en mer nyanserad be- dömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mot- tagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Är det fråga om processmaterial

som översänds till parter eller ombud bör även principen om parternas Prop. 2017/18:269 likställdhet i processen beaktas.

Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekre- tesslagen (2009:400). De får då inte lämnas ut till följd av sekretess.

Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68

s.51 f.).

Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör

även informationssäkerheten vägas in.

Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efter- forska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personupp- gifter elektroniskt.

Andra stycket motsvarar 2 kap. 21 § polisdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen.

Personuppgifter från transportföretag 13 §

Paragrafen, som inte har någon motsvarighet i dagens reglering, reglerar tillsammans med 14 § hur personuppgifter som ett transportföretag tillhandahåller enligt 25 § polislagen får behandlas. Övervägandena finns i avsnitt 7.4.1 och 7.4.2.

Regleringen avser uppgifter om ankommande eller avgående transpor- ter av bl.a. passagerare och fordon som transportföretag befordrar till och från Sverige. Det rör sig alltså om bokningsuppgifter i framför allt flyg- och färjetrafik. Transportföretagens skyldighet att tillhandahålla uppgif- ter regleras fortfarande i polislagen.

I lagen om flygpassageraruppgifter i brottsbekämpningen regleras personuppgiftsbehandling som avses i den lagen. Om den lagen eller föreskrifter som regeringen har meddelat i anslutning till lagen innehåller avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Detta följer av 1 kap. 3 §.

I första stycket tydliggörs att uppgifter från transportföretag endast får behandlas för att förebygga, förhindra eller upptäcka brottslig verk- samhet eller utreda eller lagföra brott.

Enligt andra stycket får personuppgifter som avses i första stycket bara i enskilda fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brotts- datalagen. Ett exempel kan vara att ett brott upptäcks och att uppgifterna behövs för att utreda och lagföra brottet. Det kan också visa sig att vissa

av uppgifterna behövs i ett underrättelseärende.
Det framgår av 3 kap. 2 § i vilken utsträckning som personuppgifter
från transportföretag får göras gemensamt tillgängliga.	299

Prop. 2017/18:269 14 §

I paragrafen anges hur uppgifter från transportföretag som tillhandahålls genom terminalåtkomst får behandlas. Paragrafen motsvarar delvis nuva- rande 26 § andra stycket polislagen. Övervägandena finns i avsnitt 7.4.1.

Paragrafen reglerar enbart behandling vid terminalåtkomst till person- uppgifter hos transportföretag, medan 13 § anger vad som gäller i fråga om personuppgifter som förs över till myndighetens it-system eller be- handlas strukturerat på annat sätt.

Genom terminalåtkomsten till företagens it-system får polisen tillgång till omfattande överskottsinformation om resande. Myndigheten får inte ändra eller på annat sätt bearbeta uppgifter i sådana system. Syftet med regleringen är att myndigheten inte heller ska kunna föra över en hel sådan uppgiftssamling till sina egna it-system för att bearbeta, ändra och lagra personuppgifterna där. Som framgår av 13 § får uppgifter däremot i enskilda fall behandlas för nya ändamål om förutsättningarna för det är uppfyllda.

Rätt att meddela föreskrifter 15 §

I paragrafen, där bestämmelser om föreskrifter samlas, finns en upplys- ning om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§, vilket motsvarar 2 kap. 19 § första stycket polisdatalagen, och om begränsning av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direkt- åtkomst. Övervägandena finns i avsnitt 5.6.4.

3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse

1 §

Av paragrafen, som i huvudsak motsvarar 3 kap. 13 § polisdatalagen, framgår att kapitlet innehåller särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2009/10:85 s. 334 f.

I första stycket anges att kapitlet bara gäller för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

	Av andra stycket framgår att kapitlet inte gäller när personuppgifter
	behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brotts-
	datalagen om behandling av personuppgifter för diarieföring eller för att
	utföra andra nödvändiga handläggningsuppgifter.
	Personuppgifter som får göras gemensamt tillgängliga
	2 §
	I paragrafen, som i huvudsak motsvarar 3 kap. 2 § polisdatalagen, anges
300	vilka personuppgifter som får göras gemensamt tillgängliga (se

prop. 2009/10:85 s. 336 f.). Två punkter tillkommer i förhållande till Prop. 2017/18:269 dagens reglering. Övervägandena finns i avsnitt 7.5.1.

Enligt punkt 4 får personuppgifter som förekommer i ett ärende om kontaktförbud eller ett ärende om personskydd göras gemensamt till- gängliga. Utöver de uppgifter som registreras i belastningsregistret om den som meddelas kontaktförbud, finns det andra uppgifter som ligger till grund för sådana beslut som kan behöva göras gemensamt tillgäng- liga. Det kan t.ex. vara fråga om uppgifter om närstående till en person som skyddas av ett kontaktförbud, där det antingen kan vara viktigt att personens adressuppgifter inte röjs i andra sammanhang eller att det finns tillgång till uppgifter om närstående som också kan komma att utsättas för trakasserier eller brott. Genom formuleringen ”berörs av” tydliggörs att om t.ex. en person som skyddas av ett kontaktförbud har barn som bor på samma adress och som inte själva skyddas av kontaktförbud, får upp- gifter om barnen också göras gemensamt tillgängliga om det behövs för skyddet.

Det kan i vissa fall vara viktigt att göra uppgifter om en person som har begärt kontaktförbud gemensamt tillgängliga trots att frågan om kontakt- förbud ännu inte är slutligt avgjord, om det finns en akut risk för att per- sonen utsätts för brott. Även i ärenden där underlaget inte har bedömts räcka till för ett kontaktförbud, kan personuppgifter behöva göras gemensamt tillgängliga för att uppmärksamma risken för brott mot per- sonen i fråga.

På motsvarande sätt kan uppgifter som förekommer i ärenden om per- sonskydd och om närstående till den som har personskydd i vissa fall behöva göras gemensamt tillgängliga, för att det inom myndigheten ska finnas allmän kännedom om att en viss person är i behov av sådant skydd.

Enligt punkt 6 får uppgifter som behandlas i syfte att upprätthålla all- män ordning och säkerhet också göras gemensamt tillgängliga. Det kan t.ex. vara fråga om uppgifter om personer som bedöms kunna utgöra hot mot allmän ordning och säkerhet i samband med ett planerat idrotts- arrangemang, en demonstration eller en politisk sammankomst. Sådana uppgifter kan i många fall göras gemensamt tillgängliga med stöd av andra punkter i paragrafen. Denna punkt ger emellertid en generell möj- lighet att göra sådana personuppgifter tillgängliga utan någon kontroll av om den som personuppgiften rör är registrerad i underrättelseverksamhe- ten, är misstänkt för brott eller förekommer i något annat sammanhang som ger möjlighet att göra personuppgifterna gemensamt tillgängliga.

Särskilda upplysningar

3 §

I paragrafen, som delvis motsvarar 3 kap. 3 § polisdatalagen, föreskrivs att personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5 ska förses med en särskild upplysning (se prop. 2009/10:85 s. 339 f.). Övervägandena finns i avsnitt 5.3.4. Att det ska framgå för vilket närmare ändamål personuppgifterna behandlas följer av 2 kap. 3 § brottsdatalagen.

301

Prop. 2017/18:269

302

4 §

I paragrafen, som i huvudsak motsvarar 3 kap. 4 § polisdatalagen, regleras i vilken utsträckning sådana uppgifter i underrättelseverksamhet som har gjorts gemensamt tillgängliga ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4.

Enligt första stycket ska det framgå av uppgifter i underrättelse- verksamhet att en person inte är misstänkt för att utöva brottslig verk- samhet. Det ska alltså gå att skilja mellan personer som är föremål för polisens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det.

Enligt andra stycket ska uppgifter om personer som kan antas ha sam- band med misstänkt brottslig verksamhet eller som övervakas på visst sätt förses med upplysning om uppgiftslämnarens trovärdighet och upp- gifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet.

Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt uppgifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas.

Utrymmet för att underlåta att förse uppgifter med upplysning om tro- värdighet och riktighet utökas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning.

Sökning

5 §

Paragrafen, som i huvudsak motsvarar 3 kap. 6 § polisdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar (se prop. 2009/10:85 s. 341 f.). Övervägandena finns i avsnitt 7.5.2.

Paragrafen gäller endast vid sökning i automatiserade behandlings- system. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f.

Endast punkt 7 tillkommer i förhållande till dagens reglering. Enligt Prop. 2017/18:269 den punkten får uppgifter om att en person berörs av ett kontaktförbud

eller av åtgärder i ett personskyddsärende tas fram vid sökning.

6 §

Paragrafen, som delvis motsvarar 3 kap. 7 § polisdatalagen, innehåller undantag från begränsningarna i 5 §. Övervägandena finns i avsnitt 7.5.2.

Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller i ett visst ärende.

Enligt andra stycket gäller begränsningarna i 5 § inte vid vissa sök- ningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1, som motsvarar 6 § i polisdataförordningen (2010:1155), när de utför beredningsuppgifter och arbetet befinner sig i ett inledande skede i underrättelseverksamheten. Syftet med bestämmelsen är att tjänstemän- nen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband mellan nya och befintliga underrättelseuppgifter. Det är således bara under en begränsad tid efter det att uppgifterna kom in som punkten är tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punk- ten.

Enligt punkt 2 är sökningar i syfte att bearbeta och analysera person- uppgifter som har gjorts gemensamt tillgängliga i underrättelseverksam- het eller för övervakningen av en allvarligt kriminellt belastad person tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna.

Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer.

Enligt punkt 4 gäller inte begränsningarna i 5 § vid sökning i syfte att samordna utredningar av brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Sådana sökningar kan krävas för att finna samband mellan brott som kan ha begåtts i organiserad form eller i olika delar av landet eller där det annars finns inslag av systematik.

Undantaget i tredje stycket innebär att begränsningarna i 5 § inte gäller när en tjänsteman i någon av Polismyndighetens ledningscentraler utför sökning på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Direktåtkomst

7 §

I paragrafen, som delvis motsvarar 3 kap. 8 § polisdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2009/10:85 s. 345).

Rätt att meddela föreskrifter

8 §

I paragrafen, som motsvarar 3 kap. 7 § fjärde stycket polisdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytter-

303

Prop. 2017/18:269 ligare undantag från bestämmelserna om sökning i 5 §, utöver vad som framgår av 6 §.

9 §

I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana uppgifter som anges i 5 §, vilket motsvarar 3 kap. 6 § andra stycket polisdatalagen, under vilka förutsättningar sökning får utföras med stöd av 6 §, vilket motsvarar 3 kap. 7 § tredje stycket polis- datalagen, och omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 3 kap. 8 § tredje stycket polisdatalagen.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 §

Paragrafen har inte någon motsvarighet i polisdatalagen. Övervägandena finns i avsnitt 5.5.1.

I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för uppgifter som behandlas automatiserat.

Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I paragraferna i detta kapitel anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behand- lingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf.

Tredje stycket innehåller en uppräkning av de bestämmelser om hur länge personuppgifter får behandlas som finns i 5 och 6 kap.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 §

I paragrafen, som motsvarar 2 kap. 13 § polisdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte (se prop. 2009/10:85 s. 327 f.). Övervägandena finns i avsnitt 5.5.2.

I första stycket anges hur länge uppgifterna får behandlas.

Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de

304

behandlas automatiserat längre än vad som anges i denna paragraf (jfr Prop. 2017/18:269 12 §).

Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 §

Paragrafen, som motsvarar 3 kap. 10 § polisdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2009/10:85 s. 346 f.). Övervägandena finns i avsnitt 5.5.3.

Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelserna hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivända- mål efter de tidpunkter som anges i paragrafen.

4 §

Paragrafen, som motsvarar 3 kap. 11 § polisdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som hand- läggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2009/10:85 s. 347 f.). Övervägandena finns i avsnitt 5.5.3.

5 §

Paragrafen, som motsvarar 3 kap. 13 § polisdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft (se prop. 2009/10:85 s. 348 f.).

Övriga gemensamt tillgängliga uppgifter

6 §

I paragrafen, som delvis motsvarar 3 kap. 14 § polisdatalagen, anges att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2.

I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7– 11 §§.

Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämp- ningen av 7–11 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av

uppgifterna ska upphöra när den tid som anges i 7–11 §§ har löpt ut,

305

Prop. 2017/18:269 vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 12 §).

7 §

Paragrafen, som i huvudsak motsvarar 3 kap. 14 § andra och sjätte styckena polisdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2009/10:85 s. 349 f.). Övervägandena finns i avsnitt 7.6.

Enligt första stycket får personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 och som behandlas i ett ärende inte behandlas längre än ett år efter det att ärendet avslutades.

I andra stycket tydliggörs i förhållande till dagens reglering att fristen för hur länge personuppgifter får behandlas endast ska påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Frågan behandlas i avsnitt 5.5.4.

Enligt tredje stycket ska den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket.

8 §

Paragrafen, som motsvarar 3 kap. 14 § tredje och sjätte styckena polis- datalagen, reglerar hur länge uppgifter om en person som är föremål för övervakning enligt 3 kap. 2 § första stycket 2 får behandlas (se prop. 2009/10:85 s. 349 f.).

9 §

Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar hur länge personuppgifter som behandlas i ärenden om kontaktförbud eller personskydd eller som behandlas i syfte att fullgöra internationella åtaganden får behandlas. Övervägandena finns i avsnitt 7.5.1.

Personuppgifter i ärenden om kontaktförbud eller personskydd får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.

10 §

Paragrafen reglerar hur länge personuppgifter som har rapporterats till Polismyndighetens ledningscentraler och uppgifter som har gjorts gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säker- het får behandlas.

Den frist som gäller för hur länge uppgifter som har rapporterats till

Polismyndighetens ledningscentraler får behandlas, som motsvarar 3 kap.

306

14 § femte stycket polisdatalagen, ändras inte i förhållande till dagens Prop. 2017/18:269 reglering. Samma frist gäller för personuppgifter som har gjorts

gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet, vilket behandlas i avsnitt 7.5.1. Sådana personuppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

11 §

I paragrafen, som motsvarar 3 kap. 14 § fjärde stycket polisdatalagen, anges hur länge personuppgifter som behandlas i syfte att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte be- handlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

12 §

I paragrafen, som motsvarar 3 kap. 12 § och 15 § första stycket polisdata- lagen, finns en upplysning om att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–11 §. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Övervägandena finns i avsnitt 5.5.3.

13 §

I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter dels om att per- sonuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och veten- skapliga, statistiska eller historiska ändamål, vilket motsvarar 2 kap. 13 § tredje stycket samt 3 kap. 15 § andra stycket polisdatalagen, dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering, vilket i huvudsak motsvarar 2 kap. 12 § andra stycket. Övervägandena finns i avsnitt 5.5.2 och 5.5.3.

5 kap.

Rätten att föra register 1 §

Paragrafen, som i huvudsak motsvarar 4 kap. 1 § polisdatalagen, reglerar

Polismyndighetens rätt att föra dna-register (dna-registret, utredningsregistret och spårregistret), se prop. 2009/10:85 s. 351 och prop. 2013/14:110 s. 645. Övervägandena finns i avsnitt 7.7.1.

I paragrafen anges i vilka syften dna-registren får föras. Någon ändring

i sak i förhållande till dagens reglering är inte avsedd.

307

Prop. 2017/18:269

308

Dna-registret 2 §

Paragrafen motsvarar 4 kap. 2 § polisdatalagen (se prop. 2009/10:85 s. 351 f.).

3 §

Paragrafen motsvarar 4 kap. 3 § polisdatalagen (se prop. 2009/10:85 s. 352).

Utredningsregistret 4 §

Paragrafen motsvarar 4 kap. 4 § polisdatalagen (se prop. 2009/10:85 s. 352).

Spårregistret 5 §

Paragrafen motsvarar 4 kap. 5 § polisdatalagen (se prop. 2009/10:85 s. 352).

6 §

Paragrafen motsvarar 4 kap. 6 § polisdatalagen (se prop. 2009/10:85 s. 352 f.).

Längsta tid som personuppgifter får behandlas 7 §

I paragrafen, som i huvudsak motsvarar 4 kap. 7 § polisdatalagen, anges den längsta tid under vilken uppgifter om en person får behandlas i register över dna-profiler. Någon ändring i fråga om hur länge uppgifterna får behandlas görs inte (se prop. 2009/10:85 s. 353). Övervägandena finns i avsnitt 5.5.2.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen gäller inte vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort.

Prover för dna-analys 8 §

Paragrafen motsvarar 4 kap. 8 § polisdatalagen (se prop. 2009/10:85 s. 354).

9 §

Paragrafen motsvarar 4 kap. 9 § polisdatalagen (se prop. 2009/10:85 s. 354).

Direktåtkomst	Prop. 2017/18:269
10 §

I paragrafen, som motsvarar 4 kap. 10 § första stycket polisdatalagen, anges förutsättningarna för att medge direktåtkomst till dna-registren (se prop. 2009/10:85 s. 354 f.). Direktåtkomst får bara medges för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

Fingeravtrycks- och signalementsregister

Rätten att föra register

11 §

Paragrafen, som i huvudsak motsvarar 4 kap. 11 § och 12 § tredje stycket polisdatalagen, reglerar Polismyndighetens rätt att föra fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 355 f.). Övervägandena finns i avsnitt 7.7.2.

I en uppräkning anges i vilka syften fingeravtrycks- och signalements- register får föras. Genom ett tillägg, som motsvarar 2 kap. 8 § första stycket punkt 6 polisdatalagen, tydliggörs att registret också får föras för att kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716).

Innehåll i registren 12 §

I paragrafen, som motsvarar 4 kap. 12 § första, andra och fjärde styckena polisdatalagen, regleras vilka personer som fingeravtrycks- och signalementsregister får innehålla uppgifter om (se prop. 2009/10:85 s. 355 f.).

13 §

Paragrafen, som motsvarar 4 kap. 12 a § polisdatalagen, reglerar behand- ling av fingeravtrycks- och signalementsuppgifter som överförts till Sverige med stöd av det s.k. Ecris-beslutet (se prop. 2011/12:163 s. 60 f.).

14 §

Paragrafen motsvarar 4 kap. 13 § polisdatalagen och anger vilka uppgifter fingeravtrycks- och signalementsregister får innehålla (se prop. 2009/10:85 s. 356).

Längsta tid som personuppgifter får behandlas 15 §

Paragrafen, som i huvudsak motsvarar 4 kap. 14 § polisdatalagen, anger tillsammans med 16 § den längsta tid under vilken uppgifter om en person får behandlas i fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 356 f.).

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkiv- lagstiftningens företräde gäller inte vid tillämpningen av denna paragraf.

Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångs-

309

Prop. 2017/18:269 punkten är alltså att all automatiserad behandling ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i paragrafen (jfr 27 §).

16 §

Paragrafen, som i huvudsak motsvarar 4 kap. 15 § polisdatalagen, anger tillsammans med 15 § den längsta tid under vilken uppgifter om en person får behandlas i fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 357). Övervägandena finns i avsnitt 5.5.2.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkiv- lagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §).

Direktåtkomst 17 §

I paragrafen, som i huvudsak motsvarar 4 kap. 17 § första stycket polisdatalagen, regleras förutsättningarna för att medge direktåtkomst (se prop. 2009/10:85 s. 357 f.). Direktåtkomst får bara medges för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

Penningtvättsregister

Rätten att föra register 18 §

I paragrafen, som motsvarar 4 kap. 18 § första stycket polisdatalagen, regleras Polismyndighetens rätt att föra penningtvättsregister (se prop. 2009/10:85 s. 358 f.).

19 §

I paragrafen, som motsvarar 4 kap. 19 § polisdatalagen, regleras vilka personuppgifter som får behandlas i penningtvättsregister (se prop. 2009/10:85 s. 359 f.).

Längsta tid som personuppgifter får behandlas 20 §

Paragrafen, som i huvudsak motsvarar 4 kap. 20 § första stycket polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas i penningtvättsregister (se prop. 2009/10:85 s. 359 f.). Övervägandena finns i avsnitt 5.5.2 och 5.5.4.

Fristen för hur länge personuppgifter får behandlas ska endast påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för an- knytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas.

310

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkiv- Prop. 2017/18:269 lagstiftningens företräde gäller inte vid tillämpningen av denna paragraf

(se kommentaren till 15 §).

Det internationella registret

Rätten att föra register 21 §

I paragrafen, som motsvarar 4 kap. 21 § första och andra styckena polis- datalagen, regleras Polismyndighetens rätt att föra ett internationellt register (se prop. 2009/10:85 s. 360).

Längsta tid som personuppgifter får behandlas 22 §

Paragrafen, som i huvudsak motsvarar 4 kap. 22 § första stycket polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas i det internationella registret (se prop. 2009/10:85 s. 361). Övervägandena finns i avsnitt 5.5.2.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkiv- lagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §).

Tillträdesförbudsregistret

Rätten att föra register 23 §

Paragrafen reglerar Polismyndighetens rätt att föra ett särskilt register över tillträdesförbud vid idrottsarrangemang, tillträdesförbudsregistret. Paragrafen motsvarar nuvarande 2 § och 6 § första stycket lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 45 f.). Övervägandena finns i avsnitt 14.3.

Innehåll i registret 24 §

Paragrafen, som reglerar vilka uppgifter som tillträdesförbudsregistret får innehålla, motsvarar nuvarande 8 § lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 49). Övervägandena finns i avsnitt 14.3.

25 §

Paragrafen ger Polismyndigheten rätt att behandla personuppgifter i syfte att tillgodose idrottsorganisationernas behov av att få tillgång till uppgif- ter om gällande tillträdesförbud. Övervägandena finns i avsnitt 14.3.

Paragrafen motsvarar i huvudsak nuvarande 6 § andra stycket lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 47 f.).

I 2 kap. 11 § finns en sekretessbrytande regel som ger idrottsorganisa- tioner rätt att ta del av nu aktuella uppgifter utan hinder av den sekretess

311

Prop. 2017/18:269 som gäller enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400).

Längsta tid som personuppgifter får behandlas 26 §

Paragrafen, som anger hur länge uppgifter får behandlas i tillträdesför- budsregistret, motsvarar nuvarande 12 § lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 51). Övervägandena finns i avsnitt 14.3.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkiv- lagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §).

Rätt att meddela föreskrifter

27 §

I paragrafen, där bestämmelser om föreskrifter samlas, finns en upplys- ning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om omfattningen av direktåtkomsten till dna- register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid direktåtkomst, vilket motsvarar 4 kap. 10 § tredje stycket och 17 § tredje stycket polisdatalagen, tillgången till personupp- gifter i penningtvättsregister och det internationella registret, vilket mot- svarar 4 kap. 18 § andra stycket och 21 § tredje stycket polisdatalagen och att personuppgifter i fingeravtrycks- och signalementsregister, pen- ningtvättsregister, det internationella registret och tillträdesförbudsregist- ret får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, vilket motsvarar 4 kap. 16 §, 20 § andra stycket och 22 § andra stycket polisdatalagen.

6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål

Ändamål

1 §

Paragrafen motsvarar 5 kap. 1 § polisdatalagen (se prop. 2014/15:94 s. 127 f.).

2 §

Paragrafen motsvarar 5 kap. 2 § polisdatalagen (se prop. 2014/15:94 s. 130 f.).

3 §

I paragrafen, som i huvudsak motsvarar 5 kap. 3 § polisdatalagen, anges vad som gäller när personuppgifter som behandlas för forensiska ändamål ska behandlas för nya ändamål (se prop. 2014/15:94 s. 131 f.). Övervägandena finns i avsnitt 7.8.3.

312

Enligt första stycket får personuppgifter som behandlas enligt 1 § Prop. 2017/18:269 första stycket 2 eller 5, enligt andra stycket 2 eller enligt 2 § andra

stycket behandlas för nya ändamål inom brottsdatalagens tillämpnings- område. Bestämmelsen gäller i de angivna fallen i stället för 2 kap. 4 § brottsdatalagen.

I andra stycket anges att personuppgifter som behandlas enligt 1 eller 2

§i ett enskilt fall även får behandlas för nya ändamål med stöd av 2 kap.

4 och 22 §§ brottsdatalagen. Det gäller oavsett om behandlingen sker för nya ändamål inom eller utanför brottsdatalagens tillämpningsområde. Vad prövningen enligt 2 kap. 4 eller 22 § brottsdatalagen innebär utvecklas i prop. 2017/18:232 s. 442 f. och 451 f.

Paragrafen har i huvudsak utformats i enlighet med Lagrådets förslag.

Känsliga personuppgifter

4 §

Paragrafen, som inte har någon motsvarighet i polisdatalagen, anger förutsättningarna för att behandla biometriska och genetiska uppgifter i den forensiska verksamheten. Övervägandena finns i avsnitt 7.8.4.

Biometriska respektive genetiska uppgifter definieras i 1 kap. 6 § brottsdatalagen. Sådana uppgifter får behandlas enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen. Det innebär att de bara får be- handlas om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen. Paragrafen är en sådan särskild föreskrift som krävs för att behandling ska vara tillåten.

Om material har samlats in på en brottsplats eller annars tagits om hand inom ramen för en brottsutredning och materialet behöver analyseras forensiskt, får det anses vara absolut nödvändigt att behandla personuppgifterna i fråga.

5 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, görs undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Övervägandena finns i avsnitt 7.8.4.

Undantaget innebär att det i forensisk verksamhet är tillåtet att göra sökningar i dna-registren och fingeravtrycks- och signalementsregistren i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Dna-registren och fingerav- trycksregistren består till stor del av biometriska uppgifter. Sökning på uppgifter i dessa register leder därmed till urval av personer grundade på biometriska uppgifter. I fingeravtrycksregistren kan det t.ex. behöva göras sökningar för att få fram uppgifter om personer som saknar en eller flera fingrar, vilket förutom att vara en biometrisk uppgift också kan vara en uppgift om hälsa.

313

Prop. 2017/18:269 Längsta tid som personuppgifter får behandlas

6 §

Paragrafen, som motsvarar 5 kap. 7 § polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas för forensiska ändamål (se prop. 2014/15:94 s. 134).

Utlämnande av personuppgifter 7 §

Paragrafen, som i huvudsak motsvarar 5 kap. 8 § polisdatalagen, innehåller en sekretessbrytande bestämmelse (se prop. 2014/15:94 s. 134 f.).

8 §

I paragrafen, som delvis motsvarar 5 kap. 4 § 7 och 2 kap. 20 § polisdata- lagen föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Övervägandena finns i avsnitt 5.6.4.

Vilka omständigheter som kan påverka den bedömningen framgår av kommentaren till 2 kap. 12 §.

Rätt att meddela föreskrifter 9 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4.

10 §

I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter som begränsar behandlingen av personuppgifter vid digital arkivering.

7 kap. Övriga bestämmelser

	Administrativa sanktionsavgifter
	1 §
	Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar
	vid vilka överträdelser av bestämmelser i lagen som sanktionsavgift får
	tas ut. Övervägandena finns i avsnitt 5.4.2.
	De grundläggande bestämmelserna om hur personuppgifter får
	behandlas inom brottsdatalagens tillämpningsområde finns i brottsdata-
	lagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid
	överträdelser av angivna bestämmelser i den lagen.
	I första stycket anges uttömmande vid vilka överträdelser av polisens
	brottsdatalag som sanktionsavgift får tas ut av den	personuppgifts-
314	ansvarige. Tillsynsmyndigheten avgör i det enskilda	fallet om det är

påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att Prop. 2017/18:269 avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och

längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt förevarande lag.

I andra stycket anges att sanktionsavgiften ska bestämmas till högst

10 000 000 kronor.

Skadestånd

2 §

I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3.

Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med förevarande lag eller före- skrifter som har meddelats i anslutning till den. Det innebär att den per- sonuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av person- uppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författ- ningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).

Överklagande

3 §

I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Exempelvis kommer bestämmelsen i 7 kap. 3 § brottsdatalagen att tillämpas när tillsynsmyndigheten beslutar om sanktionsavgift enligt 1 §. Övervägandena finns i avsnitt 5.4.4.

Ikraftträdande- och övergångsbestämmelser

Övervägandena angående ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16.

Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att polisdatalagen upphävs genom lagen.

En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet.

Punkt 4 innebär att 6 kap. polisdatalagen, med de hänvisningar som görs där till andra bestämmelser i polisdatalagen, fortfarande gäller för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. När dataskyddslagen träder ikraft upphävs personuppgiftslagen (1998:204). Enligt punkt 3 i övergångsbe- stämmelserna till dataskyddslagen gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Även de

hänvisningar till personuppgiftslagen som finns i polisdatalagen gäller

315

Prop. 2017/18:269 därför fortsatt för Säkerhetspolisens behandling av uppgifter i aktuellt avseende.

18.2Förslaget till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område

I enlighet med Lagrådets synpunkt upphävs tullbrottsdatalagen (2017:447) och ersätts av en ny lag om Tullverkets behandling av

personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag). Innehållet i Tullverkets brottsdatalag motsvarar till stora delar innehållet i tullbrottsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om admi- nistrativa sanktionsavgifter, skadestånd och överklagande. Vidare flyttas bestämmelserna om Tullverkets behandling av personuppgifter som transportföretag tillhandahåller myndigheten enligt bestämmelser i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och tullagen (2016:253) till Tullverkets brottsdatalag.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 §

I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 8.2.

Lagen gäller utöver brottsdatalagen när Tullverket i egenskap av behö- rig myndighet enligt den lagen behandlar personuppgifter för vissa syften. Lagen är tillämplig även när Tullverket behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet.

Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdata- lagen. Tullverkets brottsdatalag innehåller endast preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.

Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan be- handling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behö- rig myndighet, personuppgift och behandling av personuppgifter definie- ras i 1 kap. 6 § brottsdatalagen.

Lagen gäller när Tullverket behandlar personuppgifter om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verk-

316

samhet eller utreda eller lagföra brott. Vad det innebär utvecklas i kom- Prop. 2017/18:269 mentaren till 2 kap. 1 §.

2 §

Paragrafen, som delvis motsvarar 1 kap. 3 § första och tredje styckena tullbrottsdatalagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete samt till lagen om flygpassageraruppgifter i brottsbekämpningen. Sistnämnda hänvisning är en följd av ny lagstiftning. Frågan behandlas i avsnitt 8.2.

Personuppgiftsansvar

3 §

I paragrafen, som motsvarar 2 kap. 3 § tullbrottsdatalagen, regleras per- sonuppgiftsansvaret (se prop. 2016/17:91 s. 196 f.). Personuppgifts- ansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen.

Behandling av uppgifter om juridiska personer

4 §

I paragrafen, som i huvudsak motsvarar 1 kap. 4 § tullbrottsdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 §

Paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 6.1, 6.3 och 8.3.1.

Paragrafen, som är anpassad till hur de rättsliga grunderna för behand- ling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall be- handla personuppgifter enbart för diarieföring och nödvändig handlägg- ning.

Tullverket får behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten.

317

Prop. 2017/18:269 Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är fram- för allt Tullverkets underrättelseverksamhet som regleras i punkten. Med det avses arbete med insamling, bearbetning och analys av information i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts (se prop. 2016/17:91 s. 198 f.). Personuppgiftsbehandling i Tullverkets brottsförebyggande arbete som rör införsel av varor, liksom kartläggning och spaning som inte är hänförlig till en förundersökning men utförs i syfte att upptäcka brottslig verksamhet, omfattas också.

Behandling av uppgifter om vilka personer som kommer med en viss transport, t.ex. en viss färja, går i stor utsträckning ut på att förebygga, förhindra och upptäcka smuggling av framför allt narkotika genom att studera resmönster, betalningssätt, vilka som reser i sällskap och lik- nande. När uppslag om kontrollobjekt som är intressanta ur brottsbe- kämpningssynpunkt vidarebefordras till myndighetens kontrollverk- samhet görs det i syfte att förhindra och upptäcka brottslig verksamhet. Viss personuppgiftsbehandling som är nödvändig för att planera kontrol- ler, välja ut kontrollobjekt och utföra begärda kontroller i Tullverkets brottsbekämpande verksamhet ryms därför under punkten. Huruvida per- sonuppgiftsbehandling i samband med kontroller omfattas av lagen av- görs av om kontrollen görs i syfte att upptäcka, förebygga eller förhindra brottslig verksamhet eller inte.

Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda eller lagföra brott. Att utreda brott innebär framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken. Med brott avses konkreta brott, men det kan vara fråga om både brott som bevis- ligen har begåtts och brott som det enbart finns misstankar om. Misstan- karna behöver inte vara riktade mot någon bestämd person. Även per- sonuppgiftsbehandling inom ramen för den form av förenklat utrednings- förfarande som regleras i 23 kap. 22 § rättegångsbalken och vid åtgärder som vidtas med stöd av 23 kap. 3 och 8 §§ rättegångsbalken omfattas.

Med lagföra brott avses här framför allt att utfärda strafförelägganden och förelägganden av ordningsbot. Tullverkets åklagare får även väcka åtal och föra talan vid domstol i vissa typer av mål. Den personuppgiftsbehandling som är nödvändig för dessa åklagaruppgifter har stöd i denna punkt.

Personuppgifter får enligt punkt 3 också behandlas om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på sådana förpliktelser som syftar till att gagna utländsk brottsbekämpande verk- samhet (se prop. 2016/17:91 s. 199).

Behandling för nya ändamål

2 §

I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 8.3.1.

318

Innan personuppgifter får behandlas för ett nytt ändamål inom eller Prop. 2017/18:269 utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt

2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.).

Särskilda upplysningar

3 §

I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.4.

Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upp- lysningar. Det innebär att när personuppgifter behandlas bara av ett fåtal personer behöver särskilda upplysningar inte lämnas.

Känsliga personuppgifter

4 §

I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, regleras när Tullverket får behandla biometriska uppgifter. Övervägan- dena finns i avsnitt 8.3.2.

Bestämmelsen, som är en sådan särskild föreskrift som avses i 2 kap. 12 § brottsdatalagen, möjliggör användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Regleringen innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person.

Biometriska uppgifter får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga.

5 §

I paragrafen, som tillsammans med 6 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 3 kap. 5 § andra stycket tullbrottsdatalagen. Övervägandena finns i avsnitt 8.3.3.

Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och personupp- gifter som inte har det.

Sökförbudet hindrar inte att brottsrubriceringar, uppgifter om tillväga- gångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av perso- ner grundat på känsliga personuppgifter, som t.ex. hälsa eller sexuell

läggning.

319

Prop. 2017/18:269 Med uppgifter som beskriver en persons utseende avses signalements- uppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, kläd- sel och fysiska kännetecken som födelsemärken, blindhet och tatueringar (jfr prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett urval av personer grundat på uppgifter som rör hälsa. Med uppgifter om tillvägagångssätt vid brott avses t.ex. uppgifter om smugglingsmetoder eller särskilda föremål som kan användas som brottsverktyg. Vid exem- pelvis kontroll av förbud mot införsel och utförsel av barnpornografi kan sökning på brottsrubricering och särskilda föremål avslöja en persons sexualliv eller sexuella läggning.

320

Sökning på tillvägagångssätt vid brott kan t.ex. resultera i ett urval av personer grundat på hälsa. Det gäller exempelvis sökning på s.k. sväljare. Sökning på uppgifter om en persons utseende kan avse exempelvis fysiska skador eller särdrag som kan avslöja uppgifter om hälsa eller uppgifter om tatueringar som kan avslöja viss politisk åsikt eller religiös övertygelse.

6 §

I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i tullbrottsdatalagen. Övervägandena finns i avsnitt 8.3.3.

Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga, dvs. personuppgifter som enbart ett fåtal har tillgång till. Sökning i sådana uppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan aktualiseras bl.a. om det är känt att en viss narkotikasort används av en grupp med visst etniskt ursprung eller religiös övertygelse. Drogen kat som endast odlas utomlands är ett exempel på det. Tullverket kan även behöva göra sökningar i syfte att få fram uppgifter om ideologiskt motiverade grupperingar som är kända för att finansiera sin verksamhet genom smuggling av narkotika eller andra otillåtna föremål. Tullverket kan även ha skäl att söka på ordet pedofil eller vissa typer av föremål i syfte att förebygga, förhindra eller upptäcka smuggling av barnpornografi.

Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras eller medlemskap i fackförening eller sökning i genetiska eller bio- metriska uppgifter. Sökning som syftar till att få fram ett urval av perso- ner grundat på sådana uppgifter är alltså inte tillåten.

enligt denna paragraf medför således inte en generell rätt att fortsätta att Prop. 2017/18:269 behandla uppgifterna.

Utlämnande av personuppgifter

7 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar 2 kap. 12 § tullbrottsdatalagen (se prop. 2016/17:91 s. 205 f.).

Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket bara om mottagaren behöver dem för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

Vid överföring av personuppgifter till tredjeland ska regleringen i

8 kap. brottsdatalagen också tillämpas.

8 §

Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 2 kap. 13 § tullbrottsdatalagen (se prop. 2016/17:91

s.206).

Sekretessen bryts om den mottagande myndigheten behöver

uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

9 §
Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt.
I första stycket, som delvis motsvarar 2 kap. 16 § tullbrottsdatalagen,
föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än
genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande
avses bl.a. utlämnande genom e-post eller annan elektronisk överföring
eller på ett usb-minne eller annat motsvarande medium. Övervägandena
finns i avsnitt 5.6.4.
Det har betydelse vem mottagaren är för frågan om det är olämpligt att
lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämp-
ligt att lämna ut uppgifter på det sättet till en myndighet (se prop.
2014/15:148 s. 113).
När det gäller utlämnande till enskilda krävs en mer nyanserad bedöm-
ning. Om det finns en författningsreglerad skyldighet att sända en hand-
ling till en viss person får det avgöras om elektroniskt utlämnande är
olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mot-
tagare, behovet av att kunna visa att personen i fråga har tagit del av
handlingen och andra omständigheter. Är det fråga om processmaterial
som översänds till parter eller ombud bör även principen om parternas
likställdhet i processen beaktas.
Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd
när det på grund av uppgifternas art, struktur, antal eller någon annan
särskild omständighet finns anledning att befara att utlämnandet kan leda	321
	321

Prop. 2017/18:269 till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekre- tesslagen (2009:400). De får då inte lämnas ut till följd av sekretess.

Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68

s.51 f.).

Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör

även informationssäkerheten vägas in.

Andra stycket motsvarar 2 kap. 17 § tullbrottsdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen.

	Personuppgifter från transportföretag
	10 §
	Paragrafen, som delvis motsvarar 2 kap. 8 § tullbrottsdatalagen, reglerar
	hur personuppgifter som transportföretag tillhandahåller Tullverket får
	behandlas. Övervägandena finns i avsnitt 8.4.
	Det är fråga om uppgifter om ankommande eller avgående transporter
	av varor, passagerare eller fordon som företagen befordrar till och från
	Sverige. Transportföretagens skyldighet att tillhandahålla uppgifter regle-
	ras i lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat
	land inom Europeiska unionen och tullagen. I lagen om flygpas-
	sageraruppgifter i brottsbekämpningen regleras personuppgiftsbehand-
	ling som avses i den lagen. Om den lagen eller föreskrifter som rege-
	ringen har meddelat i anslutning till lagen innehåller avvikande bestäm-
	melser, ska de tillämpas i stället för bestämmelserna i denna lag. Detta
	följer av 1 kap. 2 §.
	Personuppgifter från transportföretag får enligt första stycket behandlas
	för att planera kontroller och välja ut kontrollobjekt för att förebygga,
	förhindra eller upptäcka brottslig verksamhet. Det innebär att arbetet
	inriktas på att få fram kontrollobjekt för vilka det råder förhöjd risk för
	smuggling eller andra brott. Sådana uppgifter får också behandlas för att
	utreda eller lagföra brott. Vid s.k. kontrollerade leveranser av narkotika
	kan bokningsuppgifter vara av stor praktisk betydelse. Vid utredning av
	smugglingsbrott är det viktigt att kunna kontrollera uppgifter om resväg,
	ressällskap och liknande. Möjligheten att söka i sådana personuppgifter
	med hjälp av personnummer och andra identitetsbeteckningar regleras i
	12 §.
	Om det vid den behandling som görs, eller vid kontroll vid ankomsten
	till Sverige, uppkommer skäl att behandla personuppgifterna för ett nytt
	ändamål får det enligt andra stycket bara göras om förutsättningarna för
	behandling för nya ändamål i 2 kap. 4 eller 22 § brottsdatalagen är
322	uppfyllda i det enskilda fallet. Ett typiskt exempel är att ett brott upptäcks

när någon har tagits ut för en kontroll och att uppgifterna behövs för att Prop. 2017/18:269 utreda och lagföra brottet. Det kan också visa sig att vissa av uppgifterna

behövs i ett underrättelseärende, t.ex. för kartläggning av nya smugglingsmetoder.

Av 3 kap. 2 § andra stycket framgår i vilken utsträckning person-
uppgifter som transportföretag tillhandahåller får göras gemensamt till-
gängliga.
11 §
I paragrafen anges hur personuppgifter som Tullverket får del av genom
terminalåtkomst får behandlas. Bestämmelsen motsvarar delvis 16 §
andra stycket lagen om Tullverkets befogenheter vid Sveriges gräns mot
ett annat land inom Europeiska unionen och 4 kap. 8 § andra stycket
tullagen. Övervägandena finns i avsnitt 8.4.
Paragrafen reglerar enbart behandling vid terminalåtkomst till person-
uppgifter hos transportföretag, medan 10 och 12 §§ anger vad som gäller
i fråga om personuppgifter som förs över till myndighetens it-system
eller behandlas strukturerat på annat sätt.
Genom terminalåtkomsten till företagens it-system får Tullverket till-
gång till omfattande överskottsinformation om resande. Myndigheten får
inte ändra eller på annat sätt bearbeta uppgifter i sådana system. Syftet
med regleringen är att myndigheten inte heller ska kunna föra över en hel
sådan uppgiftssamling till sina egna it-system för att bearbeta, ändra och
lagra personuppgifterna där. Som framgår av 10 § får däremot uppgifter i
enskilda fall behandlas för nya ändamål om förutsättningarna för det är
uppfyllda.
12 §
I paragrafen, som motsvarar 2 kap. 9 § första stycket tullbrottsdatalagen,
regleras i vilken utsträckning direkta personuppgifter får användas vid
sökning i uppgifter som transportföretag tillhandahåller.
Rätt att meddela föreskrifter
13 §
I paragrafen finns en upplysning om att regeringen kan meddela
föreskrifter om att personuppgifter får lämnas ut i andra fall än som
anges i 7 och 8 §§, vilket motsvarar 2 kap. 14 § första stycket
tullbrottsdatalagen, och om begränsning av möjligheten att lämna ut
uppgifter elektroniskt på annat sätt än genom direktåtkomst.
Övervägandena finns i avsnitt 5.6.4.
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 §
Av paragrafen framgår att kapitlet innehåller bestämmelser om behand-
ling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.
Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i
prop. 2016/17:91 s. 208 f.	323
	323

Prop. 2017/18:269 Enligt första stycket gäller kapitlet bara för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brotts- datalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter.

Personuppgifter som får göras gemensamt tillgängliga

2 §

I paragrafen anges vilka personuppgifter som får göras gemensamt till- gängliga.

Första och tredje styckena motsvarar 3 kap. 2 § tullbrottsdatalagen (se prop. 2016/17:91 s. 210 ff.).

Av andra stycket, som i huvudsak motsvarar 2 kap. 8 § andra stycket tullbrottsdatalagen, framgår att personuppgifter från transportföretag endast får göras gemensamt tillgängliga om det behövs i ett enskilt fall. Övervägandena finns i avsnitt 8.5.2. Regleringen gör det möjligt för Tullverket att göra personuppgifter om utvalda kontrollobjekt gemensamt tillgängliga t.ex. för att kontrollverksamheten ska få kännedom om att det för vissa resande eller varusändningar kan finnas en förhöjd risk för smuggling. Uppgifterna kan också göras gemensamt tillgängliga i underrättelseverksamheten eller för att utreda eller lagföra brott.

Särskilda upplysningar

3 §

I paragrafen, som motsvarar 3 kap. 3 § tullbrottsdatalagen, föreskrivs att det ska framgå om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 (se prop. 2016/17:91 s. 212 f.). Övervägandena finns i avsnitt 5.3.4. Att det ska framgå för vilket närmare ändamål personuppgifterna behandlas följer av 2 kap. 3 § brottsdatalagen.

4 §

I paragrafen, som i huvudsak motsvarar 3 kap. 4 § tullbrottsdatalagen, ställs det krav på att uppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet i vissa fall ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4.

Enligt första stycket ska det framgå av uppgifter i underrättelseverk- samhet att en person inte är misstänkt för att utöva brottslig verksamhet. Det ska alltså gå att skilja mellan personer som är föremål för myndig- hetens intresse på grund av inblandning i brottslig verksamhet och per- soner som inte är misstänkta för det.

Enligt andra stycket ska uppgifter om personer som kan antas ha sam- band med misstänkt brottslig verksamhet eller som övervakas på visst sätt förses med en upplysning om uppgiftslämnarens trovärdighet och

uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara

324

uppgifter om en person som kan antas ha direkt samband med misstänkt Prop. 2017/18:269 brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta

träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller alltså utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet.

Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt upp- gifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas.

Utrymmet för att underlåta att förse uppgifter med upplysning om tro- värdighet och riktighet vidgas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning.

Sökning

5 §

Paragrafen, som i huvudsak motsvarar 3 kap. 6 § tullbrottsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer eller liknande identitetsbeteckningar (se prop. 2016/17:91 s. 214 ff.). Övervägandena finns i avsnitt 8.5.1.

Bestämmelsen gäller endast vid sökning i automatiserade behandlings- system. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f.

6 §

Paragrafen, som delvis motsvarar 3 kap. 7 § tullbrottsdatalagen, innehåller undantag från begränsningarna i 5 §. Övervägandena finns i avsnitt 8.5.1.

Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller ett visst ärende.

Enligt andra stycket gäller begränsningarna i 5 § inte vid vissa sök- ningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1 när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede. Syftet med bestämmelsen är att tjänstemännen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband med befintliga underrättelseuppgifter. Det kan t.ex. vara fråga om tips från allmänheten om smuggling. Det är bara under en begränsad tid efter det att uppgifterna kom in som punkten är

325

Prop. 2017/18:269 tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punkten.

Enligt punkt 2 är sökningar som utförs i syfte att bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet eller för övervakningen av en allvarligt kriminellt belastad person tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna.

Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer.

Enligt punkt 4 gäller inte begränsningarna i 5 § vid sökning i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.

Undantaget i tredje stycket innebär att begränsningarna i 5 § inte gäller när en tjänsteman vid någon av Tullverkets ledningscentraler utför sökningar på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild.

Direktåtkomst

7 §

I paragrafen, som delvis motsvarar 3 kap. 8 § tullbrottsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2016/17:91 s. 217).

Rätt att meddela föreskrifter

8 §

I paragrafen, som motsvarar 3 kap. 7 § tredje stycket andra meningen tullbrottsdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 5 §, utöver vad som framgår av 6 §.

9 §

I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana personuppgifter som avses i 5 §, vilket motsvarar 3 kap. 6 § andra stycket tullbrottsdatalagen, under vilka förutsättningar sökning får utföras med stöd av 6 §, vilket motsvarar 3 kap. 7 § tredje stycket första meningen tullbrottsdatalagen, och omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 3 kap. 8 § tredje stycket tullbrottsdatalagen.

4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse

1 §

Paragrafen har inte någon motsvarighet i tullbrottsdatalagen. Övervägandena finns i avsnitt 5.5.1.

326

I första stycket föreskrivs att kapitlet endast gäller för uppgifter som Prop. 2017/18:269 behandlas automatiserat, om inget annat sägs. I 3 § finns en bestämmelse

som även är tillämplig på viss annan behandling.

17 § första stycket brottsdatalagen. I övriga paragrafer i detta kapitel anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 §

I paragrafen, som motsvarar 4 kap 3 § tullbrottsdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte (se prop. 2016/17:91 s. 219). Övervägandena finns i avsnitt 5.5.2.

I första stycket anges hur länge uppgifterna får behandlas.

Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott.

3 §

Paragrafen reglerar när personuppgifter från transportföretag ska förstö- ras. Den motsvarar delvis 16 § tredje stycket lagen om Tullverkets befo- genheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och 4 kap. 8 § tredje stycket tullagen. Övervägandena finns i avsnitt 8.4.

Transportföretagens uppgiftsskyldighet kan fullgöras på det sätt som transportföretagen finner lämpligt. Av 15 § lagen om Tullverkets befo- genheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och 4 kap. 6 § tullagen framgår vidare att terminalåtkomst bara tillåts i den omfattning och under den tid som behövs för att kontrollera aktuella transporter, se prop. 1995/96:166 s. 81 f. Personuppgifter som Tullverket får tillgång till på annat sätt än genom terminalåtkomst ska enligt första stycket förstöras omedelbart om de saknar betydelse för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Eftersom flertalet uppgifter rör personer som varken är misstänkta för brott eller för att utöva brottslig verksamhet, ska personuppgifterna omedelbart tas bort när Tullverket har gjort profilsökning och riskanalys

och inte längre behöver dem.

327

Prop. 2017/18:269 Enligt 2 kap. 10 § andra stycket får uppgifter från transportföretag i ett enskilt fall behandlas för nya ändamål om förutsättningarna för det är uppfyllda. Det kan t.ex. vara fallet om uppgifterna är nödvändiga för att Tullverket ska kunna utreda eller lagföra ett visst brott i samband med in- eller utförsel av varor (jfr prop. 1995/96:166 s. 99 f.). Sådana personupp- gifter behöver då inte förstöras. För dem gäller i stället bestämmelserna i 4–6 §§.

328

I andra stycket föreskrivs att bestämmelsen i första stycket även gäller för behandling som inte är automatiserad när uppgifter från transportföre- tag ingår i en strukturerad samling personuppgifter. Det innebär att para- grafen är tillämplig t.ex. på personuppgifter som lämnas i pappersform.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

4 §

Paragrafen, som motsvarar 4 kap. 6 § tullbrottsdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2016/17:91 s. 220 f.).

Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelsen hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivända- mål efter de tidpunkter som anges i paragrafen. Frågan behandlas i av- snitt 5.5.3.

5 §

Paragrafen, som motsvarar 4 kap. 7 § tullbrottsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2016/17:91 s. 221).

6 §

Paragrafen, som motsvarar 4 kap. 8 § tullbrottsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ned eller där åtal har lagts ned eller frikännande dom har fått laga kraft (se prop. 2016/17:91 s. 221).

Övriga gemensamt tillgängliga uppgifter

7 §

Av paragrafen, som delvis motsvarar 4 kap. 9 § tullbrottsdatalagen, framgår att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2.

I första stycket finns en upplysning om att de aktuella Prop. 2017/18:269 personuppgifterna som längst får behandlas under den tid som anges i 8–

11 §§.

Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 8–11 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i 8–11 §§ har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 12 §).

8 §

Paragrafen, som i huvudsak motsvarar 4 kap. 9 § andra och fjärde styckena tullbrottsdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2016/17:91 s. 222 f.).

Enligt första stycket, som behandlas i avsnitt 8.6, får personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 och som behandlas i ett ärende inte behandlas längre än ett år efter det att ärendet avslutades.

9 §

Paragrafen, som motsvarar 4 kap 9 § tredje och fjärde styckena tullbrottsdatalagen, reglerar hur länge uppgifter om en person som är föremål för övervakning enligt 3 kap. 2 § första stycket 2 får behandlas. Frågan behandlas i avsnitt 5.5.2.

