Brottsdatalag

Delbetänkande av Utredningen om 2016 års dataskyddsdirektiv

Stockholm 2017

SOU 2017:29

Innehåll

SOU 2017:29

2	Utredningens uppdrag och arbete................................	79
2.1	Utredningsuppdraget .............................................................	79
2.2	Genomförande av uppdraget .................................................	80
2.3	Avgränsningen av uppdraget..................................................	81

3	Dagens reglering av behandlingen av personuppgifter ....		83
3.1	Huvuddragen i dagens personuppgiftsreglering...................		83
	3.1.1	Regeringsformen och Europakonventionen .........	83
	3.1.2	Personuppgiftslagen................................................	84

3.1.3Personuppgiftslagens förhållande till annan

	lagstiftning...............................................................	91
3.2 Särregler för brottsbekämpande verksamhet........................		91
3.2.1	Polisen......................................................................	91
3.2.2	Tullverket.................................................................	95
3.2.3	Kustbevakningen.....................................................	97
3.2.4	Skatteverket.............................................................	99
3.2.5	Åklagarväsendet ....................................................	101
3.2.6	Lagen om internationellt polisiärt samarbete......	102
3.2.7	Lagen om internationellt tullsamarbete...............	102

3.2.8Lagen om register över tillträdesförbud vid

	idrottsarrangemang ...............................................	103
3.3 Särregler för lagföring ..........................................................		103
3.3.1	Åklagarväsendet ....................................................	103
3.3.2	Domstolsväsendet.................................................	106

3.3.3Register över ordningsbot och

strafföreläggande...................................................	107
3.4 Särregler för verkställighet av straff ....................................	109

3.4.1Särreglering bara för vissa former av

verkställighet .........................................................

109

3.4.2Verkställighet av fängelse, skyddstillsyn och

	villkorlig dom med samhällstjänst........................	110
3.4.3	Verkställighet av bötesstraff.................................	112

3.4.4Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och

ungdomstjänst.......................................................

113

4

SOU 2017:29

Innehåll

3.4.5	Internationellt samarbete rörande
	verkställighet av straffrättsliga påföljder..............	115

3.5Regler om personuppgiftsbehandling hos andra aktörer

än myndigheter .....................................................................

115

3.5.1Uppgifter om brottsbekämpning, lagföring

eller straffverkställighet.........................................

115

3.5.2Offentliga försvarare och annat juridiskt

		biträde.....................................................................	116
	3.5.3	Idrottsorganisationer.............................................	117
3.6	2013 års lag ............................................................................		117
4	Reformer på dataskyddsområdet ...............................		119
4.1	Gällande unionsrättsakter ....................................................		119
	4.1.1	Rättighetsstadgan ..................................................	119
	4.1.2	1995 års dataskyddsdirektiv ..................................	119
	4.1.3	Dataskyddsrambeslutet.........................................	120
4.2	Europeiska unionens dataskyddsreform .............................		120
	4.2.1	Två nya rättsliga instrument .................................	120
	4.2.2	En dataskyddsförordning......................................	121
	4.2.3	Ett nytt dataskyddsdirektiv ..................................	122
	4.2.4	Viss personuppgiftsbehandling ligger utanför
		båda instrumenten .................................................	123
4.3	Dataskyddskonventionen.....................................................		123
5	Det nya dataskyddsdirektivet ....................................		125
5.1	Allmänt om direktivet ..........................................................		125
5.2	Innehållet i direktivet............................................................		125
6	En ny ramlag...........................................................		137

6.1En ramlag för brottsbekämpning, lagföring och

straffverkställighet bör införas.............................................		137
6.1.1	En ny reglering behövs..........................................	137
6.1.2	En generellt tillämplig men subsidiär lag .............	139
6.1.3	Ramlagens syfte .....................................................	144
6.1.4	2013 års lag bör upphävas......................................	145

5

Innehåll

SOU 2017:29

6.2	Uttryck i ramlagen ...............................................................		146
6.3	Dataskyddsbestämmelser i tidigare rättsakter och avtal ....		154
7	Ramlagens tillämpningsområde.................................		159
7.1	Utformningen av tillämpningsområdet ..............................		159
	7.1.1	Personuppgiftsbehandling som behöriga
		myndigheter utför för vissa syften.......................	159