10 §

Iparagrafen, som motsvarar 4 kap. 10 § tredje stycket tullbrottsdatalagen, regleras hur länge personuppgifter som har rapporterats till Tullverkets ledningscentraler får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Frågan behandlas i avsnitt 5.5.2.

329

Prop. 2017/18:269

330

11 §

Paragrafen, som motsvarar 4 kap. 10 § andra stycket tullbrottsdatalagen, reglerar hur länge uppgifter som behandlas för att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Frågan behandlas i avsnitt 5.5.2.

Rätt att meddela föreskrifter

12 §

I paragrafen, som i huvudsak motsvarar 4 kap. 2 § tullbrottsdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8– 11 §. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare anges att regeringen eller den myndighet som regeringen bestämmer kan meddela förskrifter dels om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8–11 , dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 §

Paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som en sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2.

De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får en sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen.

I första stycket anges uttömmande vid vilka överträdelser av Tullverkets brottsdatalag som en sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut en sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag.

I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Prop. 2017/18:269

2 §

Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personupp- giftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhets- skada. Med kränkning avses ideell skada som består i att den enskildes integritet har kränkts genom behandlingen. Se vidare författningskom- mentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).

Överklagande

3 §

I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att tullbrottsdatalagen upphävs genom lagen.

En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet.

18.3Förslaget till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område

I enlighet med Lagrådets synpunkt upphävs kustbevakningsdatalagen (2012:145) och ersätts av en ny lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Innehållet i Kustbevakningens brottsdatalag motsvarar till stora delar innehållet i kustbevakningsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen utgår ett kapitel. Dessutom tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande.

331

Prop. 2017/18:269 1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 §

I paragrafen, som inte har någon motsvarighet i kustbevaknings- datalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 9.2.

Lagen gäller utöver brottsdatalagen när Kustbevakningen i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter för vissa syften.

Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdata- lagen. Den nu aktuella lagen innehåller preciseringar, undantag eller av- vikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.

Lagen gäller om syftet med personuppgiftsbehandlingen är att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Vad det innebär utvecklas i kommentaren till 2 kap. 1 §.

2 §

Paragrafen, som motsvarar 1 kap. 2 § tredje stycket kustbevakningsdata- lagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete. Övervägandena finns i avsnitt 15.2.

Personuppgiftsansvar

3 §

Paragrafen, som motsvarar 2 kap. 4 § kustbevakningsdatalagen, reglerar personuppgiftsansvaret. Personuppgiftsansvarig är den behöriga myndig- het som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdata- lagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brotts- datalagen.

Behandling av uppgifter om juridiska personer

4 §

Iparagrafen, som i huvudsak motsvarar 1 kap. 3 § kustbevaknings- datalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som

332

gäller för behandling av uppgifter om juridiska personer. Övervägandena Prop. 2017/18:269 finns i avsnitt 5.4.1.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder
1 §
Paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen,
reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter.
Övervägandena finns i avsnitt 9.3.1.
Paragrafen, som är anpassad till hur de rättsliga grunderna för behand-
ling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap.
1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap.
2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall
behandla personuppgifter enbart för diarieföring och nödvändig
handläggning.
Kustbevakningen får behandla personuppgifter om det är nödvändigt
för att utföra vissa uppgifter. I 2 kap. 1 § andra stycket brottsdatalagen
anges att med en behörig myndighets uppgift avses en uppgift som
framgår av lag, förordning eller ett särskilt beslut i vilket regeringen
uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop.
2017/18:232 s. 440).
Bestämmelsen bildar den yttre ramen för när behandling av
personuppgifter är tillåten.
Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för
att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är fram-
för allt Kustbevakningens underrättelseverksamhet som avses. Med
underrättelseverksamhet avses arbete med insamling, bearbetning och
analys av information i syfte att förebygga, förhindra eller upptäcka
brottslig verksamhet när det ännu inte finns misstankar om att något
konkret brott har begåtts (se prop. 2011/12:45 s. 203). Även behandling
av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken
omfattas, om syftet är att förhindra brott. Personuppgiftsbehandling vid
annan brottsförebyggande verksamhet omfattas också.
Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för
att utreda eller lagföra brott. Att utreda brott innebär framför allt att
genomföra förundersökning enligt 23 kap. rättegångsbalken. Med brott
avses konkreta brott, men det kan vara fråga om både brott som bevisli-
gen har begåtts och brott som det enbart finns misstankar om. Misstan-
karna behöver inte vara riktade mot någon bestämd person. Även per-
sonuppgiftsbehandling inom ramen för den form av förenklat utrednings-
förfarande som regleras i 23 kap. 22 § rättegångsbalken och vid åtgärder
som vidtas med stöd av 23 kap. 3 och 8 §§ rättegångsbalken omfattas.
Med lagföra brott avses att utfärda förelägganden av ordningsbot.
Kustbevakningen får enligt punkt 3 behandla personuppgifter om det är
nödvändigt för att upprätthålla allmän ordning och säkerhet. När en kust-
bevakningstjänsteman ingriper vid en konkret ordningsstörning, eller en
potentiell sådan störning vid en specifik händelse, är det fråga om att
upprätthålla allmän ordning och säkerhet. Detsamma gäller vid ingri-
pande eller andra åtgärder för att avvärja brott. Det kan t.ex. vara fråga	333

Prop. 2017/18:269 om åtgärder enligt 13 § polislagen (1984:387) eller enligt lagstiftningen om sjöfartsskydd eller hamnskydd.

Kustbevakningen får enligt punkt 4 behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2011/12:45 s. 204).

Behandling för nya ändamål

2 §

I paragrafen, som inte har någon motsvarighet i kustbevaknings- datalagen, finns en upplysning om att förutsättningarna för att person- uppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 7.3.1.

Särskilda upplysningar

3 §

I paragrafen, som inte har någon motsvarighet i kustbevaknings- datalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.11.

Känsliga personuppgifter

4 §

I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs det undantag från sök- förbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 4 kap. 4 § andra stycket kustbevakningsdatalagen, Övervägandena finns i avsnitt 9.3.3.

Undantaget gäller både vid sökning i personuppgifter som har gjorts gemensamt tillgängliga och i personuppgifter som inte har det. Sökför- budet hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. Att uppgifter om tillvägagångssätt vid brott får användas vid sökning är nytt. Sådan sökning kan aktualiseras bl.a. vid vissa smugg- lingsbrott.

Med uppgifter som beskriver en persons utseende avses signalements- uppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, kläd- sel och fysiska kännetecken som födelsemärken, blindhet och tatueringar

334

(se prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett Prop. 2017/18:269 urval av personer grundat på uppgifter som rör hälsa.

5 §

I paragrafen, som tillsammans med 4 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs det undantag från sök- förbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i kustbevakningsdatalagen, Övervägandena finns i av- snitt 9.3.3.

Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras, politiska åsikter, medlemskap i fackförening, sexualliv eller sexuell läggning eller sökning i genetiska eller biometriska uppgifter. Sökningar som syftar till att få fram ett urval av personer grundat på sådana uppgif- ter är alltså inte tillåtna.

Utlämnande av personuppgifter

6 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisa- tioner. Den motsvarar i huvudsak 3 kap. 6 § kustbevakningsdatalagen (se prop. 2011/12:45 s. 208 f.).

Personuppgifter får lämnas ut bara om mottagaren behöver dem för förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Det innebär att möjligheterna till utlämnande utökas något i förhållande till dagens reglering, eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet.

Vid överföring av personuppgifter till tredjeland ska regleringen i

8 kap. brottsdatalagen också tillämpas.

335

Prop. 2017/18:269 7 §

Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 3 kap. 7 § kustbevakningsdatalagen (se prop. 2011/12:45

s.209).

Sekretessen bryts om den mottagande myndigheten behöver

uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

8 §

Paragrafen, som delvis motsvarar 2 kap. 8 § kustbevakningsdatalagen, reglerar när personuppgifter får lämnas ut elektroniskt.

I första stycket föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med så- dant utlämnande avses bl.a. utlämnande genom e-post eller annan elek- tronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4.

När det gäller utlämnande till enskilda krävs en mer nyanserad bedöm- ning. Om det finns en författningsreglerad skyldighet att sända en hand- ling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mot- tagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter.

Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekre- tesslagen (2009:400). De får då inte lämnas ut till följd av sekretess.

Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68

s.51 f.).

Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör

även informationssäkerheten vägas in.

Andra stycket motsvarar 2 kap. 9 § kustbevakningsdatalagen och inne- håller en upplysning om att direktåtkomst endast är tillåten i den ut- sträckning som anges i lagen.

336

Rätt att meddela föreskrifter

Prop. 2017/18:269

9 §

I paragrafen finns en upplysning om att regeringen kan meddela före- skrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 6 och 7 §§, vilket motsvarar 3 kap. 8 § första stycket kustbevak- ningsdatalagen, och om begränsning av möjligheten att lämna ut person- uppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägan- dena finns i avsnitt 5.6.4.

3 kap.

Allmän bestämmelse

1 §

Av paragrafen framgår att kapitlet innehåller bestämmelser om behand- ling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.

I första stycket anges vad kapitlet innehåller. Vidare anges vad som av- ses med uttrycket gemensamt tillgängliga uppgifter, vilket motsvarar 1 kap. 4 § kustbevakningsdatalagen. Vad det innebär utvecklas i prop. 2011/12:145 s. 210 f.

Personuppgifter som får göras gemensamt tillgängliga

2 §

Iparagrafen, som i huvudsak motsvarar 4 kap. 1 § kustbevaknings- datalagen, anges vilka personuppgifter som får göras gemensamt till- gängliga (se prop. 2011/12:45 s. 210 f.). Övervägandena finns i avsnitt 9.4.2.

I förhållande till dagens reglering tillkommer punkt 3, som innebär att personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga. Det kan t.ex. vara fråga om uppgifter om personer som bedöms kunna utgöra ett hot mot allmän ordning och säkerhet. Inför förväntade ordningsstörningar riktade mot sjötrafiken eller enskilda fartyg kan Kustbevakningen behöva göra uppgifter gemensamt tillgängliga om personer som vid tidigare tillfällen gjort sig skyldiga till ordningsstörningar.

Särskilda upplysningar

3 §

I paragrafen, som i huvudsak motsvarar 4 kap. 3 § kustbevakningsdata- lagen, föreskrivs att uppgifter i underrättelseverksamhet som är gemen- samt tillgängliga ska förses med särskilda upplysningar (se prop. 2011/12:45 s. 212). Övervägandena finns i avsnitt 5.3.11.

Enligt första stycket ska det framgå av uppgifter i underrättelse-

verksamhet att en person inte är misstänkt för att utöva brottslig verk-

337

Prop. 2017/18:269 samhet. Det ska alltså gå att skilja mellan personer som är föremål för myndighetens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det.

Enligt andra stycket ska uppgifter om personer som kan antas ha sam- band med misstänkt brottslig verksamhet förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verk- samhet.

Sökning

4 §

Paragrafen, som i huvudsak motsvarar 4 kap. 5 § första stycket kustbe- vakningsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer eller liknande identitetsbeteck- ningar (se prop. 2011/12:45 s. 213). Övervägandena finns i avsnitt 9.4.3.

Paragrafen gäller endast vid sökning i automatiserade behandlings- system. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f.

5 §

Paragrafen, som motsvarar 4 kap. 6 § första stycket kustbevaknings- datalagen, innehåller undantag från begränsningarna i 4 § (se prop. 2011/12:45 s. 214). Övervägandena finns i avsnitt 9.4.3.

Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller i ett visst ärende.

Enligt andra stycket gäller begränsningarna i 4 § inte vid vissa sök-

ningar som utförs av särskilt angivna tjänstemän i syfte att bearbeta och

338

analysera personuppgifter som har gjorts gemensamt tillgängliga i under- Prop. 2017/18:269 rättelseverksamhet, om det endast är de tjänstemän som får göra sök-

ningen som har tillgång till informationen.

Direktåtkomst

6 §

I paragrafen, som i huvudsak motsvarar 4 kap. 7 § första stycket kustbevakningsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2011/12:45 s. 215).

Rätt att meddela föreskrifter

7 §

I paragrafen, som motsvarar 4 kap. 6 § tredje stycket kustbevaknings- datalagen, finns en upplysning om att regeringen kan meddela föreskrif- ter om ytterligare undantag från bestämmelserna om sökning i 4 §.

8 §

I paragrafen, där övriga bestämmelser om föreskrifter som rör gemen- samt tillgängliga uppgifter samlas, finns en upplysning om att rege- ringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 4 §, vilket motsvarar 4 kap. 5 § andra stycket kustbevakningsdatalagen, under vilka förutsättningar sökning får utföras med stöd av 5 §, vilket motsvarar 4 kap. 6 § andra stycket kustbevakningsdatalagen och omfatt- ningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 4 kap. 7 § tredje stycket kustbevakningsdata- lagen.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 §

Paragrafen har inte någon motsvarighet i kustbevakningsdatalagen. Övervägandena finns i avsnitt 5.5.1.

I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för personuppgifter som behandlas automatiserat.

Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behand- lingen av en viss personuppgift får den dock inte behandlas längre än vad som anges i respektive paragraf.

339

Prop. 2017/18:269

340

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 §

I paragrafen, som motsvarar 3 kap. 5 § kustbevakningsdatalagen, anges hur länge personuppgifter som inte har gjorts gemensamt tillgängliga får behandlas (se prop. 2011/12:45 s. 207). Övervägandena finns i avsnitt 5.5.2. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte.

I första stycket anges hur länge uppgifterna får behandlas.

Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 §

Paragrafen, som motsvarar 4 kap. 9 § kustbevakningsdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2011/12:45 s. 216). Övervägandena finns i avsnitt 5.5.3.

Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fort- sätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunk- ter som anges i paragrafen.

4 §

Paragrafen, som motsvarar 4 kap. 10 § kustbevakningsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får be- handlas (se prop. 2011/12:45 s. 216 f.). Övervägandena finns i avsnitt 5.5.3.

Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fort- sätta att behandlas automatiserat bl.a. för arkivändamål efter de tidpunk- ter som anges i paragrafen.

5 §

Paragrafen, som motsvarar 4 kap. 12 § kustbevakningsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft (se prop. 2011/12:45 s. 217 f.).

Övriga gemensamt tillgängliga uppgifter

Prop. 2017/18:269

6 §

I paragrafen, som delvis motsvarar 4 kap. 13 § kustbevakningsdatalagen, anges att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2.

I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7– 9 §§.

Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 7–9 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i 7– 9 §§ har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskap- liga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 11 §).

7 §

Paragrafen, som motsvarar 4 kap. 13 § andra stycket kustbevaknings- datalagen, reglerar hur länge personuppgifter får behandlas i underrättel- severksamhet (se prop. 2011/12:45 s. 218 f.). Övervägandena finns i avsnitt 5.5.4.

Paragrafen anpassas också till den terminologi som används i lagen i övrigt.

8 §

Paragrafen, som delvis motsvarar 4 kap. 13 § fjärde stycket kustbevakningsdatalagen, reglerar hur länge personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet och personuppgifter som har rapporterats till Kustbevakningens ledningscentral får behandlas (se prop. 2011/12:45 s. 219).

Den frist som gäller för hur länge uppgifter som har rapporterats till Kustbevakningens ledningscentral får behandlas ändras inte. Samma frist gäller för personuppgifter som har gjorts gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet, vilket behandlas i av- snitt 9.4.2. Sådana personuppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

341

Prop. 2017/18:269

342

9 §

Paragrafen, som motsvarar 4 kap. 13 § tredje stycket kustbevaknings- datalagen, reglerar hur länge personuppgifter som behandlas i syfte att fullgöra internationella åtaganden får behandlas (se prop. 2011/12:45 s. 218).

Rätt att meddela föreskrifter

10 §

I paragrafen finns en upplysning om att regeringen kan meddela före- skrifter om att vissa kategorier av personuppgifter får fortsätta att be- handlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4 och 7–9 §§, vilket motsvarar 4 kap. 11 § och 14 § första stycket kustbevakningsdatalagen. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare finns en upplysning om att regeringen kan meddela föreskrifter om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering, vilket motsvarar 3 kap. 4 § tredje stycket kustbevakningsdatalagen. Övervägandena finns i avsnitt 5.5.3.

11 §

I paragrafen, som motsvarar 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycket kustbevakningsdatalagen, finns en upplysning om att rege- ringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att personuppgifter, trots att den tillåtna tiden för behand- ling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. Övervä- gandena finns i avsnitt 5.5.2.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 §

Paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som sanktions- avgift får tas ut. Övervägandena finns i avsnitt 5.4.2.

De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdata- lagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen.

I första stycket anges uttömmande vid vilka överträdelser av Kustbevakningens brottsdatalag som sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brotts-

datalagens förfaranderegler när det gäller sanktionsavgift tillämpas även Prop. 2017/18:269 vid överträdelser enligt förevarande lag.

I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

2 §

Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen (2018:000), som ska tillämpas vid behandling av personuppgifter i strid med förevarande lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av per- sonuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare för- fattningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).

Överklagande

3 §

I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att kustbevakningsdatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser

som har skett efter ikraftträdandet.

Punkt 4 innebär att den upphävda lagen övergångsvis gäller vid Kustbevakningens behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet, dvs. på dataskyddsförordningens område.

18.4Förslaget till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område

I enlighet med Lagrådets synpunkt upphävs skattebrottsdatalagen (2017:452) och ersätts av en ny lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område (Skatteverkets

brottsdatalag). Innehållet i Skatteverkets brottsdatalag motsvarar till stora

343

Prop. 2017/18:269 delar innehållet i skattebrottsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 §

I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 10.2.

Lagen gäller utöver brottsdatalagen när Skatteverket i egenskap av be- hörig myndighet enligt brottsdatalagen behandlar personuppgifter för vissa syften. Lagen är tillämplig även när Skatteverket behandlar person- uppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet. Även i dessa fall krävs det att Skatteverket agerar i egenskap av behörig myndighet enligt brottsdatalagen.

Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdata- lagen. Skatteverkets brottsdatalag innehåller endast preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Be- stämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.

Lagen gäller när Skatteverket behandlar personuppgifter om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verk- samhet eller utreda brott. Vad det innebär utvecklas i kommentaren till 2 kap. 1 §.

Personuppgiftsansvar

2 §

Paragrafen, som motsvarar 2 kap. 3 § skattebrottsdatalagen, reglerar personuppgiftsansvaret (se prop. 2016/17:89 s. 137). Personuppgifts- ansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen.

344

Behandling av uppgifter om juridiska personer

Prop. 2017/18:269

3 §

I paragrafen, som i huvudsak motsvarar 1 kap. 4 § skattebrottsdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 §

Paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 6.1, 6.3 och 10.3.1.

Paragrafen, som är anpassad till hur de rättsliga grunderna för behand- ling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning.

Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten.

Enligt punkt 1 får Skatteverket behandla personuppgifter om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksam- het. Det är framför allt myndighetens underrättelseverksamhet som avses (se prop. 2016/17:89 s. 139).

Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda brott. Vad det innebär utvecklas i prop. 2016/17:89 s. 139.

Personuppgifter får enligt punkt 3 också behandlas om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden, vilket tar sikte på sådana förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2016/17:89 s. 139).

Behandling för nya ändamål

2 §

I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 10.3.1.

345

Prop. 2017/18:269 Särskilda upplysningar

3 §

I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.4.

Sökning

Känsliga personuppgifter 4 §

I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att an- vända känsliga personuppgifter vid sökning, görs det undantag från sök- förbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar 3 kap. 5 § andra stycket skattebrottsdatalagen. Övervägandena finns i avsnitt 10.3.3.

Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och person- uppgifter som inte har det. Sökförbudet hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter. Med uppgifter som beskriver en persons utseende avses bl.a. uppgifter om hudfärg eller tatueringar. Sökning på sådana uppgifter kan t.ex. ge ett urval av personer grundat på uppgifter om etniskt ursprung, politisk åskådning eller religiös övertygelse.

	5 §
	I paragrafen, som tillsammans med 4 § reglerar när det är tillåtet att an-
	vända känsliga personuppgifter vid sökning, görs det undantag från sök-
	förbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte	någon
	motsvarighet i skattebrottsdatalagen. Övervägandena finns	i av-
	snitt 10.3.3.
	Undantaget gäller enbart vid sökning i personuppgifter som inte har
	gjorts gemensamt tillgängliga, dvs. personuppgifter som enbart ett fåtal
	har tillgång till. Sökning i sådana uppgifter får göras i syfte att få fram ett
	urval av personer grundat på etniskt ursprung. Sökning av det slaget kan
	behövas för att förebygga, förhindra eller upptäcka brottslig verksamhet
	som begås av flera personer som förenas av sitt etniska ursprung. I t.ex.
	ärenden där fråga uppkommer om falska identitetshandlingar eller
	gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en
346	gemensam faktor som knyter samman personerna i ett nätverk.

I vilken utsträckning det är tillåtet att behandla någon eller några av Prop. 2017/18:269 personuppgifterna i en sammanställning av sådana uppgifter som sök-

ningen resulterat i får prövas mot huvudregeln om behandling av käns- liga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna.

Beskattningsdatabasen 6 §

I paragrafen, som motsvarar 2 kap. 9 § skattebrottsdatalagen, regleras vilka uppgifter som Skatteverket får använda vid sökning i beskattnings- databasen i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda brott eller fullgöra förpliktelser som följer av internatio- nella åtaganden.

Utlämnande av personuppgifter

7 §

Paragrafen innehåller en sekretessbrytande bestämmelse om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar 2 kap. 11 § skattebrottsdatalagen (se prop. 2016/17:89 s. 144).

Vid överföring av personuppgifter till tredjeland ska regleringen i

8 kap. brottsdatalagen också tillämpas.

8 §

Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 2 kap. 12 § skattebrottsdatalagen (se prop. 2016/17:89

s.145).

Sekretessen bryts om den mottagande myndigheten behöver

uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen.

9 §

Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt.

I första stycket, som delvis motsvarar 2 kap 15 § skattebrottsdatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4.

347

Prop. 2017/18:269 olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mot- tagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter.

Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.).

Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten vägas in.

Andra stycket motsvarar 2 kap. 16 § skattebrottsdatalagen och innehål- ler en upplysning om att direktåtkomst endast är tillåten i den utsträck- ning som anges i lagen.

Rätt att meddela föreskrifter

10 §

I paragrafen finns en upplysning om att regeringen kan meddela före- skrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 7 och 8 §§, vilket motsvarar 2 kap. 13 § första stycket skatte- brottsdatalagen, och om begränsning av möjligheterna att lämna ut per- sonuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervä- gandena finns i avsnitt 5.6.4.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

1 §

Av paragrafen framgår att kapitlet innehåller bestämmelser om behand- ling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2016/17:89 s. 147 f.

Enligt första stycket gäller kapitlet bara för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsda-

348

talagen om behandling av personuppgifter för diarieföring eller för att Prop. 2017/18:269 utföra andra nödvändiga handläggningsuppgifter.

Personuppgifter som får göras gemensamt tillgängliga

2 §

I paragrafen, som motsvarar 3 kap. 2 § skattebrottsdatalagen, anges vilka personuppgifter som får göras gemensamt tillgängliga (se prop. 2016/17:89 s. 148 f.).

Särskilda upplysningar

3 §

I paragrafen, som i huvudsak motsvarar 3 kap. 4 § skattebrottsdatalagen, ställs det krav på att uppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet i vissa fall ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4.

Enligt andra stycket ska uppgifter om personer som kan antas ha sam- band med misstänkt brottslig verksamhet förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller alltså utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet.

349

Prop. 2017/18:269 Sökning

4 §

Paragrafen, som i huvudsak motsvarar 3 kap. 6 § skattebrottsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer eller liknande identitetsbeteckningar (se prop. 2016/17:89 s. 151 f.). Övervägandena finns i avsnitt 10.4.

Bestämmelsen gäller endast vid sökning i automatiserade

behandlingssystem. Vad som avses med automatiserade behandlingssystem utvecklas i prop. 2017/18:232 s. 177 f.

5 §

Paragrafen, som delvis motsvarar 3 kap. 7 § skattebrottsdatalagen, innehåller undantag från begränsningarna i 4 §. Paragrafen behandlas i avsnitt 10.4.

Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller ett visst ärende.

Enligt andra stycket gäller begränsningarna i 4 § inte vid vissa sök- ningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1 när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede. Syftet med bestämmelsen är att tjänstemännen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband med befintliga underrättelseuppgifter. Det är således bara under en begränsad tid från det att uppgifterna kommit in som punkten är tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punkten.

Enligt punkt 2 är sökningar som utförs i syfte att bearbeta och analy- sera personuppgifter som har gjorts gemensamt tillgängliga i underrättel- severksamhet tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna.

Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer.

Direktåtkomst

6 §

I paragrafen, som delvis motsvarar 3 kap. 8 § skattebrottsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2016/17:89 s. 153 f.).

Rätt att meddela föreskrifter

7 §

I paragrafen, som motsvarar 3 kap. 7 § tredje stycket andra meningen skattebrottsdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 4 §, utöver vad som framgår av 5 §.

350

8 §	Prop. 2017/18:269
I paragrafen finns en upplysning om att regeringen, eller den myndighet
som regeringen bestämmer, kan meddela föreskrifter om begränsning av
tillgången till sådana personuppgifter som avses i 4 §, vilket motsvarar
3 kap. 6 § andra stycket skattebrottsdatalagen, under vilka förutsättningar
sökning får utföras med stöd av 5 §, vilket motsvarar 3 kap. 7 § tredje
stycket första meningen skattebrottsdatalagen, och omfattningen av
direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket
motsvarar 3 kap. 8 § tredje stycket skattebrottsdatalagen.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 §

Paragrafen har inte någon motsvarighet i skattebrottsdatalagen. Övervägandena finns i avsnitt 5.5.1.

I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för uppgifter som behandlas automatiserat.

Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 §

I paragrafen, som motsvarar 4 kap. 3 § skattebrottsdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge personuppgifterna får behandlas görs inte (se prop. 2016/17:89 s. 156). Övervägandena finns i avsnitt 5.5.2.

I första stycket anges hur länge uppgifterna får behandlas.

Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av brott.

351

Prop. 2017/18:269

352

Gemensamt tillgängliga uppgifter i ärenden om utredning av brott

3 §

I paragrafen, som motsvarar 4 kap. 5 § skattebrottsdatalagen, anges hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2016/17:89 s. 157).

4 §

Paragrafen, som motsvarar 4 kap. 6 § skattebrottsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2016/17:89 s. 157 f.). Övervägandena finns i avsnitt 5.5.3.

5 §

Paragrafen, som motsvarar 4 kap. 7 § skattebrottsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ned eller där åtal har lagts ned eller frikännande dom har fått laga kraft (se prop. 2016/17:89 s. 158).

Övriga gemensamt tillgängliga uppgifter

6 §

Av paragrafen, som delvis motsvarar 4 kap. 8 § skattebrottsdatalagen, framgår att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av brott, får behandlas. Övervägandena finns i avsnitt 5.5.2.

I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7 och 8 §§.

Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 7 och 8 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i 7 och 8 §§ har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 9 §).

7 §

Paragrafen, som motsvarar 4 kap. 8 § andra stycket skattebrottsdatalagen, reglerar hur länge personuppgifter får behandlas i underrättel- severksamhet (se prop. 2016/17:89 s. 159).

I paragrafen tydliggörs i förhållande till dagens reglering att fristen för hur länge personuppgifter får behandlas endast ska påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Övervägandena finns i avsnitt 5.5.4.

8 §
Paragrafen,	som	motsvarar	4 kap.	8 §	tredje	stycket

skattebrottsdatalagen, reglerar hur länge uppgifter som behövs för att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

9 §

I paragrafen, som i huvudsak motsvarar 4 kap. 2 § skattebrottsdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare anges att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter dels om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering.

5 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 §

Paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som en sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2.

De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen.

Prop. 2017/18:269

353

Prop. 2017/18:269 I första stycket anges uttömmande vid vilka överträdelser av Skatteverkets brottsdatalag som en sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag.

I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

2 §

Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personupp- giftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhets- skada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommenta- ren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).

Överklagande

3 §

I paragrafen, som behandlas i avsnitt 5.4.4, finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att skattebrottsdatalagen upphävs genom lagen.

En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet.

18.5Förslaget till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område

I enlighet med Lagrådets synpunkt upphävs åklagardatalagen och ersätts av en ny lag om åklagarväsendets behandling av personuppgifter inom

brottsdatalagens område (åklagarväsendets brottsdatalag). Innehållet i

354

åklagarväsendets brottsdatalag motsvarar till stora delar innehållet i Prop. 2017/18:269 åklagardatalagen. Anpassningen av regelverket till brottsdatalagen

innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. Bestämmelser om föreskrifter införs i förekommande fall i slutet av varje kapitel. Bestämmelserna om längsta tid för behandling av personuppgifter samlas i ett särskilt kapitel.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 §

I paragrafen, som inte har någon motsvarighet i åklagardatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 11.2.

Lagen gäller utöver brottsdatalagen när Åklagarmyndigheten eller Ekobrottsmyndigheten, som tillsammans utgör åklagarväsendet, i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter i åklagarverksamhet för vissa i lagen angivna syften. Lagen är tillämplig även när myndigheterna behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet.

Lagen gäller när Åklagarmyndigheten eller Ekobrottsmyndigheten be- handlar personuppgifter i åklagarverksamhet om syftet med behand- lingen är att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Vad det innebär utvecklas i författningskommentaren till 2 kap. 1 §. En förutsättning för att lagen ska gälla är att personuppgiftsbehand- lingen utförs i åklagarverksamhet. Med det avses behandling av person- uppgifter i samband med att åklagare fullgör åklagaruppgifter, t.ex. som förundersökningsledare eller fattar beslut i fråga om lagföring.

Lagen gäller inte när åklagaruppgifter utförs för andra syften än de som anges i paragrafen, t.ex. när åklagare fattar beslut enligt lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser.

355

Prop. 2017/18:269

356

Personuppgiftsansvar

2 §

Paragrafen, som motsvarar nuvarande 2 kap. 3 § åklagardatalagen, reglerar myndigheternas personuppgiftsansvar. Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen.

Övervägandena såvitt avser gränsdragningen mot Polismyndighetens personuppgiftsansvar finns i avsnitt 7.2.2.

Behandling av uppgifter om juridiska personer

3 §

I paragrafen anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1.

Uppräkningen i paragrafen av bestämmelser som gäller vid behandling av uppgifter om juridiska personer motsvarar nuvarande reglering i 1 kap. 4 § åklagardatalagen.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 §

Paragrafen reglerar de tillåtna rättsliga grunderna för behandling av per- sonuppgifter. Den motsvarar delvis nuvarande 2 kap. 5 § åklagar- datalagen. Övervägandena finns i avsnitt 11.3.1.

Paragrafen, som är anpassad till hur de rättsliga grunderna för behand- ling av personuppgifter är utformade i 2 kap. 1 § första stycket brottsdatalagen, gäller i stället för den bestämmelsen. I 2 kap. 1 § andra stycket brottsdatalagen anges att med en behörig myndighets uppgift avses en uppgift som framgår av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440).

Åklagarväsendet får enligt bestämmelsen behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. I 2 kap. 2 § brottsdatalagen ges myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och viss nödvändig handläggning.

Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga eller förhindra brottslig verksamhet. Med förebygga brotts- lig verksamhet avses Ekobrottsmyndighetens brottsförebyggande arbete. I det ingår att lämna information om ekonomisk brottslighet till andra myndigheter, kommuner, näringsliv, organisationer och allmänheten.

Med uttrycket att förhindra brottslig verksamhet avses bl.a. de uppgif- ter som åklagare vid Åklagarmyndigheten utför enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, t.ex. att an-

söka om tillstånd till hemlig avlyssning av elektronisk kommunikation Prop. 2017/18:269 och hemlig övervakning av elektronisk kommunikation. Även behand-

ling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbal- ken omfattas, om syftet är att förhindra brott.

Åklagarväsendet får enligt punkt 2 behandla personuppgifter om det är nödvändigt för att utreda eller lagföra brott. Med utreda brott avses fram- för allt att leda förundersökning och besluta om förundersökningsbe- gränsning enligt 23 kap. rättegångsbalken. Personuppgiftsbehandling inom ramen för den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken omfattas också. Den gäller även för andra utredningar som genomförs enligt bestämmelserna i 23 kap. rättegångs- balken. Termen brott avser konkreta brott, men det kan vara fråga om både brott som bevisligen har begåtts och brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon be- stämd person.

Med lagföra brott avses främst beslut i fråga om åtal eller annan talan vid domstol, t.ex. särskild förverkandetalan, och att utfärda strafföreläg- gande. Beslut i fråga om åtalsunderlåtelse och om särskild åtalsprövning är andra exempel. Hit hör också att föra talan om eller vara motpart i fråga om resning och andra extraordinära rättsmedel.

Enligt punkt 3 får åklagarväsendet behandla personuppgifter om det är nödvändigt för att handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder. Det rör sig om bl.a. ärenden om ändring eller undanröjande av påföljd. Exempel på handläggning av frågor om verk- ställighet av straffrättsliga påföljder är yttranden om rättspsykiatrisk vård eller utfärdande av arresteringsorder som rör straffverkställighet. Ytterli- gare ett exempel på vad som omfattas är de åtgärder som vidtas inom ramen för verkställighet av ett strafföreläggande. Frågor om resning kan, om de inte faller under punkten 2, också omfattas.

Personuppgifter får enligt punkt 4 behandlas om det är nödvändigt för att handlägga frågor som rör upprätthållande av allmän ordning och säkerhet. Punkten är tillämplig när åklagare utreder och prövar frågor om tillträdesförbud vid idrottsarrangemang.

Åklagarväsendet får enligt punkt 5 behandla personuppgifter om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Den tar sikte på förpliktelser i syfte att gagna utländsk brotts- bekämpande verksamhet. Sverige har exempelvis åtaganden enligt ett flertal konventioner där åklagare har vissa uppgifter (se prop. 2014/15:63 s. 140 f.). Handläggning av frågor som rör internationell rättslig hjälp i brottmål omfattas som regel av punkt 2 eller 3 men kan i övrigt omfattas av denna punkt.

Behandling för nya ändamål

2 §

I paragrafen, som saknar motsvarighet i åklagardatalagen, anges att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 11.3.1.

357

Prop. 2017/18:269 Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde måste en prövning enligt 2 kap. 4 eller 22 §§ brottsdatalagen göras. Vad prövningen innebär utvecklas i prop. 2017/18:232 s. 126 f.

Särskilda upplysningar

3 §

I paragrafen begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Bestämmelsen har inte någon motsvarighet i åklagardatalagen. Övervägandena finns i avsnitt 5.3.4.

Endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § ska i vissa fall förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas av bara ett fåtal personer behö- ver särskilda upplysningar inte lämnas. Eftersom åklagare normalt bi- träds av polisen vid förundersökningar och samma reglering gäller för polisen, framgår de upplysningar som ska lämnas enligt paragrafen nor- malt av sammanhanget och någon särskild upplysning behövs i så fall inte heller när det gäller uppgifter som har gjorts gemensamt tillgängliga.

Känsliga personuppgifter

4 §

I paragrafen, som reglerar när det är tillåtet att använda känsliga person- uppgifter vid sökning, görs det undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen. Bestämmelsen motsvarar i huvudsak 3 kap. 4 § andra stycket åklagardatalagen. Övervägandena finns i avsnitt 11.3.3.

Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och personuppgif- ter som inte har det. Sökförbudet hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter. Med uppgifter som beskriver en persons utseende avses t.ex. uppgifter om kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken som födelsemärken, blindhet och tatueringar.

Utlämnande av personuppgifter

5 §

358

Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket om mottagaren behöver dem för att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott, handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, handlägga frågor om upprätthållande av allmän ordning och säkerhet eller fullgöra förpliktelser som följer av internationella åtaganden. Detta följer av hänvisningen till 2 kap. 1 §. Det innebär att möjligheterna till utlämnande vidgas något i förhållande till dagens reglering eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet.

Vid överföring av personuppgifter till tredjeland ska regleringen i

8 kap. brottsdatalagen också tillämpas.

Bestämmelsens tredje stycke skiljer sig endast redaktionellt från den nuvarande lydelsen.

6 §

Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar nuvarande 2 kap. 14 § åklagardatalagen.

Det tydliggörs att sekretessen bryts om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brotts- datalagen.

7 §

Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt. Över- vägandena finns i avsnitt 5.6.4.

I första stycket, som delvis motsvarar nuvarande 2 kap. 16 § åklagardatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium.

Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Bedömer den utläm- nande myndigheten att det finns risk för att personuppgifterna kan komma att missbrukas om de lämnas ut elektroniskt gäller sekretess

Prop. 2017/18:269

359

Prop. 2017/18:269 enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess.

Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68

s.51 f.).

Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör

givetvis även informationssäkerheten vägas in.

Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektro- niskt.

Andra stycket motsvarar nuvarande 2 kap. 17 § åklagardatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen.

Rätt att meddela föreskrifter 8 §

I paragrafen anges att regeringen kan meddela föreskrifter om utläm- nande av personuppgifter. Det gäller föreskrifter om dels att personupp- gifter får lämnas ut även i andra fall än som anges i 5 och 6 §§ (vilket motsvarar nuvarande 2 kap. 15 § första stycket åklagardatalagen), dels begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.7.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse 1 §

Av paragrafen, som i huvudsak motsvarar nuvarande 3 kap. 1 § åklagar- datalagen, framgår att kapitlet innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt till- gängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2014/15:63 s. 151 f.

I första stycket tydliggörs att lagen endast omfattar åklagarverksamhet inom brottsdatalagens tillämpningsområde.

	utföra andra nödvändiga handläggningsuppgifter.
	Personuppgifter som får göras gemensamt tillgängliga
	2 §
	I paragrafen anges vilka personuppgifter som får göras gemensamt till-
	gängliga. Paragrafen motsvarar nuvarande 3 kap. 2 § åklagardatalagen
	(se prop. 2014/15 s. 153). Regleringen skiljer sig dock åt från den
360	nuvarande lydelsen eftersom lagen har ett något annorlunda tillämp-
360

ning0sområde än åklagardatalagen. Genom bestämmelsen får alla Prop. 2017/18:269 personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde göras gemensamt tillgängliga.

Sökning

3 §

Paragrafen, som i huvudsak motsvarar nuvarande 3 kap. 5 § åklagar- datalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, per- sonnummer, samordningsnummer och liknande identitetsbeteckningar. Övervägandena finns i avsnitt 11.4.

Paragrafen gäller endast vid sökning i automatiserade behandlings- system. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f.

Punkt 1 saknar motsvarighet i åklagardatalagen och innebär att uppgifter om att någon är anmäld för brott får tas fram vid sökning.

Punkt 2–9 motsvarar nuvarande punkt 1–8 i åklagardatalagen (se prop. 2014/15:63 s. 155).

4 §

I paragrafen, som motsvarar nuvarande 3 kap. 6 § första stycket åklagar- datalagen, görs undantag från begränsningarna i 3 § (se prop. 2014/15:63 s. 156).

Direktåtkomst

5 §

Paragrafen motsvarar nuvarande 3 kap. 8 § första stycket åklagardata- lagen och innehåller en uppräkning av vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2014/15:63 s.157).

Rätt att meddela föreskrifter

6 §

I paragrafen, som motsvarar nuvarande 3 kap. 6 § andra stycket åklagar- datalagen, anges att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning utöver vad som framgår av 4 § (se prop. 2014/15:63 s. 156).

7 §

I paragrafen, där kapitlets övriga bestämmelser om föreskrifter samlas, finns en upplysning om att regeringen, eller den myndighet som rege- ringen bestämmer, kan meddela föreskrifter om gemensamt tillgängliga uppgifter (vilket motsvarar nuvarande 3 kap. 2 § andra stycket åklagar- datalagen) och omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst (vilket motsvarar nuvarande 3 kap. 8 § tredje stycket åklagardatalagen). Se prop. 2014/15:63 s. 153 och 158.

361

Prop. 2017/18:269 4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 §

De bestämmelser som anger hur länge personuppgifter får behandlas samlas i detta kapitel. Övervägandena finns i avsnitt 5.5.1.

I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller personuppgifter som behandlas automatiserat.

Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behand- lingen av en viss personuppgift får den dock inte behandlas längre än vad som anges i respektive paragraf.

Personuppgifter i ärenden

2 §

Paragrafen, som motsvarar nuvarande 2 kap. 10 § andra stycket åklagar- datalagen, reglerar hur länge personuppgifter i ett ärende får behandlas (se prop. 2014/15:63 s. 146).

3 §

Paragrafen, som motsvarar nuvarande 3 kap. 7 § åklagardatalagen, reglerar vad som gäller i fråga om personuppgifter när förundersökning inte har inletts eller har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft. (se prop. 2014/15:63 s. 156 f.).

Övriga personuppgifter

4 §

Första stycket, som motsvarar nuvarande 2 kap. 10 § tredje stycket åklagardatalagen, reglerar hur länge personuppgifter som inte kan hänföras till ett ärende får behandlas. Övervägandena finns i avsnitt 5.5.2.

Andra stycket klargör att uppgifterna, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har företräde, inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna får behandlas för arkivändamål av allmänt intresse eller för vetenskap-

362

liga, statistiska eller historiska ändamål får de behandlas automatiserat Prop. 2017/18:269 längre än vad som anges i denna paragraf (jfr 5 §).

Rätt att meddela föreskrifter 5 §

I paragrafen, som motsvarar nuvarande 2 kap. 11 § åklagardatalagen, anges att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 2 §. Vidare anges att föreskrifter får meddelas om att personuppgifter som inte kan hänföras till ett ärende, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. Dessutom anges att föreskrifter får meddelas om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering. Övervägandena finns i avsnitt 5.5.2 och 5.5.3.

5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 §

Paragrafen saknar motsvarighet i åklagardatalagen och reglerar vid vilka överträdelser sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2.

I första stycket anges vid vilka överträdelser sanktionsavgift får tas ut
av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det en-
skilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av
formuleringen att avgift får tas ut. Uppräkningen av vilka överträdelser
som kan föranleda sanktionsavgift är uttömmande. Sanktionsavgift kan
tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder
och längsta tid som personuppgifter får behandlas. Brottsdatalagens för-
faranderegler när det gäller sanktionsavgift tillämpas även vid överträ-
delser enligt förevarande lag.
I andra stycket anges att sanktionsavgiften ska bestämmas till högst
10 000 000 kronor.
Skadestånd
2 §
I paragrafen regleras den registrerades rätt till skadestånd för behandling
av personuppgifter i strid med denna lag eller föreskrifter som har
meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3.
Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas
vid behandling av personuppgifter i strid med denna lag eller föreskrifter
som har meddelats i anslutning till den. Det innebär att den personupp-
giftsansvarige ska ersätta den registrerade för den skada och kränkning
av den personliga integriteten som behandlingen av personuppgifter har
orsakat. Med skada avses personskada, sakskada eller ren förmögenhets-	363
	363

Prop. 2017/18:269 skada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommenta- ren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 487).

Överklagande

3 §

I paragrafen, som inte har någon motsvarighet i åklagardatalagen, anges att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4.

Övergångsbestämmelser

Övervägandena angående ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16.

Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att åklagardatalagen upphävs genom lagen.

En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet.

18.6 Förslaget till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område

	Lagens tillämpningsområde
	1 §
	Paragrafen anger tillämpningsområdet för lagen. Övervägandena finns i
	avsnitt 12.3.1.
	Lagen gäller utöver brottsdatalagen för de allmänna domstolarna och
	de allmänna förvaltningsdomstolarna när de i egenskap av behöriga
	myndigheter behandlar personuppgifter för vissa syften.
	Att lagen gäller utöver brottsdatalagen innebär att de grundläggande
	bestämmelserna om hur personuppgifter får behandlas finns i brottsdata-
	lagen. Lagen om domstolarnas behandling av personuppgifter inom
	brottsdatalagens område, fortsättningsvis kallad domstolarnas brottsdata-
	lag, innehåller preciseringar, undantag eller avvikelser från bestäm-
	melserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen
	läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av
	den regleringen.
	Av 1 kap. 3 § brottsdatalagen följer att domstolarnas brottsdatalag bara
	gäller för sådan behandling av personuppgifter som är helt eller delvis
	automatiserad och för annan behandling av personuppgifter som ingår i
	eller är avsedda att ingå i en strukturerad samling av personuppgifter som
	är tillgängliga för sökning eller sammanställning enligt särskilda
	kriterier. Uttrycken behörig myndighet, personuppgift och behandling av
	personuppgifter definieras i 1 kap. 6 § brottsdatalagen.
	Lagen ska tillämpas vid handläggning av mål och ärenden om utred-
	ning av eller lagföring för brott, verkställighet av häktning eller ändring
364	eller verkställighet av straffrättsliga påföljder eller upprätthållande av
364

allmän ordning och säkerhet. Den gäller även vid handläggning av mål och ärenden om resning eller något annat extraordinärt rättsmedel, om det ursprungliga målet eller ärendet omfattas av lagens tillämpningsom- råde. Behandling av personuppgifter vid expediering inom ramen för målet eller ärendets handläggning omfattas, t.ex. underrättelser till andra myndigheter om påföljden som dömts ut i ett brottmål eller om den dömde tillhör en viss yrkeskategori där domstolen är skyldig att under- rätta ett tillsynsorgan om domen. Även expediering för att tillgodose partsinsynen omfattas. Behandling av personuppgifter i samband med säkerhetskontroller enligt lagen (1981:1064) om säkerhetskontroll i dom- stol kan omfattas av lagen, under förutsättning att behandlingen sker inom ramen för handläggningen av ett sådant mål eller ärende som anges i paragrafen.

Lagen är tillämplig under hela handläggningen av ett sådant mål eller ärende som anges i paragrafen. Om t.ex. ett enskilt anspråk förs i sam- band med åtal för ett brott är lagen tillämplig även på den personupp- giftsbehandling som krävs för handläggningen av det enskilda anspråket. Detsamma gäller vissa andra former av särskild talan och talan om för- bud som förs i brottmål, t.ex. talan om skattetillägg och näringsförbud. Om ett enskilt anspråk avskiljs för att handläggas i den ordning som gäller för tvistemål är lagen inte längre tillämplig vid handläggningen av det enskilda anspråket. Detsamma gäller en talan om skattetillägg som inte förs i ett brottmål.

Utlämnande av personuppgifter i ett mål eller ärende enligt tryckfri- hetsförordningen eller som ett led i serviceskyldigheten till andra myn- digheter ligger utanför lagens tillämpningsområde. Enligt 2 § första stycket domstolsdatalagen (2015:728) ska den lagen tillämpas vid sådan behandling av personuppgifter. Domstolsdatalagen gäller även när per- sonuppgifter i mål och ärenden behandlas i enlighet med föreskrifter om arkiv.

Enligt punkt 1 gäller lagen när en allmän domstol behandlar person- uppgifter i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

Med mål om lagföring av brott avses bl.a. brottmål. All handläggning av brottmål omfattas därmed av lagens tillämpningsområde. Som kon- stateras ovan gäller det både ansvarstalan och annan talan som förs i ett brottmål, t.ex. talan om enskilt anspråk, näringsförbud eller skattetillägg. Även frågor om resning eller andra extraordinära rättsmedel i brottmål omfattas.

Lagen är tillämplig vid handläggning av frågor som rör internationell rättslig hjälp i brottmål, utlämning, överlämnande enligt nordisk och europeisk arresteringsorder och annat internationellt straffrättsligt samarbete. Lagen är även tillämplig vid behandling av personuppgifter i frågor som rör kontaktförbud enligt lagen (1988:688) om kontaktförbud.

Typiska frågor som rör utredning av brott är när en allmän domstol prövar häktningsfrågor eller ger tillstånd till eller prövar andra frågor om användning av straffprocessuella tvångsmedel under en förundersökning. Andra exempel på sådana frågor är en domstols beslut om vittnesförhör under förundersökningen eller förordnande av sakkunnig enligt 23 kap. 13 § respektive 14 § rättegångsbalken och prövning av frågor som rör

Prop. 2017/18:269

365

Prop. 2017/18:269 komplettering av förundersökning enligt 23 kap. 19 § rättegångsbalken. Lagen omfattar även handläggning av ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Allmän domstol prövar frågor om ändring av påföljd bl.a. enligt 28 kap. 8 § brottsbalken (undanröjande av skyddstillsyn) och 38 kap. 2 och 2 a §§ brottsbalken (omprövning av påföljden på grund av ändrade förutsättningar). Allmän domstol prövar också enligt 15–19 §§ bötes- verkställighetslagen (1979:189) om böter ska omvandlas till fängelse.

Åklagares beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang kan prövas av allmän domstol. Domstolen prövar då frågor om upprätthållande av allmän ordning och säkerhet.

Enligt punkt 2 gäller lagen när allmän förvaltningsdomstol behandlar personuppgifter i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Det gäller t.ex. prövning av Kriminalvår- dens beslut om verkställighet av fängelse i kriminalvårdsanstalt enligt fängelselagen (2010:610) och om verkställighet av beslut om häktning enligt häkteslagen (2010:611). Vidare omfattas handläggning av mål om rättspsykiatrisk vård och prövning av vissa beslut av övervaknings- nämnd. Även prövning av beslut enligt lagen (1998:603) om verkställig- het av sluten ungdomsvård omfattas av lagen. Ett annat exempel är migrationsdomstolarnas handläggning av mål om utvisning på grund av brott. Mål i Migrationsöverdomstolen enligt lagen (1991:572) om sär- skild utlänningskontroll omfattas däremot inte av lagen. Även allmän förvaltningsdomstols handläggning av mål enligt ordningslagen (1993:1617) faller utanför lagens tillämpningsområde.

Personuppgiftsansvar

2 §

Paragrafen, som motsvarar 9 § domstolsdatalagen, innehåller en bestäm- melse om personuppgiftsansvar. Övervägandena finns i avsnitt 12.3.3.

Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för be- handlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Den nu aktu- ella paragrafen innebär att varje allmän domstol och varje allmän för- valtningsdomstol ska vara personuppgiftsansvarig för den behandling som den utför. Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Den personuppgiftsansvarige ska t.ex. genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av per- sonuppgifter är författningsenlig och att registrerades rättigheter skyddas (3 kap. 2 §). Det ankommer också på den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 §). Enligt brottsdatalagen gäller vidare att den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud (3 kap. 13 §).

366

Rättsliga grunder

Prop. 2017/18:269

3 §

Paragrafen, som delvis motsvarar 6 § domstolsdatalagen, reglerar de rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 12.4.1.

Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger domstolarna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning.

Personuppgifter får behandlas om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften (se vidare prop. 2017/18:232 s. 440). De uppgifter som är aktuella för domstolarna är handläggning av mål och ärenden inom lagens tillämpningsområde. Det rör sig alltså om mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder och om upprätthållande av allmän ordning och säkerhet. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten.

Paragrafen omfattar alla åtgärder som behöver vidtas i ett mål eller ärende. Inom paragrafens tillämpningsområde faller exempelvis motta- gande av uppgifter, diarieföring, kommunicering, protokollföring, sök- ning efter relevant praxis, upprättande av dom och expediering. Det för- utsätts emellertid inte att en behandling är nödvändig för handläggningen av ett specifikt mål eller ärende utan behandling kan även ske för plane- ring, uppföljning och utvärdering av verksamheten vid domstolarna. Planering, uppföljning och utvärdering anses vara en integrerad del av själva verksamheten och omfattas alltså av bestämmelsen. Därigenom kan sökningar efter relevant praxis och hantering av sådana uppgifter ske, oavsett om åtgärderna sker i syfte att underlätta domskrivnings- arbete, praxisdiskussioner eller annat kompetensutvecklingsarbete (prop. 2014/15:148 s. 108).

Behandling för nya ändamål

4 §

I paragrafen finns en upplysning om att förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 12.4.2.

Ett exempel på ett nytt ändamål inom brottsdatalagens tillämpnings- område är att personuppgifter i ett brottmål används för handläggningen av ett annat brottmål. Exempel på nya ändamål utanför brottsdatalagens tillämpningsområde är när personuppgifter i ett brottmål används för handläggningen av ett tvistemål eller när personuppgifter i ett mål om rättspsykiatrisk vård lämnas ut efter begäran från en enskild som inte är

part i målet. Innan personuppgifter får behandlas för ett nytt ändamål

367

Prop. 2017/18:269 inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författnings- kommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.).

Behandling av personnummer

	5 §
	I paragrafen regleras behandlingen av personnummer och samordnings-
	nummer. Övervägandena finns i avsnitt 12.4.4.
	Brottsdatalagen innehåller inte några särskilda bestämmelser om
	behandling av personnummer.
	Enligt paragrafen får personnummer och samordningsnummer be-
	handlas endast när det är klart motiverat med hänsyn till ändamålet med
	behandlingen, vikten av en säker identifiering eller något annat beaktans-
	värt skäl. Med personnummer och samordningsnummer avses detsamma
	som i folkbokföringslagen (1991:481). Bestämmelsen motsvarar 3 kap.
	10 § dataskyddslagen. Innebörden av bestämmelsen är att en intresse-
	avvägning mellan behovet av behandlingen och de integritetsrisker som
	den innebär ska göras. Omständigheter som har betydelse vid intresse-
	avvägningen är exempelvis om syftet med behandlingen kan uppnås på
	något annat sätt och behandlingens omfattning. Se vidare författnings-
	kommentaren	till 3 kap.	10 §	dataskyddslagen (prop.	2017/18:105
	s. 199).
	Sökbegränsningar
	6 §
	Paragrafen, som delvis motsvarar 14 och 15 §§ domstolsdatalagen, inne-
	håller bestämmelser som förbjuder användningen av integritetskänsliga
	sökbegrepp och generella undantag från förbudet. Övervägandena finns i
	avsnitt 12.5.2.
	I första stycket anges att sökbegrepp som avslöjar sådana uppgifter
	som avses i	2 kap. 11	och	12 §§ brottsdatalagen,	dvs. känsliga
	personuppgifter, inte får användas vid sökning i personuppgifter.
	Bestämmelsen gäller i stället för sökförbudet i 2 kap. 14 § brotts-
	datalagen. Med känsliga personuppgifter avses uppgifter om ras, etniskt
	ursprung, politiska åsikter, religiös eller filosofisk övertygelse,
	medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller
	sexuell läggning. Även biometriska och genetiska uppgifter utgör
	känsliga personuppgifter. Utöver känsliga personuppgifter omfattas
	uppgifter om nationell anknytning av sökförbudet. Med uppgifter om
	nationell anknytning avses bl.a. uppgifter om medborgarskap, om
	födelseort eller om utlandsfödda föräldrar. Varje form av nationell
	anknytning omfattas dock inte av bestämmelsen utan det krävs att
	uppgifterna visar på en anknytning till ett visst land som inte är alltför
	svag. En uppgift om att en person har besökt ett land eller att
	vederbörande känner någon i landet kan inte anses utgöra uppgifter som
	omfattas av sökförbudet. Normalt torde uppgifter om språkkunskaper
	eller om behov av tolk inte heller vara att anse som en uppgift om natio-
368	nell anknytning.

Av andra stycket framgår att användning av särskilda beteckningar för Prop. 2017/18:269 identifiering av en viss mål- eller ärendetyp inte omfattas av förbudet.

Bestämmelsen tar sikte på s.k. målgrupps- och måltypskoder. Sökning med hjälp av sådana beteckningar är alltså tillåten. Det föreskrivs även att sökförbudet i första stycket inte gäller i fråga om sökningar som sker enbart bland uppgifter i en viss handling eller i ett visst mål eller ärende.

7 §

Paragrafen, som delvis motsvarar 15 § domstolsdatalagen, innehåller undantag från sökförbudet i 6 § första stycket. Övervägandena finns i avsnitt 12.5.2.

Enligt första stycket får uppgifter som avslöjar hälsa användas som sökbegrepp i allmän förvaltningsdomstol.

I andra stycket finns en upplysning om att regeringen eller den myn-
dighet som regeringen bestämmer kan meddela föreskrifter om begräns-
ningar av möjligheten att använda sökbegrepp som avslöjar hälsa.
8 §
I paragrafen finns en upplysning om att regeringen eller den myndighet
som regeringen bestämmer kan meddela föreskrifter om begränsningar
av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke
om brott. Övervägandena finns i avsnitt 12.5.2.
Elektroniskt utlämnande av personuppgifter
9 §
Paragrafen reglerar i vilka fall personuppgifter får lämnas ut elektroniskt
på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt
12.6.2.
Brottsdatalagen innehåller inte några särskilda bestämmelser om
elektroniskt utlämnande på annat sätt än genom direktåtkomst.
I första stycket anges att personuppgifter får lämnas ut elektroniskt på
annat sätt än genom direktåtkomst om det inte är olämpligt. Bestäm-
melsen motsvarar 16 § domstolsdatalagen, men terminologin ändras.
Med utlämnande elektroniskt på annat sätt än genom direktåtkomst avses
bl.a. utlämnande på ett usb-minne, genom e-post eller annan elektronisk
överföring. Lämplighetsprövningen ska ske i varje enskilt fall. Det har
vid lämplighetsprövningen betydelse vem mottagaren är. I fråga om
utlämnande till en annan domstol eller en myndighet torde utlämnande
på annat sätt än genom direktåtkomst som utgångspunkt vara tillåtet. I
fråga om utlämnande av processmaterial till en part eller partens ombud,
biträde eller försvarare måste kravet på en rättvis rättegång och andra
processrättsliga principer beaktas. Exempelvis bör en part som regel få ta
del av processmaterialet i elektronisk form om det behövs för att
säkerställa att parterna i en process är likställda. Lämplighetsprövningen
blir särskilt viktig när utlämnandet ska ske till enskild och det på grund
av personuppgifternas art, struktur, antal eller någon annan särskild
omständighet finns anledning att befara att utlämnandet i förlängningen
kan leda till integritetsrisker. Försiktighet är exempelvis påkallad om det
är fråga om fotografier eller ljudupptagningar. Samma sak gäller om de	369
	369

Prop. 2017/18:269 uppgifter som den enskildes begäran avser är sammanställda utifrån en sökning som framstår som integritetskänslig. För att uppgifterna ska kunna lämnas ut i elektronisk form måste det även finnas rutiner för data- säkerhet. Särskilda säkerhetsåtgärder kan även behöva vidtas exempelvis när personuppgifterna överförs genom e-post för att minska säkerhets- riskerna vid sådan överföring.

370

I andra stycket finns en upplysning om att regeringen eller den myn- dighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektro- niskt på annat sätt än genom direktåtkomst.

10 §

Paragrafen, som motsvarar 17 § domstolsdatalagen, reglerar direkt- åtkomst. Övervägandena finns i avsnitt 12.6.1.

Med direktåtkomst avses att någon har direkt tillgång till register, data- baser eller andra samlingar av uppgifter som behandlas automatiserat eller på egen hand kan söka efter information, dock utan att kunna på- verka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kon- troll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Brottsdatalagen innehåller inte några särskilda bestämmelser om direktåtkomst.

I första stycket begränsas möjligheterna för en domstol att medge direktåtkomst till vissa mottagare, nämligen dels allmänna domstolar och allmänna förvaltningsdomstolar, dels parter och parters ombud, biträde eller försvarare. Bestämmelsen ger en domstol möjlighet att medge direktåtkomst, men innebär inte någon rätt för mottagarna att få sådan åtkomst. Det är den domstol som innehar uppgifterna som bestämmer om direktåtkomst ska beviljas eller inte. Direktåtkomst får beviljas endast om det bedöms lämpligt.

Paragrafen har inte någon sekretessbrytande verkan. För att en domstol ska kunna medge direktåtkomst räcker det därför inte att det är tillåtet enligt lagen. Direktåtkomst till uppgifter som omfattas av sekretess får bara medges om det står klart att mottagaren vid en prövning enligt offentlighets- och sekretesslagen (2009:400) med säkerhet skulle ha rätt att ta del av uppgifterna. I 11 kap. 4 och 8 §§ offentlighets- och sekretesslagen finns särskilda bestämmelser om överföring av sekretess vid direktåtkomst.

Av andra stycket följer att direktåtkomsten för en part eller partens ombud, biträde eller försvarare endast får avse personuppgifter i partens eget mål eller ärende.

I tredje stycket finns en upplysning om att regeringen eller den myn- dighet som regeringen bestämmer kan meddela föreskrifter som ytterli- gare begränsar möjligheterna att medge direktåtkomst till person- uppgifter. Det kan t.ex. röra sig om att begränsa möjligheten till direkt- åtkomst till domstolar inom samma domstolsslag i vissa fall. Genom sådana föreskrifter kan det också preciseras vilka uppgifter som direkt- åtkomsten får avse. Det finns också en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om behörighets- och säkerhetsfrågor vid direktåtkomst.

Personuppgifter i avgjorda mål och ärenden

Prop. 2017/18:269

11 §

I paragrafen, som motsvarar 18 § domstolsdatalagen, finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Övervägandena finns i avsnitt 12.7.

De föreskrifter som avses i paragrafen kan t.ex. röra begränsningar av möjligheterna att söka efter personnummer och namn i avgöranden som har fått laga kraft.

Administrativa sanktionsavgifter

12 §

Paragrafen reglerar vid vilka överträdelser av bestämmelser i lagen som sanktionsavgift får tas ut. Övervägandena finns i avsnitt 12.8.

I första stycket anges uttömmande vid vilka överträdelser av domstolarnas brottsdatalag sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift får inte tas ut om behandlingen av personuppgifter utförs inom ramen för den dömande verksamheten (jfr 5 kap. 2 § andra stycket brottsdatalagen). Sanktions- avgift kan tas ut för överträdelse av lagens bestämmelser om rättsliga grunder och sökförbud. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas när sanktionsavgift tas ut.

I andra stycket anges att sanktionsavgiften ska bestämmas till högst

10 000 000 kronor.

Skadestånd

13 §

Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den person- uppgiftsansvarige ska ersätta den registrerade för den skada och kränk- ning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Se vidare författningskommentaren till 7 kap. 1 § brottsdata- lagen (prop. 2017/18:232 s. 486 f.).

371

Prop. 2017/18:269 Överklagande

14 §

Paragrafen, som har utformats med 20 § domstolsdatalagen som förebild, innehåller bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol. Övervägandena finns i avsnitt 12.9.2.

Bestämmelser om överklagande finns i 7 kap. brottsdatalagen. Denna paragraf gäller i stället för 7 kap. 2 § brottsdatalagen.

I första stycket första meningen anges vilka beslut enligt brotts- datalagen som får överklagas. De beslut som får överklagas är beslut om rättelse eller komplettering enligt 4 kap. 9 § första stycket, beslut om radering enligt 4 kap. 10 § första stycket, beslut om begränsning av be- handlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, beslut att inte lämna information enligt 4 kap. 3 §, beslut att ta ut avgift enligt 4 kap. 12 § andra stycket och beslut att inte medge prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket. Av bestämmelsen framgår att de nämnda besluten, som meddelats av en personuppgifts- ansvarig hovrätt, tingsrätt eller förvaltningsrätt, får överklagas till kammarrätten. Det krävs inte prövningstillstånd i kammarrätten vid ett sådant överklagande. I sista meningen anges att ett beslut som har med- delats av en kammarrätt i egenskap av personuppgiftsansvarig får över- klagas till Högsta förvaltningsdomstolen.

Enligt andra stycket får Högsta domstolens och Högsta förvaltnings- domstolens beslut som dessa domstolar meddelat i egenskap av person- uppgiftsansvariga inte överklagas.

Ikraftträdande- och övergångsbestämmelser

Övervägandena om ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16.

Enligt punkt 1 träder lagen i kraft den 1 januari 2019.

Av punkt 2 framgår att domstolsdatalagen i lydelsen före den 25 maj 2018 fortfarande gäller för överklagande av beslut som har med- delats före den 1 januari 2019.

I punkt 3 anges att en sanktionsavgift endast får beslutas för överträdelse som har skett efter ikraftträdandet.

	18.7	Förslaget till lag om kriminalvårdens
		behandling av personuppgifter inom
		brottsdatalagens område
	I enlighet med Lagrådets synpunkt upphävs lagen om behandling av
	personuppgifter inom kriminalvården och ersätts av en ny lag om
	kriminalvårdens behandling av personuppgifter inom brottsdatalagens
	område (kriminalvårdens brottsdatalag). Innehållet i kriminalvårdens
	brottsdatalag motsvarar i stora delar innehållet i lagen om behandling av
	personuppgifter inom kriminalvården men den renodlas så att den bara
	omfattar	behandling av personuppgifter inom brottsdatalagens
372	tillämpningsområde. De grundläggande bestämmelserna om säkerhets-

registret, som hittills har reglerats i förordning, tas in i den nya lagen. Prop. 2017/18:269 Lagen delas in i kapitel på samma sätt som övriga registerförfattningar.

Som en anpassning till brottsdatalagen tillkommer ett kapitel om administrativa sanktionsavgifter, skadestånd och överklagande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde
1 §
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i av-
snitt 13.2.1.
Lagen gäller för behandling av personuppgifter när en myndighet inom
kriminalvården i egenskap av behörig myndighet enligt brottsdatalagen
behandlar personuppgifter för vissa syften. I kriminalvården ingår dels
myndigheten Kriminalvården, dels övervakningsnämnderna.
Att lagen gäller utöver brottsdatalagen innebär att de grundläggande
bestämmelserna om hur personuppgifter får behandlas finns i brottsdata-
lagen. Den nu aktuella lagen innehåller preciseringar, undantag eller av-
vikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen
måste följaktligen läsas tillsammans med regleringen i brottsdatalagen
och tolkas i ljuset av den regleringen.
Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan be-
handling av personuppgifter som är helt eller delvis automatiserad och
för annan behandling av personuppgifter som ingår i eller är avsedda att
ingå i en strukturerad samling av personuppgifter som är tillgängliga för
sökning eller sammanställning enligt särskilda kriterier. Uttrycken
behörig myndighet, personuppgift och behandling av personuppgifter
definieras i 1 kap. 6 § brottsdatalagen.
Tillämpningsområdet omfattar huvudsakligen verkställighet av häkt-
ning och straffrättsliga påföljder. Av häktesverksamheten omfattas
endast sådan häktning som ligger inom brottsdatalagens tillämpningsom-
råde. Det innebär att verkställighet av häktning enligt konkurslagen
(1987:672) inte omfattas och inte heller förvaring i häkte för andra ända-
mål än brottsutredning, lagföring och verkställighet av straffrättsliga på-
följder. Att annan häktesverksamhet ligger utanför tillämpningsområdet
beror på att Kriminalvården då inte agerar som behörig myndighet enligt
brottsdatalagen.
I straffverkställighet ingår verkställighet av fängelsestraff och av de fri-
vårdspåföljder som Kriminalvården har ansvaret för. I verkställigheten
ingår också att förhindra eller förebygga brott under häktning och verk-
ställighet av påföljder, att förebygga återfall i brott och att upprätthålla
säkerheten. När övervakningsnämnderna behandlar personuppgifter görs
det också inom ramen för straffverkställighet. Straffverkställighet om-
fattar även utländska domar, om verkställigheten har övertagits från den
andra staten.
Lagen gäller också för sådan personuppgiftsbehandling som utförs
inom kriminalvården i syfte att biträda andra behöriga myndigheter när
de utför uppgifter för något av de syften som anges i 1 kap. 2 § brotts-
datalagen, dvs. förebygga, förhindra eller upptäcka brottslig verksamhet,
utreda eller lagföra brott eller verkställa straffrättsliga påföljder, samt	373

Prop. 2017/18:269 upprätthålla allmän ordning och säkerhet. Vad det innebär utvecklas i avsnitt 13.2.1 och i kommentaren till 2 kap. 1 §.

Personuppgiftsansvar 2 §

I paragrafen anges vilka myndigheter som är personuppgiftsansvariga. Övervägandena finns i avsnitt 13.2.2.

Personuppgiftsansvarig är den myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Den personuppgiftsansvari- gas skyldigheter regleras i 3 kap. brottsdatalagen. Den personuppgifts- ansvarige ska t.ex. genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas (3 kap. 2 §). Det ankommer också på den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 §).

Av första stycket framgår att Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestäm- melsen motsvarar i den delen nuvarande 4 § lagen om behandling av personuppgifter inom kriminalvården.

Enligt andra stycket är en övervakningsnämnd personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. Övervak- ningsnämnderna är självständiga myndigheter och ansvarar alltså för sin egen personuppgiftsbehandling. Det hindrar inte att nämnderna kan sam- arbeta och t.ex. utse ett gemensamt dataskyddsombud.

2 kap. Grundläggande bestämmelser om behandling

	Rättsliga grunder
	1 §
	Paragrafen reglerar de tillåtna rättsliga grunderna för behandling av
	personuppgifter. Övervägandena finns i avsnitt 13.3.1.
	Paragrafen, som är anpassad till hur de rättsliga grunderna för behand-
	ling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap.
	1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap.
	2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall
	behandla personuppgifter enbart för diarieföring och nödvändig hand-
	läggning.
	Enligt paragrafen får personuppgifter behandlas om det är nödvändigt
	för att kunna utföra vissa uppgifter. I 2 kap. 1 § andra stycket brottsdata-
	lagen anges att med en behörig myndighets uppgift avses en uppgift som
	framgår av lag, förordning eller ett särskilt beslut i vilket regeringen
	uppdragit åt myndigheten att ansvara för uppgiften (se vidare
	prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när
	behandling av personuppgifter är tillåten.
	Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för
	att kunna verkställa häktning eller straffrättsliga påföljder. De påföljder
374	som är aktuella är fängelsestraff, skyddstillsyn och villkorlig dom med

föreskrift om samhällstjänst. Med fängelsestraff avses här även sådant Prop. 2017/18:269 fängelsestraff som utgör förvandlingsstraff för böter eller vite. Regle-

ringen omfattar även motsvarande straffrättsliga påföljder som utdömts i en annan stat om påföljden ska verkställas i Sverige. Verkställigheten av häktning omfattar, som framgår av kommentaren till 1 kap. 1 §, endast sådan häktning som ligger inom brottsdatalagens tillämpningsområde.

Personuppgifter får, enligt punkt 2, behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet. Med verkställighet avses här både verkställighet av häktning och verkställighet av straffrättsliga påföljder. När myndigheten behandlar personuppgifter för att utföra sådana uppgifter, t.ex. för att undvika att placera intagna som tillhör rivaliserande gäng tillsammans eller förhindra att narkotika tas in på ett häkte eller i en kriminalvårds- anstalt, utgör det alltså en tillåten behandling. För att regleringen inte ska tolkas för snävt används här uttrycket ”i samband med verkställighet”. Det kan t.ex. vara osäkert om ett visst handlande som har betydelse ur säkerhetssynpunkt ligger före, under eller efter verkställigheten.

Enligt punkt 3 får personuppgifter behandlas om det är nödvändigt för att biträda andra behöriga myndigheter när de fullgör uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I det ingår bl.a. Kriminalvårdens personutredningar i brottmål och transporter av häktade under brottsutredningar eller till och från domstolsförhandlingar i brottmål. Vidare omfattas det biträde som består i att Kriminalvården på vissa orter hanterar Polismyndig- hetens arrestverksamhet. Även biträde åt övervakningsnämnder eller domstolar bl.a. vid omhändertagande enligt 28 kap. 11 § brottsbalken om undanröjande av skyddstillsyn omfattas.

Personuppgifter får, enligt punkt 4, behandlas om det är nödvändigt för att myndigheten ska kunna utföra en uppgift som följer av en internatio- nell förpliktelse. Sådana internationella förpliktelser kan bestå i exem- pelvis att ta över straffverkställighet från en annan stat för verkställighet i Sverige eller att tillfälligt förvara personer som transporteras genom Sverige för straffverkställighet i ett annat land. Det kan också vara fråga om att hantera någon som har frihetsberövats med stöd av en arreste- ringsorder.

2 §

I paragrafen upplyses om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen. Övervägandena finns i avsnitt 6 och 13.3.1.

Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Vad prövningen innebär utvecklas i avsnitt 6.3 och i prop. 2017/18:232 s. 125 f.

375

Prop. 2017/18:269

376

Känsliga personuppgifter

3 §

I paragrafen regleras när biometriska uppgifter får behandlas. Över- vägandena finns i avsnitt 13.3.2.

Biometriska uppgifter definieras i 1 kap. 6 § brottsdatalagen som per- sonuppgifter som rör en persons fysiska, fysiologiska eller beteende- mässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Paragrafen möjliggör således användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person.

Biometriska uppgifter får behandlas enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen. Behandlingen av de biometriska upp- gifterna ska vara absolut nödvändig för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga.

Utlämnande av personuppgifter

4 §

I paragrafen anges när personuppgifter får lämnas ut till en utländsk myndighet eller internationell organisation. Övervägandena finns i av- snitt 13.3.2.

Bestämmelserna är sekretessbrytande. När personuppgifter överförs till tredjeland ska även bestämmelserna i 8 kap. brottsdatalagen beaktas.

Punkt 1 gäller vid överflyttning av straffverkställighet till en annan stat. En liknande bestämmelse finns i nuvarande 48 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården. En förutsättning är att informationen lämnas till en myndighet i den andra staten som har till uppdrag att pröva om straffverkställigheten ska över- flyttas eller att genomföra överflyttningen av verkställigheten till den andra staten. De personuppgifter som det kan vara fråga om rör bl.a. på- följden och den dömdes anknytning till den andra staten. Om verkställig- het pågår i Sverige är uppgifter om verkställigheten av stor betydelse.

Punkt 2 avser den situationen att Kriminalvården behöver lämna infor- mation till en annan stats myndigheter om en person som är frihetsberöv- ad och ska transiteras genom den andra staten. Personuppgifter som kan behöva överföras kan t.ex., utöver direkta personuppgifter, röra säker- hetsfrågor eller frågor som rör den enskildes behov av specialkost eller medicinering.

Enligt punkt 3 får personuppgifter lämnas ut till en annan stats myndig- heter om det behövs t.ex. för att en person som avtjänar fängelsestraff i Sverige tillfälligt ska kunna överföras till den andra staten för att där vittna i en brottmålsrättegång eller lagföras för brott. De personuppgifter som det kan röra sig om är av samma slag som anges i punkt 2.

Längsta tid som personuppgifter får behandlas

Prop. 2017/18:269

5 §

Paragrafen anger den längsta tid under vilken uppgifter om en person får behandlas automatiserat. Övervägandena finns i avsnitt 5.5.

Bestämmelsen i första stycket, som motsvarar nuvarande 7 § lagen om behandling av personuppgifter inom kriminalvården, anger hur länge personuppgifter får behandlas för att myndigheten ska kunna utföra någon av de uppgifter som anges i 2 kap. 1 §.

Av andra stycket framgår att uppgifterna, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har före- träde, inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att upp- gifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 6 §).

I tredje stycket finns en upplysning om att det i 3 kap. 7 § finns bestämmelser om längsta tid för behandling av personuppgifter i säker- hetsregistret.

Rätt att meddela föreskrifter

6 §

I paragrafen finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka personupp- gifter som får behandlas, utlämnande av personuppgifter i andra fall än som anges i lagen, frågor som rör direktåtkomst till personuppgifter och längsta tid som personuppgifter får behandlas. Övervägandena finns i avsnitt 5.7.

Regeringen eller den myndighet som regeringen bestämmer kan även meddela föreskrifter om att personuppgifter får behandlas under längre tid än vad som följer av 5 § för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, vilket motsvarar nuvarande 7 § andra stycket lagen om behandling av personuppgifter inom kriminalvården.

3 kap. Säkerhetsregistret

Rätten att föra register

1 §

I paragrafen regleras rätten att föra ett säkerhetsregister. Övervägandena finns i avsnitt 13.5.1.

Bestämmelser om säkerhetsregistret finns i nuvarande 39–41 och 43– 45 §§ förordningen om behandling av personuppgifter inom kriminal- vården. I säkerhetsregistret får personuppgifter behandlas för två syften. Enligt punkt 1 får personuppgifter behandlas i syfte att förebygga, för- hindra eller upptäcka brott eller brottslig verksamhet på häkten och i

kriminalvårdsanstalter eller i samband med annan straffverkställighet.

377

Prop. 2017/18:269 Personuppgifter får enligt punkt 2 behandlas för att säkerställa ordning och säkerhet på häkten och i kriminalvårdsanstalter och annan verksam- het som Kriminalvården bedriver. Till det sistnämnda hör bl.a. halvvägs-

	hus och utslussningsenheter.
	Innehåll i registret
	2 §
	Paragrafen reglerar, tillsammans med 3 och 4 §§, vilka personkategorier
	som får registreras i säkerhetsregistret. I denna paragraf anges huvud-
	regeln för behandling av personuppgifter i registret. Övervägandena finns
	i avsnitt 13.5.2.
	Utgångspunkten för att det ska få finnas uppgifter om en person i
	registret är att han eller hon bedöms utgöra en säkerhetsrisk. Endast
	uppgifter om personer som är häktade eller verkställer ett fängelsestraff
	och som på någon av de särskilt uppräknade grunderna bedöms medföra
	en säkerhetsrisk för häktesverksamheten eller vid straffverkställigheten
	får behandlas i registret enligt denna paragraf. Regleringen träffar bara
	dem som är häktade eller intagna i kriminalvårdsanstalt för sådana syften
	som omfattas av brottsdatalagens tillämpningsområde. Därför får t.ex.
	personuppgifter om den som är häktad enligt konkurslagen eller som
	förvaras i häkte med stöd av utlänningslagstiftningen inte behandlas i
	registret med stöd av denna bestämmelse. Grunderna för registrering
	motsvarar i allt väsentligt regleringen i nuvarande 39 och 40 §§
	förordningen om behandling av personuppgifter inom kriminalvården.
	Av första stycket framgår att uppgifter om personer som är eller har
	varit placerade på säkerhetsavdelning får behandlas i registret. Vad som
	krävs för placering på säkerhetsavdelning framgår av 2 kap. 4 § fängelse-
	lagen (2010:610).
	Registret får enligt andra stycket innehålla uppgifter om en intagen
	eller häktad, om det finns risk för att han eller hon under häktningen eller
	verkställigheten av straffet begår brott eller utövar viss brottslig verk-
	samhet eller på annat sätt äventyrar ordning och säkerhet på ett häkte
	eller i en kriminalvårdsanstalt. Registreringen bygger således på en risk-
	bedömning.
	Enligt punkt 1 får personuppgifter behandlas i registret om det finns
	risk för att en häktad eller intagen begår brott som inte är ringa. Om ett
	brott är ringa eller inte får bedömas med utgångspunkt i omständig-
	heterna i det enskilda fallet och brottets straffskala. Redan misstanke om
	brott kan läggas till grund för registrering, eftersom det är fråga om en
	riskbedömning. För registrering krävs således inte att det är straffrättsligt
	prövat att personen har begått brott.
	Vidare får personuppgifter behandlas om det finns risk för att den häkt-
	ade eller intagne utövar brottslig verksamhet som innefattar brott för
	vilket det är föreskrivet fängelse i två år eller mer. En sådan risk kan,
	beroende på omständigheterna i det enskilda fallet, föreligga i fråga om
	en intagen som har begått mycket allvarlig brottslighet eller som har an-
	knytning till grov organiserad brottslighet. Det är straffskalan för brottet
	som är avgörande för om uppgifterna får registreras. Regleringen innebär
	att brott som har ett maximistraff om två års fängelse eller mer omfattas.
378	Genom formuleringen omfattas även livstidsstraff.

Det är endast brott eller brottslig verksamhet i häkte eller under verk- Prop. 2017/18:269 ställighet av fängelsestraff som får beaktas.

Punkt 2 innebär att personuppgifter får behandlas beträffande en häk- tad eller intagen, om det finns risk för att han eller hon förbereder rym- ning eller försöker rymma.

Enligt punkt 3 får uppgifter behandlas om en häktad eller intagen om det finns risk för att han eller hon blir föremål för fritagning. Tidigare försök till rymning eller fritagning kan tyda på att det finns en sådan risk.

Enligt punkt 4 får uppgifter om en häktad eller intagen behandlas om det finns risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt. Det behöver inte vara fråga om ett straffbart handlande. Kravet på att ordningsstör- ningen ska vara allvarlig innebär att inte alla störningar får beaktas.

Punkt 5 innebär att uppgifter om en person som riskerar att utsättas för våld eller hot under verkställigheten också får registreras i säkerhets- registret. Det kan behövas för att förhindra att en intagen placeras till- sammans med personer som kan utgöra ett hot mot honom eller henne under verkställigheten. Av 2 kap. 9 § brottsdatalagen följer att det ska framgå av registret att personen i fråga inte själv utgör en säkerhetsrisk.

3 §

Paragrafen reglerar tillsammans med 2 och 4 §§ vilka personkategorier som får registreras i säkerhetsregistret. Övervägandena finns i av- snitt 13.5.3.

Gruppen av personer som får registreras med stöd av denna paragraf är bredare än i 2 §. Paragrafen kan tillämpas på alla som verkställer en påföljd inom kriminalvården. Förutom fängelsestraff är det fråga om frivårdspåföljder som kriminalvården ansvarar för. Förutsättningen för att personuppgifter ska få behandlas är att det finns risk för att personen utövar våld eller hot mot eller otillbörlig påverkan på personal inom kriminalvården eller andra personer som uppehåller sig i kriminalvårdens lokaler. Otillbörlig påverkan kan i vissa fall innefatta ett straffbart hand- lande, t.ex. utpressning, men även andra former av påverkan kan utgöra grund för registrering, t.ex. förtäckta hot. Den som t.ex. genom brev eller telefonsamtal hotar kriminalvårdens personal omfattas av regleringen, eftersom det inte krävs att hotet uttalas i kriminalvårdens lokaler. Regle- ringen träffar också den som i kriminalvårdens lokaler utövar våld mot andra klienter eller personer som tillfälligt befinner sig i lokalerna.

4 §

Paragrafen reglerar möjligheten att i säkerhetsregistret behandla upp- gifter om personer som inte är intagna i häkte eller verkställer påföljd. Övervägandena finns i avsnitt 13.5.4.

Enligt paragrafen får Kriminalvården även behandla uppgifter om personer som har personlig anknytning till eller annan nära förbindelse med någon som är registrerad i säkerhetsregistret med stöd av 2 §. Det krävs dock att registreringen är absolut nödvändig för ändamålet med behandlingen. Det ställs således väsentligt högre krav för registrering med stöd av nu aktuell paragraf.

379

Prop. 2017/18:269 Med personlig anknytning avses t.ex. anhöriga eller andra närstående till en registrerad. En person som har nära förbindelse med den som är registrerad enligt 2 § kan exempelvis vara en tidigare medbrottsling. Genom kravet på nära förbindelse utesluts professionella aktörer som t.ex. försvarare, kontaktpersoner och tolkar som i den egenskapen har en förbindelse med en registrerad. Uppgifter om sådana personer får alltså inte registreras.

Uppgifter om personer som registreras med stöd av paragrafen och som inte själva är häktade eller intagna ska alltid förses med en särskild upplysning om det enligt 2 kap. 9 § brottsdatalagen. Genom sådana upp- lysningar kan man skilja anknytningspersoner från sådana personer som själva utgör en säkerhetsrisk.

Känsliga personuppgifter

5 §

Paragrafen reglerar Kriminalvårdens möjlighet att använda känsliga personuppgifter vid sökning i personuppgifter i säkerhetsregistret. Över- vägandena finns i avsnitt 13.5.5.

Paragrafen motsvarar nuvarande 41 § andra stycket förordningen om behandling av personuppgifter inom kriminalvården. I paragrafen görs undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen. Enligt paragrafen är det tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på vissa känsliga personuppgifter. Därmed tillåts sökningar som görs för att få fram ett urval av personer som t.ex. har visst etniskt ursprung eller viss religiös åskådning. Sökningar av det slaget kan behövas för t.ex. placering av en intagen.

Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras, medlemskap i fackförening eller biometriska uppgifter. Sökning som syftar till att få fram ett urval av personer grundat på sådana uppgifter är alltså inte tillåten.

I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sök- ningen resulterat i får prövas mot huvudregeln om behandling av käns- liga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sök- ningar enligt förevarande paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna.

Direktåtkomst

6 §

I paragrafen regleras möjligheten att medge direktåtkomst till säker- hetsregistret. Övervägandena finns i avsnitt 13.5.6.

Paragrafen motsvarar nuvarande 44 § första stycket förordningen om behandling av personuppgifter inom kriminalvården. De myndigheter som räknas upp är Polismyndigheten, Säkerhetspolisen, Ekobrottsmyn- digheten och Åklagarmyndigheten. Direktåtkomst får endast medges ett syfte som anges i 1 kap. 2 § brottsdatalagen. Vilka personuppgifter som får göras tillgängliga genom direktåtkomst regleras i förordning.

380

Längsta tid som personuppgifter får behandlas

Prop. 2017/18:269

7 §

Paragrafen anger den längsta tid som personuppgifter i säkerhetsregistret får behandlas. Övervägandena finns i avsnitt 13.5.7.

Paragrafen motsvarar i huvudsak nuvarande 45 § förordningen om behandling av personuppgifter inom kriminalvården. I första stycket anges hur länge uppgifterna får behandlas.

Av andra stycket framgår att bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) inte gäller vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Ut- gångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ända- mål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 2 kap. 6 §).

Rätt att meddela föreskrifter

8 §

I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. Övervägandena finns i avsnitt 13.5.8.

4 kap. Övriga bestämmelser

Administrativa sanktionsavgifter

1 §

Paragrafen reglerar vid vilka överträdelser sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2.

I första stycket anges vid vilka överträdelser sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskil- da fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av for- muleringen att avgift får tas ut. Uppräkningen av vilka överträdelser som kan föranleda sanktionsavgift är uttömmande. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskil- da upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter till- ämpas även vid överträdelser enligt förevarande lag.

Enligt andra stycket får sanktionsavgift även tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till lagen och som rör särskild upplysning eller längsta tid som personuppgifter får behandlas.

I tredje stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

381

Prop. 2017/18:269

382

Skadestånd

2 §

Paragrafen motsvarar nuvarande 8 §. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen (2018:000), som ska tillämpas vid behandling av person- uppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).

Överklagande

3 §

I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4.

Ikraftträdande- och övergångsbestämmelser

Övervägandena kring ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16.

Punkt 1 föreskriver när lagen ska träda i kraft.

Av punkt 2 framgår att lagen (2001:617) om behandling av personupp- gifter inom kriminalvården upphävs genom lagen.

En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. Bestämmelsen tydliggör att sanktions- avgift inte får beslutas för en överträdelse som har skett före ikraftträd- andet, även om sanktionsavgift skulle betraktas som en mildare åtgärd än ett straff.

Enligt punkt 4 ska den upphävda lagen fortsätta att gälla för överträd- elser av bestämmelser om personuppgiftsbehandling som skett före ikraftträdandet. Den gäller endast för sådana överträdelser som varit straffbara enligt 49 § personuppgiftslagen. Vid bedömningen av om det varit fråga om en överträdelse ska de krav som gällde för personuppgifts- behandling vid tidpunkten för överträdelsen tillämpas.

I punkt 5 föreskrivs att den upphävda lagen också ska gälla för över- klagande av beslut om behandling av personuppgifter i sådana syften som anges i 1 kap. 1 § som har meddelats före ikraftträdandet. Punkten tar inte bara sikte på själva överklagandet utan också på vilket regelverk som ska tillämpas när överklagandet prövas. Den upphävda lagen ska tillämpas även i det fallet.

18.8	Förslaget till lag om ändring i rättegångsbalken Prop. 2017/18:269

28 kap.

12 a §

Paragrafen reglerar kroppsbesiktning i form av salivprov som tas på den som är skäligen misstänkt. En hänvisning till polisdatalagen (2010:361) ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Paragrafen ändras också redaktionellt.

12 b §

Paragrafen reglerar kroppsbesiktning i form av salivprov som tas på annan än den som är skäligen misstänkt.

I första stycket görs endast en redaktionell ändring.

I andra stycket ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i av- snitt 7.1.2. Stycket ändras också redaktionellt.

Tredje stycket är oförändrat.

18.9Förslaget till lag om ändring i polislagen (1984:387)

26 §

I paragrafen regleras på vilket sätt Polismyndigheten och Säkerhetspo- lisen får ta del av uppgifter som med stöd av 26 § tillhandahålls av trans- portföretag. Övervägandena finns i avsnitt 7.4.1.

Första stycket är oförändrat.

I andra stycket regleras numera endast i vilken omfattning Polismyn- digheten och Säkerhetspolisen får ta del av uppgifter genom terminalåt- komst. Polismyndighetens behandling av sådana personuppgifter regleras i polisens brottsdatalag. Motsvarande behandling hos Säkerhetspolisen regleras övergångsvis i polisdatalagen (2010:361) enligt en övergångs- bestämmelse till samma lag.

18.10Förslaget till lag om ändring i säkerhetsskyddslagen (1996:627)

12 §

I paragrafen anges vad som avses med registerkontroll. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Hänvisningen innebär att alla uppgifter som behandlas med stöd av de rättsliga grunderna i den lagen kan hämtas in. Övervägandena finns i avsnitt 7.1.2.

Hänvisningen till lagen (2010:362) om polisens allmänna spanings- register tas bort, eftersom den lagen har upphört att gälla.

383

Prop. 2017/18:269 Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Punkt 2 innebär att även uppgifter som Säkerhetspolisen behandlar med stöd av polisdatalagen (2010:361) kan hämtas inom ramen för en registerkontroll. Av en övergångsbestämmelse till polisens brottsdatalag framgår att Säkerhetspolisen övergångsvis ska tillämpa bestämmelserna i polisdatalagen (2010:361) vid behandling av personuppgifter i frågor som rör nationell säkerhet. Sådana uppgifter kan alltså hämtas in i samma utsträckning även fortsättningsvis inom ramen för en registerkontroll.

18.11Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

16 §

I paragrafen, som behandlas i avsnitt 8.4, regleras på vilket sätt Tullver- ket får ta del av uppgifter som lämnas av transportföretag med stöd av 15 §.

Första stycket är oförändrat.

I andra stycket regleras numera endast i vilken omfattning Tullverket får ta del av uppgifter genom terminalåtkomst. Myndighetens behandling av sådana personuppgifter regleras i lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

18.12Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem

5 §

I paragrafen anges övergripande vad registret får innehålla och vem som får behandla personuppgifter i registret.

Första stycket är oförändrat.

I andra stycket ersätts hänvisningen till personuppgiftslagen (1998:204), polisdatalagen (2010:361) och annan svensk författning med en hänvisning till brottsdatalagen, polisens brottsdatalag och annan

författning. Med annan författning avses till exempel dataskyddsförordningen. Av lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen följer bl.a. att EU- förordningar är att jämställa med svensk lag. Övervägandena finns i avsnitt 7.1.2.

384

18.13 Förslaget till lag om ändring i lagen (2001:185) Prop. 2017/18:269 om behandling av uppgifter i Tullverkets

verksamhet

1 kap.

1 §

Paragrafen anger tillämpningsområdet för lagen. Första och andra styckena är oförändrade.

I tredje stycket tas en hänvisning bort, eftersom det i fortsättningen får avgöras utifrån syftet med behandlingen vilken reglering som är tillämp- lig när personuppgifter behandlas i Tullverkets brottsbekämpande verk- samhet. Om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott tillämpas brottsdatalagen och lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, medan dataskyddsförordningen med komplette- rande lagstiftning är tillämplig om syftet ligger utanför dessa lagars tillämpningsområden.

5 §

I paragrafen anges i vilken utsträckning personuppgifter som behandlas med stöd av 4 § får behandlas för att tillhandahållas utanför den verk- samhet som lagens tillämpningsområde omfattar.

I andra punkten ändras hänvisningen med anledning av att tullbrottsdatalagen (2017:447) upphävs och ersätts av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, vilket behandlas i avsnitt 8.1.2

18.14Förslaget till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

8 a §

Paragrafen reglerar rätten att fotografera den som har eller skäligen kan antas få tillträdesförbud. I paragrafen ersätts en hänvisning till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang med en hänvisning till polisens brottsdatalag. Övervägandena finns i av- snitt 14.5.

18.15Förslaget till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

1 §

I paragrafen anges vad Säkerhets- och integritetsskyddsnämnden utövar tillsyn över. Övervägandena finns i avsnitt 15.4.

Första stycket är oförändrat.

385

Prop. 2017/18:269 I andra stycket tydliggörs vad tillsynen över Polismyndighetens, Säkerhetspolisens och Ekobrottsmyndighetens personuppgiftsbehandling omfattar. I stycket anges att nämndens tillsyn omfattar dels sådan be- handling av personuppgifter som utförs enligt polisens brottsdatalag, dels sådan behandling som omfattas av tillämpningsområdet för den lagen men som utförs enligt brottsdatalagen. Det innebär att personuppgiftsbe- handling som är undantagen från tillämpningsområdet för polisens brottsdatalag enligt 1 kap. 2 och 3 §§ den lagen inte omfattas. Att polisdatalagen (2010:361) upphävs och polisens brottsdatalag införs nödvändiggör en övergångsbestämmelse så att nämnden kan utöva tillsyn över sådan behandling av personuppgifter som ligger i tiden före den nya lagens ikraftträdande.

Det tredje stycket är oförändrat.

3 §

Paragrafen reglerar Säkerhets- och integritetsskyddsnämndens skyldighet att på begäran av enskild kontrollera om han eller hon har varit föremål för personuppgiftsbehandling eller användning av hemliga tvångsmedel och om handläggningen har varit författningsenlig. Övervägandena finns i avsnitt 15.4.

Ändringarna i första stycket är enbart redaktionella. Någon ändring i sak är inte avsedd.

Det andra stycket motsvarar sista meningen i paragrafens nuvarande lydelse.

I tredje stycket, som är nytt, föreskrivs att nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. Syftet med bestämmelsen är att skapa utrymme för nämnden att underlåta att utföra kontroll i vissa fall. En begäran om kontroll kan vara orimlig om den upprepas med alltför täta intervall. Det är inte heller alltid rimligt att nämnden ska behöva kontrollera personuppgiftsbehandling som ligger långt tillbaka i tiden. Finns det inte längre möjlighet att begära skade- stånd för kränkande personuppgiftsbehandling saknas det som regel anledning att utföra kontroll. Någon bestämd gräns för hur gamla förhål- landen som bör kontrolleras anges dock inte.

4 §

I paragrafen slås fast att nämnden har rätt att få de uppgifter och det biträde för sin tillsyn som den begär. Övervägandena finns i avsnitt 15.4.

I paragrafen tydliggörs genom ett tillägg att nämnden har rätt att få till- gång till all den information och de upplysningar som den anser sig be- höva för sin tillsyn. Det innebär en rätt att inte bara få tillgång till de personuppgifter som behandlas och dokumentation som rör den behand- lingen utan också tillgång till dokumentation som rör it-system, informa- tion om säkerhetsåtgärder och liknande. På motsvarande sätt har nämn- den rätt att få all information som behövs för tillsynen över handlägg- ningen av hemliga tvångsmedel.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16.

386

Punkt 1 föreskriver när lagen ska träda i kraft.	Prop. 2017/18:269
Punkt 2 innebär att äldre föreskrifter fortfarande ska gälla för Säker-
hets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens per-
sonuppgiftsbehandling i frågor som rör nationell säkerhet med stöd av
polisdatalagen (2010:361) och enligt polisdatalagen (1998:622). Detta
ska gälla övergångsvis till dess att en ny lag om Säkerhetspolisens
behandling av personuppgifter träder i kraft.
Punkt 3 innebär att Säkerhets- och integritetsskyddsnämndens tillsyn
över Ekobrottsmyndighetens och Polismyndighetens personuppgifts-
behandling fortfarande regleras enligt det äldre regelverket avseende
förhållanden före ikraftträdandet (den 1 januari 2019).

18.16Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

18 kap.

2 §

Paragrafen reglerar sekretess till skydd för underrättelseverksamhet. Övervägandena finns i avsnitt 15.1.1.

I första stycket ändras hänvisningarna till Polismyndighetens reglering av personuppgiftsbehandling. För Säkerhetspolisens del gäller fortfa- rande den äldre bestämmelsen, vilket framgår av en övergångsbestäm- melse. I andra stycket ändras hänvisningar till lagar som byter namn.

Tredje och fjärde styckena är oförändrade.

18 §

I paragrafen, som innehåller en sekretessbrytande bestämmelse, ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 15.1.1.

35 kap.

1 §

Paragrafen reglerar sekretess för enskilds personliga och ekonomiska förhållanden i viss brottsbekämpande verksamhet. Övervägandena finns i avsnitt 15.1.1.

I första stycket ändras hänvisningarna till lagar som byter namn. För Säkerhetspolisens del gäller fortfarande den äldre bestämmelsen, vilket framgår av en övergångsbestämmelse. Hänvisningen till lagen (2010:362) om polisens allmänna spaningsregister tas bort, eftersom den lagen upphört att gälla.

Andra–fjärde styckena är oförändrade.

4 a §

Paragrafen reglerar sekretessen för tillträdesförbudsregistret. Övervägan- dena finns i avsnitt 14.5.

387

Prop. 2017/18:269 I första stycket ändras hänvisningen till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang till en hänvisning till polisens brottsdatalag, där registret numera regleras.

Andra stycket är oförändrat.

10 §

Paragrafen innehåller hänvisningar till sekretessbrytande bestämmelser i ett antal andra lagar. Övervägandena finns i avsnitt 15.1.1. Hänvisningar till lagar som byter namn ändras. För Säkerhetspolisens del gäller fortfa- rande den äldre bestämmelsen, vilket framgår av en övergångsbestäm- melse. Vidare görs redaktionella ändringar.

10 b §

Paragrafen innehåller en sekretessbrytande bestämmelse. Övervägandena finns i avsnitt 14.5. Hänvisningen till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ändras till en hänvisning till polisens brottsdatalag, där registret numera regleras.

37 kap.

7 §

I paragrafen, som innehåller en sekretessbrytande bestämmelse, ändras en hänvisning till en lag som byter namn. Övervägandena finns i av- snitt 15.1.1.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Punkt 2 innebär att den äldre bestämmelsen i 18 kap. 2 § fortfarande gäller för sådan verksamhet hos Säkerhetspolisen som avses i 6 kap. 1 § 1 polisdatalagen (2010:361), dvs. i Säkerhetspolisens underrättelse- verksamhet.

Punkt 3 innebär att de äldre bestämmelserna i 35 kap. 1 § och 35 kap. 10 § fortfarande gäller för Säkerhetspolisens personuppgiftsbehandling med stöd av polisdatalagen.

Punkt 4 innebär att äldre bestämmelser fortfarande gäller för uppgifter i handlingar som omhändertagits för arkivering före ikraftträdande av lagen.

18.17Förslaget till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas

1 §

Paragrafen reglerar Polismyndighetens rätt att föra register över dna- profiler.

I första och andra styckena görs endast redaktionella ändringar.

388

I tredje stycket ersätts en hänvisning till polisdatalagen (2010:361) med Prop. 2017/18:269 en hänvisning till polisens brottsdatalag. Övervägandena finns i av-

snitt 7.2.1.

2 §

Paragrafen reglerar förhållandet till annan personuppgiftsreglering. I paragrafen föreskrivs att lagen gäller utöver brottsdatalagen. Övervägan- dena finns i avsnitt 15.3. Vad det innebär att lagen gäller utöver brotts- datalagen utvecklas i kommentaren till 1 kap. 1 § polisens brottsdatalag.

4 §

Av paragrafen framgår vilka jämförelser som får göras med dna-profiler i elimineringsdatabasen.

I första och andra styckena ersätts hänvisningar till polisdatalagen med hänvisningar till polisens brottsdatalag. Övervägandena finns i avsnitt 7.2.1. Vidare görs redaktionella ändringar.

I tredje stycket görs endast redaktionella ändringar.

11 §

Paragrafen reglerar hur länge uppgifter får behandlas i elimineringsdata- basen.

Ändringarna i första–fjärde styckena består enbart i anpassningar till brottsdatalagen och den terminologi som används i den lagen. Övervä- gandena finns i avsnitt 15.3.

Enligt femte stycket, som är nytt, gäller inte bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att all automatiserad behandling av personuppgifterna ska upphöra när de tider som anges i paragrafen har löpt ut.

12 §

Paragrafen, som behandlas i avsnitt 15.3, hänvisar till bestämmelsen om skadestånd 7 kap. 1 § brottsdatalagen, som ska tillämpas när det har förekommit behandling av personuppgifter i strid med förevarande lag eller föreskrifter som har meddelats i 13 eller 14 §. Vad hänvisningen innebär utvecklas i kommentaren till 7 kap. 2 § polisens brottsdatalag.

18.18Förslaget till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

Bestämmelserna om Polismyndighetens behandling av personuppgifter
flyttas, av de skäl som anges i avsnitt 14.2, till polisens brottsdatalag. Till
följd av det upphävs ett flertal paragrafer i lagen och de återstående para-
graferna numreras om och ändras redaktionellt. Lagen ges också nytt
namn.
Dataskyddsförordningen och dataskyddslagen gäller för idrottsorga-
nisationernas behandling av personuppgifter. Lagen anger, tillsammans	389

Prop. 2017/18:269 med regleringen i lagen (2005:321) om tillträdesförbud vid idrotts- arrangemang, den rättsliga grunden för att idrottsorganisationer får be- handla personuppgifter från tillträdesförbudsregistret.

1 §

I paragrafen anges syftet med lagen. Regleringen omfattar numera enbart idrottsorganisationernas behandling av personuppgifter för att upprätt- hålla gällande tillträdesförbud. Det förtydligas att behandlingen rör till- trädesförbud som avses i 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang. Övervägandena finns i avsnitt 14.3 och 14.4.

2 §

Paragrafen, som behandlas i avsnitt 14.3 och 14.4 och motsvarar nuva- rande 3 §, anger lagens tillämpningsområde.

I första stycket regleras numera endast idrottsorganisationernas be- handling av personuppgifter.

I andra stycket görs enbart redaktionella ändringar.

3 §

Paragrafen, som är ny, anger hur lagen förhåller sig till annan reglering om personuppgiftsbehandling. Övervägandena finns i avsnitt 14.4

Av paragrafen framgår att dataskyddsförordningen gäller vid idrotts- organisationernas behandling av personuppgifter. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller om det inte finns avvikande bestämmelser i denna lag eller föreskrifter som har med- delats i anslutning till den. Det framgår av hänvisningen i paragrafen.

4 §

I paragrafen, som motsvarar nuvarande 5 § andra stycket, regleras nu- mera endast idrottsorganisationernas personuppgiftsansvar. Övervägan- dena finns i avsnitt 14.3 och 14.4

6 §

Paragrafen, som motsvarar nuvarande 11 §, reglerar tillgången till per- sonuppgifter. Regleringen i första stycket omfattar numera enbart idrotts- organisationernas behandling av personuppgifter. Övervägandena finns i avsnitt 14.3 och 14.4. Andra stycket ändras inte.