7.1.2Personuppgiftsbehandling som rör

brottsbekämpning, lagföring och
straffverkställighet ................................................	161

7.1.3Personuppgiftsbehandling som rör allmän

	ordning och säkerhet ............................................	164
7.1.4	Vad är en behörig myndighet? .............................	169

7.1.5Arbetsuppgifterna är avgörande för när en

	myndighet är behörig............................................	171
7.1.6	Helt eller delvis automatiserad behandling .........	173
7.2 Undantag från tillämpningsområdet ...................................		174

7.2.1Personuppgiftsbehandling som rör nationell

säkerhet..................................................................

174

7.2.2Den gemensamma utrikes- och

säkerhetspolitiken .................................................

178

7.3Förhållandet till offentlighetsprincipen och till tryck-

	och yttrandefriheten.............................................................		179
8	Gränsdragningsfrågor som rör tillämpningsområdet .....		181
8.1	Några allmänna principer för gränsdragningen ..................		181
8.2	Gränsdragningsfrågor som rör brottsbekämpning.............		185
	8.2.1	Anmälan om brott.................................................	185
	8.2.2	Användning av straffprocessuella tvångsmedel...	187

8.2.3Utredning av brott som begåtts av någon

under 15 år.............................................................

188

8.2.4Stödverksamhet till den brottsbekämpande

	verksamheten.........................................................	189
8.2.5	Häktesverksamhet.................................................	191
8.2.6	Handräcknings- och transportverksamhet..........	193
8.2.7	Samverkan mot organiserad brottslighet.............	195

6

SOU 2017:29		Innehåll
8.2.8	Viss skyddslagstiftning..........................................	196

8.2.9Omhändertagande och förstörande av alkohol

och narkotika m.m.................................................

197

8.2.10Kontrollverksamhet eller brottsbekämpning?..... 198

8.2.11Allmän övervakning eller brottsbekämpning?..... 203

8.3 Gränsdragningsfrågor som rör lagföring.............................		206
8.3.1	Åklagaruppgifter....................................................	206
8.3.2	Brottmålshantering i domstol...............................	207
8.3.3	Särskild talan i brottmål ........................................	208
8.3.4	Talan om förbud i vissa fall ...................................	211
8.3.5	Personutredning i brottmål...................................	214
8.3.6	Behandling av uppgifter om lagöverträdelser ......	215

8.4Gränsdragningsfrågor som rör verkställighet av

påföljder	.................................................................................	217
8.4.1 .............................	Verkställighet av fängelsestraff	217
8.4.2 .................	Verkställighet av sluten ungdomsvård	221
8.4.3 ........................	Verkställighet av frivårdspåföljder	221
8.4.4 .................................	Verkställighet av bötesstraff	222
8.4.5 ......	Verkställighet av påföljder som innebär vård	224

8.4.6Domstolsprövning av vissa

verkställighetsfrågor..............................................

225

8.5Gränsdragningsfrågor som rör upprätthållande av

allmän ordning och säkerhet ................................................		227
8.5.1	Tvångsingripanden vid ordningsstörningar .........	227
8.5.2	Tillträdesförbud vid idrottsarrangemang .............	228
8.5.3	Militärpolisen.........................................................	229

8.5.4Ordningsvakter och andra med likartade

		uppgifter.................................................................	230
	8.5.5	Lagstiftning av i huvudsak social karaktär ...........	232
9	Principer för behandling av personuppgifter ...............		235

9.1Behandling för ändamål inom ramlagens

tillämpningsområde ..............................................................

235

9.1.1Förutsättningarna för att få behandla

	personuppgifter .....................................................	235
9.1.2	Rättslig grund för behandling – huvudregeln ......	236

7

Innehåll

SOU 2017:29

9.1.3Rättslig grund i undantagsfall för diarieföring

och handläggning ..................................................

239

9.1.4Skillnad mellan bestämmelser om rättslig grund för behandling och

ändamålsbestämmelser..........................................