7 §

Paragrafen, som motsvarar nuvarande 13 §, reglerar hur länge en idrotts- organisation får behandla personuppgifter som rör tillträdesförbud. I paragrafen tydliggörs när behandlingen av personuppgifter senast måste upphöra. Övervägandena finns i avsnitt 14.4.

390

18.19	Förslaget till lag om ändring i domstolsdata-	Prop. 2017/18:269
	lagen (2015:728)
2 §
Paragrafen anger tillämpningsområdet för domstolsdatalagen (2015:728).
Övervägandena finns i avsnitt 12.3.2.
I andra stycket, som är nytt, anges att lagen inte gäller vid behandling
av personuppgifter som omfattas av domstolarnas brottsdatalag.
Tillämpningsområdet för domstolarnas brottsdatalag regleras i 1 § den
lagen. Se vidare författningskommentaren till den paragrafen.
Det hittillsvarande andra stycket flyttas till ett nytt tredje stycke.
16 §
Paragrafen reglerar i vilka fall personuppgifter får lämnas ut elektroniskt
på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt
12.6.1.
Begreppet medium för automatiserad behandling byts ut mot begreppet
elektroniskt på annat sätt än genom direktåtkomst. Någon ändring i sak
är inte avsedd.
18.20 Förslaget till lag om ändring i
	utlänningsdatalagen (2016:27)
14 §
Paragrafen reglerar Migrationsverkets rätt att föra register över fingerav-
tryck och för vilka ändamål registret får användas. En hänvisning i andra
stycket till polisdatalagen (2010:361) ersätts med en hänvisning till
polisens	brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Stycket

ändras också redaktionellt.

Första och tredje styckena är oförändrade.

18.21Förslaget till lag om ändring i tullagen (2016:253)

4kap.

8§

I paragrafen regleras på vilket sätt Tullverket får ta del av uppgifter som lämnas av transportföretag med stöd av 6 §. Övervägandena finns i av- snitt 8.4,

Första stycket är oförändrat.

391

Prop. 2017/18:269 18.22 Förslaget till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete

6 kap.

1 §

I paragrafen regleras hur bestämmelserna i lagen förhåller sig till andra bestämmelser om behandling av personuppgifter. Övervägandena finns i avsnitt 15.2.

Av paragrafen framgår att brottsdatalagen och de registerförfattningar som gäller för Polismyndigheten, Kustbevakningen respektive Tullverket gäller vid behandling av personuppgifter i internationellt polisiärt samar- bete, om det inte finns avvikande bestämmelser i förevarande lag eller föreskrifter som regeringen har meddelat i anslutning till den. För Säker- hetspolisens personuppgiftsbehandling gäller fortfarande den äldre be- stämmelsen enligt en övergångsbestämmelse. Vidare ändras hänvisning- arna till de lagar som byter namn. Övervägandena finns i avsnitt 7.1.2, 8.1.2 och 9.1.2.

7 kap.

1 §

Paragrafen reglerar direktåtkomst till och sökning i referensuppgifter i dna-register. I tredje stycket ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. I övrigt är paragrafen oförändrad.

3 §

Paragrafen reglerar direktåtkomst till referensuppgifter i fingerav- trycksregister. Ändringen är av samma slag som i 1 §.

4 §

Paragrafen reglerar sökning i fingeravtrycksregister. Ändringen är av samma slag som i 1 §.

7 §

Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 1 § brottsdatalagen. Övervägandena finns i avsnitt 15.2. Vad hänvisningen innebär utvecklas i kommentaren till 7 kap. 2 § polisens brottsdatalag. Vidare görs en redaktionell ändring.

8 kap.

3 §

Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 1 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §.

392

9 kap.

Prop. 2017/18:269

4 §

Paragrafen, som behandlas i avsnitt 15.2, reglerar överföring av person- uppgifter som hämtats från VIS till tredjeland eller en internationell organisation.

Första stycket är oförändrat.

Av andra stycket punkt 4 framgår att bestämmelserna i 8 kap. 1 § brottsdatalagen om överföring av personuppgifter till tredjeland eller internationella organisationer ska vara uppfyllda.

5 §

Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 2 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §.

10 kap.

1 §

Paragrafen reglerar direktåtkomst till referensuppgifter i fingeravtrycks- registret. Hänvisningen till personuppgiftslagen (1998:204) tas bort och hänvisningen till polisdatalagen ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2.

2 §

Paragrafen reglerar det svenska kontaktställets sökning i amerikanska fingeravtrycksregister och i vilken utsträckning behandling är tillåten. Hänvisningen till polisdatalagen ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2.

3 §

Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 2 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Punkt 2 innebär att äldre bestämmelser fortfarande ska gälla för Säker- hetspolisens personuppgiftsbehandling vid internationellt polisiärt sam- arbete.

393

Prop. 2017/18:269 18.23 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)

3 kap.

13 §

I paragrafen anges vad som avses med registerkontroll. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2.

14 §

I paragrafen anges när registerkontroll ska göras. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2.

Ikraftträdande- och övergångsbestämmelser

Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft.

Punkt 2 innebär att äldre föreskrifter fortfarande ska gälla för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361). Av en övergångsbestämmelse till polisens brottsdatalag framgår att Säkerhetspolisen övergångsvis ska tillämpa bestämmelserna i polisdatalagen vid behandling av personuppgifter i frågor som rör nationell säkerhet. Sådana uppgifter kan alltså hämtas in i samma utsträckning även fortsättningsvis inom ramen för en registerkontroll.

18.24Förslaget till lag om ändring i lagen (2018:591) om ändring offentlighets- och sekretesslagen (2009:400)

35 kap.

1 §

Paragrafen reglerar sekretess för enskilds personliga och ekonomiska förhållanden i viss brottsbekämpande verksamhet. Övervägandena finns i avsnitt 15.1.1.

Lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) innehåller ändringar i bl.a. 35 kap. 1 § offentlighets- och sekretesslagen som ska träda i kraft den 1 april 2019. I propositionen föreslås en ändring av paragrafen som ska träda i kraft den 1 januari 2018 (se avsnitt 2.16 och 18.16). I förevarande lag görs motsvarande ändringar.

10 §

Paragrafen innehåller hänvisningar till sekretessbrytande bestämmelser i

ett antal andra lagar. Övervägandena finns i avsnitt 15.1.1. Lagen

394

(2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) innehåller ändringar i bl.a. 35 kap. 10 § offentlighets- och sekretesslagen som ska träda i kraft den 1 april 2019. I propositionen föreslås en ändring av paragrafen som ska träda i kraft den 1 januari 2018 (se avsnitt 2.16 och 18.16). I förevarande lag görs motsvarande ändringar.

Prop. 2017/18:269

395

Prop. 2017/18:269	Sammanfattning SOU 2017:74
Bilaga 1
	Uppdraget
	Europeiska unionen har enats om en genomgripande dataskyddsreform
	som ska vara genomförd under våren 2018. Reformen omfattar dels en
	allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar
	dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställig-
	het. En konsekvens av reformen är att personuppgiftslagen kommer att
	upphävas och att all lagstiftning om personuppgiftsbehandling behöver
	ses över och anpassas.
	Utredningens uppdrag är att föreslå hur det nya direktivet ska genom-
	föras i svensk rätt genom en ny ramlagstiftning och att anpassa register-
	författningarna för myndigheterna i rättskedjan till de nya förutsättning-
	arna. Utredningen ska också överväga om det finns anledning att reglera
	Säkerhetspolisens personuppgiftsbehandling separat.
	Brottsdatalagen förutsätter en ny struktur
	I delbetänkandet Brottsdatalag (SOU 2017:29) föreslår utredningen en ny
	lag, brottsdatalagen, som kommer att fylla ungefär samma funktion som
	personuppgiftslagen gör i dag i verksamhet som rör brottsbekämpning,
	lagföring, straffverkställighet och upprätthållande av allmän ordning och
	säkerhet. I brottsdatalagen finns de grundläggande bestämmelserna om
	hur personuppgifter får behandlas. Där regleras även personuppgiftsan-
	svarigas skyldigheter, enskildas rättigheter och tillsynen över personupp-
	giftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om
	administrativa sanktionsavgifter, skadestånd och rättsmedel.
	Registerförfattningarna för myndigheterna i rättskedjan utgår i dag från
	personuppgiftslagen, antingen genom att registerförfattningen gäller
	i stället för personuppgiftslagen men hänvisar till bestämmelser i den
	eller genom att registerförfattningen gäller utöver personuppgiftslagen.
	Utredningen föreslår att registerförfattningarna ska gälla utöver brotts-
	datalagen och innehålla bestämmelser som innebär preciseringar, undan-
	tag eller avvikelser från bestämmelserna i den lagen. Bestämmelser i
	registerförfattningarna om bl.a. syfte, automatiserad behandling, person-
	uppgiftsombud, behandling av känsliga personuppgifter och tillgången
	till personuppgifter ska därför upphävas. Det föranleder omfattande
	redaktionella ändringar i registerförfattningarna.
	De registerförfattningar som reglerar personuppgiftsbehandling både
	inom och utanför brottsdatalagens tillämpningsområde renodlas så att de
	bara gäller vid personuppgiftsbehandling inom tillämpningsområdet. Det
	gäller lagen om behandling av personuppgifter inom kriminalvården,
	kustbevakningsdatalagen och åklagardatalagen. För domstolarna skapas
	i stället en ny lag för den personuppgiftsbehandling som ligger inom
	tillämpningsområdet. För att det ska vara tydligt att registerförfatt-
	ningarna gäller utöver brottsdatalagen ges de nya namn.
396

Anpassningar och andra ändringar i de brottsbekämpande myndigheternas registerförfattningar

Tillämpningsområdet

I dag utgår tillämpningsområdet i de brottsbekämpande myndigheternas registerförfattningar från i vilken verksamhet personuppgiftsbehand- lingen utförs. Det som kommer att bli avgörande för tillämpningen är i stället dels om myndigheten agerar i egenskap av behörig myndighet enligt brottsdatalagen, dels i vilket syfte personuppgifterna behandlas. Tillämpningsområdet blir därmed smalare än i dag, eftersom inte all personuppgiftsbehandling som utförs inom ramen för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet omfattas, t.ex. utlämnande av allmänna handlingar enligt tryck- frihetsförordningen eller för ändamål utanför brottsdatalagens tillämp- ningsområde.

Tillåtna rättsliga grunder och behandling för nya ändamål

Regleringen av för vilka ändamål de brottsbekämpande myndigheterna får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen föreslås i stort sett vara oförändrad när det gäller de primära ändamålen men det tydliggörs att det är fråga om bestämmel- ser om rättslig grund.

Innan personuppgifter behandlas för nya ändamål inom brottsdata- lagens tillämpningsområde ska det enligt brottsdatalagen alltid prövas om det finns en tillåten rättslig grund för den nya behandlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprung- liga. När personuppgifter behandlas för ändamål utanför tillämpningsom- rådet ska dataskyddsförordningen tillämpas. Utredningen föreslår att en prövning av nödvändighet och proportionalitet ska göras även innan personuppgifter behandlas för ändamål utanför brottsdatalagens tillämp- ningsområde. Någon prövning behöver dock inte göras om skyldighet att lämna uppgifter följer av lag eller förordning. Uppräkningen i de sekun- dära ändamålsbestämmelserna av i vilka situationer personuppgifter får tillhandahållas ersätts alltså av en särskild prövning både vid behandling för ändamål inom och utanför brottsdatalagens tillämpningsområde.

Behandling av känsliga personuppgifter

Brottsdatalagen förbjuder sökningar i personuppgifter i syfte att få fram ett personurval grundat på känsliga personuppgifter. I registerförfatt- ningarna ska det göras undantag från förbudet som är anpassade till respektive myndighets behov av att kunna behandla känsliga personupp- gifter. Brottsbekämpande myndigheter ska få använda t.ex. uppgifter som beskriver en persons utseende eller brottsrubriceringar ska vara tillåtet vid sökning i alla slags personuppgifter. Vid sökning i uppgifter som inte är gemensamt tillgängliga, dvs. som bara ett fåtal personer har tillgång till, ska sökning i syfte att ta fram personurval grundade på vissa känsliga personuppgifter få göras.

Prop. 2017/18:269 Bilaga 1

397

Prop. 2017/18:269 Bilaga 1

Längsta tid för behandling

I registerförfattningarna finns det bestämmelser om bevarande och gall- ring. De syftar till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. De ska därför formuleras om så att det framgår att det är fråga om dataskyddsbestämmelser. Regle- ringen ska utgå från hur länge personuppgifter får behandlas. Någon ändring av hur länge olika typer av personuppgifter får behandlas görs i princip inte.

Utökade möjligheter till elektroniskt utlämnande

Regleringen av i vilken utsträckning personuppgifter får lämnas ut på medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. Det blir tillåtet att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Viss reglering flyttas till registerförfattningarna

Bestämmelserna om Polismyndighetens behandling av personuppgifter i registret över tillträdesförbud vid idrottsarrangemang flyttas till polisens brottsdatalag. Lagen om register över tillträdesförbud vid idrotts- arrangemang renodlas så att den bara reglerar idrottsorganisationernas personuppgiftsbehandling.

Regleringen av Polismyndighetens, Säkerhetspolisens och Tullverkets behandling av personuppgifter som tillhandahålls av transportföretag flyttas till respektive myndighets registerförfattning.

398

En ny lag för domstolarna

Domstolsdatalagen reglerar i dag personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde i domstolarnas rättski- pande och rättsvårdande verksamhet. Den del av domstolarnas person- uppgiftsbehandling som ligger inom tillämpningsområdet ska regleras i en ny lag, domstolarnas brottsdatalag. Den nya lagen utformas med dom- stolsdatalagen som mönster men anpassas till den systematik och termi- nologi som finns i övriga registerförfattningar inom brottsdatalagens tillämpningsområde. Vissa frågor som hittills reglerats i förordning lyfts upp i lagen.

Allmän domstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätt- hållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om verkställighet av häktning eller straffrättsliga påfölj- der. Till skillnad från i dag omfattar tillämpningsområdet inte person- uppgiftsbehandling i den administrativa verksamheten som avser att på begäran lämna ut uppgifter ur mål eller ärenden.

Innan domstolar behandlar personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde ska de pröva om behandlingen är nödvändig och proportionerlig för det nya ändamålet. Vid behandling för

nya ändamål utanför brottsdatalagens tillämpningsområde gäller data-	Prop. 2017/18:269
skyddsförordningen. Någon prövning av om behandlingen är nödvändig	Bilaga 1
och proportionerlig behöver inte göras om domstolsdatalagen ska tilläm-
pas. En sådan prövning krävs däremot i andra fall, om inte skyldighet att
lämna uppgifter följer av lag eller förordning.
Domstolarna ska inte tillämpa sökförbudet i brottsdatalagen. I stället
ska motsvarande sökförbud som i domstolsdatalagen, som förbjuder
användningen av uppgifter som avslöjar känsliga personuppgifter och
uppgifter om brott eller misstanke om brott och nationell anknytning som
sökbegrepp, gälla. Samma undantag från förbudet som finns i domstols-
datalagen ska gälla.

Regleringen av Kriminalvårdens personuppgiftsbehandling

Kriminalvårdens reglering har en annan struktur än övriga register- författningar, eftersom större delen finns i förordning. Regleringen anpassas till brottsdatalagen och blir mer lik övriga registerförfattningar. Utredningens uppdrag har dock inte omfattat att göra en total översyn av regleringen och någon ny lag föreslås därför inte, trots att alla bestäm- melser ändras och lagen får en helt ny struktur.

Lagen ska tillämpas när kriminalvården behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda andra behöriga myndigheter när de utför arbetsuppgifter som omfattas av brottsdatalagens tillämpningsområde eller för att fullgöra internationella åtaganden. På samma sätt som för de brottsbekämpande myndigheterna ska behandling för nya ändamål föregås av en prövning av om behand- lingen är nödvändig och proportionerlig för det nya ändamålet, oavsett om ändamålet ligger inom eller utanför brottsdatalagens tillämpningsom- råde.

Regleringen av säkerhetsregistret flyttas till lagen, moderniseras och görs mer generell. Uppgifter om den som är häktad eller verkställer fäng- elsestraff ska få registreras om personen utgör en säkerhetsrisk. Även uppgifter om personer som en registrerad har viss anknytning till ska få behandlas om det är absolut nödvändigt. Om det finns risk för att någon som verkställer en påföljd inom kriminalvården utövar våld eller hot mot personer i kriminalvårdens lokaler ska uppgifter om honom eller henne också få behandlas i säkerhetsregistret. Det görs undantag från sökförbu- det i brottsdatalagen för sökningar i säkerhetsregistret i syfte att få fram personurval grundat på vissa känsliga personuppgifter.

Bestämmelserna om Kriminalvårdens underrättelseskyldighet bryts ut ur registerförordningen och placeras i en ny förordning.

En ny lag för Säkerhetspolisen

Regleringen utgår från dagens reglering och brottsdatalagen

Utredningen föreslår att det ska införas en ny lag om Säkerhetspolisens behandling av personuppgifter, Säkerhetspolisens datalag, som ersätter regleringen i polisdatalagen. Den regleringen ska bilda mönster för den nya lagen, som ska vara heltäckande och därför blir betydligt mer omfat-

399

Prop. 2017/18:269 Bilaga 1

tande än dagens reglering. Den nya lagen följer i princip brottsdatalagens systematik och innehåll. Det innebär att bestämmelserna om grundläg- gande krav på behandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skadestånd, rättsmedel och överföring av person- uppgifter till tredjeland i stort sett överensstämmer med brottsdatalagens bestämmelser.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksam- het. När Säkerhetspolisen behandlar personuppgifter som inte rör natio- nell säkerhet i syfte att bekämpa och lagföra brott ska myndigheten till- lämpa brottsdatalagen och polisens brottsdatalag.

Rättslig grund för behandling av personuppgifter

Regleringen av för vilka ändamål Säkerhetspolisen får behandla per- sonuppgifter är i dag uppdelad i primära och sekundära ändamål. Regle- ringen behålls i stort sett oförändrad men det tydliggörs att det är fråga om bestämmelser om rättslig grund – rättslig grund för behandling och rättslig grund för utlämnande.

Behandling av känsliga personuppgifter

Huvudregeln är att Säkerhetspolisen på samma sätt som i dag inte ska få behandla känsliga personuppgifter. Om uppgifter om en person redan behandlas ska de dock få kompletteras med känsliga personuppgifter om det är absolut nödvändigt.

Säkerhetspolisen får i dag använda uppgifter som avslöjar känsliga personuppgifter som sökbegrepp om det är absolut nödvändigt. Utred- ningen föreslår att samma sökförbud som i brottsdatalagen ska gälla för Säkerhetspolisen, dvs. att det ska vara förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Från förbudet görs det undantag. Det ska vara tillåtet att använda brottsrubri- ceringar, uppgifter om tillvägagångssätt vid brott och uppgifter som beskriver en persons utseende vid sökning. Även sökningar i syfte att få fram personurval grundat på flertalet känsliga personuppgifter ska tillå- tas, om sökningen är absolut nödvändig.

Elektroniskt utlämnande

Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Säkerhetspolisen ska få medge Polismyndigheten, Försvarsmakten och Försvarets radioanstalt direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften. Även underrättelse- och säkerhetstjänster inom EU och EES ska få medges direktåtkomst till uppgifter som Säkerhetspolisen behandlar för vissa syften om det behövs för samarbetet mot terrorism. Sådan direktåtkomst ska dock endast få medges till personuppgifter i en avskild uppgiftssamling och regeringen ska underrättas innan direktåtkomst medges.

400

Längsta tid för behandling

Personuppgifter ska inte få behandlas under längre tid än vad som behövs för något eller några av de syften för vilka Säkerhetspolisen får behandla personuppgifter. Huvudregeln ska på samma sätt som i dag vara att per- sonuppgifter som har gjorts gemensamt tillgängliga inte får behandlas längre än tio år efter det år då den senaste registreringen avseende perso- nen gjordes. Uppgifter om personer som ännu inte fyllt 18 år ska dock inte få behandlas längre än fem år från den senaste registreringen. Per- sonuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken ska inte få behandlas längre än 40 år efter det år då den senaste registreringen gjordes. På samma sätt som i dag ska Säkerhetspolisen kunna besluta att personuppgifter får behand- las under längre tid om det finns särskilda skäl.

Tillsyn över Säkerhetspolisens personuppgiftsbehandling

Både Datainspektionen och Säkerhets- och integritetsskyddsnämnden ska på i huvudsak samma sätt som i dag utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling.

Datainspektionen ska utöva allmän tillsyn över personuppgiftsbehand- ling enligt den nya lagen och ge råd och stöd till Säkerhetspolisen. Inspektionen ska i huvudsak ha samma befogenheter som enligt brotts- datalagen. Säkerhetspolisen ska dock inte kunna påföras administrativ sanktionsavgift.

Säkerhets- och integritetsskyddsnämnden ska utöva tillsyn över Säker- hetspolisens personuppgiftsbehandling och på begäran av enskild kon- trollera om behandlingen av personuppgifter är författningsenlig.

Prop. 2017/18:269 Bilaga 1

Ikraftträdande och övergångsbestämmelser

De nya registerförfattningarna och ändringarna i de befintliga registerför- fattningarna föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser för det nya sanktionssystemet och för ersättning för skador som har vållats före ikraftträdandet. Till de nya lagarna krävs det övergångsbestämmelser dels för mål och ärenden som rör behand- lingen av personuppgifter som har påbörjats före ikraftträdandet men inte hunnit slutföras, dels för mål som har överklagats men som inte har hunnit slutföras inom den tiden.

401

Prop. 2017/18:269 Bilaga 2

Lagförslag i SOU 2017:74

Förslag till domstolarnas brottsdatalag (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personupp- gifter.

1.Allmän domstol, om uppgifterna behandlas i syfte att handlägga mål eller ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

2.Allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder.

Personuppgiftsansvar

2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt och syftet är att handlägga mål eller ärenden om

1.utredning av eller lagföring för brott,

2.verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder, eller

3.upprätthållande av allmän ordning och säkerhet.

Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstol att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål inom denna lags tillämpningsområde regleras i 2 kap. 4 § brottsdatalagen (2018:000).

Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål utanför denna lags tillämpningsområde regleras i 2 kap. 22 § brottsdatalagen. Någon prövning enligt 2 kap. 22 § andra stycket brottsdatalagen krävs inte när domstolsdatalagen (2015:728) ska tillämpas.

402

Behandling av personnummer

3 § Personnummer, samordningsnummer och liknande identitetsbe- teckningar får endast behandlas när det är motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl.

Bestämmelser om användning av sådana personuppgifter som anges i första stycket vid sökning finns i 8 §.

Sökning

Undantag från brottsdatalagens sökförbud

4 § Bestämmelserna i 5–10 §§ denna lag och föreskrifter som meddelats i anslutning till den gäller i stället för sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000).

Känsliga personuppgifter och nationell anknytning

5 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar sådana personuppgifter som anges i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller nationell anknytning.

Brott eller misstanke om brott

6 § I allmän domstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter

1.i mål eller ärenden som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.i tvistemål.

7 § I allmän förvaltningsdomstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter i mål som

1.har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.handläggs av Migrationsöverdomstolen eller en migrationsdomstol.

Direkta personuppgifter

8 § Personnamn, personnummer, samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet får inte användas som sökbegrepp vid sökning i personuppgifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft.

Tillåtna sökningar

9 § Sökförbuden i 5–8 §§ hindrar inte sökning

1.i en viss handling eller i ett visst mål eller ärende, eller

2.med användande av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp.

Prop. 2017/18:269 Bilaga 2

403

Prop. 2017/18:269 Bilaga 2

10 § Sökförbudet i 5 § hindrar inte att allmän förvaltningsdomstol använder uppgifter som avslöjar hälsa som sökbegrepp. Sådana uppgifter får dock inte användas vid sökning i personuppgifter i mål som

1.har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.handläggs av Migrationsöverdomstolen eller en migrationsdomstol.

Utlämnande av personuppgifter

11 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 12 § och föreskrifter som har meddelats i anslutning till denna lag.

12 § Direktåtkomst får endast medges

1.en allmän domstol,

2.en allmän förvaltningsdomstol, eller

3.en part eller partens ombud, biträde eller försvarare.

Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende.

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsning av

1.möjligheten att använda de sökbegrepp som anges i 6, 7 och 10 §§,

2.direktåtkomst enligt 12 § första stycket och om behörighet och säkerhet vid sådan åtkomst,

3.möjligheten att lämna ut personuppgifter elektroniskt enligt 11 §,

och

4.behandling av personuppgifter som hänför sig till mål eller ärenden som har avgjorts genom dom eller beslut som har fått laga kraft.

3 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter, eller

2.2 kap. 5–8 §§ om sökning.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före- skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande

404sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

4 § En hovrätts, en tingsrätts eller en förvaltningsrätts beslut som överklagas enligt 7 kap. 2 § första stycket brottsdatalagen (2018:000) överklagas till kammarrätt. En kammarrätts beslut i sådana frågor överklagas till Högsta förvaltningsdomstolen.

Har Högsta domstolen eller Högsta förvaltningsdomstolen meddelat beslut som avses i 7 kap. 2 § första stycket brottsdatalagen får beslutet inte överklagas.

Kravet på prövningstillstånd i 7 kap. 2 § andra stycket brottsdatalagen gäller inte vid överklagande enligt första stycket.

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelserna i 2 kap. 6 § 1, 7 § 1, 8 § och 10 § 1 om begränsning av sökning i fråga om slutligt avgjorda mål och ärenden behöver inte tillämpas förrän den 1 januari 2019.

3.Ärenden om tillsyn över personuppgiftsbehandling, som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket, som Datainspektionen inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

4.Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket.

5.Sanktionsavgift enligt 3 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

6.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket.

Prop. 2017/18:269 Bilaga 2

405

Prop. 2017/18:269	Förslag till lag om ändring i rättegångsbalken
Bilaga 2
	Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha
	följande lydelse.
	Nuvarande lydelse			Föreslagen lydelse
			28 kap.
			12 a §1
	Kroppsbesiktning		genom	Kroppsbesiktning		genom
	tagande av salivprov får göras på			tagande av salivprov får göras på
	den som skäligen kan misstänkas			den som skäligen kan misstänkas
	för ett brott på vilket fängelse kan			för ett brott på vilket fängelse kan
	följa, om syftet är att göra en DNA-			följa, om syftet är att göra en dna-
	analys av provet och registrera			analys av provet och registrera
	DNA-profilen i det DNA-register			dna-profilen i det dna-register
	eller det	utredningsregister som		eller det	utredningsregister som
	förs		enligt	förs	enligt	polisens
	polisdatalagen (2010:361).			brottsdatalag (2010:361).
			12 b §2
	Kroppsbesiktning genom tagande av salivprov får göras på annan än
	den som skäligen kan misstänkas för ett brott, om
	1. syftet är att genom en DNA-			1. syftet är att genom en dna-
	analys	av provet	underlätta	analys av provet underlätta iden-
	identifiering vid utredning av ett			tifiering vid utredning av ett brott
	brott på vilket fängelse kan följa,			på vilket fängelse kan följa, och
	och

2.det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet.

Analysresultatet får inte jäm-	Analysresultatet får inte jäm-
föras med de DNA-profiler som	föras med de dna-profiler som
finns registrerade i register över	finns registrerade i register över
DNA-profiler som förs enligt	dna-profiler som förs enligt
polisdatalagen (2010:361) eller i	polisens brottsdatalag (2010:361)
övrigt användas för annat ändamål	eller i övrigt användas för annat
än det för vilket provet har tagits.	ändamål än det för vilket provet
	har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 maj 2018.

1Senaste lydelse 2010:363.

2Senaste lydelse 2010:363.

406

Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 2

26 §1

Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom

terminalåtkomst.
Polismyndigheten och			Säker-		Polismyndigheten och	Säker-
hetspolisen får ta del av uppgifter					hetspolisen får ta del av uppgifter
genom terminalåtkomst			endast i		genom terminalåtkomst	endast i
den omfattning och under den tid					den omfattning och under den tid
som behövs för att kontrollera					som behövs för att kontrollera
aktuella transporter. Uppgifter som					aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas	eller	lagras		av
Polismyndigheten		eller	Säker-
hetspolisen.
Uppgifter om enskilda personer
som lämnats	på	annat	sätt	än

genom terminalåtkomst, ska ome- delbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 maj 2018.

1Senaste lydelse 2014:588.

407

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse				Föreslagen lydelse
			12 §1
Med	registerkontroll		avses att	Med	registerkontroll	avses att
uppgifter hämtas från ett register				uppgifter hämtas från ett register
som omfattas av lagen (1998:620)				som omfattas av lagen (1998:620)
om	belastningsregister,			om	belastningsregister		eller
lagen (1998:621)		om	miss-	lagen (1998:621)			om
tankeregister		eller	lagen	misstankeregister. Med			register-
(2010:362) om polisens allmänna				kontroll avses också att uppgifter
spaningsregister. Med register-				hämtas som behandlas med stöd av
kontroll avses också att uppgifter				polisens brottsdatalag		(2010:361)
hämtas som behandlas med stöd av				eller	Säkerhetspolisens
polisdatalagen (2010:361).				datalag (2018:000).

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2010:365.

408

Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 2

16 §1

Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter		Tullverket får ta del av uppgifter
genom	terminalåtkomst endast i	genom terminalåtkomst endast i
den omfattning och under den tid		den omfattning och under den tid
som behövs för att kontrollera		som behövs för att kontrollera
aktuella transporter. Tullverket får		aktuella transporter.
inte ändra eller på annat sätt
bearbeta eller lagra uppgifter som
hålls tillgängliga på detta sätt.
Uppgifter om enskilda personer
som lämnats på annat sätt än
genom	terminalåtkomst, skall

omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.

Denna lag träder i kraft den 1 maj 2018.

1Senaste lydelse 1999:434.

409

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

5 §1

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats

nationella lagstiftning.
Polismyndigheten			får	föra in	Polismyndigheten får			föra in
uppgifter i registret endast om					uppgifter i registret endast om
behandling av motsvarande slag av					behandling av motsvarande slag av
uppgifter	är	tillåten		enligt	uppgifter	är	tillåten	enligt
personuppgiftslagen			(1998:204),		brottsdatalagen (2018:000), poli-
polisdatalagen		(2010:361) eller			sens brottsdatalag (2010:361) eller
annan svensk författning.					annan svensk författning.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:595.

410

Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs att 1 kap. 1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 2

Nuvarande lydelseFöreslagen lydelse

1 kap.

1 §1

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling

av uppgifter om juridiska personer.
Bestämmelserna i denna			lag	Bestämmelserna i denna lag
gäller inte behandling av uppgifter				gäller inte vid behandling av per-
i	den	brottsbekämpande		sonuppgifter i den brottsbekäm-
verksamhet som Tullverket be-				pande verksamhet som Tullverket
driver. För sådan behandling finns				bedriver.
det	särskilda	bestämmelser	i

tullbrottsdatalagen (2017:447).

4 §2

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverksamhet,

3.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter som		behandlas	enligt	Uppgifter som behandlas		enligt
första stycket får även behandlas				första stycket får även behandlas
för	tillhandahållande		av	för	tillhandahållande	av
information som behövs i Tull-				information som behövs i Tull-
verkets	brottsbekämpande		verk-	verkets	brottsbekämpande	verk-
samhet	enligt	2 kap. 5 §	tull-	samhet	enligt 2 kap. 1 §	Tull-
brottsdatalagen (2017:447).				verkets brottsdatalag (2017:447).

Denna lag träder i kraft den 1 maj 2018.

1Senaste lydelse 2017:449.

2Senaste lydelse 2017:449.

411

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i lagen (2001:617)

om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården

dels att 1–16 §§ ska upphöra att gälla,

dels att rubrikerna före 1–10 §§ och 12 § ska utgå,

dels att det ska införas fyra nya kapitel, 1–4 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Lag om behandling av person-	Kriminalvårdens brottsdatalag
uppgifter inom kriminalvården

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen.

Personuppgiftsansvar

2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.verkställa häktning eller straffrättsliga påföljder,

2.förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,

3.biträda andra myndigheter när de fullgör arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

412

2 §	Förutsättningarna för att behandla personuppgifter, som behandlas			Prop. 2017/18:269
med	stöd av 1 §, för nya ändamål regleras i	2 kap. 4	och 22 §§	Bilaga 2
brottsdatalagen (2018:000).
Känsliga personuppgifter
3 §	Kriminalvården får behandla biometriska	uppgifter	enligt de

förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

Utlämnande av personuppgifter

4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för

1.prövning och genomförande av överflyttning av straffverkställighet,

2.transitering och förvaring av en person som är frihetsberövad för brottsbekämpning, lagföring eller verkställighet av straff, eller

3.tillfällig överflyttning av en frihetsberövad person för brotts- bekämpning, lagföring eller straffverkställighet.

Längsta tid som personuppgifter får behandlas

5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.

I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas.

Föreskrifter

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.vilka personuppgifter som får behandlas enligt 1 §,

2.utlämnande av personuppgifter i andra fall än som anges i 4 §,

3.frågor som rör elektroniskt utlämnande genom direktåtkomst,

4.längsta tid som personuppgifter får behandlas, och

5.att personuppgifter, med avvikelse från 5 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

3 kap. Säkerhetsregistret

Rätten att föra register

1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att

1.förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och

2.säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och annan verksamhet som Kriminalvården bedriver.

413

Prop. 2017/18:269 Bilaga 2

Innehåll

2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff och som är eller har varit placerad på säkerhetsavdelning.

I registret får även uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff, om det finns risk för att han eller hon

1.under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller deltar i brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver,

2.förbereder rymning eller försöker rymma,

3.blir föremål för fritagning,

4.medverkar i eller på annat sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller

5.utsätts för våld eller hot under verkställigheten.

4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den förstnämnde inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.

Sökning

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Direktåtkomst

6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till personuppgifter i säkerhetsregistret för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.

414

Föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret.

Prop. 2017/18:269 Bilaga 2

4 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 4 § om särskild upplysning, eller

3.2 kap. 5 § eller 3 kap. 7 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

3.Äldre bestämmelser ska gälla för överträdelser som har begåtts före ikraftträdandet.

4.Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.

5.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

415

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse.

Nuvarande lydelse				Föreslagen lydelse
			8 a §1
En polisman eller annan anställd				En polisman eller annan anställd
vid	Polismyndigheten		får	vid	Polismyndigheten	får
fotografera en person som har eller				fotografera en person som har eller
skäligen kan antas få till-				skäligen kan antas få till-
trädesförbud enligt denna lag i				trädesförbud enligt denna lag i
syfte att fotografiet ska kunna				syfte att fotografiet ska kunna
tillföras det register som Polis-				tillföras det register som Polis-
myndigheten får föra enligt lagen				myndigheten får föra enligt 5 kap.
(2015:51) om		register	över	polisens brottsdatalag (2010:361).
tillträdesförbud		vid	idrotts-
arrangemang.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2015:55.

416

Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Lydelse enligt SOU 2016:65

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 2

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn

över brottsbekämpande myndigheters användning av hemliga

tvångsmedel och kvalificerade skyddsidentiteter och därmed

sammanhängande verksamhet.

Nämnden ska även utöva tillsyn

över behandlingen av per-

över Säkerhetspolisens behandling

sonuppgifter

i Säkerhetspolisens

av personuppgifter

som

rör

brottsbekämpande

verksamhet.

nationell säkerhet i brotts-

Tillsynen ska särskilt avse sådan

bekämpande

och

lagförande

behandling som avses i 2 kap. 10 §

verksamhet. Tillsynen ska särskilt

polisdatalagen (2010:361).

avse sådan behandling som avses i

2 kap.

och

10 §§

Säker-

hetspolisens datalag (2018:000).

Tillsynen ska särskilt syfta till att

säkerställa att verksamhet

enligt

första och andra styckena bedrivs i

enlighet med lag eller annan

författning.

Nuvarande lydelse

Föreslagen lydelse

3 §

Nämnden är skyldig att på

begäran av en enskild kontrollera

om han eller hon har utsatts för

om han eller hon

sådana

tvångsmedel eller

varit

1. har

utsatts

för

sådana

föremål för sådan person-

tvångsmedel som avses i 1 § och

uppgiftsbehandling som avses i 1 §

om användningen av dem och

och

användningen

därmed

sammanhängande

verk-

tvångsmedel och därmed sam-

samhet har varit i enlighet med lag

manhängande

verksamhet

eller

eller annan författning, eller

behandlingen

personuppgifter

2. varit föremål för sådan per-

har skett i enlighet med lag eller

sonuppgiftsbehandling som avses i

annan

författning.

Nämnden

skall

1 § och om den har utförts i en-

underrätta den enskilde om att

lighet med lag eller annan för-

kontrollen har utförts.

fattning.

Nämnden

ska

underrätta

den

enskilde om att kontrollen har

utförts.

Nämnden får vägra att utföra

kontroll

begäran

är orimlig

417

Nämnden har rätt att av för- valtningsmyndigheter som om- fattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.

Prop. 2017/18:269 Bilaga 2

418

eller uppenbart ogrundad.

4 §

Nämnden har rätt att av för- valtningsmyndigheter som om- fattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär.

Denna lag träder i kraft den 1 maj 2018.

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 4 b §, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 2

Nuvarande lydelse

Föreslagen lydelse

18kap. 2 §1

Sekretess gäller för uppgift som					Sekretess gäller för uppgift som
hänför sig till sådan verksamhet					hänför sig till sådan verksamhet
som avses		i	2 kap. 7 § 1	eller	som avses	i 2 kap.			1 §	första
6 kap.	1 § 1		polisdatalagen		stycket 1 polisens			brottsdatalag
(2010:361), om det inte står klart					(2010:361)	eller	2 kap.		1 §	första
att uppgiften kan röjas utan att					stycket 1		Säkerhetspolisens
syftet	med		beslutade	eller	datalag (2018:000), om det inte står
förutsedda åtgärder motverkas eller					klart att uppgiften kan röjas utan
den framtida verksamheten skadas.					att syftet med beslutade eller
					förutsedda åtgärder motverkas eller
					den framtida verksamheten skadas.
Sekretess gäller, under mot-					Sekretess gäller, under mot-
svarande förutsättningar som anges					svarande förutsättningar som anges
i första stycket, för uppgift som					i första stycket, för uppgift som
hänför sig till					hänför sig till sådan verksamhet
					som avses i
1. sådan verksamhet som avses i					1. 2 kap.	1 §	första		stycket 1
2 kap.	5 § 1	skattebrottsdatalagen			Kustbevakningens			brottsdatalag
(2017:452),					(2012:145),
2. sådan verksamhet som avses i					2. 2 kap.	1 §	första		stycket 1
2 kap.	5 § 1		tullbrottsdatalagen		Tullverkets			brottsdatalag
(2017:447), eller					(2017:447), eller
3. sådan verksamhet som avses i					3. 2 kap.	1 §	första		stycket 1
3 kap.	2 § 1		kustbevaknings-		Skatteverkets			brottsdatalag
datalagen (2012:145).					(2017:452).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

				18 §2
Sekretessen		enligt	17 §	andra	Sekretessen enligt 17 § andra
stycket hindrar inte att en uppgift					stycket hindrar inte att en uppgift
lämnas	ut	enligt	vad	som	lämnas ut enligt vad som
föreskrivs	i lagen (2000:344) om				föreskrivs i lagen (2000:344) om

1Senaste lydelse 2017:456.

2Senaste lydelse 2010:369.

419

Prop. 2017/18:269	Schengens informationssystem och	Schengens informationssystem och
Bilaga 2	polisdatalagen (2010:361).	polisens brottsdatalag (2010:361).
	Lydelse enligt prop. 2016/17:208	Föreslagen lydelse

35 kap.

1 §

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild person- utredning enligt säkerhetsskyddslagen (1996:627),

5. register	som	förs	av	Polis-	5. register		som förs av Polis-
myndigheten	enligt 4 kap.			polis-	myndigheten enligt 5 kap. polisens
datalagen (2010:361)			eller	som	brottsdatalag		(2010:361) eller		som
annars behandlas med stöd av de					annars behandlas med stöd av de
bestämmelserna		eller	uppgifter		bestämmelserna, eller uppgifter som
som behandlas av Säkerhetspolisen					behandlas av Säkerhetspolisen med
med stöd av 6 kap. samma lag,					stöd	av	Säkerhetspolisens
					datalag (2018:000),
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register	som	förs	av	Skat-	7. register		som förs av Skat-
teverket enligt		skattebrottsdata-			teverket	enligt		Skatteverkets
lagen (2017:452) eller som				annars	brottsdatalag (2017:452) eller				som
behandlas där med stöd av samma					annars behandlas där med stöd av
lag,					samma lag,
8. särskilt	ärenderegister			över	8. särskilt		ärenderegister		över
brottmål som förs av åklagar-					brottmål som förs av åklagar-
myndighet,	om	uppgiften		inte	myndighet,		om uppgiften		inte
hänför sig till registrering som					hänför sig till registrering som
avses i 5 kap. 1 §,					avses i 5 kap. 1 §, eller
9. register som förs av Tullverket					9. register som förs av Tullverket
enligt	tullbrottsdatalagen				enligt	Tullverkets		brottsdatalag
(2017:447) eller som annars be-					(2017:447)		eller	som annars
handlas där med stöd av samma					behandlas där med stöd av samma
lag, eller					lag.

10.register som förs enligt lagen (2010:362) om polisens all- männa spaningsregister.

420

Föreslagen lydelse

gäller sekretess för uppgift om vem som är misstänkt endast om det kan								Prop. 2017/18:269
antas att fara uppkommer för att den misstänkte eller någon närstående								Bilaga 2
till honom eller henne utsätts för våld eller lider annat allvarligt men om
uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Nuvarande lydelse				Föreslagen lydelse
			4 a §3
Sekretess gäller i verksamhet				Sekretess gäller i verksamhet
som avser förande av register				som avser förande av tillträdes-
enligt lagen (2015:51) om register				förbudsregistret enligt 5 kap. poli-
över	tillträdesförbud		vid	sens brottsdatalag (2010:361)			för
idrottsarrangemang för uppgift om				uppgift om en enskilds personliga
en	enskilds	personliga	för-	förhållanden, om det inte står klart
hållanden, om det inte står klart att				att uppgiften kan röjas utan att den
uppgiften kan röjas utan att den				enskilde eller någon närstående till
enskilde eller någon närstående till				honom eller henne lider men.
denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Lydelse enligt SOU 2017:29				Föreslagen lydelse
			4 b §
Sekretess gäller hos en behörig				Sekretess gäller hos
myndighet		enligt	brotts-	1. en	behörig	myndighet enligt
datalagen (2018:000) för uppgift i				brottsdatalagen (2018:000)			för
ett sådant personurval som avses i				uppgift i ett sådant personurval
2 kap. 14 § samma lag.				som avses i 2 kap. 14 § samma lag,
				och
				2. Säkerhetspolisen för uppgift i
				ett sådant personurval som avses i
				2 kap.	12 §	Säkerhetspolisens
				datalag (2018:000).
För uppgift i en allmän handling				För uppgift i en allmän handling
gäller sekretessen högst sjuttio år.				gäller sekretessen i högst sjuttio år.

Nuvarande lydelse

10 §4

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som	2. till en enskild enligt vad som
föreskrivs i säkerhetsskyddslagen	föreskrivs i säkerhetsskyddslagen

3Senaste lydelse 2015:53.

4Senaste lydelse 2017:456.

421

Prop. 2017/18:269 Bilaga 2

(1996:627) samt i förordning som	(1996:627) och i förordning som
har meddelats med stöd i den lagen,	har meddelats med stöd i den
	lagen,
	3. till en enskild enligt vad som
	föreskrivs i 27 kap. 8 § rätte-
	gångsbalken,
3. enligt vad som föreskrivs i	4. enligt vad som föreskrivs i

–lagen (1998:621) om misstankeregister,

– polisdatalagen (2010:361),	– polisens	brottsdatalag
	(2010:361),
– skattebrottsdatalagen	– Kustbevakningens	brottsdata-
(2017:452),	lag (2012:145),
– tullbrottsdatalagen	– åklagarväsendets	brottsdata-
(2017:447),	lag (2015:433),
– kustbevakningsdatalagen	– Tullverkets	brottsdatalag
(2012:145),	(2017:447),
– åklagardatalagen (2015:433),	– Skatteverkets	brottsdatalag
	(2017:452),
	– Säkerhetspolisens	datalag
	(2018:000), eller
– förordningar som har stöd i	– förordningar som har stöd i
dessa lagar, eller	dessa lagar.

4.till en enskild enligt vad som föreskrivs i 27 kap. 8 § rätte- gångsbalken.

	10 b §5
Sekretessen	enligt 4 a § hindrar	Sekretessen enligt 4 a §	hindrar
inte att en uppgift lämnas ut enligt		inte att en uppgift lämnas ut till en
vad som föreskrivs i lagen		idrottsorganisation enligt vad som
(2015:51) om register över till-		föreskrivs i 2 kap. 14 §	polisens
trädesförbud	vid idrottsarrange-	brottsdatalag (2010:361).
mang.

37kap. 7 §6

Sekretessen	enligt	6 § hindrar	Sekretessen enligt 6 § hindrar
inte att uppgift lämnas ut enligt			inte att uppgift lämnas ut enligt
vad som föreskrivs i lagen			vad som föreskrivs i lagen
(2000:344) om Schengens infor-			(2000:344) om Schengens infor-
mationssystem	och	polisdata-	mationssystem och polisens brotts-
lagen (2010:361).			datalag (2010:361).

1. Denna lag träder i kraft den 1 maj 2018.

5 Senaste lydelse 2015:53.

6 Senaste lydelse 2010:369.

422

2.Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.

Prop. 2017/18:269 Bilaga 2

423

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs i fråga om polisdatalagen (2010:361) dels att 1, 2, 4 och 6 kap. ska upphöra att gälla,

dels att 3 kap. 5 och 9–15 §§ och 5 kap. 4–6 §§, ska upphöra att gälla, dels att rubrikerna före 3 kap. 8, 9 och 14 §§ och 5 kap. 4 och 5 §§ ska

utgå,

dels att nuvarande 4 kap. ska betecknas 5 kap. och nuvarande 5 kap. ska betecknas 6 kap.,

dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande

3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 5 kap. 7 § ska betecknas 6 kap. 6 § och att rubriken före nuvarande 5 kap. 6 § ska placeras före nya 6 kap. 6 §, att nuvarande 5 kap. 8 § ska betecknas 6 kap. 7 § och att rubriken före nuvarande 5 kap. 8 § ska placeras före nya 6 kap. 7 § och att nuvarande 5 kap. 9 § ska betecknas 6 kap. 9 §,

dels att 3 kap. 1–4 §§ och nya 3 kap. 5–7 §§ och 6 kap. 3 och 6–8 §§ ska ha följande lydelse,

dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 6 kap. 4, 5, 8 och 10 §§, och nya rubriker före 3 kap. 1 § och före nya 3 kap. 8 §, 6 kap. 4 och 9 §§ av följande lydelse,

dels att det ska införas fem nya kapitel i lagen, 1, 2, 4, 5 och 7 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Polisdatalag	Polisens brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter.

1.Polismyndigheten, om uppgifterna behandlas i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2.Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet.

3.Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att bekämpa och lagföra brott.

För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och

7 kap.

	2 § Denna lag gäller inte vid behandling av personuppgifter enligt
	1. lagen (1998:620) om belastningsregister,
	2. lagen (1998:621) om misstankeregister,
	3. lagen (2000:344) om Schengens informationssystem,
	4. lagen (2006:444) om passagerarregister, eller
424	5. lagen (2014:400) om Polismyndighetens elimineringsdatabas.

3 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet.

Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.

Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Uttryck i lagen

5 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material,

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och

fingeravtryck: avtryck av finger eller hand.

Lagens tillämpning på uppgifter om juridiska personer

6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.4 § om personuppgiftsansvar,

2.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter,

4.4 kap. 1–4 och 6–10 §§ om längsta tid som personuppgifter får behandlas,

5.5 kap. 18–20 §§ om behandling av personuppgifter i penning- tvättsregister, och

6.5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

Prop. 2017/18:269 Bilaga 2

425

Prop. 2017/18:269 Bilaga 2

Lagens uppbyggnad

7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter och i 4 kap. bestämmelser om längsta tid för behandling av personuppgifter. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter och rättsmedel.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap.

I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brotts- datalagen (2018:000) om särskild upplysning gäller endast vid be- handling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

426

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Interpol,

2.Europol, eller

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har,

trots sekretess	enligt 21 kap.		3 § första	stycket	och	35 kap.		1 §
offentlighets-	och	sekretesslagen (2009:400), rätt			att	ta	del	av
personuppgifter	som	har gjorts	gemensamt	tillgängliga		med	stöd	av

3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap.

9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kust- bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.

Prop. 2017/18:269 Bilaga 2

427

Prop. 2017/18:269 Bilaga 2

11 § Trots sekretess enligt 35 kap. 4 a § offentlighets- och sekre- tesslagen (2009:400) har en idrottsorganisation rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud.

12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§.

Personuppgifter från transportföretag

13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1 och 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brotts- datalagen (2018:000).

14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller på annat sätt bearbetas.

15 § Vid sökning i personuppgifter som avses i 13 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som

1.är eller har varit misstänkt för brott,

2.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3.övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Föreskrifter

16 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§,

och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket.

			3 kap.
				Allmän bestämmelse
			1 §
	Detta kapitel innehåller särskilda			Detta kapitel innehåller särskilda
	bestämmelser för	behandling	av	bestämmelser för behandling av
	personuppgifter som görs eller har			personuppgifter som görs eller har
428	gjorts gemensamt	tillgängliga	i	gjorts gemensamt tillgängliga med
428

polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §.

stöd av 2 §. Uppgifter som endast	Prop. 2017/18:269
ett fåtal personer har rätt att ta del	Bilaga 2
av anses inte som gemensamt till-
gängliga.
Detta kapitel gäller inte när
personuppgifter behandlas med
stöd av 2 kap. 2 § brottsdatalagen
(2018:000).

2 §1

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar	brott	för	vilket är		a) innefattar	brott	för	vilket det
föreskrivet fängelse i ett år eller					är föreskrivet fängelse i ett år eller
däröver, eller					däröver, eller
b) sker systematiskt.
2. Uppgifter	som	behövs		för	2. Uppgifter	som	behövs		för
övervakningen av en person, om					övervakningen av en person som
han eller hon
a) kan antas	komma		att	begå	a) kan antas	komma		att	begå
brott för vilket är föreskrivet					brott för vilket det är föreskrivet
fängelse i två år eller däröver, och					fängelse i två år eller däröver och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i	3. Uppgifter som	förekommer	i
ett ärende om utredning eller	ett ärende om utredning av eller
beivrande av brott.	lagföring för brott.
4. Uppgifter som behövs för att	4. Uppgifter som	förekommer	i
fullgöra vad som följer av	ett ärende om kontaktförbud eller
internationella åtaganden, om det	om personskydd.
krävs för att den aktuella för-
pliktelsen ska kunna fullgöras.

5.Uppgifter som har rapporterats till Polismyndighetens led- ningscentraler.

6.Uppgifter som behandlas i syfte att upprätthålla allmän ord- ning och säkerhet.

7.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

DNA-profiler får inte göras	Dna-profiler får inte göras
gemensamt tillgängliga. Att sådana	gemensamt tillgängliga. Att sådana
uppgifter får behandlas i särskilda	uppgifter får behandlas i särskilda

1Senaste lydelse 2014:597.

429

Prop. 2017/18:269

Bilaga 2

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av

första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till

uppgift att arbeta med övervakningen. Information om att en person är

föremål för övervakning får dock göras tillgänglig för andra.

3 §

Vid behandling enligt 1 § ska det

Det ska framgå genom en

genom en särskild upplysning eller

särskild upplysning eller på något

på något annat sätt framgå för

annat sätt om personuppgifter har

vilket närmare ändamål per-

gjorts gemensamt tillgängliga med

sonuppgifterna

behandlas.

Har

stöd av 2 § första stycket 2 eller 5.

uppgifterna

gjorts

gemensamt

tillgängliga med stöd av 2 § första

stycket 2 eller 5, ska detta särskilt

framgå.

4 §

Om uppgifter, som behandlas

Om uppgifter som är gemensamt

enligt 1 §, direkt kan hänföras till

tillgängliga direkt kan hänföras till

en person som inte är misstänkt för

brott eller för att ha utövat eller

att ha utövat eller komma att utöva

komma att utöva sådan brottslig

sådan

brottslig

verksamhet

som

verksamhet som avses i 2 § första

avses i 2 § första stycket 1, ska det

stycket 1, ska det genom en särskild

genom en särskild upplysning eller

upplysning eller på något annat sätt

på något annat sätt framgå att

framgå att personen inte är

personen inte är misstänkt.

misstänkt.

Uppgifter om en person som kan

antas ha samband med misstänkt

antas ha direkt samband med

brottslig

verksamhet

ska förses

sådan

brottslig

verksamhet

som

med

upplysning

avses

i 2 §

första

stycket 1

eller

uppgiftslämnarens

trovärdighet

som övervakas med stöd av 2 §

och uppgifternas riktighet i sak,

första stycket 2 ska förses med en

om inte detta på grund av särskilda

upplysning

uppgiftslämnarens

omständigheter

är

onödigt.

trovärdighet

och

uppgifternas

Detsamma

gäller

uppgifter

riktighet i sak, om det inte på

personer som avses i 2 § första

grund

omständigheterna är

stycket 2.

onödigt.

5 §

Vid sökning på namn, per-

Vid

sökning

automatiserade

sonnummer,

samordningsnummer

behandlingssystem på namn, per-

eller andra liknande identi-

sonnummer,

samordningsnummer

tetsbeteckningar

uppgifter

som

eller andra liknande identi-

har

gjorts

gemensamt

tillgängliga

tetsbeteckningar

uppgifter

som

får sådana uppgifter tas fram som

har gjorts gemensamt

tillgängliga

anger att den sökta personen

får endast sådana uppgifter tas

fram

som

anger

att

den

sökta

430

personen

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits

en handling,

9. är anmäld såsom försvunnen,

10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. är efterlyst.

Regeringen eller den myndighet

som regeringen bestämmer meddelar föreskrifter om begräns- ning av tillgången till sådana upp- gifter som avses i första stycket.

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.berörs av ett kontaktförbud eller av åtgärder i ett personskydds- ärende,

8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 9. har gett in eller tillhandahållits

en handling,

10. är anmäld som försvunnen,

11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

12. är efterlyst.

6 §

Bestämmelserna i 6 § gäller inte				Bestämmelserna i 5 § gäller inte
vid				vid sökning i en viss handling eller
1. sökning	i	en viss handling		i ett visst ärende.
eller i ett visst ärende, eller
2. sökning	i	en	uppgiftssamling
som har skapats för att undersöka
viss brottslighet eller vissa krimi-
nella grupperingar och som enbart
de som arbetar i undersökningen
har åtkomst till.
Bestämmelserna i 6 § gäller inte				Bestämmelserna i 5 § gäller inte
heller vid sökning som utförs av				heller vid sökning som görs av
särskilt angivna			tjänstemän och	särskilt angivna tjänstemän
som görs

Prop. 2017/18:269 Bilaga 2

1.för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål

1.när de utför beredningsupp- gifter i underrättelseverksamhet och arbetet befinner sig i ett inle- dande skede,

2.i syfte att i underrättelse- verksamhet bearbeta och analy- sera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2

431

Prop. 2017/18:269 Bilaga 2

som avses i 2 § första stycket 2, eller

2.för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet

som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena.

Regeringen meddelar föreskrifter om ytterligare undantag från 6 §.

och som enbart dessa tjänstemän har tillgång till,

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller

4.i syfte att samordna utred- ningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller däröver.

Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polis- myndighetens ledningscentraler ut- för på begäran av en polisman som verkställer ett ingripande eller vid- tar en åtgärd som rör en enskild.

					7 §2
Säkerhetspolisen,			Ekobrotts-			Polismyndigheten,			Säkerhets-
myndigheten,		Åklagarmyndig-				polisen,	Ekobrottsmyndigheten,
heten,	Tullverket,		Kustbevak-			Åklagarmyndigheten,			Tullverket,
ningen	och	Skatteverket			får	Kustbevakningen		och	Skatteverket
medges direktåtkomst till per-						får för något av de syften som
sonuppgifter i polisens brotts-						anges i	1 kap.	2 §	brottsdata-
bekämpande verksamhet. Direkt-						lagen (2018:000)		medges direkt-
åtkomsten får endast avse per-						åtkomst	till personuppgifter som
sonuppgifter		som	har	gjorts		har gjorts gemensamt			tillgängliga
gemensamt tillgängliga.						med stöd av 2 §.
En	myndighet som			medgetts
direktåtkomst		ansvarar		för	att
tillgången till personuppgifter be-
gränsas till vad varje tjänsteman
behöver för att kunna fullgöra sina
arbetsuppgifter.
Regeringen eller den myndighet
som	regeringen		bestämmer

meddelar närmare föreskrifter om

2Senaste lydelse 2014:597.

432

omfattningen av direktåtkomsten	Prop. 2017/18:269
samt om behörighet och säkerhet.	Bilaga 2

Föreskrifter

8 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 5 §.

9§

Regeringen eller den myndighet

som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses

i5 §,

2.under vilka förutsättningar sökning får utföras med stöd av 6 §, och

3.omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas:

1.5 kap. 7 § om uppgifter i register över dna-profiler,

2.5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signa- lementsregister,

3.5 kap. 20 § om uppgifter i penningtvättsregister,

4.5 kap. 22 § om uppgifter i det internationella registret,

5.5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och

6.6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som varken har gjorts gemensamt tillgängliga eller behandlas med stöd av 5 kap. inte behandlas längre än

433

Prop. 2017/18:269 Bilaga 2

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4–7 som längst behandlas under den tid som anges i 7–10 §§.

utgången av det kalenderår då registreringen gjordes. Om en ny

434

registrering beträffande personens anknytning till brottslig verksamhet		Prop. 2017/18:269
görs före utgången av de tiderna, får de personuppgifter som finns om		Bilaga 2
personen fortsätta att behandlas så länge någon av uppgifterna om honom
eller henne får behandlas.
Den tid då en misstänkt person avtjänar ett fängelsestraff eller
genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild
utskrivningsprövning ska inte räknas med vid beräkningen av de tider
som anges i andra stycket.
8 § Personuppgifter som behandlas i samband med sådan övervakning
som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år
efter utgången av det kalenderår då den senaste registreringen avseende
personen gjordes.
Den tid då en övervakad person avtjänar ett fängelsestraff eller
genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild
utskrivningsprövning ska inte räknas med vid beräkningen av den tid
som anges i första stycket.
9 §	Personuppgifter som behandlas med stöd av 3 kap. 2 § första
stycket 4 får inte behandlas längre än ett år efter det att ärendet som
uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7
får inte behandlas längre än ett år efter utgången av det kalenderår då
ärendet som uppgifterna behandlades i avslutades.
10 §	Personuppgifter som behandlas med stöd av 3 kap. 2 § första

stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Föreskrifter

11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7–10 §§.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter, med avvikelse från 2 § första stycket och 7– 10 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Register

Register över dna-profiler
Rätten att föra register
1 § Polismyndigheten får föra register över dna-profiler (dna-registret,
utredningsregistret och spårregistret) i syfte att	435
	435

Prop. 2017/18:269 Bilaga 2

436

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden, och

4.underlätta identifiering av avlidna personer.

I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen.

Dna-registret

2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1.genom dom som fått laga kraft har dömts till annan påföljd än böter,

eller

2.har godkänt strafföreläggande som avser villkorlig dom.

3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod.

Utredningsregistret

4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse.

Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.

Spårregistret

5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod.

6 § Dna-profiler i spårregistret får jämföras med dna-profiler

1.som inte kan hänföras till en identifierbar person,

2.som finns i dna-registret, eller

3.som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är

nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt.

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i dna-registren som längst behandlas under den tid som anges i andra–fjärde styckena.

Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när

förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men på- följden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter.

Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken.

Prover för dna-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för.

9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rät- tegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.

Direktåtkomst

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel.

Fingeravtrycks- och signalementsregister

Rätten att föra register

11 § Polismyndigheten får föra fingeravtrycks- och signalements- register i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden,

4.underlätta identifiering av okända personer, och

5. kontrollera fingeravtryck som Migrationsverket har tagit enligt

9 kap. 8 § utlänningslagen (2005:716).

Innehåll

12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som

1.är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller

2.har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott.

I fingeravtrycks- och signalementsregister får inte personuppgifter behandlas som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare.

13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signa- lementsregister uppgifter behandlas om en person som har dömts för

Prop. 2017/18:269 Bilaga 2

437

Prop. 2017/18:269 Bilaga 2

438

brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller däröver och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år.

14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om

1.fingeravtryck,

2.signalement,

3.fotografi,

4.videoupptagning,

5.identifieringsuppgifter,

6.ärendenummer, och

7.brottskod.

Längsta tid som personuppgifter får behandlas

15 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdata- lagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig

till utredningar om brott som anges i 35 kap.	2 § första stycket
brottsbalken.
16 § Trots det som sägs i 2 kap. 17 § andra	stycket brottsdata-

lagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande inte behandlas när de inte längre behövs för det ändamålet.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen.

Direktåtkomst

17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kust- bevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

Penningtvättsregister	Prop. 2017/18:269
Rätten att föra register	Bilaga 2

18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

1.där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2.som innefattar finansiering av terrorism.

19 § I penningtvättsregister får personuppgifter behandlas som

1.kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2.har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller

3.har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §.

Längsta tid som personuppgifter får behandlas

20 § Trots det	som	sägs	i 2 kap.	17 §	andra	stycket brottsdata-
lagen (2018:000)	får	personuppgifter		i	penningtvättsregister		inte
behandlas längre	än fem år		efter utgången		av det	kalenderår då	den

senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes.

Det internationella registret

Rätten att föra register

21 § Polismyndigheten får föra ett internationellt register. Per- sonuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete.

Längsta tid som personuppgifter får behandlas

22 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdata- lagen (2018:000) får personuppgifter i det internationella registret inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Tillträdesförbudsregistret

Rätten att föra register

23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud.

439

Prop. 2017/18:269 Bilaga 2

Innehåll

24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud.

1.Namn.

2.Personnummer eller samordningsnummer.

3.Folkbokföringsadress och annan stadigvarande adress.

4.Alias.

5.Fotografi.

6.Anknytning till idrott och idrottsorganisation.

7.Omfattningen och giltighetstiden av beslut om tillträdesförbud.

8.Överträdelse av gällande tillträdesförbud.

25 § Polismyndigheten får behandla uppgifter i tillträdesförbuds- registret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud.

Längsta tid som personuppgifter får behandlas

26 § Trots det	som	sägs i 2 kap.	17 § andra stycket brottsdata-
lagen (2018:000)	får	uppgifter i	tillträdesförbudsregistret endast

behandlas så länge tillträdesförbudet gäller.

Föreskrifter

27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst,

2.tillgången till personuppgifter i penningtvättsregister och det internationella registret,

3.att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträ- desförbudsregistret, med avvikelse från det som sägs i 15, 16, 20, 22 och 26 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

		6 kap.
		3 §3
Personuppgifter	som behandlas		Förutsättningarna för att be-
enligt 1 § första stycket 2 eller 5			handla personuppgifter, som be-
eller andra stycket 2 eller 2 § andra			handlas med stöd av 1 eller 2 §, för
stycket får även behandlas när det			nya ändamål regleras i 2 kap. 4
är nödvändigt för att tillhandahålla			och	22 §§	brottsdatalagen
information som behövs i annan			(2018:000). Enbart personuppgif-
brottsbekämpande	verksamhet	hos	ter som behandlas enligt 1 § första
Polismyndigheten	eller	i	stycket 2 eller		5 eller andra
brottsbekämpande	verksamhet	hos	stycket 2 eller 2 § andra stycket får

3 Senaste lydelse 2015:436.

440

Säkerhetspolisen,			Ekobrotts-		i ett enskilt fall behandlas för nya	Prop. 2017/18:269
myndigheten,		Åklagarmyndigheten,			ändamål utanför den forensiska	Bilaga 2
Tullverket,	Kustbevakningen			eller	verksamheten.
Skatteverket.
I ett enskilt fall får personupp-
gifter som behandlas enligt 1 eller
2 § även behandlas			för att	till-
handahålla	information för något
annat ändamål än det som anges i
första stycket,		under	förutsättning
att ändamålet inte är oförenligt
med det ändamål som uppgifterna
samlades in för.

Känsliga personuppgifter

4 §

Biometriska och genetiska uppgifter får behandlas enligt 1 § under de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

5§

Sökförbudet i 2 kap. 14 § brotts-

	datalagen (2018:000) hindrar inte
	sökningar i	personuppgifter som
	behandlas i register enligt 5 kap. i
	syfte att få fram ett personurval
	grundat på uppgifter som rör hälsa
	eller biometriska		eller genetiska
	uppgifter.
Bevarande	Längsta tid	som	personuppgifter
	får behandlas
6 §4
Nationellt forensiskt centrum får	Nationellt forensiskt centrum får
inte behandla personuppgifter för	inte behandla personuppgifter för
det ändamål som anges i 1 § första	det ändamål som anges i 1 § första
stycket 5 när det har förflutit fem	stycket 5 längre än fem år efter
år efter utgången av det kalenderår	utgången av det kalenderår då
då ärendet där uppgifterna före-	ärendet	där	uppgifterna
kommer registrerades.	förekommer registrerades.

4Senaste lydelse 2015:436.

441

Prop. 2017/18:269 Bilaga 2

7 §5

Säkerhetspolisen,

Ekobrotts-

Säkerhetspolisen,

Ekobrotts-

myndigheten,

Åklagarmyndig-

myndigheten,

Åklagarmyndig-

heten,

Tullverket,

Kustbevak-

heten,

Tullverket,

Kustbevak-

ningen och Skatteverket har, trots

sekretess

enligt

21 kap.

3 §

första

sekretess enligt 21 kap. 3 § första

stycket

och

35 kap.

1 §

stycket

och

35 kap.

1 §

offentlighets-

och

sekretess-

offentlighets-

och

sekretess-

lagen (2009:400), rätt att ta del av

personuppgifter

som

behandlas

personuppgifter

som

behandlas

enligt 1 § första stycket 5, om den

enligt

1 § första

stycket 5,

den

mottagande myndigheten behöver

mottagande

myndigheten

behöver

uppgifterna i sin brottsbekämpande

uppgifterna för något av de syften

verksamhet.

som

anges

1 kap.

2 §

brottsdatalagen (2018:000).

Första

stycket

gäller

inte

Första

stycket

gäller

inte

uppgifter som behandlas i särskilda

8 §

Personuppgifter får

lämnas

elektroniskt på annat sätt än

genom direktåtkomst om det inte är

olämpligt.

Föreskrifter

9 §6

Regeringen kan med

stöd av

Regeringen

kan

med

stöd

8 kap. 7 § regeringsformen

med-

8 kap.

7 §

regeringsformen

med-

dela föreskrifter om att person-

dela

föreskrifter

begränsning

uppgifter får lämnas ut i andra fall

av möjligheten att lämna ut per-

än som anges i 8 §.

sonuppgifter elektroniskt enligt 8 §.

Bestämmelser

att

uppgifter

får lämnas ut finns även i offentlig-

hets- och sekretesslagen (2009:400).

10 §

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med

stöd

8 kap.

7 §

rege-

ringsformen meddela

föreskrifter

begränsning

behandlingen

personuppgifter

enligt

detta

kapitel vid digital arkivering.

5 Senaste lydelse 2015:436.

6 Senaste lydelse 2015:436.

442

7 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–4 eller	7–10 §, 5 kap. 7, 15,	16, 20, 22 eller 26 §	eller
6 kap. 6 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften	ska vara minst	50 000 kronor och	högst
20 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 7 kap. 1 § får beslutas endast för över- trädelser som har begåtts efter ikraftträdandet.

3.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

Prop. 2017/18:269 Bilaga 2

443

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)

Härigenom föreskrivs i fråga om kustbevakningsdatalagen (2012:145) dels att 1–3 och 5 kap. ska upphöra att gälla,

dels att 4 kap. 2, 4 och 8–14 §§ ska upphöra att gälla, dels att rubrikerna före 4 kap. 8 och 13 §§ ska utgå, dels att nuvarande 4 kap. ska betecknas 3 kap.,

dels att nuvarande 4 kap. 1 § ska betecknas 3 kap. 2 § och att rubriken före nuvarande 4 kap. 1 § ska placeras före nya 3 kap. 2 §, att nuvarande 4 kap. 3 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 4 kap. 2 § ska placeras före nya 3 kap. 3 §, att nuvarande 4 kap. 5 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 4 kap. 4 § ska placeras före nya 3 kap. 4 §, att nuvarande 4 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 4 kap. 7 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 4 kap. 7 § ska placeras före nya 3 kap. 6 §,

dels att nya 3 kap. 2–6 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 3 kap. 1, 7 och 8 §§, och nya rubriker före nya 3 kap. 1 och 7 §§ av följande lydelse,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Kustbevakningsdatalag	Kustbevakningens brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kust- bevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

444

Lagens tillämpning på uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4 och 6–9 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

Prop. 2017/18:269 Bilaga 2

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung,

religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om

445

Prop. 2017/18:269	sökningen görs i personuppgifter som inte			har	gjorts gemensamt
Bilaga 2	tillgängliga.
	Utlämnande av personuppgifter
	6 § Om det är förenligt med svenska intressen, får personuppgifter
	lämnas ut till
	1. Interpol,
	2. Europol,
	3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten
	till Interpol, eller
	4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska
	ekonomiska samarbetsområdet (EES).
	Personuppgifter får lämnas ut enligt första stycket endast om
	mottagaren behöver uppgifterna för något av de syften som anges i 1 §.
	Personuppgifter får vidare lämnas ut till en utländsk myndighet eller
	mellanfolklig organisation, om utlämnandet följer av en internationell
	överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
	7 §	Polismyndigheten,	Säkerhetspolisen,	Ekobrottsmyndigheten,
	Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess
	enligt	21 kap. 3 § första	stycket och 35 kap.	1 §	offentlighets-	och
	sekretesslagen (2009:400), rätt att ta del av personuppgifter som har
	gjorts gemensamt tillgängliga med stöd av			3 kap. 2 §, om		den
	mottagande myndigheten behöver uppgifterna för något av de syften som
	anges i 1 kap. 2 § brottsdatalagen (2018:000).

8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Föreskrifter

9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket.

446

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller sär- skilda bestämmelser för behand- ling av personuppgifter som görs eller har gjorts gemensamt till- gängliga med stöd av 2 §. Upp- gifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Följande personuppgifter får Följande personuppgifter får göras gemensamt tillgängliga i göras gemensamt tillgängliga:

Kustbevakningens brottsbekäm- pande verksamhet:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i	2. Uppgifter	som	förekommer	i
ett ärende om utredning eller	ett ärende om utredning av eller
beivrande av brott.	lagföring för brott.
3. Uppgifter som behövs för att	3. Uppgifter	som	behandlas	i
fullgöra internationella åtaganden,	syfte att upprätthålla allmän ord-
om det krävs för att den aktuella	ning och säkerhet.
förpliktelsen ska kunna fullgöras.

4.Uppgifter som har rapporterats till Kustbevakningens led- ningscentraler.

5.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

		3 §
Om uppgifter	som	behandlas	Om uppgifter som är gemensamt
enligt 1 § direkt kan hänföras till			tillgängliga direkt kan hänföras till
en person som inte är misstänkt för			en person som inte är misstänkt för
brott eller för att ha utövat eller			att ha utövat eller komma att utöva
komma att utöva sådan brottslig			sådan	brottslig verksamhet som
verksamhet som avses i 1 § första			avses	i 2 § 1, ska det genom en
stycket 1, ska	det	genom en	särskild upplysning eller på något

Prop. 2017/18:269 Bilaga 2

447

Prop. 2017/18:269

särskild upplysning eller på annat

annat sätt framgå att personen inte

Bilaga 2

sätt

framgå

att personen

inte är

är misstänkt.

misstänkt.

Uppgifter om en person som kan

antas ha samband med misstänkt

antas ha direkt samband med

brottslig

verksamhet

ska

förses

sådan

brottslig

verksamhet

som

med

upplysning

avses

i 2 § 1 ska

förses med en

uppgiftslämnarens

trovärdighet

upplysning

uppgiftslämnarens

och uppgifternas riktighet i sak,

trovärdighet

och

uppgifternas

om inte detta är onödigt på grund

riktighet i sak, om det inte på

av särskilda omständigheter.

grund

omständigheterna

är

onödigt.

4 §

Vid sökning på namn, per-

Vid

sökning

automatiserade

sonnummer,

samordningsnummer

behandlingssystem på namn, per-

eller andra liknande identi-

sonnummer,

samordningsnummer

tetsbeteckningar i uppgifter som

eller andra liknande identi-

har

gjorts

gemensamt

tillgängliga

tetsbeteckningar

uppgifter

som

får endast sådana uppgifter tas

har gjorts gemensamt tillgängliga

fram som anger att den sökta

får endast sådana uppgifter tas

personen

fram som anger att den sökta

personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat	3. är misstänkt för att ha utövat
eller komma att utöva sådan	eller komma att utöva sådan
brottslig verksamhet som avses i	brottslig verksamhet som avses i
1 § första stycket 1,	2 § 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

8. är anmäld som försvunnen,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Regeringen eller den myndighet

som regeringen bestämmer meddelar föreskrifter om begräns- ning av tillgången till sådana uppgifter som avses i första stycket.

5 §
Begränsningarna i 5 § gäller inte	Bestämmelserna i 4 § gäller inte
vid	vid sökning i en viss handling eller
1. sökning i en viss handling	i ett visst ärende.
eller i ett visst ärende, eller
2. sökning i en uppgiftssamling	Bestämmelserna i 4 § gäller inte
448

som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

Regeringen eller den myndighet

som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket.

Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §.

heller vid sökning som utförs av			Prop. 2017/18:269
särskilt angivna tjänstemän i syfte			Bilaga 2
att	i	underrättelseverksamhet

bearbeta och analysera person- uppgifter som har gjorts gemen- samt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till.

						6 §1
Polismyndigheten,					Säkerhets-		Polismyndigheten,		Säkerhets-
polisen,		Ekobrottsmyndigheten,					polisen,	Ekobrottsmyndigheten,
Åklagarmyndigheten,					Tullverket		Åklagarmyndigheten,		Tullverket
och	Skatteverket			får		medges	och Skatteverket får för något av
direktåtkomst till personuppgifter i							de syften som anges i 1 kap. 2 §
Kustbevakningens						brotts-	brottsdatalagen (2018:000) med-
bekämpande verksamhet. Direkt-							ges direktåtkomst till personupp-
åtkomsten			får	endast		avse	gifter som har gjorts gemensamt
personuppgifter som					har	gjorts	tillgängliga med stöd av 2 §.
gemensamt tillgängliga.
En myndighet som har medgetts
direktåtkomst			ansvarar för att
tillgången		till		personuppgifter
begränsas till vad varje tjänsteman
behöver för att kunna fullgöra sina
arbetsuppgifter.
Regeringen eller den myndighet
som	regeringen				bestämmer
meddelar närmare föreskrifter om
omfattningen			av	direktåtkomsten
samt om behörighet och säkerhet.

Föreskrifter

7 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 4 §.

1Senaste lydelse 2014:693.

449

Prop. 2017/18:269 Bilaga 2

8 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § reger- ingsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses

i4 §,

2.under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3.omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt till- gängliga inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

4 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifterna i förundersökningen inte behandlas för

450

ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3–5 som längst behandlas under den tid som anges i 7–9 §§.

7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de personuppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7–9 §§, och

Prop. 2017/18:269 Bilaga 2

451

Prop. 2017/18:269 Bilaga 2

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter, med avvikelse från 2 § första stycket och 7–9 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 3 § om särskild upplysning, eller

3.4 kap. 2–4 eller 7–9 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

452

Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas

Härigenom föreskrivs i fråga om lagen (2014:400) om Polis- myndighetens elimineringsdatabas

dels att 6 och 7 §§ och rubriken före 7 § ska upphävas,1

dels att i 3, 8–10, 13 och 14 §§ ”DNA” ska bytas ut mot ”dna”,

dels att 1, 2, 4, 11 och 12 §§ och rubrikerna före 2, 11 och 12 §§ ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		1 §2
Polismyndigheten får föra		ett	Polismyndigheten får	föra ett
register över DNA-profiler i syfte			register över dna-profiler i syfte att
att stärka kvaliteten i den			stärka kvaliteten i den forensiska
forensiska verksamheten		med	verksamheten med dna-analyser
DNA-analyser	(elimineringsdata-		(elimineringsdatabasen) i	enlighet
basen) i enlighet med denna lag.			med denna lag.
Uppgifter	i elimineringsdata-		Uppgifter i elimineringsdata-
basen får endast behandlas för att			basen får endast behandlas för att
upptäcka och utreda konta-			upptäcka och utreda konta-
mineringar vid DNA-analyser och			mineringar vid dna-analyser och
hanteringen av DNA-spår.			hanteringen av dna-spår.
Begreppen	DNA-profil	och	Begreppen dna-profil och dna-
DNA-analys som används i lagen			analys som används i lagen har
har samma betydelse som i			samma betydelse som i polisens
polisdatalagen (2010:361).			brottsdatalag (2010:361).

Prop. 2017/18:269 Bilaga 2

Förhållandet	till	personuppgifts-	Förhållandet till annan person-
lagen			uppgiftsreglering
		2 §
Denna lag gäller utöver per-			Denna	lag	gäller	utöver
sonuppgiftslagen (1998:204).			brottsdatalagen (2018:000).
		4 §
En DNA-profil som har tagits			En dna-profil som har tagits
fram under utredning av brott och			fram under utredning av brott och
som inte kan hänföras till en			som inte kan hänföras till en
identifierbar person får vid ett			identifierbar person får vid ett
tillfälle jämföras med DNA-			tillfälle jämföras med dna-profiler
profiler i elimineringsdatabasen.			i	elimineringsdatabasen.
Jämförelsen	ska	göras innan	Jämförelsen	ska	göras	innan

1Senaste lydelse av 6 § 2014:600.

2Senaste lydelse 2014:600.

453

Prop. 2017/18:269 Bilaga 2

jämförelse görs med andra DNA- profiler i de DNA-register som regleras i 4 kap. polisdata- lagen (2010:361).

En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNA-profiler i

elimineringsdatabasen. Avser DNA-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det DNA-register som regleras i 4 kap. polisdatalagen.

En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNA-profiler i elimineringsdatabasen.

jämförelse görs med andra dna- profiler i de dna-register som regleras i 5 kap. polisens brotts- datalag (2010:361).

En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Avser dna-

profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dna-register som regleras i 5 kap. polisens brottsdatalag.

En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dna- analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dna-profiler i elimineringsdatabasen.

Gallring

Längsta tid för behandling

11 §3

Uppgifter i elimineringsda- tabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler.

Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyl- digheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som längst behandlas under den tid som anges i andra–femte styckena.

Uppgifter i elimineringsda- tabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kon- taminerat material, prover eller lokaler.

Uppgifter som rör anställda vid

Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

3 Senaste lydelse 2014:600.

454

Uppgifter som rör andra än de			Uppgifter		som rör		andra	än	de	Prop. 2017/18:269
som anges i andra och tredje			som	anges	i	andra	och	tredje		Bilaga 2
styckena ska gallras senast ett år			styckena får inte behandlas längre
efter det att det förhållande som			än ett år efter det att det för-
grundade skyldigheten upphörde.			hållande som grundade skyldig-
			heten upphörde.
Rättelse och skadestånd			Skadestånd
		12 §
Bestämmelserna	i	personupp-	Vid behandling av person-
giftslagen (1998:204)		om rättelse	uppgifter enligt denna lag eller
och skadestånd	tillämpas på		enligt föreskrifter som avses i 13
motsvarande sätt	vid	behandling	eller	14 §	ska	bestämmelsen			i
av personuppgifter enligt denna lag			7 kap.	1 §		brottsdatalagen
eller enligt föreskrifter som avses i			(2018:000)		om		skadestånd
13 eller 14 §.			tillämpas på motsvarande sätt.

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som före ikraftträdandet har orsakats vid behandling av personuppgifter enligt denna lag.

455

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

dels att 2, 4, 6, 8–10, 12 och 15 §§ ska upphöra att gälla, dels att rubrikerna före 2, 4, 8–10, 12 och 15 §§ ska utgå,

dels att nuvarande 3 § ska betecknas 2 § och att rubriken före nuvarande 3 § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 4 §, att nuvarande 7 § ska betecknas 5 § och att rubriken före nuvarande 6 § ska placeras före nya 5 §, att nuvarande 11 § ska betecknas 6 § och att rubriken före nuvarande 11 § ska placeras före nya 6 §, att nuvarande 13 § ska betecknas 7 §, att nuvarande 14 § ska betecknas 8 § och att rubriken före nuvarande 14 § ska placeras före nya 8 §,

dels att rubriken före nya 4 § ska lyda Rätten att behandla per- sonuppgifter,

dels att 1 och nya 2, 4, 6 och 7 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 §, och före nya 3 och 7 §§ nya rubriker med följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Lag om	register	över tillträ-	Lag om idrottsorganisationers
desförbud	vid	idrottsarrange-	behandling av uppgifter om till-
mang			trädesförbud

1 §

tillträdesförbudvid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

				2 §
	Denna lag gäller behandling av				Denna lag gäller vid idrotts-
	personuppgifter för att upprätthålla				organisationers behandling av
	gällande	beslut	om	till-	personuppgifter från det tillträ-
	trädesförbud. Lagen gäller vid				desförbudsregister som förs enligt
	1. Polismyndighetens behandling				polisens brottsdatalag (2010:361)
	av personuppgifter i tillträ-				för att upprätthålla gällande beslut
	desförbudsregistret, och				om tillträdesförbud.
456	2. idrottsorganisationers			be-
456

handling	av personuppgifter från				Prop. 2017/18:269
tillträdesförbudsregistret.					Bilaga 2
Lagen gäller behandling som är			Lagen gäller för behandling som
helt eller delvis automatiserad eller			är helt eller delvis automatiserad
om personuppgifterna ingår i eller			eller om personuppgifterna ingår i
är avsedda att ingå i en			eller är avsedda att ingå i en
strukturerad samling av person-			strukturerad	samling	av
uppgifter som är tillgängliga för			personuppgifter som är tillgängliga
sökning	eller	sammanställning	för sökning eller sammanställning
enligt särskilda		kriterier. Lagen	enligt särskilda	kriterier.	Lagen
gäller även för annan behandling i			gäller även för annan behandling i
fall som avses i 14 §.			fall som avses i 8 §.

Förhållandet till annan reglering om personuppgiftsbehandling

3 §

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning) gäller vid be- handling av personuppgifter enligt denna lag. Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller om inte annat följer av denna lag eller föreskrifter som har med- delats i anslutning till den.

4§

Polismyndigheten är person-

uppgiftsansvarig för den behand- ling av personuppgifter som myn- digheten utför enligt denna lag.

Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför.

6 §
Tillgången till personuppgifter	Tillgången till	personuppgifter
ska begränsas till vad den som	ska begränsas till vad den som
arbetar vid Polismyndigheten eller	arbetar eller utför uppdrag åt en
som arbetar eller utför uppdrag åt	idrottsorganisation	behöver för att
en idrottsorganisation behöver för	kunna fullgöra	arbetsuppgifterna
att kunna fullgöra arbetsuppgifterna	eller uppdraget.	457
		457

Prop. 2017/18:269 Bilaga 2

eller uppdraget.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter.

7 §

Längsta tid som personuppgifter får behandlas

En uppgift som en idrottsor- ganisation har fått tillgång till från tillträdesförbudsregistret ska tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när till- trädesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs.

Behandlingen av personupp- gifter som en idrottsorganisation har fått tillgång till från tillträ- desförbudsregistret ska upphöra

senast när tillträdesförbudets giltighetstid löper ut eller om

tillträdesförbudet dessförinnan upphävs.

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelserna i 4 och 15 §§ i deras nuvarande lydelse ska fortsätta att gälla för idrottsorganisationers personuppgiftsbehandling till den 25 maj 2018.

3.Bestämmelsen i 3 § ska inte tillämpas förrän den 25 maj 2018.

458

Förslag till lag om ändring i åklagardatalagen (2015:433)

Härigenom föreskrivs i fråga om åklagardatalagen (2015:433) dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 3, 4 och 7 §§ ska upphöra att gälla, dels att rubriken före 3 kap. 3 § ska utgå,

dels att nuvarande 3 kap. 5 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 3 kap. 4 § ska placeras före nya 3 kap. 3 §, att nuvarande 3 kap. 6 § ska betecknas 3 kap. 4 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 5 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 5 §,

dels att 3 kap. 1 och 2 §§ och nya 3–5 §§ ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 3 kap. 6 och 7 §§, och nya rubriker före 3 kap. 1 § och nya 3 kap. 6 § av följande lydelse,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Åklagardatalag	Åklagarväsendets brottsdatalag

Prop. 2017/18:269 Bilaga 2

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åkla- garmyndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att bekämpa eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet.

Bestämmelser om personuppgiftsbehandling vid Ekobrottsmyn- digheten finns också i polisens brottsdatalag (2010:361).

Personuppgiftsansvar

2 § Åklagarmyndigheten och Ekobrottsmyndigheten är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 § om personuppgiftsansvar,

2.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

459

Prop. 2017/18:269 Bilaga 2

4.4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.förebygga eller förhindra brottslig verksamhet,

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller

5.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används vid sökning.

Utlämnande av personuppgifter

5 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Eurojust,

2.Interpol,

3.Europol, eller

460

4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten											Prop. 2017/18:269
till Interpol.											Bilaga 2
Personuppgifter får lämnas ut enligt första stycket endast om
mottagaren behöver uppgifterna för något av de syften som anges i 1 §.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller
mellanfolklig organisation, om utlämnandet följer av en internationell
överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
6 §	Åklagarmyndigheten,			Ekobrottsmyndigheten,			Polismyndigheten,
Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har,
trots	sekretess	enligt 21 kap.			3 § första	stycket	och	35 kap.		1 §
offentlighets-		och	sekretesslagen (2009:400), rätt				att	ta	del	av
personuppgifter		som	har	gjorts	gemensamt	tillgängliga		med	stöd	av

3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §.

Föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket.

3 kap.

				Allmän bestämmelse
			1 §
Detta kapitel innehåller särskilda				Detta kapitel innehåller särskilda
bestämmelser för		behandling	av	bestämmelser för	behandling av
personuppgifter som görs eller har				personuppgifter som görs eller har
gjorts	gemensamt	tillgängliga	i	gjorts gemensamt	tillgängliga med
åklagarväsendets		operativa		stöd av 2 §. Uppgifter som endast
verksamhet. Uppgifter som endast				ett fåtal personer har rätt att ta del
ett fåtal personer har rätt att ta del				av anses inte som gemensamt till-
av anses inte som gemensamt				gängliga.
tillgängliga.
Detta kapitel gäller inte när				Detta kapitel gäller inte när
personuppgifter behandlas med				personuppgifter	behandlas med
stöd av 2 kap. 7 §.				stöd av 2 kap. 2 § brottsdatalagen
				(2018:000).
			2 §
Personuppgifter		i åklagarvä-		Alla personuppgifter som be-
sendets	operativa	verksamhet	får	handlas för syften som omfattas av

461

Prop. 2017/18:269 Bilaga 2

462

göras gemensamt tillgängliga.

denna lags tillämpningsområde får

göras gemensamt tillgängliga.

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med

stöd

av 8 kap.

7 §

rege-

ringsformen

meddela

närmare

föreskrifter om sådana uppgifter.

3 §

Vid sökning på namn, per-

Vid

sökning i

automatiserade

sonnummer,

samordningsnummer

behandlingssystem på namn, per-

eller andra liknande identi-

sonnummer,

samordningsnummer

tetsbeteckningar

uppgifter

som

eller andra liknande identi-

har

gjorts

gemensamt

tillgängliga

tetsbeteckningar i

uppgifter

som

får sådana uppgifter tas fram som

har gjorts gemensamt tillgängliga

anger att den sökta personen

får endast sådana uppgifter tas

fram som anger att den sökta

personen

1. är anmäld för brott,

1. är eller har varit misstänkt för

2. är eller har varit misstänkt för

brott,

2. är misstänkt för att ha utövat

3. är misstänkt för att ha utövat

eller komma att utöva brottslig

verksamhet,

3. har anmält ett brott,

4. har anmält ett brott,

4. är

målsägande

ett

ärende

5. är

målsägande i ett ärende

som rör ansvar för brott,

5. är

sökande,

motpart

eller

6. är

sökande,

motpart

eller

annan part eller kan jämställas med

part i ett ärende,

6. förekommer i ett ärende som

7. förekommer i ett ärende som

vittne eller någon annan som

vittne eller annan som lämnar eller

lämnar eller har lämnat uppgifter

har lämnat uppgifter eller yttrande,

eller yttrande,

7. är eller har varit åklagare i ett

8. är eller har varit åklagare i ett

ärende, eller är eller har varit

offentlig försvarare eller måls-

ägandebiträde

eller

kan jämställas

ägandebiträde

eller

kan jämställas

med sådana, eller

8. har gett in eller tillhandahållits

9. har gett in eller tillhandahållits

en handling.

4 §

Bestämmelserna i 5 § gäller inte

Bestämmelserna i 3 § gäller inte

vid sökning i en viss handling eller

i ett visst ärende.

Regeringen

kan

med

stöd av

8 kap.

7 §

regeringsformen

med-

dela

föreskrifter

ytterligare

undantag från 5 §.

							5 §				Prop. 2017/18:269
Åklagarmyndigheten,							Eko-	Åklagarmyndigheten,			Eko- Bilaga 2
brottsmyndigheten,						Polismyn-		brottsmyndigheten,		Polismyn-
digheten,		Säkerhetspolisen,					Tull-	digheten,	Säkerhetspolisen,		Tull-
verket,		Kustbevakningen					och	verket,	Kustbevakningen		och
Skatteverket får i den brotts-								Skatteverket får för något av de
bekämpande verksamheten medges								syften som anges i		1 kap. 2 §
direktåtkomst till personuppgifter i								brottsdatalagen (2018:000)			med-
åklagarväsendets						operativa		ges direktåtkomst till person-
verksamhet.			Direktåtkomsten				får	uppgifter som har gjorts gemen-
endast avse			personuppgifter				som	samt tillgängliga med stöd av 2 §.
har gjorts gemensamt tillgängliga.
En myndighet som har medgetts
direktåtkomst				ansvarar		för	att
tillgången			till		personuppgifter
begränsas till det som varje tjäns-
teman behöver för att kunna full-
göra sina arbetsuppgifter.
Regeringen eller den myndighet
som	regeringen				bestämmer		kan
med	stöd		av	8 kap.		7 § rege-
ringsformen				meddela		närmare
föreskrifter			om		omfattningen av
direktåtkomsten och om behörighet
och säkerhet.

Föreskrifter

6 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 3 §.

7 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om

1.gemensamt tillgängliga upp- gifter, och

2.omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

463

Prop. 2017/18:269 Bilaga 2

Personuppgifter i ärenden

2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren, eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft.

Övriga personuppgifter

4 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte kan hänföras till ett ärende inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

Föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att uppgifter i vissa ärendetyper eller vissa kategorier av per- sonuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §,

2.att personuppgifter, med avvikelse från 4 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

464

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter, eller

2.4 kap. 2 eller 4 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före- skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap.

1	§ brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande	Prop. 2017/18:269
sätt.		Bilaga 2
Överklagande
3	§ Bestämmelser om överklagande och om vilka beslut som får

överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

465

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

14 §

Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast

1.vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1–2 a §§ utlänningslagen åberopas,

2.i ärenden om avvisning och utvisning,

3.i testverksamhet,

4.om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller


5. om det behövs för att Mig-					5. om det behövs för att Mig-
rationsverket ska kunna kontrollera					rationsverket ska kunna kontrollera
ett	fingeravtryck		mot	det	ett	fingeravtryck		mot
fingeravtrycks-		och	signale-		fingeravtrycks- och signalements-
mentsregister		som Polismyndig-			register som Polismyndigheten för
heten för enligt 4 kap. 11 § polis-					enligt	5 kap.	11 §	polisens
datalagen (2010:361).					brottsdatalag (2010:361).

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och

2.föreskrifter om gallring.

Denna lag träder i kraft den 1 maj 2018.

466

Förslag till lag om ändring i tullagen (2016:253)		Prop. 2017/18:269
		Bilaga 2
Härigenom föreskrivs att	4 kap. 8 § tullagen (2016:253)	ska ha
följande lydelse.
Nuvarande lydelse	Föreslagen lydelse

4 kap.

8 §

Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter				Tullverket får ta del av uppgifter
genom terminalåtkomst endast			i	genom terminalåtkomst endast i
den omfattning och under den tid				den omfattning och under den tid
som behövs för att kontrollera				som behövs för att kontrollera
aktuella transporter. Uppgifter som				aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas	eller	lagras	av
Tullverket.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska ome- delbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 maj 2018.

467

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i tullbrottsdatalagen (2017:447)

Härigenom föreskrivs i fråga om tullbrottsdatalagen (2017:447) dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 5 § och 4 kap. 5 § ska upphöra att gälla,

dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande

3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 12 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap. 3 § ska placeras före nya 4 kap. 2 §, att nuvarande 4 kap. 4 § ska betecknas 4 kap. 3 §, att nuvarande 4 kap. 6 § ska betecknas 4 kap. 4 § och att rubriken före nuvarande 4 kap. 5 § ska

placeras före nya		4 kap. 4 §, att		nuvarande	4 kap.	7 §	ska betecknas
4 kap. 5 §,	att nuvarande		4 kap.	8 § ska	betecknas		4 kap. 6 §,	att
nuvarande	4 kap.	9 § ska	betecknas 4 kap.		8 § och	att rubriken		före

nuvarande 4 kap. 9 § ska placeras före nya 4 kap. 7 §,

dels att 3 kap. 1–4 §§ och nya 3 kap. 5–7 §§, 4 kap. 1 § och nya 4 kap. 2–5, 8, 10 och 13 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § och nya 4 kap. 4 § ska ha följande lydelse,

dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 4 kap. 7, 9, 11 och 12 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 8 § och nya 4 kap. 12 §§ av följande lydelse,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Tullbrottsdatalag	Tullverkets brottsdatalag

1 kap. Allmänna bestämmelser Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott.

2 §	I lagen (2017:496) om internationellt polisiärt samarbete och i
föreskrifter som regeringen har meddelat i anslutning till den lagen, finns
det särskilda bestämmelser om behandling av personuppgifter som följer
av internationella överenskommelser om polisiärt samarbete. Om det i
dessa	författningar	finns avvikande bestämmelser, ska de tillämpas
i stället för bestämmelserna i denna lag.
Personuppgiftsansvar
3 §	Tullverket är	personuppgiftsansvarig för den behandling av

468	personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–5 och 8–11 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

Prop. 2017/18:269 Bilaga 2

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Tullverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Tullverket får behandla biometriska uppgifter enligt de förut- sättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

469

Prop. 2017/18:269 Bilaga 2

470

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Interpol,

2.Europol,

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4.en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §.

Personuppgifter från transportföretag

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brotts- datalagen (2018:000).

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt till- gängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

12 § Vid sökning i personuppgifter som avses i 10 § första stycket får	Prop. 2017/18:269
namn, personnummer, samordningsnummer och andra liknande	Bilaga 2
identitetsbeteckningar användas som sökbegrepp endast om uppgifterna
avser en person som

1.är eller har varit misstänkt för brott,

2.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3.övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Föreskrifter

13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i

Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för	2. Uppgifter som behövs för
övervakningen av en person, om	övervakningen av en person som
han eller hon

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse

itvå år eller däröver, och

b)är allvarligt kriminellt belastad.

471

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

5. Uppgifter som har rappor- terats till Tullverkets kommuni- kationscentral.

Prop. 2017/18:269 Bilaga 2

472

3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4. Uppgifter som har rappor- terats till Tullverkets lednings- centraler.

5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Personuppgifter från trans- portföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.

					3 §
För	gemensamt		tillgängliga			Det ska framgå genom en sär-
uppgifter ska det genom en sär-						skild upplysning eller på något
skild upplysning eller på något						annat sätt om personuppgifter har
annat sätt framgå för vilket när-						gjorts gemensamt tillgängliga med
mare ändamål		personuppgifterna				stöd av 2 § första stycket 2.
behandlas. Har personuppgifterna
gjorts gemensamt tillgängliga med
stöd av	2 § första stycket 2,				ska
detta särskilt framgå.
					4 §
Om uppgifter som är gemensamt						Om uppgifter som är gemensamt
tillgängliga direkt kan hänföras till						tillgängliga direkt kan hänföras till
en person som inte är misstänkt för						en person som inte är misstänkt för
brott eller för att ha utövat eller						att ha utövat eller komma att utöva
komma att utöva sådan brottslig						sådan	brottslig	verksamhet	som
verksamhet som avses i 2 § första						avses i 2 § första stycket 1, ska det
stycket 1, ska		det	genom		en	genom en särskild upplysning eller
särskild upplysning eller på annat						på något annat sätt framgå att
sätt framgå att personen inte är						personen inte är misstänkt.
misstänkt.
Uppgifter om en person som kan						Uppgifter om en person som kan
antas ha samband med misstänkt						antas ha direkt samband med
brottslig	verksamhet		ska	förses		sådan	brottslig	verksamhet	som
med	en	upplysning			om	avses	i 2 § första stycket 1		eller
uppgiftslämnarens			trovärdighet			som övervakas med stöd av 2 §
och uppgifternas riktighet				i	sak,	första stycket 2 ska förses med en

Vid sökning i automatiserade behandlingssystem på namn, per- sonnummer, samordningsnummer eller andra liknande identi- tetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

om inte detta är onödigt på grund			upplysning	om uppgiftslämnarens	Prop. 2017/18:269
av	särskilda	omständigheter.	trovärdighet	och uppgifternas	Bilaga 2
Detsamma gäller		uppgifter om	riktighet i	sak, om det inte på
personer som avses i 2 § första			grund av	omständigheterna är
stycket 2.			onödigt.

5 §

Vid sökning på namn, per- sonnummer, samordningsnummer eller andra liknande identi- tetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

6 §

Bestämmelserna i 6 § gäller inte					Bestämmelserna i 5 § gäller inte
vid					vid sökning i en viss handling eller
1. sökning	i	en	viss	handling	i ett visst ärende.
eller i ett visst ärende, eller
2. sökning	i	en	uppgiftssamling
som har skapats för att undersöka
viss brottslighet eller vissa krimi-
nella grupperingar och som enbart
de som arbetar i undersökningen
har åtkomst till.
Bestämmelserna i 6 § gäller inte					Bestämmelserna i 5 § gäller inte
heller vid sökning			som	utförs av	heller vid sökning som görs av
					473

Prop. 2017/18:269

särskilt

angivna

tjänstemän

och

särskilt angivna tjänstemän

Bilaga 2

som görs

1. när

utför

beredningsupp-

gifter

underrättelseverksamhet

och arbetet befinner sig i ett in-

ledande skede,

1. för

att

förebygga,

förhindra

2. i

syfte

att

underrättelse-

eller upptäcka brottslig verksamhet

verksamhet bearbeta och analy-

som innefattar brott för vilket det

sera

personuppgifter

som

har

är föreskrivet fängelse i fyra år

gjorts gemensamt tillgängliga med

eller däröver eller för sådant

stöd av 2 § första stycket 1 eller 2

ändamål som avses i 2 § första

och som enbart dessa tjänstemän

stycket 2, eller

har tillgång till,

2. för att utreda brott för vilket

3. i syfte att utreda brott för

det är föreskrivet fängelse i fyra år

vilket det är föreskrivet fängelse i

eller däröver.

fyra år eller däröver, eller

4. i

syfte

att

samordna

utred-

ningar om brott som kan vara

systematiska och för vilka det är

föreskrivet fängelse i två år eller

däröver.

Regeringen eller den myndighet

Bestämmelserna i 5 § gäller inte

som

regeringen

bestämmer

kan

heller vid sökning som en

med

stöd

8 kap.

7 § rege-

tjänsteman vid någon av Tull-

ringsformen

meddela föreskrifter

verkets ledningscentraler utför på

under

vilka

förutsättningar

begäran av en tulltjänsteman som

sökning får äga rum med stöd av

verkställer

ett

ingripande

eller

första och andra styckena. Rege-

vidtar en åtgärd som rör en en-

ringen kan med stöd av 8 kap. 7 §

skild.

regeringsformen

meddela

före-

skrifter

ytterligare

undantag

från 6 §.

7 §

Polismyndigheten,

Säker-

Polismyndigheten,

Säker-

hetspolisen,

Ekobrottsmyndig-

hetspolisen, Ekobrottsmyndigheten,

heten, Åklagarmyndigheten, Kust-

Åklagarmyndigheten,

bevakningen

och

Skatteverket får

Kustbevakningen och Skatteverket

medges

direktåtkomst

till

får för något av de syften som

personuppgifter

Tullverkets

anges

1 kap.

2 §

brottsdata-

brottsbekämpande

verksamhet.

lagen (2018:000)

medges

direkt-

Direktåtkomsten

får endast

avse

åtkomst

till

personuppgifter

som

personuppgifter som är gemensamt

har gjorts gemensamt tillgängliga

tillgängliga.

med stöd av 2 §.

En myndighet som har medgetts

direktåtkomst

ansvarar för

att

tillgången

till

personuppgifter

begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

474

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behö- righet och säkerhet.

Föreskrifter

8 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 5 §.

	9 §
	Regeringen eller				den myndighet
	som regeringen bestämmer kan med
	stöd av 8 kap. 7 § regeringsformen
	meddela föreskrifter om
	1. begränsning av tillgången till
	sådana personuppgifter som avses
	i 5 §,
	2. under		vilka		förutsättningar
	sökning	får	utföras med stöd			av
	6 §, och
	3. omfattningen av direktåtkomst
	enligt	7 §	och	behörighet		och
	säkerhet vid sådan åtkomst.
4 kap. Bevarande och gallring av	4 kap. Längsta			tid som person-
personuppgifter	uppgifter får behandlas
Generella bestämmelser	Allmän bestämmelse

1 §

Prop. 2017/18:269 Bilaga 2

Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 3 och 4 §§ om uppgifter som

Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling.

Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) fram- går att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

475

Personuppgifter som med stöd av 15 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än

genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2.

Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personupp- gifter.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2. ett år efter det att de be- handlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Prop. 2017/18:269 Bilaga 2

476

inte har gjorts gemensamt till- gängliga,

2.5–7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3.9 och 10 §§ om andra upp- gifter som har gjorts gemensamt tillgängliga än som anges i 2.