240

9.1.5Behandling bara för särskilda, uttryckligt

	angivna och berättigade ändamål..........................	242
9.1.6	Behandling för nya ändamål .................................	246

9.1.7Behandling för vetenskapliga, statistiska och

historiska ändamål.................................................	253
9.2 Grundläggande krav på behandlingen .................................	254

9.2.1Ingen generell bestämmelse om

grundläggande principer .......................................

254

9.2.2Personuppgifter ska vara korrekta och

adekvata .................................................................

257

9.2.3Olika typer av personuppgifter ska skiljas från

	varandra..................................................................	260
9.2.4	Känsliga personuppgifter......................................	263

9.2.5Inga ytterligare regler om vilka

		personuppgifter som får behandlas......................	276
	9.2.6	Åtgärder för att säkerställa
		personuppgifternas kvalitet ..................................	278
9.3	Längsta tid som personuppgifter får behandlas..................		282
	9.3.1	Terminologin bör renodlas...................................	282
	9.3.2	Hur länge får personuppgifter behandlas? ..........	284
9.4	Automatiserade beslut..........................................................		287
9.5	Användningsbegränsning.....................................................		288

9.6Behandling för ändamål utanför ramlagens

	tillämpningsområde..............................................................		291
10	Personuppgiftsansvarigas skyldigheter .......................		297
10.1	Vad innebär personuppgiftsansvar?.....................................		297
	10.1.1	Definition av personuppgiftsansvarig..................	297
	10.1.2	Personuppgiftsansvarets omfattning ...................	298

8

SOU 2017:29 Innehåll

10.2 Skyldigheten att säkerställa författningsenlig
	behandling .............................................................................		300
	10.2.1 Tekniska och organisatoriska åtgärder.................		300
	10.2.2	Loggning ................................................................	305
	10.2.3	Tillgången till personuppgifter .............................	311
	10.2.4	Konsekvensbedömning.........................................	313
	10.2.5	Förhandssamråd med tillsynsmyndigheten .........	314
	10.2.6	Samarbete med tillsynsmyndigheten....................	318
	10.2.7 Skyldighet att förteckna behandlingar .................		319
	10.2.8	Anmälan av överträdelser......................................	323
10.3	Säkerheten för personuppgifter ...........................................		325
10.4	Personuppgiftsincidenter .....................................................		328
	10.4.1 Vad är en personuppgiftsincident?.......................		328
	10.4.2	Anmälan till tillsynsmyndigheten ........................	330
	10.4.3 Underrättelse till den registrerade........................		334

10.4.4Dokumentations- och underrättelseskyldighet... 338

10.5	Dataskyddsombud ................................................................		339
	10.5.1	Definition av dataskyddsombud...........................	339
	10.5.2	Krav på dataskyddsombud....................................	340
	10.5.3	Dataskyddsombudens arbetsuppgifter.................	344
10.6	Personuppgiftsbiträden ........................................................		348
	10.6.1	Definition av personuppgiftsbiträde ....................	348
	10.6.2	Anlitande av personuppgiftsbiträden ...................	349
	10.6.3	Behandling enligt den
		personuppgiftsansvariges instruktioner...............	354
	10.6.4 Skyldighet att förteckna behandlingar .................		356
	10.6.5	Övriga skyldigheter för
		personuppgiftsbiträden .........................................	357
10.7	Gemensamt personuppgiftsansvar.......................................		359
	10.7.1 Gemensamt personuppgiftsansvar i dag...............		359
	10.7.2 En tydligare reglering av gemensamt
		personuppgiftsansvar.............................................	361
10.8	Föreskriftsrätt .......................................................................		364

9

Innehåll

SOU 2017:29

11	Enskildas rättigheter ................................................		367
11.1	Tydligare reglering av enskildas rättigheter ........................		367
11.2	Rätten till information .........................................................		367
	11.2.1 Allmänt om rätten till information......................		367
	11.2.2 Reglerna om information i straffrättsliga
		förfaranden har företräde......................................	370
	11.2.3	Innehållet i direktivet............................................	371
	11.2.4	Nuvarande reglering..............................................	372
	11.2.5 Innebörden av artiklarna om information ...........		374
	11.2.6 Allmän information som ska göras tillgänglig ....		377
	11.2.7 Information som ska lämnas i specifika fall ........		378
	11.2.8 Information som ska lämnas på begäran .............		381
	11.2.9 Information om automatiserade beslut ...............		389
11.3	Begränsning av rätten till information ................................		390
	11.3.1 Rätten till information får begränsas ...................		390
	11.3.2	Kategorier av behandling ......................................	396
	11.3.3 Ofärdig text och minnesanteckningar .................		397