2 §

Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

3 §

I4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Gemensamt tillgängliga upp- gifter i ärenden om utredning eller beivrande av brott

Gemensamt tillgängliga upp- Prop. 2017/18:269 gifter i ärenden om utredning av Bilaga 2

eller lagföring för brott

						4 §
Om	en	brottsanmälan			avskrivs		Om	en brottsanmälan avskrivs
på grund av att den påstådda							på grund av att den påstådda
gärningen inte utgör brott, får							gärningen inte utgör brott, får
personuppgifterna i				anmälan		inte	personuppgifterna i			anmälan	inte
längre	behandlas			i Tullverkets			längre behandlas för ändamål inom
brottsbekämpande verksamhet. Om							denna	lags	tillämpningsområde.
en brottsanmälan i annat fall inte							Om en brottsanmälan i annat fall
har lett till förundersökning eller							inte har lett till förundersökning
annan	motsvarande			utredning, får			eller annan motsvarande utredning,
personuppgifterna inte behandlas i							får	personuppgifterna			inte
Tullverkets			brottsbekämpande				behandlas för ändamål inom denna
verksamhet när åtal inte längre får							lags tillämpningsområde när				åtal
väckas för brottet.							inte längre får väckas för brottet.
						5 §
Om en förundersökning har lett							Om en förundersökning har lett
till åtal eller annan dom-							till åtal eller annan dom-
stolsprövning,			får	personupp-			stolsprövning,		får	personupp-
gifterna i		förundersökningen				inte	gifterna i förundersökningen				inte
behandlas			i	Tullverkets			behandlas för ändamål inom denna
brottsbekämpande verksamhet						när	lags tillämpningsområde längre än
det har förflutit fem år efter							fem år efter utgången av det
utgången av det kalenderår då							kalenderår		då	domstolens
domen, eller det beslut som med-							avgörande fick laga kraft.
delades med anledning av talan,
fick laga kraft.
Om en förundersökning har lagts							Om en förundersökning har lagts
ned eller avslutats på annat sätt än							ner eller avslutats på annat sätt än
genom åtal, får personuppgifterna i							genom åtal, får personuppgifterna i
förundersökningen inte behandlas i							förundersökningen inte behandlas
Tullverkets			brottsbekämpande				för ändamål inom denna lags
verksamhet när det har förflutit							tillämpningsområde längre än fem
fem år efter utgången av det							år efter utgången av det kalenderår
kalenderår		då	åklagarens			eller	då åklagarens eller förundersök-
förundersökningsledarens					beslut		ningsledarens beslut meddelades.
meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken.

7 §

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt till-

477

Prop. 2017/18:269 Bilaga 2

478

gängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8–11 §§.

8§

Personuppgifter som har gjorts

gemensamt	tillgängliga	enligt
3 kap. 2 § första stycket 1		eller 2
ska gallras	enligt andra–fjärde

styckena.

Personuppgifter

som

kan

antas

ha samband med sådan brottslig

verksamhet som anges i 3 kap. 2 §

första stycket 1 får, om de be-

handlas i ett ärende, inte behand-

las längre än ett år efter det att

ärendet avslutades.

Uppgifter som kan antas ha

personuppgifterna

inte

samband

med

sådan

brottslig

behandlas i ett ärende får de inte

verksamhet som anges i 3 kap. 2 §

behandlas längre än tre år efter

första stycket 1 ska gallras senast

utgången av det kalenderår då

tre år efter utgången av det

registreringen

avseende

personen

kalenderår

då

registreringen

gjordes. Personuppgifter som kan

avseende

personen

gjordes.

antas ha samband med brottslig

Uppgifter som kan antas ha

verksamhet som innefattar brott för

samband med brottslig verksamhet

vilket det är föreskrivet fängelse i

som innefattar brott för vilket det

två år eller däröver får inte

är föreskrivet fängelse i två år eller

behandlas längre än fem år efter

däröver ska dock gallras senast

utgången av det kalenderår då

fem år efter utgången av det

registreringen gjordes. Om en ny

kalenderår

då

registreringen

registrering

beträffande

personens

gjordes. Om en ny registrering

anknytning

till

brottslig

beträffande

personen

görs

före

verksamhet görs före utgången av

utgången

gallringsfristen,

de tiderna, får de uppgifter som

behöver de uppgifter som finns om

finns om personen fortsätta att

personen inte gallras så länge

behandlas så länge någon av

någon av uppgifterna om honom

uppgifterna om honom eller henne

eller henne får bevaras.

får behandlas.

Uppgifter som har behandlats i

samband med

sådan övervakning

som avses

3 kap.

2 § första

stycket 2 ska gallras senast tio år

efter utgången av det kalenderår

då den senaste registreringen av-

seende personen gjordes.

Den tid då en misstänkt eller

Den tid då en misstänkt person

övervakad

person avtjänar

ett

avtjänar

ett

fängelsestraff

eller

fängelsestraff

eller

genomgår

sluten

ungdomsvård

sluten ungdomsvård eller rätts-	eller	rättspsykiatrisk				vård	med
psykiatrisk vård med särskild	särskild		utskrivningsprövning ska
utskrivningsprövning ska inte	inte	räknas		med vid		beräkningen
räknas med vid beräkningen av de	av de tider som anges i						andra
frister som anges i andra och	stycket.
tredje styckena.
	9 §
	Personuppgifter som behandlas i
	samband med				sådan	övervakning
	som	avses		i	3 kap.	2 §	första
	stycket 2 får inte behandlas längre
	än tio år efter utgången av det
	kalenderår då den senaste regi-
	streringen			avseende		personen
	gjordes.
	Den tid då en övervakad person
	avtjänar		ett		fängelsestraff		eller
	genomgår			sluten ungdomsvård
	eller	rättspsykiatrisk				vård	med
	särskild		utskrivningsprövning ska
	inte räknas med vid beräkningen
	av den tid som anges i första
	stycket.

10§

Personuppgifter som har gjorts

gemensamt			tillgängliga		enligt
3 kap.	2 § första stycket 4				eller 5
ska gallras enligt andra eller
tredje stycket.
Uppgifter		som har		behandlats		Personuppgifter som behandlas
med	stöd	av	3 kap.	2 §	första	med	stöd	av	3 kap.	2 §	första
stycket 4 ska gallras senast ett år						stycket 4 får inte behandlas längre
efter utgången av det kalenderår då						än ett år efter utgången av det
ärendet som uppgifterna be-						kalenderår		då	de	behandlades
handlades i avslutades.						automatiserat första gången.
Uppgifter		som har		behandlats
med	stöd	av	3 kap.	2 §	första
stycket 5 ska gallras senast ett år
efter utgången av det kalenderår
då de behandlades automatiserat
första gången.
						11 §
						Personuppgifter som behandlas
						med	stöd	av	3 kap.	2 §	första
						stycket 5 får inte behandlas längre

än ett år efter utgången av det kalenderår då ärendet som upp- gifterna behandlades i avslutades.

Prop. 2017/18:269 Bilaga 2

479

Prop. 2017/18:269 Bilaga 2

Föreskrifter

12 §

Regeringen eller den myndighet som regeringen bestämmer kan med

stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att	vissa kategorier av	per-	1. att vissa			kategorier		av per-
sonuppgifter får bevaras i den			sonuppgifter får fortsätta att be-
brottsbekämpande verksamheten			handlas för ändamål inom denna
under längre tid än vad som anges i			lags	tillämpningsområde				under
6, 7, 9 och 10 §§,			längre tid än vad som anges i 4, 5
			och 8–11 §§,
2. att	personuppgifter,	med	2. att		personuppgifter,			med
avvikelse från 3 § första stycket, 9			avvikelse		från	2 §	första	stycket
och 10 §§, får bevaras för histo-			och 8–11 §§, får behandlas under
riska, statistiska eller vetenskap-			längre tid för arkivändamål av
liga ändamål, och			allmänt intresse och vetenskapliga,
			statistiska eller historiska ändamål
			och
3. digital arkivering.			3. begränsning av behandlingen
			av	personuppgifter			för ändamål
			inom			denna		lags
			tillämpningsområde				vid	digital
			arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3.4 kap. 2–5 eller 8–11 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

480

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

Prop. 2017/18:269 Bilaga 2

481

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i skattebrottsdatalagen (2017:452)

Härigenom föreskrivs i fråga om skattebrottsdatalagen (2017:452) dels att 1 och 2 kap. ska upphöra att gälla,

dels att 3 kap. 3 och 5 §§ och 4 kap. 4 § ska upphöra att gälla,

dels att nuvarande 3 kap. 4 § ska betecknas 3 kap. 3 §, att nuvarande

3 kap. 6 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 3 kap. 5 § ska placeras före nya 3 kap. 4 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 6 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 9 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap.

3 § ska placeras före nya			4 kap.		2 §,	att	nuvarande	4 kap. 5 §		ska
betecknas 4 kap.		3 § och	att	rubriken		före nuvarande			4 kap. 4 ska
placeras före nya		4 kap. 3 §,		att	nuvarande		4 kap. 6 §		ska betecknas
4 kap. 4 §,	att nuvarande		4 kap.		7 §	ska	betecknas	4 kap. 5 §,		att
nuvarande	4 kap.	8 § ska	betecknas 4 kap.				7 § och att		rubriken	före

nuvarande 4 kap. 8 § ska placeras före nya 4 kap. 6 §,

dels att 3 kap. 1 och 2 §§ och nya 3 kap. 3–6 §§, 4 kap. 1 § och nya

4 kap. 2–4, 7 och 9 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § ska ha följande lydelse,

dels att det ska införas fyra nya paragrafer, 3 kap. 7 och 8 §§ och 4 kap.

6 och 8 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 7 § och nya 4 kap. 9 § av följande lydelse,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Skattebrottsdatalag	Skatteverkets brottsdatalag

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skat- teverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa brott.

Personuppgiftsansvar

2 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens tillämpning på uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 2 § om personuppgiftsansvar,

482

2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av per-	Prop. 2017/18:269
sonuppgifter,	Bilaga 2

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4 och 7 och 8 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en

lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Särskilda upplysningar

Sökning

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.

5 §	Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte
sökning i syfte att få fram ett personurval grundat på etniskt ursprung,
om sökningen görs i personuppgifter som inte har gjorts gemensamt
tillgängliga.
Beskattningsdatabasen
6 §	I lagen (2001:181) om behandling av uppgifter i Skatteverkets
beskattningsverksamhet finns bestämmelser om beskattningsdatabasen.		483

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

Prop. 2017/18:269	Vid sökning i beskattningsdatabasen som görs för något av de syften som
Bilaga 2	anges	i 1 § får	endast	uppgift om namn,	personnummer	eller
	samordningsnummer användas.
	Utlämnande av personuppgifter
	7 § Personuppgifter får lämnas ut till en utländsk myndighet eller
	mellanfolklig organisation, om utlämnandet följer av en internationell
	överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
	8 § Polismyndigheten,			Säkerhetspolisen,	Ekobrottsmyndigheten,
	Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots
	sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets-
	och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har
	gjorts	gemensamt	tillgängliga med stöd av		3 kap. 2 §, om	den

mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt till- gängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

484

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2.Uppgifter som förekommer i ett ärende om utredning av brott.

3. Uppgifter som behövs för att

Uppgifter

som behandlas i

fullgöra

internationella åtaganden,

syfte

att

fullgöra

internationella

om det krävs för att den aktuella

åtaganden, om det krävs för att den

förpliktelsen ska kunna fullgöras.

aktuella förpliktelsen ska kunna

fullgöras.

3 §

Om uppgifter som är gemensamt

tillgängliga direkt kan hänföras till

en person som inte är misstänkt för

brott eller för att ha utövat eller

att ha utövat eller komma att utöva

komma att utöva sådan brottslig

sådan

brottslig

verksamhet

som

verksamhet som avses i 2 § första

avses i 2 § 1, ska det genom en

stycket 1,

ska

det

genom

särskild upplysning eller på något

särskild upplysning eller på annat

annat sätt framgå att personen inte

sätt framgå att personen inte är

är misstänkt.

misstänkt.

Uppgifter om en person som kan

antas ha samband med misstänkt

antas ha direkt samband med

brottslig

verksamhet

ska förses

sådan

brottslig

verksamhet

som

med

upplysning

avses

i 2 § 1 ska

förses med en

uppgiftslämnarens

trovärdighet

upplysning

uppgiftslämnarens

och uppgifternas riktighet i sak,

trovärdighet

och

uppgifternas

om inte detta är onödigt på grund

riktighet i sak, om det inte på

av särskilda omständigheter.

grund

omständigheterna

är

onödigt.

4 §

Vid sökning på namn, per-

Vid

sökning

automatiserade

sonnummer, samordningsnummer

behandlingssystem på namn, per-

eller andra liknande identi-

sonnummer,

samordningsnummer

tetsbeteckningar

i uppgifter

som

eller andra liknande identi-

har gjorts

gemensamt

tillgängliga

tetsbeteckningar

uppgifter

som

får endast sådana uppgifter tas

har gjorts

gemensamt tillgängliga

fram som anger att den sökta

får endast sådana uppgifter tas

personen

fram som anger att den sökta

personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat	3. är misstänkt för att ha utövat
eller komma att utöva sådan	eller komma att utöva sådan
brottslig verksamhet som avses i	brottslig verksamhet som avses i

Prop. 2017/18:269 Bilaga 2

485

Prop. 2017/18:269 Bilaga 2

2 § första stycket 1,

2 § 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

9.är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.

5 §

Bestämmelserna i 6 § gäller inte	Bestämmelserna i 4 § gäller inte
vid	vid sökning i en viss handling eller
1. sökning i en viss handling	i ett visst ärende.
eller i ett visst ärende, eller
2. sökning i en uppgiftssamling
som har skapats för att undersöka
viss brottslighet eller vissa krimi-
nella grupperingar och som enbart
de som arbetar i undersökningen
har åtkomst till.
Bestämmelserna i 6 § gäller inte	Bestämmelserna i 4 § gäller inte
heller vid sökning som utförs av	heller vid sökning som görs av
särskilt angivna tjänstemän och	särskilt angivna tjänstemän
som görs

486

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller

2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § rege-

1.när de utför beredningsupp- gifter i underrättelseverksamhet och arbetet befinner sig i ett inle- dande skede,

2.i syfte att i underrättelse- verksamhet bearbeta och analy- sera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som en- bart dessa tjänstemän har tillgång till, eller

3.i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

ringsformen		meddela föreskrifter									Prop. 2017/18:269
om	under	vilka förutsättningar									Bilaga 2
sökning får äga rum med stöd av
första och andra styckena. Rege-
ringen kan med stöd av 8 kap. 7 §
regeringsformen				meddela			före-
skrifter om		ytterligare			undantag
från 6 §.
							6 §
Polismyndigheten,					Säkerhets-			Polismyndigheten,		Säkerhets-
polisen,		Ekobrottsmyndigheten,						polisen,	Ekobrottsmyndigheten,
Åklagarmyndigheten,					Tullverket			Åklagarmyndigheten,		Tullverket
och	Kustbevakningen får					medges		och Kustbevakningen får för något
direktåtkomst		till		personuppgifter i				av de syften som anges i 1 kap. 2 §
Skatteverkets				brottsbekämpande				brottsdatalagen		(2018:000)
verksamhet.		Direktåtkomsten					får	medges	direktåtkomst		till
endast avse		personuppgifter					som	personuppgifter som		har	gjorts
har gjorts gemensamt tillgängliga.								gemensamt	tillgängliga	med stöd
								av 2 §.
En myndighet som har medgetts
direktåtkomst			ansvarar		för		att
tillgången		till		personuppgifter
begränsas till vad varje tjänsteman
behöver för att kunna fullgöra sina
arbetsuppgifter.
Regeringen eller den myndighet
som	regeringen			bestämmer			kan
med	stöd av		8 kap.		7 §	rege-
ringsformen			meddela		närmare
föreskrifter		om		omfattningen av
direktåtkomsten samt om behö-
righet och säkerhet.

Föreskrifter

7 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 4 §.

8§

Regeringen eller den myndighet

som regeringen bestämmer kan med stöd av 8 kap. 7 § rege- ringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses

487

Prop. 2017/18:269 Bilaga 2

4 kap. Bevarande och gallring av personuppgifter

i 4 §,

2.under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3.omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som person- uppgifter får behandlas

Generella bestämmelser

Allmän bestämmelse

1 §

Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1.3 § om uppgifter som inte har gjorts gemensamt tillgängliga,

2.4–6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och

3.8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

Detta kapitel gäller bara för automatiserad behandling.

488

2 §
Personuppgifter som behandlas	Trots det som sägs i 2 kap. 17 §
automatiserat och som inte har	andra	stycket		brottsdatalagen
gjorts gemensamt tillgängliga ska,	(2018:000)		får	personuppgifter
om de behandlas i ett ärende,	som inte har gjorts gemensamt
gallras senast ett år efter det att	tillgängliga		inte	behandlas	längre
ärendet avslutades. Om de inte kan	än
hänföras till ett ärende, ska	1. ett	år	efter	det att	ärendet
uppgifterna gallras senast ett år	avslutades, om de behandlas i ett
efter det att de behandlades	ärende, eller
automatiserat första gången.	2. ett år efter det att de be-
	handlades		automatiserat		första
	gången, om de inte kan hänföras
	till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av brott.

3 §

Prop. 2017/18:269

brottsanmälan

avskrivs

en brottsanmälan avskrivs

Bilaga 2

på grund av att den påstådda

gärningen inte utgör brott, får

personuppgifterna

anmälan

inte

personuppgifterna i

anmälan

inte

längre

behandlas

Skatteverkets

längre behandlas för ändamål inom

brottsbekämpande verksamhet. Om

denna

lags

tillämpningsområde.

en brottsanmälan i annat fall inte

Om en brottsanmälan i annat fall

har lett till förundersökning eller

inte har lett till förundersökning

annan

motsvarande

utredning, får

eller annan motsvarande utredning,

personuppgifterna inte behandlas i

får

personuppgifterna

inte

Skatteverkets

brottsbekämpande

behandlas för ändamål inom denna

verksamhet när åtal inte längre får

lags tillämpningsområde när

åtal

väckas för brottet.

inte längre får väckas för brottet.

4 §

Om en förundersökning har lett

till åtal eller annan dom-

stolsprövning,

får

personupp-

stolsprövning,

får

personupp-

gifterna i

förundersökningen

inte

gifterna i förundersökningen

inte

behandlas

Skatteverkets

behandlas för ändamål inom denna

brottsbekämpande verksamhet när

lags tillämpningsområde längre än

det har förflutit fem år efter

fem år efter utgången av det

utgången av det kalenderår då

kalenderår

då

domstolens

domen, eller det beslut som med-

avgörande fick laga kraft.

delades med anledning av talan,

fick laga kraft.

Om en förundersökning har lagts

ned eller avslutats på annat sätt än

ner eller avslutats på annat sätt än

genom åtal, får personuppgifterna i

förundersökningen inte behandlas i

förundersökningen inte behandlas

Skatteverkets

brottsbekämpande

för ändamål inom denna lags

verksamhet när det har förflutit

tillämpningsområde längre än fem

fem år efter utgången av det

år efter utgången av det kalenderår

kalenderår

då

åklagarens

eller

då åklagarens eller förundersök-

förundersökningsledarens

beslut

ningsledarens beslut meddelades.

meddelades.

Första och andra styckena gäller även personuppgifter i andra

utredningar som

handläggs

enligt

bestämmelser i

23 kap. rätte-

gångsbalken.

6§

Trots det som sägs i 2 kap. 17 §

andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt till- gängliga med stöd av 3 kap. 2 § 1 eller 3 som längst behandlas under den tid som anges i 7 och 8 §§.

489

7 §

Personuppgifter som har gjorts gemensamt tillgängliga enligt

3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena.

Uppgifter som kan antas ha Personuppgifter som kan antas samband med sådan brottslig ha samband med sådan brottslig verksamhet som anges i 3 kap. verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter 2 § 1 får inte behandlas längre än utgången av det kalenderår då tre år efter utgången av det

registreringen avseende personen kalenderår då registreringen

gjordes. Uppgifter som kan antas avseende personen gjordes.

ha samband med brottslig Personuppgifter som kan antas ha verksamhet som innefattar brott för samband med brottslig verksamhet vilket är föreskrivet fängelse i två som innefattar brott för vilket är år eller däröver ska dock gallras föreskrivet fängelse i två år eller senast fem år efter utgången av det däröver får inte behandlas längre

kalenderår då registreringen än fem år efter utgången av det

gjordes. Om en ny registrering kalenderår då registreringen beträffande personen görs före gjordes. Om en ny registrering utgången av gallringsfristen, beträffande personens anknytning behöver de uppgifter som finns om till brottslig verksamhet görs före personen inte gallras så länge utgången av d, får de uppgifter någon av uppgifterna om honom som finns om personen fortsätta

eller henne får bevaras.att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslu- tades.

8 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behand- lades i avslutades.

Föreskrifter

9 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av per- 1. att vissa kategorier av per- sonuppgifter får bevaras i den sonuppgifter får fortsätta be- brottsbekämpande verksamheten handlas för ändamål inom denna

Prop. 2017/18:269 Bilaga 2

490

under längre tid än vad som anges i 5, 6 och 8 §§,

2. att	personuppgifter,	med
avvikelse	från 3 § första	stycket

och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och

3. digital arkivering.

lags	tillämpningsområde		under	Prop. 2017/18:269
längre tid än vad som anges i 3, 4,				Bilaga 2
7 och 8 §§,
2. att		personuppgifter,	med
avvikelse från 2 § första stycket, 7
och	8 §§,	får behandlas	under
längre tid för arkivändamål av
allmänt intresse och vetenskapliga,
statistiska eller historiska ändamål,
och

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpnings- område vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 3 § om särskild upplysning, eller

3.4 kap. 2–4, 7 eller 8 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

491

Prop. 2017/18:269 Bilaga 2

Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete1

Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §,

9 kap. 4 och 5 §§ och 10 kap. 1–3 §§ lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

				6 kap.
				1 §
Om inte annat följer av denna					Om inte annat följer av denna
lag	eller	föreskrifter		som	lag	eller	föreskrifter			som
regeringen har meddelat i an-					regeringen har meddelat i an-
slutning till lagen gäller					slutning till lagen gäller följande
					författningar för respektive myn-
					dighet för behandling av person-
					uppgifter vid internationellt poli-
					siärt samarbete
					– brottsdatalagen				(2018:000),
					och
– polisdatalagen			(2010:361)	för	– polisens			brottsdatalag
polisens behandling av per-					(2010:361),
sonuppgifter		vid	internationellt
polisiärt samarbete,
– kustbevakningsdatalagen					– Kustbevakningens				brottsda-
(2012:145)		för Kustbevakningens			talag (2012:145),
behandling av personuppgifter vid
internationellt polisiärt samarbete,
och
– tullbrottsdatalagen (2017:447)					– Tullverkets			brottsdatalag
för	Tullverkets		behandling	av	(2017:447), eller
personuppgifter vid internationellt
polisiärt samarbete.
					– Säkerhetspolisens					datalag
					(2018:000).

7 kap.

1 §

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler.

Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska

registren över dna-profiler.
Första och andra styckena gäller	Första och andra styckena gäller

1Observera att hänsyn inte har tagits till de förslag som lämnas i SOU 2017:29 s. 76.

492

endast de register över dna-profiler

Prop. 2017/18:269

som

regleras

polis-

som

regleras

polisens

Bilaga 2

datalagen (2010:361).

brottsdatalag (2010:361).

3 §

Vid samarbete enligt Prüm-

rådsbeslutet

får

ett

utländskt

rådsbeslutet

får

ett

utländskt

kontaktställe medges direktåtkomst

till

referensuppgifter

svenska

till

referensuppgifter

i svenska

fingeravtrycksregister

som

förs

fingeravtrycksregister

som

förs

med

stöd

polisdata-

med

stöd

polisens

lagen (2010:361).

brottsdatalag (2010:361).

4 §

I syfte att förebygga, förhindra

eller upptäcka brottslig verksamhet

eller utreda brott får det svenska

kontaktstället i enskilda fall genom

direktåtkomst söka uppgifter i en

annan stats fingeravtrycksregister.

annan

stats

fingeravtrycksregister.

Uppgifter får behandlas endast i

den utsträckning den andra staten

tillåter det och om behandlingen i

motsvarande fall hade varit tillåten

i svenska

fingeravtrycksregister

i svenska

fingeravtrycksregister

som

förs

med

stöd

som förs med stöd av polisens

polisdatalagen (2010:361).

brottsdatalag (2010:361).

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna

fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

7 §

Bestämmelserna

personupp-

Vid behandling av person-

giftslagen (1998:204)

rättelse

uppgifter enligt detta kapitel eller

och skadestånd gäller vid be-

enligt

föreskrifter

som

har

handling av personuppgifter enligt

meddelats i anslutning till kapitlet

detta

kapitel

eller

enligt

ska

bestämmelsen i

7 kap.

1 §

föreskrifter som har meddelats i

brottsdatalagen

(2018:000)

anslutning till kapitlet.

skadestånd

tillämpas

på

motsvarande sätt.

8kap. 3 §

Bestämmelserna		i	personupp-		Vid behandling av person-
giftslagen (1998:204)			om	rättelse	uppgifter enligt detta kapitel eller
och skadestånd gäller vid be-					enligt	föreskrifter		som	har
handling av personuppgifter enligt					meddelats i anslutning till kapitlet
detta	kapitel	eller		enligt	ska bestämmelsen i			7 kap.	1 §
föreskrifter som har meddelats i					brottsdatalagen		(2018:000)		om
anslutning till kapitlet.					skadestånd		tillämpas		på
					motsvarande sätt.				493

Prop. 2017/18:269 Bilaga 2

494

9kap. 4 §

Detta är dock tillåtet i brådskande fall om

1.de villkor för sökning som anges i 1 § andra stycket är uppfyllda,

2.det är förenligt med svenska intressen att uppgifterna lämnas ut,

3.den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna			i	33 och	4. förutsättningarna		i 8 kap.	1 §
34 §§	personuppgiftslagen				brottsdatalagen (2018:000)			är
(1998:204) är uppfyllda.					uppfyllda.
				5 §
Bestämmelserna		i	personupp-		Vid behandling av person-
giftslagen (1998:204)			om	rättelse	uppgifter enligt detta kapitel eller
och skadestånd gäller vid be-					enligt	föreskrifter	som	har
handling av personuppgifter enligt					meddelats i anslutning till kapitlet
detta	kapitel	eller		enligt	ska bestämmelsen i		7 kap.	1 §
föreskrifter som har meddelats i					brottsdatalagen (2018:000)			om
anslutning till kapitlet.					skadestånd tillämpas på mot-
					svarande sätt.

10kap. 1 §


Vid samarbete enligt avtalet med						Vid samarbete enligt avtalet med
USA	får	ett	amerikanskt			USA	får	ett	amerikanskt
kontaktställe		trots	33 §	person-		kontaktställe medges direktåtkomst
uppgiftslagen (1998:204)				medges		till	referensuppgifter		i svenska
direktåtkomst till referensuppgifter						fingeravtrycksregister			som förs
i svenska		fingeravtrycksregister				med	stöd	av	polisens
som	förs	med	stöd		av	brottsdatalag (2010:361).

polisdatalagen (2010:361).

2 §

På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig

verksamhet som innefattar ett sådant brott.
Uppgifter		får behandlas		endast	Uppgifter får		behandlas		endast
om	behandlingen i		motsvarande		om	behandlingen i		motsvarande
fall hade varit tillåten i svenska					fall hade varit tillåten i svenska
fingeravtrycksregister			som	förs	fingeravtrycksregister			som	förs
med	stöd	av	polisdata-		med	stöd	av	polisens
lagen (2010:361).					brottsdatalag (2010:361).

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

				3 §
Bestämmelserna		i	personupp-		Vid behandling av person-
giftslagen (1998:204)			om	rättelse	uppgifter enligt detta kapitel eller
och skadestånd gäller vid be-					enligt	föreskrifter	som	har
handling av personuppgifter enligt					meddelats i anslutning till kapitlet
detta	kapitel	eller		enligt	ska bestämmelsen i		7 kap.	1 §
föreskrifter som har meddelats i					brottsdatalagen (2018:000)			om
anslutning till kapitlet.					skadestånd tillämpas på motsva-
					rande sätt.

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

Prop. 2017/18:269 Bilaga 2

495

Prop. 2017/18:269 Bilaga 3

Förteckning över remissinstanserna (SOU 2017:74)

Följande remissinstanser har kommit in med yttrande över SOU 2017:74 Brottsdatalag – kompletterande lagstiftning: Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Södertörns tingsrätt, Eskil- stuna tingsrätt, Helsingborgs tingsrätt, Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvalt- ningsrätten i Linköping, Justitiekanslern, Domstolsverket, Åklagar-

myndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säker- hetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Övervakningsnämnd Stockholm Centrum, Brottsförebyggande rådet, Brottsoffermyndigheten, Rättsmedicinalverket, Myndigheten för sam- hällsskydd och beredskap, Kustbevakningen, Migrationsverket, Datain- spektionen, Försvarsmakten, Försvarets radioanstalt, Försäkringskassan, Socialstyrelsen, Inspektionen för vård och omsorg, Statens institutions- styrelse, Pensionsmyndigheten, Tullverket, Finansinspektionen, Skatte- verket, Kronofogdemyndigheten, Arbetsgivarverket, Länsstyrelsen Skåne, Länsstyrelsen Värmland, Länsstyrelsen Västernorrland, Avesta kommun, Hallstahammars kommun, Kiruna kommun, Luleå kommun, Norrköpings kommun, Sala kommun, Stockholms kommun, Statskon- toret, Uppsala universitet, juridiska fakulteten, Umeå universitet, juri- diska institutionen, Naturvårdsverket, Havs- och vattenmyndigheten, Post- och telestyrelsen, Sjöfartsverket, Riksarkivet, Sveriges advokat- samfund, Svenska Journalistförbundet, Tidningsutgivarna, Data- skydd.net, Svenska Fotbollförbundet och Riksidrottsförbundet.

Följande remissinstanser har avstått från att yttra sig respektive inte hörts av: Länsstyrelsen Stockholm, Blekinge läns landsting, Stockholms läns landsting, Västerbottens läns landsting, Alingsås kommun, Borg- holms kommun, Danderyds kommun, Falu kommun, Göteborgs kom- mun, Helsingborgs kommun, Karlstads kommun, Laholms kommun, Lycksele kommun, Malmö kommun, Ronneby kommun, Sandvikens kommun, Sundsvalls kommun, Tierps kommun, Tranås kommun, Trelle- borgs kommun, Uppsala kommun, Värnamo kommun, Växjö kommun, Åmåls kommun, Örebro kommun, Östersunds kommun, Sveriges Aka- demikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Tjänstemännens centralorganisation (TCO), Svenskt Näringsliv, Sveriges Kommuner och Landsting (SKL), Sveriges Förenade Ordnings- vakter, IT&Telekomföretagen, Civil Rights Defenders och Svenska Ishockeyförbundet.

496

Sammanfattning av departementspromemorian En omarbetad domstolsdatalag – anpassning till EU:s dataskyddsförordning (Ds 2017:41)

Domstolsdatalagen (2015:728) omfattar för närvarande både sådan per- sonuppgiftsbehandling som kommer att omfattas av tillämpningsområdet för Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och sådan behandling som kommer att omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. För att anpassa domstolsdatalagen till det nya regelverket för personuppgiftsbehandling föreslås att lagen endast ska gälla för sådan behandling av personuppgifter som omfattas av förordningens tillämpningsområde.

I promemorian föreslås att domstolsdatalagens ändamålsbestämmelser ska kompletteras så att personuppgifter som behandlas eller har behand- lats med stöd av de författningar som genomför direktivet även ska få behandlas om det behövs för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål samt om det behövs för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning. Kompletteringarna har sin grund i att sådan behand- ling av personuppgifter omfattas av förordningen och inte av direktivet.

Prop. 2017/18:269 Bilaga 4

497

Prop. 2017/18:269	Promemorians lagförslag
Bilaga 5
	Förslag till lag om ändring i domstolsdatalagen
	(2015:728)
	Härigenom föreskrivs att 2, 3 och 7 §§ domstolsdatalagen (2015:728)
	ska ha följande lydelse.
	Nuvarande lydelse					Föreslagen lydelse
					2 §
	Denna lag gäller vid behandling					Om inte annat anges i 3 §, gäller
	av personuppgifter i de allmänna					denna lag vid behandling av
	domstolarnas, de allmänna förvalt-					personuppgifter i		de	allmänna
	ningsdomstolarnas och hyres- och					domstolarnas, de allmänna förvalt-
	arrendenämndernas			rättskipande		ningsdomstolarnas och hyres- och
	och rättsvårdande			verksamhet.		arrendenämndernas		rättskipande
	Lagen gäller också när personupp-					och rättsvårdande		verksamhet.
	gifterna vidarebehandlas				i den	Lagen gäller också när personupp-
	administrativa verksamheten för att					gifterna	vidarebehandlas i			den
	lämnas ut efter begäran.					administrativa verksamheten för att
						lämnas ut efter begäran.
	Lagen gäller endast om behandlingen är helt eller delvis automatiserad
	eller om personuppgifterna ingår i eller är avsedda att ingå i en struk-
	turerad samling av personuppgifter som är tillgängliga för sökning eller
	sammanställning enligt särskilda kriterier.
					3 §1
	De avvikande bestämmelser som					Denna lag gäller inte vid be-
	finns i lagen (2013:329) med vissa					handling av personuppgifter i de
	bestämmelser om skydd för perso-					allmänna	domstolarnas		och	de
	nuppgifter vid polissamarbete och					allmänna	förvaltningsdomstolarnas
	straffrättsligt		samarbete		inom	verksamhet som omfattas av brotts-
	Europeiska unionen eller i före-					datalagens (2018:xx)		tillämpnings-
	skrifter som regeringen har med-					område.
	delat i anslutning till den lagen,
	ska tillämpas i stället för bestäm-
	melserna i denna lag. Detsamma
	gäller i fråga om Europapar-
	lamentets	och	rådets	förordning
	(EU) nr 655/2014 av den 15 maj
	2014 om inrättande av ett euro-
	peiskt förfarande för kvarstad på
	bankmedel	för att		underlätta
	gränsöverskridande			skuldindriv-
	ning i mål och ärenden av privat-

1 Senaste lydelse 2016:759.

498

Personuppgifter som behandlas eller har behandlats enligt 6 § får även behandlas om det behövs

1. för att fullgöra uppgiftsläm- nande som sker i överensstäm- melse med lag eller förordning, eller

2. för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller sta- tistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679.

Personuppgifter får även be- handlas för de ändamål som fram- går av första stycket när de be- handlas eller har behandlats med stöd av brottsdatalagen (2018:xx) eller [namnet på den register- författning som kompletterar brottsdatalagen för domstolarnas verksamhet] (2018:xx).

rättslig natur.

7 §

Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra upp- giftslämnande som sker i överens- stämmelse med lag eller förord- ning.

1.Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 5 a §§ och i övrigt den 25 maj 2018.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna.

Prop. 2017/18:269 Bilaga 5

499

Prop. 2017/18:269 Bilaga 6

Förteckning över remissinstanserna (Ds 2017:41)

Efter remiss har yttranden över promemorian En omarbetad domstols- datalag – anpassning till EU:s dataskyddsförordning (Ds 2017:41) in- kommit från Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Nacka tingsrätt (mark- och miljödomstolen), Södertörns tings- rätt, Växjö tingsrätt (mark- och miljödomstolen), Helsingborgs tingsrätt, Vänersborgs tingsrätt (mark- och miljödomstolen), Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrät- ten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönkö- ping, Förvaltningsrätten i Linköping, Justitiekanslern, Hyresnämnden i Stockholm, Hyres- och arrendenämnden i Sundsvall, Myndigheten för samhällsskydd och beredskap, Domstolsverket, Migrationsverket, Data- inspektionen, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Stockholms universitet (Juri- diska fakultetsnämnden), Naturvårdsverket, Havs- och vattenmyndighe- ten, Lantmäteriet, Sveriges advokatsamfund och Sveriges Kommuner och Landsting.

Yttranden har även inkommit från Sundsvalls tingsrätt och Data- skydd.net.

Norrköpings tingsrätt och Uppsala universitet (Juridiska fakultets- nämnden) har avstått från att yttra sig.

Svar har inte inkommit från Svensk Vattenkraftförening, Svenskt Näringsliv och Sveriges Energiföreningars Riksorganisation.

500

Lagrådsremissens lagförslag

Förslag till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar person- uppgifter:

2.allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påfölj- der.

Personuppgiftsansvar

2 § En domstol är personuppgiftsansvarig för den behandling av per- sonuppgifter som den utför.

Rättsliga grunder

3 § Personuppgifter får behandlas om det är nödvändigt för hand- läggning av mål och ärenden om

1.utredning av eller lagföring för brott,

2.verkställighet av häktning eller ändring eller verkställighet av straff- rättsliga påföljder, eller

3.upprätthållande av allmän ordning och säkerhet.

Uppgiften att handlägga mål och ärenden ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstolen att utföra uppgiften.

Behandling för nya ändamål

4 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Behandling av personnummer

Prop. 2017/18:269 Bilaga 7

501

Prop. 2017/18:269 Bilaga 7

Sökbegränsningar

Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Förbudet gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende.

7 § Förbudet i 6 § första stycket gäller inte användning i allmän förvalt- ningsdomstol av sökbegrepp som avslöjar hälsa.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

10 § Direktåtkomst får endast medges

1.en allmän domstol,

2.en allmän förvaltningsdomstol, eller

3.en part eller partens ombud, biträde eller försvarare.

Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende.

Personuppgifter i avgjorda mål och ärenden

502

Administrativa sanktionsavgifter

12 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

–3 § om rättsliga grunder för behandling av personuppgifter, eller

–6 § första stycket om sökförbud.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas.

1.Denna lag träder i kraft den 1 januari 2019.

2.Domstolsdatalagen (2015:728) i lydelsen före den 25 maj 2018 gäl- ler fortfarande för överklagande av beslut som har meddelats före ikraft- trädandet.

3.En sanktionsavgift enligt 12 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

Prop. 2017/18:269 Bilaga 7

503

Kroppsbesiktning genom tagan- de av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna- analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt lagen (2010:361) om polisens behandling av personupp- gifter inom brottsdatalagens om- råde.

Prop. 2017/18:269	Förslag till lag om ändring i rättegångsbalken
Bilaga 7
	Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha
	följande lydelse.
	Nuvarande lydelse	Föreslagen lydelse

28 kap.

12 a §1

förs enligt polisdatalagen (2010:361).

12 b §2

Kroppsbesiktning genom tagande av salivprov får göras på annan än

den som skäligen kan misstänkas för ett brott, om
1. syftet är att genom en DNA-	1. syftet	är att genom en dna-
analys av provet underlätta identi-	analys av	provet underlätta iden-
fiering vid utredning av ett brott på	tifiering vid utredning av ett brott
vilket fängelse kan följa, och	på vilket fängelse kan följa, och

2.det finns synnerlig anledning att anta att det är av betydelse för ut- redningen av brottet.

Analysresultatet får inte jäm-	Analysresultatet får inte jäm-
föras med de DNA-profiler som	föras med de dna-profiler som
finns registrerade i register över	finns registrerade i register över
DNA-profiler som förs enligt polis-	dna-profiler som förs enligt lagen
datalagen (2010:361) eller i övrigt	(2010:361) om polisens behandling
användas för annat ändamål än det	av personuppgifter inom brotts-
för vilket provet har tagits.	datalagens område eller i övrigt
	användas för annat ändamål än det
	för vilket provet har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2010:363.

2Senaste lydelse 2010:363.

504

Förslag till lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 7

26 §1

Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminal-

åtkomst.
Polismyndigheten		och	Säker-	Polismyndigheten och	Säker-
hetspolisen får ta del av uppgifter				hetspolisen får ta del av uppgifter
genom terminalåtkomst			endast i	genom terminalåtkomst	endast i
den omfattning och under den tid				den omfattning och under den tid
som behövs för att kontrollera				som behövs för att kontrollera
aktuella transporter. Uppgifter som				aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas eller lagras av Polis-
myndigheten	eller	Säkerhets-
polisen.

Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska ome- delbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 2014:588.

505

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

								12 §1
Med	registerkontroll					avses		att	Med registerkontroll	avses att
uppgifter hämtas från ett register									uppgifter hämtas från ett register
som omfattas av lagen (1998:620)									som omfattas av lagen (1998:620)
om	belastningsregister,						lagen		om belastningsregister	eller lagen
(1998:621)			om	misstankeregister					(1998:621) om misstankeregister.
eller lagen (2010:362) om polisens									Med registerkontroll avses också
allmänna		spaningsregister.					Med		att uppgifter som behandlas med
registerkontroll				avses		också		att	stöd av lagen (2010:361) om
uppgifter		hämtas			som	behandlas			polisens behandling av personupp-
med	stöd		av		polisdatalagen				gifter inom brottsdatalagens om-
(2010:361).									råde hämtas.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019.

1Senaste lydelse 2010:365.

506

Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befo- genheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 7

Nuvarande lydelseFöreslagen lydelse

16 §1

Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter		Tullverket får ta del av uppgifter
genom	terminalåtkomst endast i	genom terminalåtkomst endast i
den omfattning och under den tid		den omfattning och under den tid
som behövs för att kontrollera		som behövs för att kontrollera
aktuella transporter. Tullverket får		aktuella transporter.
inte ändra eller på annat sätt be-
arbeta eller lagra uppgifter som
hålls tillgängliga på detta sätt.
Uppgifter om enskilda personer
som lämnats på annat sätt än
genom	terminalåtkomst, skall

omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.

Denna lag träder i kraft den 1 januari 2019.

1Senaste lydelse 1999:434.

507

Polismyndigheten får föra in uppgifter i registret endast om be- handling av motsvarande slag av uppgifter är tillåten enligt brotts-

datalagen (2018:000), lagen (2010:361) om polisens behandling av personuppgifter inom brotts- datalagens område eller någon annan författning.

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informa- tionssystem ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 §1

Registret ska endast innehålla uppgifter som har behandlats av behö- riga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2014:595.

508

Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs att 1 kap. 1 och 5 §§ lagen (2001:185) om be- handling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 1 §1

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling

av uppgifter om juridiska personer.
Bestämmelserna i denna lag gäl-	Bestämmelserna i denna lag gäl-
ler inte behandling av uppgifter i	ler inte vid behandling av person-
den brottsbekämpande verksamhet	uppgifter i den brottsbekämpande
som Tullverket bedriver. För så-	verksamhet som Tullverket be-
dan behandling finns det särskilda	driver.
bestämmelser i tullbrottsdatalagen
(2017:447).

Prop. 2017/18:269 Bilaga 7

Lydelse enligt prop. 2017/18:95

Föreslagen lydelse

5 §

Uppgifter som behandlas enligt 4 § får även behandlas för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för

a) fastställande av underlag för samt bestämmande, redovisning, betal- ning och återbetalning av skatter eller avgifter,

b) revision och annan analys- eller kontrollverksamhet,

c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och

d) utsökning och indrivning,

2. att	tillhandahålla information			2. att tillhandahålla information
som behövs i Tullverkets brottsbe-				som behövs i Tullverkets brottsbe-
kämpande		verksamhet	enligt	kämpande	verksamhet		enligt
2 kap.	5 §	tullbrottsdatalagen		2 kap. 1 §	lagen	(2017:447) om
(2017:447),				Tullverkets behandling av person-
				uppgifter	inom	brottsdatalagens
				område,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

1Senaste lydelse 2017:449.

509

Prop. 2017/18:269 Bilaga 7

510

4.andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samla- des in.

Denna lag träder i kraft den 1 januari 2019.

Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården1

dels att 1–16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 1, 2, 3–10 och 12 §§ ska utgå, dels att rubriken till lagen ska ha följande lydelse,

dels att det ska införas fyra nya kapitel, 1–4 kap., av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Lag om behandling av person-	Lag om kriminalvårdens behand-
uppgifter inom kriminalvården	ling av personuppgifter inom
	brottsdatalagens område

Prop. 2017/18:269 Bilaga 7

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

Personuppgiftsansvar

2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att en myn- dighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:

1.verkställa häktning eller straffrättsliga påföljder,

2.förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,

1Senaste lydelse av

2 a § 2013:337	13 § 2005:983	rubriken närmast före 2 § 2013:337
3 § 2005:983	14 § 2005:983	rubriken närmast före 12 § 2005:983
4 § 2005:983	15 § 2005:983
5 § 2008:577	16 § 2009:837
12 § 2005:983

511

Prop. 2017/18:269 Bilaga 7

3.biträda andra myndigheter när de fullgör uppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Känsliga personuppgifter

3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Utlämnande av personuppgifter

4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för

1.prövning och genomförande av överflyttning av straffverkställighet,

2.transitering och förvaring av en person som är frihetsberövad för ut- redning av eller lagföring för brott eller straffverkställighet, eller

3.tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet.

Längsta tid som personuppgifter får behandlas

5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behand- las längre än tio år efter det att den senaste påföljden eller åtgärden av- seende den registrerade helt har verkställts eller upphört.

I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säker- hetsregistret får behandlas.

Rätt att meddela föreskrifter

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.vilka personuppgifter som får behandlas enligt 1 §,

2.utlämnande av personuppgifter i andra fall än som anges i 4 §,

3.frågor som rör elektroniskt utlämnande genom direktåtkomst,

4.längsta tid som personuppgifter får behandlas, och

5.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §.

512

3 kap. Säkerhetsregistret	Prop. 2017/18:269
Rätten att föra register	Bilaga 7
Rätten att föra register

1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att

1.förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straff- verkställighet, och

2.säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.

Säkerhetsregistrets innehåll

2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning.

I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon

2.förbereder rymning eller försöker rymma,

3.blir föremål för fritagning,

4.bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller

5.under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot.

Sökning

513

Prop. 2017/18:269 Bilaga 7

Direktåtkomst

6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i säkerhetsregistret.

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att

1.den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan på- följd, har frigetts från häkte,

2.den registrerade helt har verkställt en sådan påföljd som avses i 3 §,

eller

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om inne- hållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret.

4 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 4 § om särskild upplysning, eller

3.2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

514

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får över- klagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.En sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträd- elser som har skett efter ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

4.Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personupp- gifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.

Prop. 2017/18:269 Bilaga 7

515

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	8 a §1
En polisman eller annan anställd		En polisman eller annan anställd
vid Polismyndigheten får fotogra-		vid Polismyndigheten får fotogra-
fera en person som har eller skäli-		fera en person som har eller skäli-
gen kan antas få tillträdesförbud		gen kan antas få tillträdesförbud
enligt denna lag i syfte att fotogra-		enligt denna lag i syfte att fotogra-
fiet ska kunna tillföras det register		fiet ska kunna tillföras det register
som Polismyndigheten får föra		som Polismyndigheten får föra
enligt lagen (2015:51) om register		enligt 5 kap. lagen (2010:361) om
över tillträdesförbud vid idrotts-		polisens behandling av personupp-
arrangemang.		gifter inom brottsdatalagens om-
		råde.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2015:55.

516

Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 7

1 §1

verksamhet.
Nämnden ska även utöva tillsyn					Nämnden ska även utöva tillsyn
över den behandling av person-					över den behandling av person-
uppgifter	enligt polisdatalagen				uppgifter som utförs av Polismyn-
(2010:361)	och	lagen	(2010:362)		digheten, Säkerhetspolisen		och
om polisens allmänna spanings-					Ekobrottsmyndigheten		enligt
register som utförs av Polismyn-					brottsdatalagen	(2018:000)	och
digheten,	Säkerhetspolisen			och	lagen (2010:361) om polisens be-
Ekobrottsmyndigheten.			När	det	handling av personuppgifter inom
gäller Säkerhetspolisen ska tillsy-					brottsdatalagens	område för de
nen även avse behandling enligt					syften som anges i 1 kap. 1 § i den
polisdatalagen (1998:622). Tillsy-					sistnämnda lagen. Tillsynen ska
nen ska särskilt avse sådan behand-					särskilt avse sådan behandling som
ling som avses i 2 kap. 10 § polis-					avses i 2 kap. 11 § brottsdatalagen
datalagen (2010:361)			och	5 §	(2018:000).
polisdatalagen		(1998:622)		samt

12 § lagen om polisens allmänna spaningsregister.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författ-

ning.
	3 §
Nämnden är skyldig att på begä-		Nämnden är skyldig att på begä-
ran av en enskild kontrollera om		ran av en enskild kontrollera om
han eller hon har utsatts för sådana		han eller hon
tvångsmedel eller varit föremål för		1. har utsatts för sådana tvångs-
sådan personuppgiftsbehandling		medel som avses i 1 § och om
som avses i 1 § och om använd-		användningen av dem och verk-
ningen av tvångsmedel och därmed		samhet som hänger samman med
sammanhängande	verksamhet	dem har varit i enlighet med lag
eller behandlingen av personupp-		eller annan författning, eller
gifter har skett i enlighet med lag		2. varit föremål för sådan per-

1Senaste lydelse 2014:652.

517

Prop. 2017/18:269	eller annan författning. Nämnden
Bilaga 7	skall underrätta den enskilde om
	att kontrollen har utförts.

sonuppgiftsbehandling som avses i 1 § och om den har utförts i en- lighet med lag eller annan för- fattning.

Nämnden ska underrätta den en- skilde om att kontrollen har ut- förts.

Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.

		4 §
Nämnden har rätt att av för-			Nämnden har rätt att av för-
valtningsmyndigheter	som	om-	valtningsmyndigheter	som	om-
fattas av tillsynen få de uppgifter			fattas av tillsynen få de uppgifter
och det biträde som nämnden be-			och upplysningar, den information
gär. Även domstolar samt de för-			och det biträde som nämnden be-
valtningsmyndigheter	som	inte	gär. Även domstolar och de för-
omfattas av tillsynen är skyldiga			valtningsmyndigheter	som	inte
att lämna nämnden de uppgifter			omfattas av tillsynen är skyldiga
som den begär.			att lämna nämnden de uppgifter
			som den begär.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell

säkerhet med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019 eller polisdatalagen (1998:622).

518

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 7

Nuvarande lydelse

Föreslagen lydelse

18kap. 2 §1

Sekretess gäller för uppgift som				Sekretess gäller för uppgift som
hänför sig till sådan verksamhet				hänför sig till sådan verksamhet
som avses		i	2 kap. 7 § 1 eller	som	avses		i 2 kap.		1 § första
6 kap.	1 § 1		polisdatalagen	stycket 1		lagen		(2010:361) om
(2010:361), om det inte står klart				polisens behandling av personupp-
att uppgiften kan röjas utan att				gifter inom brottsdatalagens om-
syftet med beslutade eller förut-				råde, om det inte står klart att upp-
sedda åtgärder motverkas eller den				giften kan röjas utan att syftet med
framtida verksamheten skadas.				beslutade eller förutsedda åtgärder
				motverkas eller den framtida verk-
				samheten skadas.
Sekretess gäller, under mot-				Sekretess gäller, under mot-
svarande förutsättningar som anges				svarande förutsättningar som anges
i första stycket, för uppgift som				i första stycket, för uppgift som
hänför sig till				hänför sig till sådan verksamhet
				som avses i
1. sådan verksamhet som avses i				1. 2 kap.			1 §	första	stycket 1
2 kap.	5 § 1	skattebrottsdatalagen		lagen (2012:145) om Kustbevak-
(2017:452),				ningens behandling av person-
				uppgifter		inom		brottsdatalagens
				område,
2. sådan verksamhet som avses i				2. 2 kap.			1 §	första	stycket 1
2 kap.	5 § 1		tullbrottsdatalagen	lagen	(2017:447)			om Tullverkets
(2017:447), eller				behandling			av	personuppgifter
				inom	brottsdatalagens				område,
				eller
3. sådan verksamhet som avses i				3. 2 kap.			1 §	första	stycket 1
3 kap.	2 § 1		kustbevaknings-	lagen (2017:452) om Skatteverkets
datalagen (2012:145).				behandling			av	personuppgifter
				inom brottsdatalagens område.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän hand- ling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

1Senaste lydelse 2017:456.