11.3.4Orimliga eller uppenbart ogrundade

		framställningar.......................................................	400
11.4	Rättelse, radering och begränsning av behandlingen..........		402
	11.4.1 Rätten till rättelse och komplettering..................		402
	11.4.2	Rätten till radering ................................................	405
	11.4.3	Begränsning av behandlingen ...............................	407
	11.4.4	Val av åtgärd ..........................................................	412
11.5	Hur informationen ska begäras och lämnas........................		413

11.5.1Kraven på informationen och på den som

begär information..................................................	413
11.5.2 Skriftlig begäran ....................................................	413

11.5.3Åtgärder för att säkerställa att begäran görs av

en behörig person..................................................	414
11.5.4 Lättbegriplig information i lämplig form ............	415
11.5.5 Åtgärder som underlättar utövandet av
rättigheterna ..........................................................	417
11.5.6 Skyldighet att informera om handläggningen .....	418
11.5.7 Beslut ska vara skriftliga och motiverade ............	419
11.5.8 Underrättelseskyldighet .......................................	420

10

SOU 2017:29 Innehåll

	11.5.9 Information ska inte avgiftsbeläggas....................		424
12	Tillsyn	....................................................................	425
12.1	Dagens tillsyn över personuppgiftsbehandling...................		425
	12.1.1 ...................................................	Datainspektionen	425
	12.1.2 ..........	Säkerhets - och integritetsskyddsnämnden	426
	12.1.3 ...............................................................	JO och JK	428
12.2	Utgångspunkter för utredningens överväganden om
	tillsyn .....................................................................................		428
12.3	Tillsynsmyndighet .....................................enligt direktivet		432

12.3.1Förslaget från Utredningen om tillsyn över

	den personliga integriteten ...................................	432
12.3.2	Annan tillsyn kan också förekomma....................	433
12.4 Tillsynsområdet.....................................................................		433
12.4.1	Tillsynsområdet bör slås fast i en definition........	433

12.4.2Ingen förändring av tillsynen över dömande

		verksamhet .............................................................	435
12.5	Tillsynsmyndighetens uppdrag ............................................		441
	12.5.1 Tillsynsmyndighetens oberoende ska värnas.......		441
	12.5.2 Tillsynsmyndigheten ska ha dubbla perspektiv...		443
12.6	Tillsynsmyndighetens uppgifter ..........................................		445
	12.6.1 Huvuduppgifterna bör regleras i ramlagen ..........		445
	12.6.2	Klagomål från enskilda..........................................	447
	12.6.3 Kontroll av om behandling är
		författningsenlig ....................................................	450
	12.6.4	Information och rådgivning..................................	456
12.7	Tillsynsmyndighetens befogenheter....................................		460
	12.7.1 Hur bör tillsynen bedrivas? ..................................		460
	12.7.2	Utgångspunkterna för regleringen.......................	462
	12.7.3	Undersökningsbefogenheter ................................	463

12.7.4Skillnad mellan förebyggande och

	korrigerande befogenheter....................................	466
12.7.5	Förebyggande befogenheter .................................	468
12.7.6	Korrigerande befogenheter...................................	470
12.8 Handläggningen av tillsynsfrågor ........................................		473