519

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som före- skrivs i lagen (2000:344) om Schengens informationssystem och lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område.

Prop. 2017/18:269 Bilaga 7

18 §2

Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som före- skrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).

35 kap.

1 §3

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild person- utredning enligt säkerhetsskyddslagen (1996:627),

5. register	som	förs	av	Polis-	5. register		som	förs		av	Polis-
myndigheten	enligt 4 kap.			polis-	myndigheten		enligt		5 kap.		lagen
datalagen (2010:361)			eller	som	(2010:361) om polisens behandling
annars behandlas med stöd av de					av personuppgifter inom brotts-
bestämmelserna		eller	uppgifter		datalagens		område			eller	som
som behandlas av Säkerhetspolisen					annars behandlas med stöd av de
med stöd av 6 kap. samma lag,					bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register	som	förs	av	Skat-	7. register		som	förs		av	Skat-
teverket enligt		skattebrottsdata-			teverket	enligt lagen				(2017:452)
lagen (2017:452) eller som				annars	om Skatteverkets			behandling av
behandlas där med stöd av samma					personuppgifter inom					brottsdata-
lag,					lagens	område eller			som annars
					behandlas där med stöd av samma
					lag,
8. särskilt	ärenderegister			över	8. särskilt		ärenderegister				över
brottmål som förs av åklagar-					brottmål som förs av åklagar-
myndighet,	om	uppgiften		inte	myndighet,		om	uppgiften			inte
hänför sig till registrering som					hänför sig till registrering som
avses i 5 kap. 1 §,					avses i 5 kap. 1 §, eller
9. register som förs av Tullverket					9. register som förs av Tullverket
enligt	tullbrottsdatalagen				enligt lagen		(2017:447) om				Tull-

2Senaste lydelse 2010:369.

3Senaste lydelse 2017:1076.

520

(2017:447) eller som annars be- verkets behandling av personupp- handlas där med stöd av samma gifter inom brottsdatalagens om-

lag, ellerråde eller som annars behandlas där med stöd av samma lag.

10.register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

	4 a §4
Sekretess gäller	i verksamhet	Sekretess gäller i verksamhet
som avser förande av register		som avser förande av tillträdes-
enligt lagen (2015:51) om register		förbudsregistret enligt 5 kap. lagen
över tillträdesförbud vid idrotts-		(2010:361) om polisens behandling
arrangemang för uppgift om en		av personuppgifter inom brotts-
enskilds personliga	förhållanden,	datalagens område för uppgift om
om det inte står klart att uppgiften		en enskilds personliga förhållan-
kan röjas utan att den enskilde eller		den, om det inte står klart att upp-
någon närstående till denne lider		giften kan röjas utan att den en-
men.		skilde eller någon närstående till
		honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

10 §5

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med sär- skilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som	2. till en enskild enligt vad som
föreskrivs i säkerhetsskyddslagen	föreskrivs	i	säkerhetsskyddslagen
(1996:627) samt i förordning som	(1996:627) och i förordning som
har meddelats med stöd i den lagen,	har meddelats med stöd i den
	lagen,
	3. till en enskild enligt vad som
	föreskrivs	i	27 kap. 8 § rätte-
	gångsbalken,
3. enligt vad som föreskrivs i	4. enligt vad som föreskrivs i

–lagen (1998:621) om misstankeregister,

4Senaste lydelse 2015:53.

5Senaste lydelse 2017:456.

Prop. 2017/18:269 Bilaga 7

521

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens infor-

mationssystem och lagen (2010:361) om polisens behandling av personuppgifter inom brotts- datalagens område.

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § lagen (2010:361) om polisens behand- ling av personuppgifter inom brottsdatalagens område.

Prop. 2017/18:269	– polisdatalagen (2010:361),	– lagen (2010:361) om polisens
Bilaga 7		behandling av		personuppgifter
		inom brottsdatalagens område,
	– skattebrottsdatalagen	– lagen (2012:145) om Kustbe-
	(2017:452),	vakningens behandling av person-
		uppgifter	inom	brottsdatalagens
		område,
	– tullbrottsdatalagen	– lagen (2015:433) om åklagar-
	(2017:447),	väsendets behandling av person-
		uppgifter	inom	brottsdatalagens
		område,
	– kustbevakningsdatalagen	– lagen (2017:447) om Tullver-
	(2012:145),	kets behandling av personuppgifter
		inom brottsdatalagens område,
	– åklagardatalagen (2015:433),	– lagen	(2017:452) om Skatte-
		verkets behandling av personupp-
		gifter inom brottsdatalagens om-
		råde, eller

–förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångs- balken.

–förordningar som har stöd i dessa lagar.

10 b §6

Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över till- trädesförbud vid idrottsarrange- mang.

37 kap.

7 §7

Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens infor- mationssystem och polisdata- lagen (2010:361).

6Senaste lydelse 2015:53.

7Senaste lydelse 2010:369.

522

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för sådan verksamhet som avses

i6 kap. 1 § 1 polisdatalagen (2010:361) i lydelsen före den 1 januari 2019.

3.Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen i lydelsen före den 1 januari 2019.

4.Äldre föreskrifter gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.

Prop. 2017/18:269 Bilaga 7

523

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i polisdatalagen (2010:361)

Härigenom föreskrivs i fråga om polisdatalagen (2010:361)1

dels att 1 kap., 2 kap., 3 kap. 5 och 9–15 §§, 4 kap., 5 kap. 4–6 §§ och

6 kap. ska upphöra att gälla,

dels att rubrikerna närmast före 3 kap. 8, 9 och 14 §§ och 5 kap. 4 och

5 §§ ska utgå,

dels att nuvarande 3 kap. 6–8 §§, 5 kap. 1–3 och 7–9 §§ ska betecknas

3 kap. 5–7 §§, och 6 kap. 1–3, 6, 7 och 9 §§,

dels att rubriken till lagen samt 3 kap. 1–4 §§, de nya 3 kap. 5–7 §§, de nya 6 kap. 3, 6, 7 och 9 §§ och rubriken närmast före den nya 6 kap. 6 § ska ha följande lydelse,

dels att rubrikerna närmast före nuvarande 3 kap. 8 § och 5 kap. 1, 6 och 8 §§ ska sättas närmast före de nya 3 kap. 7 § respektive 6 kap. 1, 6 och 7 §§,

dels att det ska införas fem nya kapitel, 1, 2, 4, 5 och 7 kap., sex nya paragrafer, 3 kap. 8 och 9 §§ och 6 kap. 4, 5, 8 och 10 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 8 §, 6 kap. 4 och 9 §§ nya rubriker av följande lydelse.

1 Senaste lydelse av	5 kap. 1 § 2015:436
1 kap. 2 § 2015:436	5 kap. 2 § 2015:436
1 kap. 3 § 2015:57	5 kap. 3 § 2015:436
1 kap. 4 § 2017:500	5 kap. 4 § 2015:436
1 kap. 5 § 2014:597	5 kap. 5 § 2015:436
1 kap. 6 § 2015:436	5 kap. 6 § 2015:436
1 kap. 7 § 2015:436	6 kap. 1 § 2015:436
2 kap. 4 § 2014:597	6 kap. 2 § 2015:436
2 kap. 5 § 2014:597	6 kap. 3 § 2015:436
2 kap. 8 § 2016:29	6 kap. 4 § 2015:436
2 kap. 9 § 2014:597	6 kap. 5 § 2015:436
2 kap. 12 § 2015:436	6 kap. 6 § 2015:436
2 kap. 16 § 2014:597	6 kap. 7 § 2015:436
2 kap. 18 § 2016:29	6 kap. 8 § 2015:436
2 kap. 21 § 2018:50	6 kap. 9 § 2015:436
4 kap. 1 § 2014:597	6 kap. 10 § 2015:436
4 kap. 7 § 2014:409	6 kap. 11 § 2015:436
4 kap. 10 § 2014:597	6 kap. 11 a § 2018:50
4 kap. 11 § 2014:597	6 kap. 11 b § 2018:50
4 kap. 12 § 2014:597	6 kap. 12 § 2015:436
4 kap. 12 a § 2014:597	6 kap. 13 § 2015:436
4 kap. 13 § 2014:597	6 kap. 14 § 2015:436
4 kap. 14 § 2014:597	rubriken närmast före 1 kap. 6 § 2014:597
4 kap. 15 § 2014:597	rubriken närmast före 1 kap. 7 § 2014:597
4 kap. 16 § 2014:597	rubriken närmast före 4 kap. 10 § 2014:597
4 kap. 17 § 2014:597	rubriken närmast före 6 kap. 11 a §
4 kap. 18 § 2014:597	2014:597.
4 kap. 19 § 2014:597
4 kap. 21 § 2014:597

524

Nuvarande lydelse	Föreslagen lydelse
Polisdatalag	Lag om polisens behandling av
	personuppgifter inom brottsdata-
	lagens område

Prop. 2017/18:269 Bilaga 7

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter:

1.Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,

2.Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet,

3.Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgif- terna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.

För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och

7 kap.

2 § Denna lag gäller inte vid behandling av personuppgifter enligt

1.vapenlagen (1996:67),

2.lagen (1998:620) om belastningsregister,

3.lagen (1998:621) om misstankeregister,

4.lagen (2000:344) om Schengens informationssystem,

5.lagen (2006:444) om passagerarregister, eller

6.lagen (2014:400) om Polismyndighetens elimineringsdatabas.

Personuppgiftsansvar

4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, för- hindra eller upptäcka brottslig verksamhet.

Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott.

Säkerhetspolisen är personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför.

525

Prop. 2017/18:269 Bilaga 7

Uttryck i lagen

5 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxyri- bonukleinsyra i humant material,

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och

fingeravtryck: avtryck av finger eller hand.

Behandling av uppgifter om juridiska personer

6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.4 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter,

4.4 kap. 1–4 och 6–10 §§ om längsta tid som personuppgifter får be- handlas,

5.5 kap. 18–20 §§ om behandling av personuppgifter i penning- tvättsregister, och

6.5 kap. 21 och 22 §§ om behandling av personuppgifter i det interna- tionella registret.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

Lagens uppbyggnad

7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om be- handling av personuppgifter och i 4 kap. bestämmelser om längsta tid för behandling av personuppgifter. I 7 kap. finns bestämmelser om administ- rativa sanktionsavgifter och rättsmedel.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

I 6 kap. finns bestämmelser om Polismyndighetens behandling av per- sonuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap.

526

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att en myn- dighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §.

Känsliga personuppgifter

4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen får personuppgifter läm- nas ut till

1.Interpol,

2.Europol, eller

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Prop. 2017/18:269 Bilaga 7

527

Prop. 2017/18:269 Bilaga 7

Personuppgifter får lämnas ut endast om mottagaren behöver uppgif- terna för något av de syften som anges i 1 §.

1kap. 2 § brottsdatalagen (2018:000).

Första stycket gäller inte uppgifter som behandlas i särskilda register

enligt 5 kap.

9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den motta- gande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signa- lementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdata- lagen (2018:000). Migrationsverket har motsvarande rätt att ta del av per- sonuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där.

12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§.

528

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

Personuppgifter från transportföretag

13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1 och 2.

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).

14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får person- uppgifterna inte ändras eller bearbetas på annat sätt.

Rätt att meddela föreskrifter

15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§,

och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verk- samhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt till- gängliga.

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 9 §.

2 §2

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar	brott	för vilket	är	a) innefattar brott för vilket	det
föreskrivet fängelse i ett år eller				är föreskrivet fängelse i ett år eller
däröver, eller				mer, eller
b) sker systematiskt.
2. Uppgifter	som	behövs	för	2. Uppgifter som behövs	för

Prop. 2017/18:269 Bilaga 7

2Senaste lydelse 2014:597.

529

Prop. 2017/18:269 Bilaga 7

530

övervakningen av en person, om	övervakningen av en person som
han eller hon
a) kan antas komma att begå	a) kan antas komma att begå
brott för vilket är föreskrivet fäng-	brott för vilket det är föreskrivet
else i två år eller däröver, och	fängelse i två år eller mer, och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3. Uppgifter som förekommer i	3. Uppgifter som	förekommer	i
ett ärende om utredning eller beiv-	ett ärende om utredning av eller
rande av brott.	lagföring för brott.
4. Uppgifter som behövs för att	4. Uppgifter som	förekommer	i
fullgöra vad som följer av interna-	ett ärende om kontaktförbud eller
tionella åtaganden, om det krävs	om personskydd.
för att den aktuella förpliktelsen
ska kunna fullgöras.

5.Uppgifter som har rapporterats till Polismyndighetens led- ningscentraler.

6.Uppgifter som behandlas i syfte att upprätthålla allmän ord- ning och säkerhet.

7.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

DNA-profiler får inte göras	Dna-profiler får inte göras
gemensamt tillgängliga. Att sådana	gemensamt tillgängliga. Att sådana
uppgifter får behandlas i särskilda	uppgifter får behandlas i särskilda
register följer av 4 kap.	register följer av 5 kap.

				3 §
Vid behandling enligt 1 § ska det					Det ska framgå genom en sär-
genom en särskild upplysning eller					skild upplysning eller på något
på något annat sätt framgå för					annat sätt om personuppgifter har
vilket närmare ändamål per-					gjorts gemensamt tillgängliga med
sonuppgifterna		behandlas.		Har	stöd av 2 § första stycket 2 eller 5.
uppgifterna	gjorts		gemensamt
tillgängliga med stöd av 2 § första
stycket 2 eller 5, ska detta särskilt
framgå.
				4 §
Om uppgifter, som behandlas					Om uppgifter som har gjorts
enligt 1 §, direkt kan hänföras till					gemensamt tillgängliga direkt kan
en person som inte är misstänkt för					hänföras till en person som inte är
brott eller	för	att ha	utövat	eller	misstänkt för att ha utövat eller

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. är anmäld såsom försvunnen,

10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

11. är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer medde- lar föreskrifter om begränsning av

Vid sökning i automatiserade behandlingssystem på namn, per- sonnummer, samordningsnummer eller andra liknande identitetsbe- teckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är miss- tänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgifts- lämnarens trovärdighet och uppgif- ternas riktighet i sak, om inte detta på grund av särskilda omständig- heter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

komma att utöva sådan brottslig Prop. 2017/18:269 verksamhet som avses i 2 § första Bilaga 7

stycket 1, ska det genom en sär- skild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas rik- tighet i sak, om det inte på grund av omständigheterna är onödigt.

5 §

Vid sökning på namn, person-

nummer, samordningsnummer eller andra liknande identitetsbe- teckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.berörs av ett kontaktförbud eller av åtgärder i ett personskydds-

ärende,

8. förekommer i ett ärende som vittne eller någon annan som läm- nar eller har lämnat uppgifter eller yttrande,

9. har gett in eller tillhandahållits en handling,

10. är anmäld som försvunnen,

11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller

12. är efterlyst.

531

Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1. när de utför beredningsupp- gifter i underrättelseverksamhet och arbetet befinner sig i ett inle- dande skede,

2. i syfte att i underrättelse- verksamhet bearbeta och analy- sera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till,

3. i syfte att utreda brott för vil- ket det är föreskrivet fängelse i fyra år eller mer, eller

4. i syfte att samordna utred- ningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer.

Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänste- man vid någon av Polis- myndighetens ledningscentraler ut- för på begäran av en polisman som verkställer ett ingripande eller vid- tar en åtgärd som rör en enskild.

Prop. 2017/18:269 Bilaga 7

532

tillgången till sådana uppgifter som avses i första stycket.

6 §

Bestämmelserna i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa krimi- nella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1.för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2.för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer medde- lar närmare föreskrifter om under

vilka

förutsättningar sökning

får

Prop. 2017/18:269

äga rum med stöd av första och

Bilaga 7

andra styckena.

Regeringen meddelar föreskrifter

om ytterligare undantag från 6 §.

7 §3

Säkerhetspolisen, Ekobrottsmyn-

Polismyndigheten,

Säkerhets-

digheten,

Åklagarmyndigheten,

polisen,

Ekobrottsmyndigheten,

Tullverket,

Kustbevakningen

och

Åklagarmyndigheten,

Tullverket,

Skatteverket får medges direktåt-

Kustbevakningen

och

Skatteverket

komst till personuppgifter i poli-

får för något av de syften som

sens

brottsbekämpande

verksam-

anges i 1 kap. 2 § brottsdatalagen

het. Direktåtkomsten får endast

(2018:000)

medges

direktåtkomst

avse

personuppgifter

som

har

till personuppgifter som har gjorts

gjorts gemensamt tillgängliga.

gemensamt

tillgängliga

med

stöd

av 2 §.

myndighet som

medgetts

direktåtkomst ansvarar för att till-

gången till personuppgifter be-

gränsas till vad varje tjänsteman

behöver för att kunna fullgöra sina

arbetsuppgifter.

Regeringen eller den myndighet

som regeringen bestämmer medde-

lar närmare föreskrifter om om-

fattningen av direktåtkomsten samt

om behörighet och säkerhet.

Rätt att meddela föreskrifter

8 §

Regeringen kan

med

stöd

8 kap.

7 §

regeringsformen med-

dela

föreskrifter

ytterligare

undantag från 5 §.

9§

Regeringen eller den myndighet

som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses

i5 §,

2.under vilka förutsättningar

3Senaste lydelse 2014:597.

533

Prop. 2017/18:269 Bilaga 7

sökning får utföras med stöd av 6 §, och

3.omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

I följande bestämmelser anges hur länge uppgifter som behandlas i sär- skilda register och i forensisk verksamhet får behandlas:

1.5 kap. 7 § om uppgifter i register över dna-profiler,

2.5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signale- mentsregister,

3.5 kap. 20 § om uppgifter i penningtvättsregister,

4.5 kap. 22 § om uppgifter i det internationella registret,

5.5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och

6.6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får sådana personuppgifter som inte har gjorts gemensamt tillgängliga och sådana personuppgifter som inte behandlas med stöd av 5 kap. inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifterna i förundersökningen inte behandlas för

534

ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som upp- gifterna behandlades i avslutades.

Prop. 2017/18:269 Bilaga 7

535

Prop. 2017/18:269 Bilaga 7

Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–10 §.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–10 §, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Register

Rätten att föra register

1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden, och

4.underlätta identifiering av avlidna personer.

I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen.

Dna-registret

2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som

1.genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller

2.har godkänt strafföreläggande som avser villkorlig dom.

3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får dna-registret innehålla uppgifter om vem ana- lysen avser, i vilket ärende profilen har tagits fram och brottskod.

536

Utredningsregistret

Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret.

Spårregistret

6 § Dna-profiler i spårregistret får jämföras med dna-profiler

1.som inte kan hänföras till en identifierbar person,

2.som finns i dna-registret, eller

3.som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är

nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt.

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i dna-registren som längst behandlas under den tid som anges i andra–fjärde styckena.

Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

Prover för dna-analys

8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för.

9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rät- tegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.

Prop. 2017/18:269 Bilaga 7

537

Prop. 2017/18:269 Bilaga 7

Direktåtkomst

Fingeravtrycks- och signalementsregister

Rätten att föra register

11 § Polismyndigheten får föra fingeravtrycks- och signalements- register i syfte att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.fullgöra förpliktelser som följer av internationella åtaganden,

4.underlätta identifiering av okända personer, och

5. kontrollera fingeravtryck som Migrationsverket har tagit enligt

9 kap. 8 § utlänningslagen (2005:716).

Innehåll i registren

12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som

1.är misstänkt eller dömd för brott och som har varit föremål för åt- gärd enligt 28 kap. 14 § rättegångsbalken, eller

2.har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll.

Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott.

	14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter
	om
	1. fingeravtryck,
	2. signalement,
	3. fotografi,
	4. videoupptagning,
538	5. identifieringsuppgifter,
538

6.ärendenummer, och

7.brottskod.

Längsta tid som personuppgifter får behandlas

15 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister.

16 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande bara behandlas så länge de behövs för det ändamålet.

Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen.

Direktåtkomst

17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.

Penningtvättsregister

Rätten att föra register

18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet

1.där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller

2.som innefattar finansiering av terrorism.

19 § I penningtvättsregister får personuppgifter behandlas som

1.kan antas ha samband med sådan brottslig verksamhet som avses i 18 §,

2.har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller

3.har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verk- samhet som avses i 18 §.

Prop. 2017/18:269 Bilaga 7

539

Prop. 2017/18:269 Bilaga 7

Längsta tid som personuppgifter får behandlas

20 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i penningtvättsregister inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registre- ringen avseende personens anknytning till brottslig verksamhet gjordes.

Det internationella registret

Rätten att föra register

Längsta tid som personuppgifter får behandlas

22 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i det internationella registret inte behand- las längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Tillträdesförbudsregistret

Rätten att föra register

Innehåll i registret

24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud:

1.namn,

2.personnummer eller samordningsnummer,

3.folkbokföringsadress och annan stadigvarande adress,

4.alias,

5.fotografi,

6.anknytning till idrott och idrottsorganisation,

7.omfattningen och giltighetstiden av beslut om tillträdesförbud, och

8.överträdelse av gällande tillträdesförbud.

540

Längsta tid som personuppgifter får behandlas

26 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i tillträdesförbudsregistret endast behandlas så länge tillträdesförbudet gäller.

Rätt att meddela föreskrifter

27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst,

2.tillgången till personuppgifter i penningtvättsregister och det inter- nationella registret, och

3.att personuppgifter i fingeravtrycks- och signalementsregister, pen- ningtvättsregister, det internationella registret och tillträdesförbudsregi- stret får behandlas för arkivändamål av allmänt intresse eller vetenskap- liga, statistiska eller historiska ändamål under längre tid än vad som an- ges i 15, 16, 20, 22 och 26 §§.

6kap. 3 §4


Personuppgifter som behandlas			Förutsättningarna för att be-
enligt 1 §	första stycket 2 eller 5		handla personuppgifter som be-
eller andra stycket 2 eller 2 § andra			handlas med stöd av 1 eller 2 § för
stycket får även behandlas när det			nya ändamål regleras i 2 kap. 4
är nödvändigt för att tillhandahålla			och	22 §§	brottsdatalagen
information som behövs i annan			(2018:000). Enbart personuppgif-
brottsbekämpande verksamhet hos			ter som behandlas enligt 1 § första
Polismyndigheten eller i brottsbe-			stycket 2 eller		5 eller andra
kämpande verksamhet hos Säker-			stycket 2 eller 2 § andra stycket får
hetspolisen,	Ekobrottsmyndigheten,		i ett enskilt fall behandlas för nya
Åklagarmyndigheten,		Tullverket,	ändamål	utanför	den forensiska
Kustbevakningen eller Skatteverket.			verksamheten.
I ett enskilt fall får personupp-
gifter som behandlas enligt 1 eller
2 § även behandlas		för att till-
handahålla information för något
annat ändamål än det som anges i
första stycket, under		förutsättning

att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Prop. 2017/18:269 Bilaga 7

4Senaste lydelse 2015:436.

541

Prop. 2017/18:269

Bilaga 7

Bevarande

Känsliga personuppgifter

4§

Biometriska och genetiska upp-

gifter får behandlas enligt 1 § om det är absolut nödvändigt för ända- målet med behandlingen.

5§

Sökförbudet i 2 kap. 14 § brotts-

datalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i registren över dna- profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgif- ter.

Längsta tid som personuppgifter får behandlas

				6 §5
Nationellt forensiskt centrum får					Nationellt forensiskt centrum får
inte behandla		personuppgifter för			inte behandla personuppgifter för
det ändamål som anges i 1 § första					det ändamål som anges i 1 § första
stycket 5 när det har förflutit fem					stycket 5 längre än fem år efter
år efter utgången av det kalenderår					utgången av det kalenderår då
då ärendet där uppgifterna före-					ärendet där uppgifterna förekom-
kommer registrerades.					mer registrerades.
				7 §6
Säkerhetspolisen, Ekobrottsmyn-					Säkerhetspolisen, Ekobrottsmyn-
digheten,	Åklagarmyndigheten,				digheten,	Åklagarmyndigheten,
Tullverket,	Kustbevakningen och				Tullverket,	Kustbevakningen och
Skatteverket har,			trots sekretess		Skatteverket	har,	trots sekretess
enligt 21 kap.		3 §	första	stycket	enligt 21 kap. 3 §		första	stycket
och 35 kap. 1 § offentlighets- och					och 35 kap. 1 § offentlighets- och
sekretesslagen		(2009:400),		rätt att	sekretesslagen (2009:400), rätt att ta
ta del av personuppgifter som					del av personuppgifter som behand-
behandlas	enligt		1 §	första	las enligt 1 § första stycket 5, om den
stycket 5,	om	den mottagande			mottagande	myndigheten		behöver
myndigheten behöver uppgifterna i					uppgifterna för något av de syften
sin brottsbekämpande verksamhet.					som anges i 1 kap. 2 § brottsdata-
					lagen (2018:000).

5Senaste lydelse 2015:436.

6Senaste lydelse 2015:436.

542

Första stycket gäller inte uppgif-

Prop. 2017/18:269

ter som behandlas i särskilda regis-

Bilaga 7

ter enligt 4 kap.

ter enligt 5 kap.

8 §

Personuppgifter får

lämnas

elektroniskt på annat sätt än

genom direktåtkomst om det inte är

olämpligt.

Rätt att meddela föreskrifter

9 §7

Regeringen kan

med

stöd av

Regeringen

kan

med stöd

8 kap. 7 § regeringsformen med-

8 kap. 7 §

regeringsformen

med-

dela föreskrifter om att person-

dela

föreskrifter

om begränsning

uppgifter får lämnas ut i andra fall

av möjligheten att lämna ut per-

än som anges i 8 §.

sonuppgifter elektroniskt enligt 8 §.

Bestämmelser om

att

uppgifter

får lämnas ut finns även i offentlig-

hets- och sekretesslagen (2009:400).

10 §

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med

stöd

8 kap.

7 §

rege-

ringsformen

meddela

föreskrifter

begränsning

behandlingen

personuppgifter

enligt

detta

kapitel vid digital arkivering.

7 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3. 4 kap. 2–4 eller 7–10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller

6 kap. 6 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

7Senaste lydelse 2015:436.

543

Prop. 2017/18:269 Överklagande

Bilaga 7	3 §	Bestämmelser om överklagande finns i 7 kap. brottsdatalagen

	(2018:000).

	1.	Denna lag träder i kraft den 1 januari 2019.
	2.	En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträ-
	delser som har skett efter ikraftträdandet.
	3.	Äldre föreskrifter gäller fortfarande för Säkerhetspolisens behand-
	ling av personuppgifter i frågor som rör nationell säkerhet.

544

Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)

Härigenom föreskrivs i fråga om kustbevakningsdatalagen (2012:145)1 dels att 1–3 kap., 4 kap. 2, 4 och 8–14 §§ och 5 kap. ska upphöra att

gälla,

dels att rubrikerna närmast före 4 kap. 8 och 13 §§ ska utgå,

dels att nuvarande 4 kap. 1, 3, 5–7 §§ ska betecknas 3 kap. 2–6 §§, dels att rubriken till lagen samt de nya 3 kap. 2–6 §§ ska ha följande

lydelse,

dels att rubrikerna närmast före nuvarande 4 kap. 1, 2, 4 och 7 §§ ska sättas närmast före de nya 3 kap. 2, 3, 4 och 6 §§,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., tre nya para- grafer, 3 kap. 1, 7 och 8 §§, och närmast före de nya 3 kap. 1 och 7 §§ nya rubriker av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Kustbevakningsdatalag	Lag om Kustbevakningens be-
	handling av personuppgifter inom
	brottsdatalagens område

Prop. 2017/18:269 Bilaga 7

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

Personuppgiftsansvar

3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

1Senaste lydelse av

1kap. 2 § 2017:501

1kap. 2 a § 2013:342

3kap. 3 § 2014:693

3kap. 7 § 2014:693.

545

Prop. 2017/18:269 Bilaga 7

Behandling av uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.3 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4 och 6–9 §§ om längsta tid som personuppgifter får be- handlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Rättsliga grunder

1 § Kustbevakningen får behandla personuppgifter om det är nödvän- digt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.upprätthålla allmän ordning och säkerhet, eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ur-

546

sprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa,	Prop. 2017/18:269
om sökningen görs i personuppgifter som inte har gjorts gemensamt till-	Bilaga 7
gängliga med stöd av 3 kap. 2 §.
Utlämnande av personuppgifter
6 § Om det är förenligt med svenska intressen, får personuppgifter
lämnas ut till

1.Interpol,

2.Europol,

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4.en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för något av de syften som anges i 1 §.

7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess- lagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemen- samt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndig- heten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 6 §.

Rätt att meddela föreskrifter

9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller sär- skilda bestämmelser för behand- ling av personuppgifter som görs eller har gjorts gemensamt till- gängliga med stöd av 2 §. Upp-

547

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

3. Uppgifter som behandlas i syfte att upprätthålla allmän ord- ning och säkerhet.

4. Uppgifter som har rapporte- rats till Kustbevakningens led- ningscentral.

5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Prop. 2017/18:269 Bilaga 7

gifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Följande personuppgifter får Följande personuppgifter får göras gemensamt tillgängliga i göras gemensamt tillgängliga:

Kustbevakningens brottsbekäm- pande verksamhet:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning eller beiv- rande av brott.

3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

4. Uppgifter som har rapporte- rats till Kustbevakningens led- ningscentraler.

3 §
Om uppgifter som behandlas en-	Om uppgifter som har gjorts
ligt 1 § direkt kan hänföras till en	gemensamt tillgängliga direkt kan
person som inte är misstänkt för	hänföras till en person som inte är
brott eller för att ha utövat eller	misstänkt för att ha utövat eller
komma att utöva sådan brottslig	komma att utöva sådan brottslig
verksamhet som avses i 1 § första	verksamhet som avses i 2 § 1, ska
stycket 1, ska det genom en sär-	det genom en särskild upplysning
skild upplysning eller på annat sätt	eller på något annat sätt framgå att
framgå att personen inte är miss-	personen inte är misstänkt.
tänkt.
Uppgifter om en person som kan	Uppgifter om en person som kan
548

Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet be- arbeta och analysera person- uppgifter som har gjorts gemen-

antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgifts- lämnarens trovärdighet och uppgif- ternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.

antas ha direkt samband med så-	Prop. 2017/18:269
dan brottslig verksamhet som av-	Bilaga 7
ses i 2 § 1 ska förses med en upp-
lysning om uppgiftslämnarens
trovärdighet och uppgifternas rik-
tighet i sak, om det inte på grund
av omständigheterna är onödigt.

4 §

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat	3. är misstänkt för att ha utövat
eller komma att utöva sådan brotts-	eller komma att utöva sådan brotts-
lig verksamhet som avses i 1 §	lig verksamhet som avses i 2 § 1,
första stycket 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8. är anmäld försvunnen,

8. är anmäld som försvunnen,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer medde- lar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

5 §

Begränsningarna i 5 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till.

549

Prop. 2017/18:269 Bilaga 7

Regeringen eller den myndighet som regeringen bestämmer medde- lar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket.

Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §.

samt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till.

6 §2

Polismyndigheten, Säkerhetspoli-

Polismyndigheten,

Säkerhetspoli-

sen, Ekobrottsmyndigheten, Åkla-

sen,

Ekobrottsmyndigheten,

Åkla-

garmyndigheten, Tullverket

och

garmyndigheten,

Tullverket

och

Skatteverket får medges direktåt-

Skatteverket får för något av de

komst till personuppgifter i Kust-

syften

som

anges

1 kap.

2 §

bevakningens

brottsbekämpande

brottsdatalagen (2018:000)

med-

verksamhet.

Direktåtkomsten

får

ges direktåtkomst till personupp-

endast avse

personuppgifter

som

gifter som har gjorts gemensamt

har gjorts gemensamt tillgängliga.

tillgängliga med stöd av 2 §.

En myndighet som har medgetts

direktåtkomst ansvarar för att till-

gången till personuppgifter be-

gränsas till vad varje tjänsteman

behöver för att kunna fullgöra sina

arbetsuppgifter.

Regeringen eller den myndighet

som regeringen bestämmer medde-

lar närmare föreskrifter om om-

fattningen av direktåtkomsten samt

om behörighet och säkerhet.

Rätt att meddela föreskrifter

7 §

Regeringen

kan

med stöd

8 kap.

7 §

regeringsformen

med-

dela

föreskrifter

ytterligare

undantag från 4 §.

8 §

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med

stöd

8 kap.

7 § reger-

ingsformen

meddela

föreskrifter

2Senaste lydelse 2014:693.

550

om		Prop. 2017/18:269
1. begränsning av tillgången till		Bilaga 7
sådana personuppgifter som avses
i 4 §,
2. under	vilka förutsättningar
sökning får	utföras med stöd av
5 §, och

3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Detta kapitel gäller bara för automatiserad behandling.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt till- gängliga inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende,

eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör ett brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolspröv-
ning, får personuppgifterna i förundersökningen inte behandlas för ända-
mål inom denna lags tillämpningsområde längre än fem år efter utgången
av det kalenderår då domstolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än
genom åtal, får personuppgifterna i förundersökningen inte behandlas för
ändamål inom denna lags tillämpningsområde längre än fem år efter
utgången av det kalenderår då åklagarens eller förundersökningsledarens
beslut meddelades.	551

Prop. 2017/18:269 Bilaga 7

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Rätt att meddela föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–9 §, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

552

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 § om särskild upplysning, eller

3.4 kap. 2–4 eller 7–9 § om den längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000).

Prop. 2017/18:269 Bilaga 7

1.Denna lag träder i kraft den 1 januari 2019.

2.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande vid sådan behandling av person- uppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

553

Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdata- basen får endast behandlas för att upptäcka och utreda kontami- neringar vid dna-analyser och han- teringen av dna-spår.

Begreppen dna-profil och dna- analys som används i lagen har samma betydelse som i lagen (2010:361) om polisens behandling av personuppgifter inom brotts- datalagens område.

Förhållandet till annan person- uppgiftsreglering

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas

Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndig- hetens elimineringsdatabas1

dels att 6 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå,

dels att 1, 2, 4, 11 och 12 §§ och rubrikerna närmast före 2, 11 och 12 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §2

Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den foren- siska verksamheten med DNA- analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdata- basen får endast behandlas för att upptäcka och utreda kontamine- ringar vid DNA-analyser och han- teringen av DNA-spår.

Begreppen DNA-profil och DNA-analys som används i lagen har samma betydelse som i polis- datalagen (2010:361).

Förhållandet till personuppgifts- lagen

2 §

Denna lag gäller utöver person-	Denna lag gäller utöver brotts-
uppgiftslagen (1998:204).	datalagen (2018:000).
4 §
En DNA-profil som har tagits	En dna-profil som har tagits
fram under utredning av brott och	fram under utredning av brott och
som inte kan hänföras till en iden-	som inte kan hänföras till en iden-
tifierbar person får vid ett tillfälle	tifierbar person får vid ett tillfälle
jämföras med DNA-profiler i eli-	jämföras med dna-profiler i elimi-

1Senaste lydelse av lagens rubrik 2014:600

6§ 2014:600.

2Senaste lydelse 2014:600.

554

mineringsdatabasen.			Jämförelsen			neringsdatabasen. Jämförelsen ska
ska göras innan jämförelse görs						göras innan jämförelse görs med
med andra DNA-profiler i de DNA-						andra dna-profiler i de dna-regi-
register som		regleras		i	4 kap.	ster som regleras i 5 kap. lagen
polisdatalagen (2010:361).						(2010:361) om polisens behandling
						av personuppgifter inom brotts-
						datalagens område.
En DNA-profil från prov som har						En dna-profil från prov som har
tagits med stöd av 28 kap. rätte-						tagits med stöd av 28 kap. rätte-
gångsbalken får vid ett tillfälle						gångsbalken får vid ett tillfälle
jämföras med DNA-profiler i eli-						jämföras med dna-profiler i elimi-
mineringsdatabasen.			Avser		DNA-	neringsdatabasen. Om dna-profilen
profilen en misstänkt ska jämförel-						avser en misstänkt ska jämförelsen
sen göras innan profilen läggs in i						göras innan profilen läggs in i det
det utredningsregister				eller det		utredningsregister eller det dna-
DNA-register som regleras i 4 kap.						register som regleras i 5 kap. lagen
polisdatalagen.						om polisens behandling av person-
						uppgifter	inom		brottsdatalagens
						område.
En DNA-profil som har tagits						En dna-profil som har tagits
fram för att kvalitetssäkra den						fram för att kvalitetssäkra den
forensiska	verksamheten				med	forensiska verksamheten med dna-
DNA-analyser och som inte hänför						analyser och som inte hänför sig
sig till brottsutredande verksamhet						till brottsutredande verksamhet får
får jämföras med DNA-profiler i						jämföras med dna-profiler i elimi-
elimineringsdatabasen.						neringsdatabasen.
Gallring						Längsta tid för behandling
					11 §3
						Trots det som sägs i 2 kap. 17 §
						andra stycket			brottsdatalagen
						(2018:000)	får		personuppgifter
						som längst behandlas under den
						tid som anges i andra–femte
						styckena.
Uppgifter	i	elimineringsda-				Uppgifter		i	eliminerings-
tabasen ska gallras när de inte						databasen får inte behandlas när de
längre behövs för att utreda om en						inte längre behövs för att utreda
persons DNA kan ha kontaminerat						om en persons dna kan ha kon-
material, prover eller lokaler.						taminerat	material, prover eller
						lokaler.
Uppgifter som rör anställda vid						Uppgifter som rör anställda vid
Polismyndigheten			ska		gallras	Polismyndigheten får inte behand-
senast två år efter det att det för-						las längre än två år efter det att det
hållande som grundade skyl-						förhållande som grundade skyldig-
digheten att lämna prov upphörde.						heten att lämna prov upphörde.

3Senaste lydelse 2014:600

Prop. 2017/18:269 Bilaga 7

555

Prop. 2017/18:269 Bilaga 7

Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna regi- strerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde.

Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgif- terna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det för- hållande som grundade skyldig- heten upphörde.

Rättelse och skadestånd		Skadestånd
	12 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd tillämpas på mot-		(2018:000) ska tillämpas vid be-
svarande sätt vid behandling av		handling av personuppgifter i strid
personuppgifter enligt	denna lag	med denna lag eller föreskrifter
eller enligt föreskrifter som avses i		som avses i 13 eller 14 §.
13 eller 14 §.

Denna lag träder i kraft den 1 januari 2019.

556

Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs i fråga om lagen (2015:51) om register över till- trädesförbud vid idrottsarrangemang

dels att 2, 4, 6, 8–10, 12 och 15 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 2, 4, 8–10, 12 och 15 §§ ska utgå,

dels att nuvarande 3, 5, 7, 11, 13 och 14 §§ ska betecknas 2, 4, 5, 6, 7 och 8 §§,

dels att rubriken till lagen samt 1, de nya 2, 4, 6 och 7 §§ och rubriken närmast före den nya 4 § ska ha följande lydelse,

dels att rubrikerna närmast före nuvarande 3, 6, 11 och 14 §§ ska sättas närmast före de nya 2, 5, 6 och 8 §§,

dels att det ska införas en ny paragraf, 3 §, och närmast före de nya 3 och 7 §§ nya rubriker med följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 7

Lag om	register	över tillträ-	Lag om idrottsorganisationers
desförbud	vid	idrottsarrange-	behandling av uppgifter om till-
mang			trädesförbud

1 §

2 §

Denna lag gäller behandling av	Denna lag gäller vid idrotts-
personuppgifter för att upprätthålla	organisationers behandling av per-
gällande beslut om tillträdesför-	sonuppgifter från det tillträdesför-
bud. Lagen gäller vid	budsregister som förs enligt lagen

1.Polismyndighetens behandling (2010:361) om polisens behand- av personuppgifter i tillträ- ling av personuppgifter inom

desförbudsregistret, och		brottsdatalagens område för	att
2. idrottsorganisationers	be-	upprätthålla gällande beslut	om
handling av personuppgifter	från	tillträdesförbud.
tillträdesförbudsregistret.
Lagen gäller behandling som är		Lagen gäller för behandling som
helt eller delvis automatiserad eller		är helt eller delvis automatiserad
om personuppgifterna ingår i eller		eller om personuppgifterna ingår i		557
				557

Prop. 2017/18:269 Bilaga 7

eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §.

Förhållandet till annan reglering

3§

Denna lag kompletterar Euro-

95/46/EG (allmän data- skyddsförordning).

Rätten att behandla person- uppgifter

4 §

Polismyndigheten är person- uppgiftsansvarig för den behand- ling av personuppgifter som myn- digheten utför enligt denna lag.

Varje idrottsorganisation är personuppgiftsansvarig för den behandling

av personuppgifter som organisationen utför.
6 §
Tillgången till personuppgifter	Tillgången till	personuppgifter
ska begränsas till vad den som	ska begränsas till vad den som
arbetar vid Polismyndigheten eller	arbetar eller utför uppdrag åt en
som arbetar eller utför uppdrag åt	idrottsorganisation	behöver för att
en idrottsorganisation behöver för	kunna fullgöra	arbetsuppgifterna
att kunna fullgöra arbetsuppgifterna	eller uppdraget.
558

eller uppdraget.							Prop. 2017/18:269
Regeringen eller den myndighet som regeringen bestämmer får med-							Bilaga 7
dela föreskrifter om tillgången till personuppgifter.
			Längsta tid som personuppgifter
			får behandlas
		7 §
En uppgift som en idrottsor-			Personuppgifter som en idrotts-
ganisation har fått tillgång till från			organisation har fått tillgång till
tillträdesförbudsregistret	ska	tas	från	tillträdesförbudsregistret		får
bort om uppgiften inte längre be-			inte behandlas efter det att tillträ-
hövs för de ändamål som anges i			desförbudets giltighetstid		löpt	ut
7 §, dock senast	när	till-	eller	tillträdesförbudet	dessför-
trädesförbudets giltighetstid		löper	innan upphävts.
ut eller om tillträdesförbudet dess-
förinnan upphävs.

Denna lag träder i kraft den 1 januari 2019.

559

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i åklagardatalagen (2015:433)

Härigenom föreskrivs i fråga om åklagardatalagen (2015:433)

dels att 1 kap., 2 kap. och 3 kap. 3, 4 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 3 kap. 3 § ska utgå,

dels att nuvarande 3 kap. 5, 6 och 8 §§ ska betecknas 3 kap. 3, 4 och

5 §§,

dels att rubriken till lagen samt 3 kap. 1, 2, de nya 3–5 §§ ska ha föl- jande lydelse,

dels att rubrikerna närmast före nuvarande 3 kap. 4 och 8 §§ ska sättas närmast före de nya 3 kap. 3och 5 §§,

dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., två nya paragrafer, 3 kap. 6 och 7 §§, och närmast före 3 kap. 1 och 6 §§ nya rubriker av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Åklagardatalag	Lag om åklagarväsendets behand-
	ling av personuppgifter inom
	brottsdatalagens område

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagar- myndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndig- het behandlar personuppgifter i åklagarverksamhet i syfte att

1.förebygga eller förhindra brottslig verksamhet,

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga på- följder eller

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet.

Bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten finns också i lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område.

Personuppgiftsansvar

2 § Åklagarmyndigheten och Ekobrottsmyndigheten är var och en per- sonuppgiftsansvarig för den behandling av personuppgifter som myndig- heten utför.

Behandling av uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

560

3.	3 kap. 2 § om gemensamt tillgängliga uppgifter, och	Prop. 2017/18:269
4.	4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behand-	Bilaga 7

las.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att Åkla- garmyndigheten eller Ekobrottsmyndigheten ska kunna utföra följande uppgifter:

1.förebygga eller förhindra brottslig verksamhet,

2.utreda eller lagföra brott,

3.handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder,

4.handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller

5.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Utlämnande av personuppgifter

5 § Om det är förenligt med svenska intressen får personuppgifter läm- nas ut till

1. Eurojust,

561

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd

av 2 kap. 2 § brottsdata- lagen (2018:000).

Prop. 2017/18:269 Bilaga 7

2.Interpol,

3.Europol, eller

4.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol.

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för något av de syften som anges i 1 §.

6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlig- hets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 5 §.

Rätt att meddela föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i åklagarväsendets operativa verk- samhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt till- gängliga.

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 7 §.

562

	2 §		Prop. 2017/18:269
Personuppgifter	i åklagarväsen-	Alla personuppgifter som be-	Bilaga 7
dets operativa	verksamhet får	handlas för syften som omfattas av
göras gemensamt tillgängliga.		denna lags tillämpningsområde får
		göras gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela närmare föreskrif- ter om sådana uppgifter.

					3 §
Vid sökning på namn, per-						Vid	sökning i		automatiserade
sonnummer,		samordningsnummer				behandlingssystem på namn, per-
eller andra liknande identi-						sonnummer,		samordningsnummer
tetsbeteckningar i			uppgifter		som	eller andra liknande identi-
har gjorts gemensamt tillgängliga						tetsbeteckningar i			uppgifter		som
får sådana uppgifter tas fram som						har gjorts gemensamt tillgängliga,
anger att den sökta personen						får endast sådana uppgifter tas
						fram som anger att den sökta perso-
						nen
						1. är anmäld för brott,
1. är eller har varit misstänkt för						2. är eller har varit misstänkt för
brott,						brott,
2. är misstänkt för att ha utövat						3. är misstänkt för att ha utövat
eller komma att utöva brottslig						eller för att komma att utöva
verksamhet,						brottslig verksamhet,
3. har anmält ett brott,						4. har anmält ett brott,
4. är	målsägande		i ett	ärende		5. är	målsägande i			ett ärende
som rör ansvar för brott,						som rör ansvar för brott,
5. är	sökande,		motpart		eller	6. är	sökande,		motpart		eller
annan part eller kan jämställas med						annan part eller kan jämställas med
part i ett ärende,						part i ett ärende,
6. förekommer i ett ärende som						7. förekommer i ett ärende som
vittne eller någon annan som läm-						vittne eller annan som lämnar eller
nar eller har lämnat uppgifter eller						har lämnat uppgifter eller yttrande,
yttrande,
7. är eller har varit åklagare i ett						8. är eller har varit åklagare i ett
ärende, eller är eller har varit						ärende eller är eller har varit
offentlig försvarare eller måls-						offentlig försvarare eller målsäg-
ägandebiträde		eller	kan jämställas			andebiträde		eller	kan	jämställas
med sådana, eller						med sådana, eller
8. har gett in eller tillhandahållits						9. har gett in eller tillhandahållits
en handling.						en handling.
					4 §
Bestämmelserna i 5 § gäller inte						Bestämmelserna i 3 § gäller inte
vid sökning i en viss handling eller						vid sökning i en viss handling eller
i ett visst ärende.						i ett visst ärende.
Regeringen		kan	med	stöd av							563

Prop. 2017/18:269

8 kap. 7 §

regeringsformen med-

Bilaga 7

dela

föreskrifter

ytterligare

undantag från 5 §.

5 §

Åklagarmyndigheten,

Ekobrotts-

Åklagarmyndigheten,

Ekobrotts-

myndigheten,

Polismyndigheten,

myndigheten,

Polismyndigheten,

Säkerhetspolisen,

Tullverket, Kust-

Säkerhetspolisen,

Tullverket,

Kust-

bevakningen och Skatteverket får i

bevakningen

och

Skatteverket

får

den

brottsbekämpande

verksam-

för något av de syften som anges i

heten

medges

direktåtkomst

till

1 kap.

2 §

brottsdatalagen

personuppgifter i åklagarväsendets

(2018:000)

medges

direktåtkomst

operativa

verksamhet.

Direktåt-

till personuppgifter som har gjorts

komsten får endast avse person-

gemensamt tillgängliga

med

stöd

uppgifter som har gjorts gemen-

av 2 §.

samt tillgängliga.

En myndighet som har medgetts

direktåtkomst

ansvarar för

att

tillgången

till

personuppgifter

begränsas till det som varje tjäns-

teman behöver för att kunna full-

göra sina arbetsuppgifter.

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med stöd av 8 kap. 7 § regerings-

formen meddela närmare föreskrif-

ter om omfattningen av direktåt-

komsten och om behörighet och

säkerhet.

Rätt att meddela föreskrifter

6 §

Regeringen

kan

med stöd

8 kap.

7 §

regeringsformen

med-

dela

föreskrifter

ytterligare

undantag från 3 §.

7 §

Regeringen eller den myndighet

som regeringen

bestämmer

kan

med stöd av 8 kap. 7 § regerings-

formen meddela föreskrifter om

1. gemensamt

tillgängliga

upp-

gifter, och

2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst.

564

4 kap. Längsta tid som personuppgifter får behandlas	Prop. 2017/18:269
Allmän bestämmelse	Bilaga 7
Allmän bestämmelse
1 § Detta kapitel gäller bara för automatiserad behandling.
Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det
att personuppgifter inte får behandlas under längre tid än vad som är
nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter i ärenden
2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom
denna lags tillämpningsområde längre än fem år efter utgången av det
kalenderår då ärendet avslutades av åklagaren, eller, om frågan prövats
av domstol, från utgången av det kalenderår då domstolens avgörande
fick laga kraft.
3 § Om en förundersökning mot en person inte har inletts eller har lagts
ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga
kraft, får personen inte längre vara sökbar som misstänkt.
Övriga personuppgifter
4 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen
(2018:000) får personuppgifter som inte kan hänföras till ett ärende inte
behandlas längre än ett år efter utgången av det kalenderår då de behand-
lades automatiserat första gången.
Rätt att meddela föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan
med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att uppgifter i vissa ärendetyper eller vissa kategorier av personupp- gifter får fortsätta att behandlas för ändamål inom denna lags tillämp- ningsområde under längre tid än vad som anges i 2 §,

2.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 4 §, och

3.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

eller

2.4 kap. 2 eller 4 § om den längsta tid som personuppgifter får be- handlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

565

Prop. 2017/18:269 Bilaga 7

566

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får över- klagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

Förslag till lag om ändring i domstolsdatalagen (2015:728)

Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728)

dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:000) om ändring i den lagen ska upphöra att gälla,

dels att 2 och 16 §§ ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 7

Nuvarande lydelse

Föreslagen lydelse

2 §

Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:000) om domstolarnas behandling av personuppgifter inom brottsdatalagens område.

16 §
Personuppgifter får lämnas ut på	Personuppgifter	får lämnas	ut
medium för automatiserad be-	elektroniskt på annat sätt än
handling om det inte är olämpligt.	genom direktåtkomst om det inte
	är olämpligt.
Regeringen eller den myndighet	Regeringen eller den myndighet
som regeringen bestämmer kan	som regeringen	bestämmer	kan
med stöd av 8 kap. 7 § regerings-	med stöd av 8 kap. 7 § regerings-
formen meddela ytterligare före-	formen meddela ytterligare före-
skrifter om begränsningar av möj-	skrifter om begränsningar av möj-
ligheterna att lämna ut personupp-	ligheten att lämna ut personupp-
gifter på medium för automatise-	gifter elektroniskt.
rad behandling.

Denna lag träder i kraft den 1 januari 2019.

567

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i utlänningsdatalagen (2016:27)

Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse.

Lydelse enligt lagrådsremissen An- Föreslagen lydelse passning av utlänningsdatalagen

till EU:s dataskyddsförordning

15 §

Migrationsverket får föra separata register över fingeravtryck och foto- grafier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).

Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast

1.vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1–2 a §§ utlänningslagen åberopas,

2.i ärenden om avvisning och utvisning,

3.i testverksamhet,

4.om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller

5. om det behövs för att Mig-			5. om det behövs för att Mig-
rationsverket ska kunna kontrollera			rationsverket ska kunna kontrollera
ett fingeravtryck mot det fingerav-			ett fingeravtryck mot fingerav-
trycks-	och signalementsregister		trycks-	och signalementsregister
som Polismyndigheten för enligt			som Polismyndigheten för enligt
4 kap.	11 §	polisdatalagen	5 kap.	11 § lagen (2010:361) om
(2010:361).			polisens behandling av personupp-
			gifter inom brottsdatalagens om-
			råde.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter om vilka uppgifter som får behandlas i regi- stren över fingeravtryck och fotografier, och

2.föreskrifter om gallring.

Denna lag träder i kraft den 1 januari 2019.

568

Förslag till lag om ändring i tullagen (2016:253)

Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följan- de lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 7

4kap. 8 §

Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av uppgifter		Tullverket får ta del av uppgifter
genom terminalåtkomst endast i		genom terminalåtkomst endast i
den omfattning och under den tid		den omfattning och under den tid
som behövs för att kontrollera		som behövs för att kontrollera
aktuella transporter. Uppgifter som		aktuella transporter.
hålls tillgängliga på detta sätt får
inte ändras eller på annat sätt
bearbetas eller lagras av Tullver-
ket.
Uppgifter om enskilda personer
som lämnats på annat sätt än
genom terminalåtkomst ska ome-
delbart förstöras, om de visar sig
sakna betydelse för utredning av
eller lagföring för brott.

Denna lag träder i kraft den 1 januari 2019.

569

Prop. 2017/18:269 Bilaga 7

Förslag till lag om ändring i tullbrottsdatalagen (2017:447)

Härigenom föreskrivs i fråga om tullbrottsdatalagen (2017:447)

dels att 1 kap., 2 kap., 3 kap. 5 § och 4 kap. 5 § ska upphöra att gälla, dels att nuvarande 3 kap. 6–8 §§ och 4 kap. 2–4 och 6–9 §§ ska be-

tecknas 3 kap. 5–7 §§ och 4 kap. 12, 2–6 och 8 §§,

dels att rubriken till lagen samt 3 kap. 1–4 §§, de nya 3 kap. 5–7 §§,

4 kap. 1 och 10 §§, de nya 4 kap. 2–5, 8 och 12 §§, rubriken till 4 kap., rubrikerna närmast före 4 kap. 1 § och den nya 4 kap. 4 § ska ha följande lydelse,

dels att rubrikerna närmast före nuvarande 3 kap. 8 § och 4 kap. 3, 5 och 9 §§ ska sättas närmast före de nya 3 kap. 7 § respektive 4 kap. 2, 4 och 7 §§,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., fem nya paragra- fer, 3 kap. 8 och 9 §§ och 4 kap. 7, 9 och 11 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 8 § och 4 kap. 12 § nya rubriker av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Tullbrottsdatalag	Lag om Tullverkets behandling av
	personuppgifter inom brottsdata-
	lagens område

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

2 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser ska de tillämpas i stället för bestämmelserna i denna lag.

Personuppgiftsansvar

3 § Tullverket är personuppgiftsansvarigt för den behandling av per- sonuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 3 § om personuppgiftsansvar,

570

2.	2 kap. 1	§ om rättsliga grunder för behandling av personuppgifter,	Prop. 2017/18:269
3.	3 kap. 2	§ om gemensamt tillgängliga uppgifter, och	Bilaga 7

4.4 kap. 1–5 och 8–11 §§ om längsta tid som personuppgifter får be- handlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

3.2 kap. 17 § om längsta tid som personuppgifter får behandlas,

4.2 kap. 4 och 22 §§ om behandling för nya ändamål, och

5.3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling

Rättsliga grunder

1 § Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Känsliga personuppgifter

4 § Tullverket får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgif- ter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.

571

Prop. 2017/18:269 Bilaga 7

572

Utlämnande av personuppgifter

7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till

1.Interpol,

2.Europol,

3.en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4.en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES).

Personuppgifter får lämnas ut enligt första stycket endast om motta- garen behöver uppgifterna för något av de syften som anges i 1 §.

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myn- digheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §.

Personuppgifter från transportföretag

Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000).

1.är eller har varit misstänkt för brott,

2.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3.övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2.

Rätt att meddela föreskrifter

13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

1 §

Prop. 2017/18:269 Bilaga 7

Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i

Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt till- gängliga.

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 7 §.

Detta kapitel gäller inte när per- sonuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000).

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b) sker systematiskt.

2. Uppgifter som behövs för	2. Uppgifter som behövs för
övervakningen av en person, om	övervakningen av en person som
han eller hon

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse

itvå år eller mer, och

b)är allvarligt kriminellt belastad.

3. Uppgifter som förekommer i	3. Uppgifter som förekommer i
ett ärende om utredning eller beiv-	ett ärende om utredning av eller
rande av brott.	lagföring för brott.
4. Uppgifter som behövs för att	4. Uppgifter som har rapporte-
fullgöra internationella åtagan-	rats till Tullverkets ledningscen-
den, om det krävs för att den aktu-	traler.
ella förpliktelsen ska kunna fullgö-
ras.

573

Prop. 2017/18:269 Bilaga 7

574

5. Uppgifter som har rappor-	5. Uppgifter		som	behandlas i
terats till Tullverkets kommunika-	syfte	att fullgöra		internationella
tionscentral.	åtaganden, om det krävs för att
	den	aktuella	förpliktelsen ska

kunna fullgöras.

Personuppgifter från transport- företag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.

föremål för övervakning får dock göras tillgänglig för andra.
			3 §
För	gemensamt	tillgängliga	Det ska framgå genom en sär-
uppgifter ska det genom en sär-			skild upplysning eller på något
skild upplysning eller på något			annat sätt om personuppgifter har
annat sätt framgå för vilket när-			gjorts gemensamt tillgängliga med
mare ändamål personuppgifterna			stöd av 2 § första stycket 2.
behandlas. Har personuppgifterna
gjorts gemensamt tillgängliga med
stöd av 2 § första stycket 2, ska
detta särskilt framgå.
			4 §
Om uppgifter som är gemensamt			Om uppgifter som har gjorts
tillgängliga direkt kan hänföras till			gemensamt tillgängliga direkt kan
en person som inte är misstänkt för			hänföras till en person som inte är
brott eller för att ha utövat eller			misstänkt för att ha utövat eller
komma att utöva sådan brottslig			komma att utöva sådan brottslig
verksamhet som avses i 2 § första			verksamhet som avses i 2 § första
stycket 1, ska det genom en sär-			stycket 1, ska det genom en sär-
skild upplysning eller på annat sätt			skild upplysning eller på något
framgå att personen inte är miss-			annat sätt framgå att personen inte
tänkt.			är misstänkt.
Uppgifter om en person som kan			Uppgifter om en person som kan
antas ha samband med misstänkt			antas ha direkt samband med så-
brottslig	verksamhet	ska förses	dan	brottslig		verksamhet	som
med en upplysning om uppgifts-			avses i 2 § första stycket 1 eller
lämnarens trovärdighet och upp-			som övervakas med stöd av 2 §
gifternas riktighet i sak, om inte			första stycket 2, ska förses med en
detta är onödigt på grund av sär-			upplysning		om	uppgiftslämnarens
skilda omständigheter. Detsamma			trovärdighet			och uppgifternas
gäller uppgifter om personer som			riktighet i sak, om det inte på
avses i 2 § första stycket 2.			grund	av	omständigheterna		är
			onödigt.

		5 §
Vid sökning på namn, person-		Vid sökning i automatiserade
nummer,	samordningsnummer	behandlingssystem på namn, per-
eller andra liknande identitetsbe-		sonnummer, samordningsnummer
teckningar i uppgifter som har		eller andra liknande identitetsbe-
gjorts gemensamt tillgängliga får		teckningar i uppgifter som har
endast sådana uppgifter tas fram		gjorts gemensamt tillgängliga, får
som anger att den sökta personen		endast sådana uppgifter tas fram
		som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4.övervakas enligt 2 § första stycket 2,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

6 §

Prop. 2017/18:269 Bilaga 7

Bestämmelserna i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa krimi- nella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1.för att förebygga, förhindra eller upptäcka brottslig verksam-

Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1.när de utför beredningsupp- gifter i underrättelseverksamhet och arbetet befinner sig i ett inle- dande skede,

2.i syfte att i underrättelse- verksamhet bearbeta och analy-

575

Prop. 2017/18:269 Bilaga 7

576

het som innefattar brott för vilket

sera

personuppgifter

som

har

det är föreskrivet fängelse i fyra år

gjorts gemensamt tillgängliga med

eller däröver eller för sådant

stöd av 2 § första stycket 1 eller 2

ändamål som avses i 2 § första

och som enbart dessa tjänstemän

stycket 2, eller

har tillgång till,

2. för att utreda brott för vilket

3. i syfte att utreda brott för vil-

det är föreskrivet fängelse i fyra år

ket det är föreskrivet fängelse i

eller däröver.

fyra år eller mer, eller

4. i

syfte att samordna utred-

ningar om brott som kan vara

systematiska och för vilka det är

föreskrivet fängelse i två år eller

mer.

Regeringen eller den myndighet

Bestämmelserna i 5 § gäller inte

som

regeringen

bestämmer

kan

heller vid sökning som en tjänste-

med stöd av 8 kap. 7 § regerings-

man vid någon av Tullverkets

formen

meddela

föreskrifter

ledningscentraler utför på begäran

under vilka förutsättningar sök-

av en tulltjänsteman som verkstäl-

ning får äga rum med stöd av

ler ett ingripande eller vidtar en

första och andra styckena. Rege-

åtgärd som rör en en-skild.

ringen kan med stöd av 8 kap. 7 §

regeringsformen

meddela

före-

skrifter

ytterligare

undantag

från 6 §.

7 §

Polismyndigheten,

Säkerhets-

Polismyndigheten,

Säkerhets-

polisen,

Ekobrottsmyndigheten,

polisen,

Ekobrottsmyndigheten,

Åklagarmyndigheten,

Kustbevak-

Åklagarmyndigheten,

Kustbevak-

ningen och Skatteverket får med-

ningen och Skatteverket får för

ges direktåtkomst till personupp-

något

av de

syften som anges i

gifter i Tullverkets brottsbekäm-

1 kap.

2 §

brottsdatalagen

pande verksamhet. Direktåtkoms-

(2018:000)

medges direktåtkomst

ten får endast avse personupp-

till personuppgifter som har gjorts

gifter som är gemensamt tillgäng-

gemensamt

tillgängliga med

stöd

liga.

av 2 §.

En myndighet som har medgetts

direktåtkomst

ansvarar

för

att

tillgången till

personuppgifter

begränsas till vad varje tjänsteman

behöver för att kunna fullgöra sina

arbetsuppgifter.

Regeringen eller den myndighet

som

regeringen

bestämmer

kan

med stöd av 8 kap. 7 § regerings-

formen meddela närmare före-

skrifter

omfattningen

direktåtkomsten samt om behörig- het och säkerhet.

Rätt att meddela föreskrifter

8 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 5 §.

	9 §
	Regeringen eller den myndighet
	som	regeringen		bestämmer	kan
	med stöd av 8 kap. 7 § regerings-
	formen meddela föreskrifter om
	1. begränsning av tillgången till
	sådana personuppgifter som avses
	i 5 §,
	2. under		vilka	förutsättningar
	sökning får utföras med stöd				av
	6 §, och
	3. omfattningen av direktåtkomst
	enligt	7 §	och	behörighet	och
	säkerhet vid sådan åtkomst.
4 kap. Bevarande och gallring av	4 kap. Längsta tid som person-
personuppgifter	uppgifter får behandlas
Generella bestämmelser	Allmän bestämmelse
	1 §

Prop. 2017/18:269 Bilaga 7

Personuppgifter får inte bevaras under längre tid än vad som be- hövs för något eller några av de ändamål som anges i lagen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1.3 och 4 §§ om uppgifter som inte har gjorts gemensamt till- gängliga,

2.5–7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3.9 och 10 §§ om andra upp- gifter som har gjorts gemensamt

Detta kapitel gäller, om inte annat sägs, bara för automatise- rad behandling av personuppgif- ter.

577

Prop. 2017/18:269 Bilaga 7

tillgängliga än som anges i 2.

2 §

Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gall- ras senast ett år efter det att ären- det avslutades. Om de inte kan hänföras till ett ärende, ska upp- gifterna gallras senast ett år efter det att de behandlades automatise- rat första gången.

Första stycket gäller inte per- sonuppgifter i ärenden om utred- ning eller beivrande av brott.

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1.ett år efter det att ärendet av- slutades, om de behandlas i ett ärende, eller

2.ett år efter det att de be- handlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte per- sonuppgifter i ärenden om utred- ning av eller lagföring för brott.

3 §

I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Personuppgifter som med stöd av 15 § lagen (1996:701) om Tull- verkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhanda- hålls på annat sätt än genom ter- minalåtkomst, ska omedelbart förstöras om de visar sig sakna betydelse för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2.

Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personupp- gifter.

Gemensamt tillgängliga upp-	Gemensamt tillgängliga upp-
gifter i ärenden om utredning	gifter i ärenden om utredning av
eller beivrande av brott	eller lagföring för brott
	4 §

578

Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör brott, får person- uppgifterna i anmälan inte längre behandlas i Tullverkets brottsbe- kämpande verksamhet. Om en brottsanmälan i annat fall inte har

Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör ett brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsom- råde. Om en brottsanmälan i annat

lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i

Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

fall inte har lett till förundersök- ning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

Prop. 2017/18:269 Bilaga 7

		5 §
Om en förundersökning har lett		Om en förundersökning har lett
till åtal eller annan domstols-		till åtal eller annan dom-
prövning, får	personuppgifterna i	stolsprövning, får personupp-gif-
förundersökningen inte behandlas i		terna	i	förundersökningen		inte
Tullverkets	brottsbekämpande	behandlas för ändamål inom denna
verksamhet när det har förflutit		lags tillämpningsområde längre än
fem år efter utgången av det kalen-		fem år efter utgången av det kalen-
derår då domen, eller det beslut		derår	då	domstolens	avgörande
som meddelades med anledning av		fick laga kraft.
talan, fick laga kraft.
Om en förundersökning har lagts		Om en förundersökning har lagts
ned eller avslutats på annat sätt än		ner eller avslutats på annat sätt än
genom åtal, får personuppgifterna i		genom åtal, får personuppgifterna i
förundersökningen inte behandlas i		förundersökningen inte			behandlas
Tullverkets	brottsbekämpande	för ändamål inom denna lags till-
verksamhet när det har förflutit		lämpningsområde längre än				fem
fem år efter utgången av det kalen-		år efter utgången av det kalenderår
derår då åklagarens eller förunder-		då åklagarens eller förundersök-
sökningsledarens beslut medde-		ningsledarens beslut meddelades.

lades.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

7 §

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt till- gängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8–11 §§.

8 §

Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra–fjärde styckena.

Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 §

579

Prop. 2017/18:269

Bilaga 7

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalen- derår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brotts- lig verksamhet som innefattar brott för vilket det är föreskrivet fäng- else i två år eller däröver ska dock gallras senast fem år efter ut- gången av det kalenderår då regi- streringen gjordes. Om en ny regi- strering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår slu- ten ungdomsvård eller rätts- psykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

580

första stycket 1 får, om de behand- las i ett ärende, inte behandlas längre än ett år efter det att ären- det avslutades.

Om personuppgifterna inte be- handlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fäng- else i två år eller mer får inte be- handlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksam- het görs före utgången av de tids- fristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas.

9§

Personuppgifter som behandlas i

samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste regi- streringen avseende personen gjordes.


Den tid då en övervakad person						Prop. 2017/18:269
avtjänar		ett	fängelsestraff		eller	Bilaga 7
genomgår		sluten		ungdomsvård
eller	rättspsykiatrisk vård				med
särskild utskrivningsprövning					ska
inte	räknas		med vid	beräkningen

av den tidsfrist som anges i första stycket.

10§

Personuppgifter som har gjorts

gemensamt		tillgängliga			enligt
3 kap. 2 § första stycket 4 eller 5
ska gallras enligt andra eller
tredje stycket.
Uppgifter		som har		behandlats		Personuppgifter som behandlas
med	stöd	av	3 kap.	2 §	första	med stöd av 3 kap. 2 § första
stycket 4 ska gallras senast ett år						stycket 4 får inte behandlas längre
efter utgången av det kalenderår då						än ett år efter utgången av det
ärendet som uppgifterna be-						kalenderår då de behandlades
handlades i avslutades.						automatiserat första gången.
Uppgifter		som har		behandlats
med	stöd	av	3 kap.	2 §	första

stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

		11 §
		Personuppgifter som	behandlas
		med stöd av 3 kap.	2 §	första
		stycket 5 får inte behandlas längre
		än ett år efter utgången av det
		kalenderår då ärendet som upp-
		gifterna behandlades i avslutades.
		Rätt att meddela föreskrifter
	12 §
Regeringen eller den myndighet som regeringen bestämmer kan med
stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av person-		1. att vissa kategorier av person-
uppgifter får bevaras i den brotts-		uppgifter får fortsätta att behand-
bekämpande	verksamheten under	las för ändamål inom denna lags
längre tid än vad som anges i 6, 7,		tillämpningsområde under		längre
9 och 10 §§,		tid än vad som anges i 4, 5 eller 8–
		11 §,
2. att personuppgifter, med avvi-		2. att personuppgifter får be-
kelse från 3 § första stycket, 9 och		handlas för arkivändamål av all-
10 §§, får bevaras för historiska,		mänt intresse eller vetenskapliga,
statistiska	eller vetenskapliga	statistiska eller historiska ändamål			581

Prop. 2017/18:269 ändamål, och	under längre tid än vad som anges
Bilaga 7	i 2 § första stycket eller 8–11 §§
	och
3. digital arkivering.	3. begränsning av behandlingen av
	personuppgifter för ändamål inom
	denna lags tillämpningsområde
	vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 och 4 §§ om särskilda upplysningar, eller

3.4 kap. 2–5 eller 8–11 § om den längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får över- klagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

582

Förslag till lag om ändring i skattebrottsdatalagen (2017:452)

Härigenom föreskrivs i fråga om skattebrottsdatalagen (2017:452)

dels att 1 kap., 2 kap., 3 kap. 3 och 5 §§ och 4 kap. 4 § ska upphöra att gälla,

dels att nuvarande 3 kap. 4 och 6–8 §§ och 4 kap. 2, 3 och 5–8 §§ ska betecknas 3 kap. 3–6 §§ och 4 kap. 9, 2–5 och 7 §§,

dels att rubriken till lagen samt 3 kap. 1 och 2 §§, de nya 3 kap. 3–6 §§,

4 kap. 1 §, de nya 4 kap. 2–4, 7 och 9 §§, rubriken till 4 kap. och rubri- ken närmast före 4 kap. 1 § ska ha följande lydelse,

dels att rubrikerna närmast före nuvarande 3 kap. 5 och 8 §§ och 4 kap. 3, 4 och 8 §§ ska sättas närmast före de nya 3 kap. 4 och 6 §§ respektive 4 kap. 2, 3 och 6 §§,

dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., fyra nya para- grafer, 3 kap. 7 och 8 §§ och 4 kap. 6 och 8 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 7 § och 4 kap. 9 § nya rubriker av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Skattebrottsdatalag	Lag om Skatteverkets behandling
	av personuppgifter inom brottsda-
	talagens område

Prop. 2017/18:269 Bilaga 7

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

Personuppgiftsansvar

2 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Behandling av uppgifter om juridiska personer

3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 § om personuppgiftsansvar,

2.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 § om gemensamt tillgängliga uppgifter, och

4.4 kap. 1–4 och 7 och 8 §§ om längsta tid som personuppgifter får behandlas.

Bestämmelserna om personuppgifter i följande paragrafer i brottsdata- lagen (2018:000) gäller också vid sådan behandling:

1.2 kap. 2 § om diarieföring och handläggning i vissa fall,

2.2 kap. 3 § andra stycket om ändamålet med behandlingen,

583

Prop. 2017/18:269	3.	2 kap. 17 § om längsta tid som personuppgifter får behandlas,
Bilaga 7	4.	2 kap. 4 och 22 §§ om behandling för nya ändamål, och
	5.	3 kap. 6 § om tillgången till personuppgifter.

2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder

1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda brott, eller

3.fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften.

Behandling för nya ändamål

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdata- lagen (2018:000).

Särskilda upplysningar

Sökning

Känsliga personuppgifter

4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används som sökbe- grepp.

Beskattningsdatabasen

6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för något av de syften som anges i 1 § får endast uppgift om namn, personnummer eller samord- ningsnummer användas.

584

Utlämnande av personuppgifter

8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åkla- garmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §.

Rätt att meddela föreskrifter

10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket.

3 kap.

Allmän bestämmelse

Prop. 2017/18:269 Bilaga 7

1 §

Detta kapitel innehåller sär-	Detta kapitel innehåller särskilda
skilda bestämmelser för behand-	bestämmelser	för	behandling av
ling av personuppgifter som görs	personuppgifter som görs eller har
eller har gjorts gemensamt till-	gjorts gemensamt tillgängliga med
gängliga i Skatteverkets brottsbe-	stöd av 2 §. Uppgifter som endast
kämpande verksamhet. Uppgifter	ett fåtal personer har rätt att ta del
som endast ett fåtal personer har	av anses inte som gemensamt
rätt att ta del av anses inte som	tillgängliga.
gemensamt tillgängliga.
Detta kapitel gäller inte när per-	Detta kapitel gäller inte när per-
sonuppgifter behandlas med stöd	sonuppgifter	behandlas med stöd
av 2 kap. 7 §.	av 2 kap.	2 §	brottsdatalagen
	(2018:000).

2 §

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verk- samhet, om den misstänkta verksamheten

585

Prop. 2017/18:269 Bilaga 7

586

a)innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer,

eller

b)sker systematiskt.

2. Uppgifter som förekommer i ett ärende om utredning av brott.
3. Uppgifter som behövs för att			3. Uppgifter			som		behandlas i
fullgöra	internationella	åtaganden,	syfte	att	fullgöra		internationella
om det krävs för att den aktuella			åtaganden, om det krävs för att den
förpliktelsen ska kunna fullgöras.			aktuella		förpliktelsen			ska	kunna
			fullgöras.
			3 §
Om uppgifter som är gemen-			Om uppgifter som har gjorts
samt tillgängliga direkt kan hänfö-			gemensamt tillgängliga direkt kan
ras till en person som inte är miss-			hänföras till en person som inte är
tänkt för brott eller för att ha ut-			misstänkt för att ha utövat eller
övat eller komma att utöva sådan			komma att utöva sådan brottslig
brottslig verksamhet som avses i			verksamhet som avses i 2 § 1, ska
2 § första stycket 1, ska det genom			det genom en särskild upplysning
en särskild upplysning eller på			eller på något annat sätt framgå att
annat sätt framgå att personen inte			personen inte är misstänkt.
är misstänkt.
Uppgifter om en person som kan			Uppgifter om en person som kan
antas ha samband med misstänkt			antas ha direkt samband med så-
brottslig	verksamhet	ska förses	dan	brottslig		verksamhet			som
med en upplysning om uppgifts-			avses i 2 § 1 ska förses med en
lämnarens trovärdighet och upp-			upplysning om			uppgiftslämnarens
gifternas riktighet i sak, om inte			trovärdighet och uppgifternas rik-
detta är onödigt på grund av sär-			tighet i sak, om det inte på grund
skilda omständigheter.			av omständigheterna är onödigt.
			4 §
Vid sökning på namn, person-			Vid	sökning		i	automatiserade
nummer,	samordningsnummer		behandlingssystem på namn, per-
eller andra liknande identitetsbe-			sonnummer, samordningsnummer
teckningar i uppgifter som har			eller andra liknande identitetsbe-
gjorts gemensamt tillgängliga får			teckningar i uppgifter som har
endast sådana uppgifter tas fram			gjorts	gemensamt			tillgängliga får
som anger att den sökta personen			endast sådana uppgifter tas fram
			som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat	3. är misstänkt för att ha utövat
eller komma att utöva sådan	eller komma att utöva sådan
brottslig verksamhet som avses i	brottslig verksamhet som avses i
2 § första stycket 1,	2 § 1,

4.har anmält ett brott,

5.är målsägande i ett ärende som rör ansvar för brott,

6.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

7.har gett in eller tillhandahållits en handling,

8.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

9.är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om begränsning av tillgången till så- dana uppgifter som avses i första stycket.

5 §

Prop. 2017/18:269 Bilaga 7

Bestämmelserna i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa krimi- nella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1.för att förebygga, förhindra eller upptäcka brottslig verksam- het som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller

2.för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om under vilka förutsättningar sök- ning får äga rum med stöd av första och andra styckena. Rege- ringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter om ytterligare undantag

Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende.

Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän

1.när de utför beredningsupp- gifter i underrättelseverksamhet och arbetet befinner sig i ett in- ledande skede,

2.i syfte att i underrättelseverk- samhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller

3.i syfte att utreda brott för vil- ket det är föreskrivet fängelse i fyra år eller mer.

587

Prop. 2017/18:269 Bilaga 7

från 6 §.

6 §

588

Polismyndigheten, Säkerhets-

polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela närmare före- skrifter om omfattningen av direktåtkomsten samt om behörig- het och säkerhet.

Polismyndigheten, Säkerhets-

polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) med- ges direktåtkomst till personupp- gifter som har gjorts gemensamt tillgängliga med stöd av 2 §.

Rätt att meddela föreskrifter

7 §

Regeringen kan med stöd av

8 kap. 7 § regeringsformen med- dela föreskrifter om ytterligare undantag från 4 §.

8 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om

1.begränsning av tillgången till sådana personuppgifter som avses

i4 §,

2.under vilka förutsättningar sökning får utföras med stöd av 5 §, och

3.omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Bevarande och gallring av			4 kap. Längsta			tid som	person-
personuppgifter			uppgifter får behandlas
Generella bestämmelser			Allmän bestämmelse
			1 §
			Detta kapitel gäller bara för
			automatiserad behandling.
Personuppgifter får inte bevaras			Av	2 kap.	17 § första		stycket
under längre tid än vad som be-			brottsdatalagen			(2018:000) fram-
hövs för något eller några av de			går det att personuppgifter inte får
ändamål som anges i lagen.			behandlas under längre tid än vad
			som är nödvändigt med hänsyn till
			ändamålet med behandlingen.
I följande paragrafer anges hur
länge uppgifter	som	behandlas
automatiserat längst får bevaras:
1. 3 § om uppgifter som inte har
gjorts gemensamt tillgängliga,
2. 4–6 §§ om uppgifter i ärenden
om utredning av brott som har
gjorts gemensamt tillgängliga, och
3. 8 § om andra uppgifter som
har gjorts gemensamt tillgängliga
än som anges i 2.
			2 §
Personuppgifter	som	behandlas	Trots det som sägs i 2 kap. 17 §
automatiserat och som inte har			andra	stycket		brottsdatalagen
gjorts gemensamt tillgängliga ska,			(2018:000)		får	personuppgifter
om de behandlas i ett ärende,			som inte har gjorts gemensamt
gallras senast ett år efter det att			tillgängliga inte behandlas längre
ärendet avslutades. Om de inte kan			än
hänföras till ett ärende, ska upp-			1. ett år efter det att ärendet av-
gifterna gallras senast ett år efter			slutades, om de behandlas i ett
det att de behandlades automatise-			ärende, eller
rat första gången.			2. ett år efter det att de be-
			handlades		automatiserat		första
			gången, om de inte kan hänföras
			till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utredning av brott.

3 §

Prop. 2017/18:269 Bilaga 7

Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör brott, får person- uppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbe- kämpande verksamhet. Om en brottsanmälan i annat fall inte har

589

Prop. 2017/18:269 Bilaga 7

lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

annat fall inte har lett till förunder- sökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

					4 §
Om en förundersökning har lett					Om en förundersökning har lett
till åtal eller annan dom-					till åtal eller annan domstols-
stolsprövning,		får personupp-			prövning, får personuppgifterna i
gifterna i förundersökningen				inte	förundersökningen inte behandlas
behandlas i Skatteverkets brotts-					för ändamål inom denna lags
bekämpande	verksamhet		när	det	tillämpningsområde längre än fem
har förflutit fem år efter utgången					år efter utgången av det kalenderår
av det kalenderår då domen, eller					då domstolens avgörande fick laga
det beslut som meddelades med					kraft.
anledning av talan, fick laga kraft.
Om en förundersökning har lagts					Om en förundersökning har lagts
ned eller avslutats på annat sätt än					ner eller avslutats på annat sätt än
genom åtal, får personuppgifterna i					genom åtal, får personuppgifterna i
förundersökningen inte behandlas i					förundersökningen inte behandlas
Skatteverkets		brottsbekämpande			för ändamål inom denna lags
verksamhet när det har förflutit					tillämpningsområde längre än fem
fem år efter utgången av det					år efter utgången av det kalenderår
kalenderår	då	åklagarens		eller	då åklagarens eller förundersök-
förundersökningsledarens			beslut		ningsledarens beslut meddelades.

meddelades.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

6 §

Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt till- gängliga med stöd av 3 kap. 2 § 1 eller 3 som längst behandlas under den tid som anges i 7 och 8 §§.

7 §

590

Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena.

Uppgifter som kan antas ha samband med sådan brottslig verk- samhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter ut- gången av det kalenderår då regi-

Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår

streringen avseende personen gjor- des. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalen- derår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de upp- gifter som finns om personen inte gallras så länge någon av uppgif- terna om honom eller henne får bevaras.

Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gall- ras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslu- tades.

då registreringen avseende perso-	Prop. 2017/18:269
nen gjordes. Personuppgifter som	Bilaga 7
kan antas ha samband med brotts-
lig verksamhet som innefattar brott
för vilket det är föreskrivet fäng-
else i två år eller mer får inte be-
handlas längre än fem år efter
utgången av det kalenderår då
registreringen gjordes. Om en ny
registrering beträffande personens
anknytning till brottslig verksam-
het görs före utgången av de tids-
fristerna, får de uppgifter som
redan finns om personen fortsätta
att behandlas så länge någon av
uppgifterna om honom eller henne
får behandlas.

8 §

Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behand- lades i avslutades.

Rätt att meddela föreskrifter

					9 §
Regeringen eller den myndighet som regeringen bestämmer kan med
stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av person-					1. att vissa kategorier av person-
uppgifter får bevaras i den brotts-					uppgifter	får fortsätta behandlas
bekämpande		verksamheten under			för ändamål inom denna lags
längre tid än vad som anges i 5, 6					tillämpningsområde under längre
och 8 §§,					tid än vad som anges i 3, 4, 7 och
					8 §§,
2. att personuppgifter, med avvi-					2. att	personuppgifter	får be-
kelse	från 3 § första			stycket och	handlas för arkivändamål av all-
8 §,	får bevaras		för	historiska,	mänt intresse eller vetenskapliga,
statistiska		eller	vetenskapliga		statistiska eller historiska ändamål
ändamål, och					under längre tid än vad som anges
					i 2 § första stycket, 7 och 8 §§ och
3. digital arkivering.					3. begränsning av behandlingen
					av personuppgifter för		ändamål	591

Prop. 2017/18:269	inom denna lags tillämpnings-
Bilaga 7	område vid digital arkivering.

5 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,

2.3 kap. 3 § om särskild upplysning, eller

3.4 kap. 2–4, 7 eller 8 § om den längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får över- klagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 januari 2019.

2.En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträ- delser som har skett efter ikraftträdandet.

592

Första och andra styckena gäller endast de register över dna-profiler som regleras i lagen (2010:361) om polisens behandling av person- uppgifter inom brottsdatalagens område.

Om inte annat följer av denna lag eller föreskrifter som regering- en har meddelat i anslutning till

lagen gäller brottsdatalagen (2018:000) och följande författ- ningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samar- bete:

– lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område,

– lagen (2012:145) om Kustbe- vakningens behandling av person- uppgifter inom brottsdatalagens område, eller

– lagen (2017:447) om Tullver- kets behandling av personuppgifter inom brottsdatalagens område.

Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete

Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §,

9 kap. 4 och 5 §§ och 10 kap. 1–3 §§ lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2017/18:269 Bilaga 7

6kap. 1 §

Om inte annat följer av denna lag eller föreskrifter som regering- en har meddelat i anslutning till lagen gäller

– polisdatalagen (2010:361) för polisens behandling av per- sonuppgifter vid internationellt polisiärt samarbete,

– kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och

– tullbrottsdatalagen (2017:447) för Tullverkets behandling av per- sonuppgifter vid internationellt polisiärt samarbete.

7kap. 1 §

Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler.

Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361).

593

Prop. 2017/18:269 Bilaga 7

594

	3 §
Vid samarbete enligt Prüm-		Vid samarbete enligt Prümråds-
rådsbeslutet får ett utländskt kon-		beslutet får ett utländskt kontakt-
taktställe medges direktåtkomst till		ställe	medges		direktåtkomst till
referensuppgifter i svenska finger-		referensuppgifter i svenska finger-
avtrycksregister som förs med stöd		avtrycksregister som förs med stöd
av polisdatalagen (2010:361).		av lagen (2010:361) om polisens
		behandling		av	personuppgifter
		inom brottsdatalagens område.
	4 §
I syfte att förebygga, förhindra		I syfte att förebygga, förhindra
eller upptäcka brottslig verksamhet		eller upptäcka brottslig verksamhet
eller utreda brott får det svenska		eller utreda brott får det svenska
kontaktstället i enskilda fall genom		kontaktstället i enskilda fall genom
direktåtkomst söka uppgifter i en		direktåtkomst söka uppgifter i en
annan stats	fingeravtrycksregister.	annan	stats	fingeravtrycksregister.
Uppgifter får behandlas endast i		Uppgifter får behandlas endast i
den utsträckning den andra staten		den utsträckning den andra staten
tillåter det och om behandlingen i		tillåter det och om behandlingen i
motsvarande fall hade varit tillåten		motsvarande fall hade varit tillåten
i svenska	fingeravtrycksregister	i svenska		fingeravtrycksregister
som förs med stöd av polisdata-		som förs med stöd av lagen
lagen (2010:361).		(2010:361) om polisens behandling
		av personuppgifter inom brotts-
		datalagens område.

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

	7 §
Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid be-		(2018:000) ska tillämpas vid be-
handling av personuppgifter enligt		handling av personuppgifter i strid
detta kapitel eller enligt föreskrif-		med detta kapitel eller föreskrifter
ter som har meddelats i anslutning		som har meddelats i anslutning till
till kapitlet.		kapitlet.

8kap. 3 §

Bestämmelserna i	personupp-	Bestämmelsen		om skadestånd i
giftslagen (1998:204)	om rättelse	7 kap.	1 §	brottsdatalagen
och skadestånd gäller vid be-		(2018:000) ska tillämpas vid be-
handling av personuppgifter enligt		handling av personuppgifter i strid
detta kapitel eller enligt föreskrif-		med detta kapitel eller föreskrifter
ter som har meddelats i anslutning		som har meddelats i anslutning till
till kapitlet.		kapitlet.

9kap. 4 §

Detta är dock tillåtet i brådskande fall om

1.de villkor för sökning som anges i 1 § andra stycket är uppfyllda,

2.det är förenligt med svenska intressen att uppgifterna lämnas ut,

3.den stat som har lagt in uppgifterna i systemet samtycker till det, och

4. förutsättningarna		i	33 och	4. förutsättningarna i 8 kap. 1 §
34 §§	personuppgiftslagen			brottsdatalagen (2018:000) är upp-
(1998:204) är uppfyllda.				fyllda.
			5 §
Bestämmelserna i		personupp-		Vid behandling av personupp-
giftslagen (1998:204)		om	rättelse	gifter enligt detta kapitel eller en-
och skadestånd gäller vid behand-				ligt föreskrifter som har meddelats i
ling av personuppgifter enligt detta				anslutning till kapitlet ska bestäm-
kapitel eller enligt föreskrifter som				melsen om skadestånd i 7 kap. 1 §
har meddelats i anslutning till				brottsdatalagen (2018:000) tilläm-
kapitlet.				pas.

10kap. 1 §

Vid samarbete enligt avtalet med			Vid samarbete enligt avtalet med
USA får ett amerikanskt kontakt-			USA får ett amerikanskt kontakt-
ställe	trots	33 § personuppgifts-	ställe medges	direktåtkomst till
lagen (1998:204) medges direktåt-			referensuppgifter i svenska finger-
komst	till	referensuppgifter i	avtrycksregister som förs med stöd
svenska fingeravtrycksregister som			av lagen (2010:361) om polisens
förs med stöd av polisdatalagen			behandling av	personuppgifter
(2010:361).			inom brottsdatalagens område.

2 §

innefattar ett sådant brott.
Uppgifter		får behandlas			endast	Uppgifter får	behandlas		endast
om	behandlingen		i	motsvarande		om behandlingen i		motsvarande
fall hade varit tillåten i svenska						fall hade varit tillåten i svenska
fingeravtrycksregister				som	förs	fingeravtrycksregister		som	förs
med	stöd	av	polisdatalagen			med stöd av lagen (2010:361) om
(2010:361).						polisens behandling av person-
						uppgifter inom	brottsdatalagens
						område.

Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg.

3 §

Prop. 2017/18:269 Bilaga 7

595

Prop. 2017/18:269 Bilaga 7

596

Bestämmelserna i	personupp-	Vid behandling av personupp-
giftslagen (1998:204)	om rättelse	gifter enligt detta kapitel eller en-
och skadestånd gäller vid be-		ligt föreskrifter som har meddelats
handling av personuppgifter enligt		i anslutning till kapitlet ska be-
detta kapitel eller enligt föreskrif-		stämmelsen om skadestånd i 7 kap.
ter som har meddelats i anslutning		1 § brottsdatalagen (2018:000)
till kapitlet.		tillämpas.

1.Denna lag träder i kraft den 1 januari 2019.

2.Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019.

Förslag till lag om ändring i säkerhetsskyddslagen (2018:000)

Härigenom föreskrivs att 3 kap. 13 och 14 §§ säkerhetsskydds- lagen (2018:000) ska ha följande lydelse.

Prop. 2017/18:269 Bilaga 7

Lydelse enligt prop. 2017/18:89

Föreslagen lydelse

3kap. 13 §

Med registerkontroll avses i	Med registerkontroll	avses att
denna lag att uppgifter hämtas från	uppgifter hämtas från ett register
register som omfattas av lagen	som omfattas av lagen (1998:620)
(1998:620) om belastningsregister	om belastningsregister	eller lagen
eller lagen (1998:621) om miss-	(1998:621) om misstankeregister.
tankeregister. Med registerkontroll	Med registerkontroll avses också
avses också att uppgifter som be-	att uppgifter hämtas som behandlas
handlas med stöd av polisdata-	med stöd av lagen (2010:361) om
lagen (2010:361) hämtas.	polisens behandling av personupp-
	gifter inom brottsdatalagens om-
	råde.

14 §

Registerkontroll ska göras om anställningen eller deltagandet i verk- samheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

För säkerhetsklass 1 eller 2 får					För säkerhetsklass 1 eller 2 får
uppgifter		om	den	kontrollerade	uppgifter		om	den	kontrollerade
som	finns	i	belastningsregistret		som	finns	i	belastningsregistret
eller	misstankeregistret eller som				eller	misstankeregistret				eller som
behandlas med stöd av polisdata-					behandlas med stöd av lagen
lagen (2010:361) hämtas. Motsva-					(2010:361) om polisens behandling
rande uppgifter får även hämtas					av personuppgifter inom brottsda-
om den kontrollerades make eller					talagens område hämtas. Motsva-
sambo.					rande uppgifter får även hämtas
För säkerhetsklass 3 får sådana					om den kontrollerades make eller
uppgifter		om	den	kontrollerade	sambo.
som	finns	i	belastningsregistret		För säkerhetsklass 3 får sådana
eller	misstankeregistret eller som				uppgifter		om	den	kontrollerade
behandlas		hos	Säkerhetspolisen		som	finns	i	belastningsregistret
med stöd av polisdatalagen häm-					eller	misstankeregistret				eller som
tas.					behandlas		hos	Säkerhetspolisen
					med stöd av lagen om polisens
					behandling av personuppgifter
					inom	brottsdatalagens				område
					hämtas.

Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.

597

Prop. 2017/18:269

Bilaga 7

1.Denna lag träder i kraft den 1 april 2019.

2.Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019.

598

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2018-04-25

Närvarande: F.d. justitieråden Ella Nyström och Lena Moore samt justitierådet Thomas Bull

Brottsdatalag - kompletterande lagstiftning

Enligt en lagrådsremiss den 5 april 2018 har regeringen (Justitiedeparte- mentet) beslutat inhämta Lagrådets yttrande över förslag till

1.lag om domstolarnas behandling av personuppgifter inom brotts- datalagens område,

2.lag om ändring i rättegångsbalken,

3.lag om ändring i polislagen (1984:387),

4.lag om ändring i säkerhetsskyddslagen (1996:627)

5.lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,

6.lag om ändring i lagen (2000:344) om Schengens informations- system,

7.lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,

8.lag om ändring i lagen (2001:617) om behandling av person- uppgifter inom kriminalvården,

9.lag om ändring i lagen (2005:321) om tillträdesförbud vid idrotts- arrangemang,

10.lag om ändring i lagen (2007:980) om tillsyn över viss brotts- bekämpande verksamhet,

11.lag om ändring i offentlighets- och sekretesslagen (2009:400),

12.lag om ändring i polisdatalagen (2010:361),

13.lag om ändring i kustbevakningsdatalagen (2012:145),

14.lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas,

15.lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang,

16.lag om ändring i åklagardatalagen (2015:433),

17.lag om ändring i domstolsdatalagen (2015:728),

18.lag om ändring i utlänningsdatalagen (2016:27),

19.lag om ändring i tullagen (2016:253),

20.lag om ändring i tullbrottsdatalagen (2017:447),

21.lag om ändring i skattebrottsdatalagen (2017:452),

22.lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete,

23.lag om ändring i säkerhetsskyddslagen (2018:000).

Förslagen har inför Lagrådet föredragits av kansliråden Peter Lindström och Leena Mildenberger samt rättssakkunniga David Brandell, Johanna Gustafsson och Peter Munck.

Prop. 2017/18:269 Bilaga 8

599

Prop. 2017/18:269 Bilaga 8

600

Förslagen föranleder följande yttrande av Lagrådet:

Lagstiftningens komplexitet

Lagrådsremissen ingår i en rad av lagförslag på området för behandling av personuppgifter. De är alla föranledda av att ikraftträdandet av EU:s dataskyddsförordning och dataskyddsdirektiv under våren 2018 medför nya krav på svensk lagstiftning. För att möta dessa krav har två parallella regelverk tillkommit, där dataskyddslagen kompletterar förordningen och brottsdatalagen genomför direktivet. Lagarna har karaktär av ramlagar och kompletteras i sin tur av specifika registerlagar för vissa myndigheter eller områden. Mellan författningarna råder det förhållandet att de specifika lagarna ska gälla utöver eller som avvikelse från det som anges i ramlagarna. Till detta kommer att speciallagarna konstruerats så att de i sin tur förutsätter att regeringen, eller myndighet som regeringen bestämmer, genom föreskrifter ytterligare kompletterar eller avviker från lagarna.

Sammantaget är regelverket svåröverskådligt eftersom vissa rättsregler utgör preciseringar av ramlagarna, andra är undantag från eller kompletterar dessa. Vilket förhållande en viss regel har i förhållande till andra kan ibland utläsas av sammanhanget och framgår andra gånger av författningskommentaren. Ibland förblir dess roll dock oklar för alla som inte har kännedom om hur det tidigare regelverket – vars funktion i stort sett bevaras genom ändringarna – var konstruerat. Det finns vidare gränsdragningsproblem mellan det regelverk som sorterar under förordningen och det som hör till direktivet. För en läsare som inte är väl bekant med systemet ter det sig i allt väsentligt som svårbegripligt.

Sverige har i hög grad varit bunden av unionsrättsliga krav vid genomförandet av lagstiftningsprojekten ifråga och de påpekade bristerna har också sin grund i rättsakternas utformning med en förordning och ett direktiv. Den korta genomförandetiden har även haft betydelse. Inte desto mindre framstår det som önskvärt att i framtiden försöka åtgärda regelverkets strukturella utformning så att det blir klarare och mer överskådligt.

I samband med frågan om regelverkets strukturella utformning vill Lagrådet uppmärksamma en fråga av mer direkt rättslig karaktär. I de ovan nämnda speciallagarna förekommer inte sällan bestämmelser som påminner om regeringens möjlighet att med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter. Vissa av dessa bestämmelser är tämligen detaljerade i vad regeringen kan tänkas komma att utnyttja sin restkompetens till, medan andra är mer allmänt hållna.

En synpunkt gäller huruvida det alls är möjligt att använda regeringens restkompetens i en del av de nu aktuella fallen. Regeringens normgivningskompetens bygger på att de föreskrifter som meddelas kan sägas gälla gynnande eller neutrala sakområden i förhållande till enskilda som berörs. När en rättsregel kan betecknas som en betungande offentligrättslig reglering så förutsätter regeringsformens regler i 8 kap.

istället att regeringen får normgivningskompetens	genom ett Prop. 2017/18:269
bemyndigande från riksdagen.	Bilaga 8

En utgångspunkt i detta lagstiftningsärende är att regleringen utgör ett skydd för enskildas personliga integritet. Regeringen förutsätts – såsom redan gäller i dag – i förordning ange vissa fall när det är tillåtet att behandla personuppgifter under längre tid än vad som medges i lag. Det kan ifrågasättas om föreskrifter vars sakliga innebörd är en försämring av ett i lag stadgat skydd verkligen kan anses som gynnande eller neutrala i förhållande till de enskilda. Att föreskrifterna i registerförfattningarna generellt sett kan karakteriseras som så ändrar inte just dessa föreskrifters karaktär. Om föreskrifterna inte kan anses vara gynnande eller neutrala får regeringen inte meddela dem med stöd av sin restkompetens. Frågan bör övervägas ytterligare under den fortsatta beredningen.

I tillägg kan nämnas att lagstiftningstekniken också väcker frågor om förhållandet till den formella lagkraftens princip (8 kap. 18 § regeringsformen). Av propositionen till den nya dataskyddslagen framgår att regeringen gjort bedömningen att det är förenligt med grundlag att, utanför området för det specifika skyddet av personlig integritet i 2 kap. 6 § andra stycket regeringsformen, begränsa den formella lagkraftens princip (prop. 2017/18:105 s. 26 f.). Eftersom de regler som här diskuteras – där regeringen genom förordning utsträcker en i lag angiven längsta tid för behandling av personuppgifter – har en direkt koppling till skyddet av personlig integritet kan frågan ställas om regeringens mer allmänna bedömning i ärendet om dataskyddslagen också har bärkraft här. Även denna fråga bör föranleda ytterligare överväganden.

Ändringslagar eller nya lagar?

–lagförslag 8, 12, 13, 15, 16, 20 och 21

I sju registerlagar föreslås mycket omfattande lagändringar. Flera kapitel upphävs, nya kapitel införs, många kvarvarande paragrafer ändras och ges ofta en ny beteckning. I tre av lagarna ändras samtliga paragrafer (lagförslag 8, 13 och 16), i två ändras alla paragrafer utom en (lagförslag 20 och 21) och i två ändras alla paragrafer utom två (lagförslag 12 och 15). Samtliga sju lagar föreslås vidare få ett nytt namn.

Vid föredragningen har upplysts att anledningen till att det inte föreslås nya lagar är att förslagen endast innehåller ändringar som föranleds av brottsdatalagen och att många bestämmelser därför inte har varit föremål för en sådan analys och granskning som bör krävas när ny lag beslutas.

Det handlar om en omfattande och komplex lagstiftning och Lagrådet har förståelse för att någon fullständig analys och granskning av lagarnas alla paragrafer inte har varit möjlig att göra med hänsyn till den korta genomförandetiden. Lagarna kommer emellertid ändå att framstå som helt omarbetade eftersom i princip alla paragrafer kommer att vara försedda med ett SFS-nummer från 2018 i den konsoliderade versionen av lagarna, t.ex. på riksdagens hemsida.

601

Prop. 2017/18:269 Bilaga 8

602

Till detta kommer att alla lagar får nya namn. Bortsett från lagförslag 15 innehåller de nya namnen orden ”behandling av personuppgifter inom brottsdatalagens område”. Brottsdatalagen kommer att utfärdas år 2018, vilket medför att det blir förvirrande när lagarna behåller sina gamla SFS-nr. Angående de nya namnen, se vidare nedan.

Lagrådet kan mot den angivna bakgrunden inte tillstyrka att lagändringarna sker genom ändringslagar utan förordar att samtliga sju lagar upphävs och ersätts med nya lagar. Att lagarna därmed kan komma att innehålla några bestämmelser som efter en mer ingående analys skulle ha fått en annan utformning kan accepteras med hänsyn till att det är fråga om bestämmelser som överförs från nu gällande lag.

Registerlagarnas nya namn – lagförslag 1, 8, 12, 13, 16, 20 och 21

Enligt remissen ska registerlagarna få nya namn, ”Lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område”, ”Lag om polisens behandling av personuppgifter inom brottsdatalagens område” osv. Den nya lagen för domstolarnas hantering av personuppgifter (lagförslag 1) har fått ett motsvarande namn. Det är långa och otympliga namn som tynger vid hänvisningar till de aktuella lagarna i annan lag. Dessutom kommer namnen knappast att kunna användas i det dagliga arbetet. Rimligen kommer lagarna att benämnas ”Kriminalvårdens brottsdatalag”, ”Polisens brottsdatalag” osv., det vill säga de namn som utredningen föreslagit. Lagrådet förordar att lagarna enligt lagförslag 1, 8, 12, 13, 16, 20 och 21 ges de namn som utredningen föreslagit. Det nya namnet på lagen om register över tillträdesförbud vid idrottsarrangemang (lagförslag 15) överensstämmer redan med utredningens förslag.

12. Förslaget till lag om ändring i polisdatalagen

6 kap. 3 §

Lagrådet förordar en utformning som närmare anknyter till gällande lydelse, med de anpassningar som brottsdatalagen kräver. Följande formulering föreslås.

Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får om det är nödvändigt även behandlas för nya ändamål inom brottsdatalagens tillämpningsområde.

I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brottsdatalagen.

Övriga lagförslag

Lagrådet lämnar förslagen utan erinran.

Prop. 2017/18:269

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 14 juni 2018

Närvarande: statsminister Löfven, ordförande, och statsråden Lövin,

Wallström, Y Johansson, M Johansson, Baylan, Andersson, Hellmark

Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi,

Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth

Föredragande: statsrådet M Johansson

Regeringen beslutar proposition Brottsdatalag - kompletterande lagstiftning

603

		uppgifter .......................................................	254
	13.3.3	Utlämnande av personuppgifter....................	255
13.4	Kriminalvårdens register ...............................................		256
	13.4.1	Nuvarande reglering .....................................	256
	13.4.2	Hur bör den framtida regleringen se ut? .......	257
13.5	Säkerhetsregistret ..........................................................		258
	13.5.1	Reglering i lag ..............................................	258
	13.5.2	Registrering av häktade och intagna .............	259