11

Innehåll

SOU 2017:29

	12.8.1	Förvaltningslagens tillämplighet ..........................	473
	12.8.2	Kommunikationsskyldighet .................................	474
	12.8.3	Beslut ska gälla när de fått laga kraft....................	475
	12.8.4	Anmälningsskyldighet ..........................................	476
12.9	Möjlighet att ifrågasätta giltigheten av unionsrättsakter ...		477
12.10	Internationellt samarbete.....................................................		479
	12.10.1	Skyldighet att bistå en tillsynsmyndighet i en
		annan medlemsstat................................................	479
	12.10.2	Svensk begäran om bistånd av en annan
		medlemsstat...........................................................	481
12.11	Tillsyn ska vara avgiftsfri......................................................		483
	12.11.1	Tillsynsmyndigheten ska inte kunna ta ut
		avgifter ...................................................................	483
	12.11.2	Ersättning för bistånd till en annan
		medlemsstat...........................................................	484
12.12	Övriga frågor ........................................................................		486
13	Sanktioner ..............................................................		489
13.1	Utgångspunkter för valet av sanktionssystem....................		489
	13.1.1	Olika typer av sanktioner .....................................	489
	13.1.2	Innehållet i direktivet och nuvarande reglering...	489
	13.1.3	Ett sammanhållet sanktionssystem......................	491
13.2	Vilket sanktionssystem bör väljas?......................................		492
	13.2.1	Ingen straffbestämmelse i ramlagen.....................	492
	13.2.2	En ny administrativ sanktion ska införas ............	496
13.3	Utformningen av sanktionsavgiftssystemet .......................		501
13.4	Vem ska betala sanktionsavgift?..........................................		504
13.5	Vad ska föranleda sanktionsavgift? .....................................		505
	13.5.1	Allmänna utgångspunkter ....................................	505

13.5.2Överträdelser som kan föranleda

	sanktionsavgift ......................................................	506
13.5.3	Ska sanktionsavgift alltid tas ut? ..........................	510
13.6 Hur sanktionsavgiften ska bestämmas................................		512
13.6.1	Sanktionsavgiftens storlek....................................	512

12

SOU 2017:29

Innehåll

13.6.2Hur avgiften ska bestämmas i det enskilda

		fallet........................................................................	517
13.7	Beslut om sanktionsavgift ....................................................		520
	13.7.1 Vem ska besluta om sanktionsavgift? ..................		520
	13.7.2 Förfarandet vid beslut om sanktionsavgift ..........		521
	13.7.3	Betalning och verkställighet..................................	523
	13.7.4	Överklagande.........................................................	524
13.8	Sanktionsavgift och Europakonventionen ..........................		524
	13.8.1 Konventionens krav på rättssäkerhetsgarantier...		524
	13.8.2 Konventionens förbud mot dubbelprövning.......		525
14	Rättsmedel och skadestånd ......................................		527
14.1	Krav på effektiva rättsmedel vid felaktig
	personuppgiftsbehandling ....................................................		527
14.2	Talerätt för registrerade........................................................		529
14.3	Skadestånd.............................................................................		530
	14.3.1	Det allmännas skadeståndsansvar.........................	530

14.3.2Skadeståndsskyldighet för

		personuppgiftsansvariga........................................	532
14.4	Överklagande av en myndighets beslut i egenskap av
	personuppgiftsansvarig.........................................................		537
14.5	Klagomål................................................................................		540
14.6	Dröjsmålstalan ......................................................................		545
	14.6.1 En särskild reglering behövs .................................		545
	14.6.2	Handläggningen hos tillsynsmyndigheten...........	550
	14.6.3	Domstolsprövningen.............................................	554
14.7	Överklagande av tillsynsmyndighetens beslut....................		557

14.7.1Tillsynsmyndighetens beslut ska kunna

överklagas...............................................................	557
14.7.2 Det behövs ingen ny forumregel ..........................	562
14.8 Rättsmedlen är oberoende av varandra................................	563

14.9 Rätt för ideella organisationer att företräda registrerade ... 564

13

Innehåll

SOU 2017:29

15	Överföring till tredjeland och internationella
	organisationer..........................................................		569
15.1	Bakgrund...............................................................................		569
	15.1.1	2013 års lag ............................................................	569
	15.1.2	Personuppgiftslagen..............................................	570
	15.1.3	Innehållet i direktivet............................................	571
15.2	Några grundläggande begrepp .............................................		572
	15.2.1	Överföring.............................................................	572
	15.2.2	Medlemsstat...........................................................	574
	15.2.3	Tredjeland..............................................................	578
	15.2.4	Internationell organisation ...................................	578
	15.2.5	Internationella avtal ..............................................	579
15.3	Allmänna principer för överföring av personuppgifter......		580
	15.3.1 Grundläggande förutsättningar för överföring ...		580

15.3.2Överföringen ska vara nödvändig för ett visst

		ändamål och riktas till en behörig myndighet .....	583
	15.3.3 Viss skyddsnivå ska vara säkerställd ....................		585
	15.3.4 Överföring av uppgifter från andra
		medlemsstater ska vara medgiven ........................	586
15.4	Beslut om adekvat skyddsnivå .............................................		589
15.5	Tillräckliga skyddsåtgärder ..................................................		591
15.6	Undantag i särskilda situationer ..........................................		595
	15.6.1 Överföringen ska vara nödvändig i en särskild
		situation .................................................................	595
	15.6.2	Enskildas vitala intressen......................................	599
	15.6.3	Registrerades berättigade intressen......................	601
	15.6.4 Myndigheters intresse i enskilda fall....................		602
	15.6.5 Rättsliga anspråk i enskilda fall ............................		604
	15.6.6 Allvarlig fara för allmän säkerhet .........................		605
	15.6.7 En intresseavvägning ska göras i vissa fall ...........		606
15.7	Vidareöverföring...................................................................		607
15.8	Överföring till andra än behöriga myndigheter..................		611

15.8.1Förutsättningarna för överföring till andra än

behöriga myndigheter...........................................	611
15.8.2 Överföringen ska vara absolut nödvändig...........	614

14

SOU 2017:29

Innehåll

15.8.3Överföring till behörig myndighet blir

	ineffektiv eller är olämplig ....................................	615
15.8.4	En intresseavvägning ska göras.............................	617
15.9 Villkor för användningen av personuppgifter .....................		618
15.9.1	Villkor som ställs upp av utländska
	myndigheter eller organ ........................................	618

15.9.2Villkor när personuppgifter överförs av

		svenska myndigheter .............................................	619
15.10 Dokumentationskrav och informationsskyldighet.............			621
15.11	Internationellt samarbete .....................................................		624
15.12	Sekretess vid överföring till tredjeland ................................		625
	15.12.1	Överföring innebär utlämnande ...........................	625
	15.12.2	Utlämnande av offentliga allmänna handlingar
		till tredjeland..........................................................	625
	15.12.3	Uppgifter som inte är sekretessbelagda ...............	626
	15.12.4	Uppgifter som är sekretessbelagda.......................	626
16	Sekretessfrågor .......................................................		629
16.1	Allmänt om offentlighet och sekretess ...............................		629
	16.1.1	Rätten att ta del av allmänna handlingar ..............	629
	16.1.2	Huvuddragen i sekretessregleringen ....................	629
16.2	Ändrade regler om sekretess och tystnadsplikt med
	anledning av dataskyddsreformen........................................		631
16.3	Sekretess i tillsynsverksamheten..........................................		632
	16.3.1	Nuvarande reglering..............................................	632
	16.3.2	Behovet av en ny sekretessbestämmelse ..............	635
	16.3.3	Utformningen av sekretessbestämmelsen............	638
	16.3.4	En sekretessbrytande regel för
		tillsynsverksamheten .............................................	641
	16.3.5	En hänvisningsbestämmelse bör införas ..............	643
16.4	Sekretess för sammanställningar av känsliga
	personuppgifter.....................................................................		643
16.5	Sekretess för rapporter om personuppgiftsincidenter........		645

15

Innehåll

SOU 2017:29

17	Konsekvenser ..........................................................		647
17.1	Få helt nya krav eller arbetsuppgifter men skärpta krav i
	vissa fall	.................................................................................	647
17.2	Ekonomiska ...................................................konsekvenser		649
	17.2.1 .......................................	Konsekvenser för staten	649
	17.2.2 .......Konsekvenser för kommuner och landsting		651
	17.2.3 ....................................	Konsekvenser för enskilda	651
17.3	Konsekvenser för brottsligheten och det
	brottsförebyggande ..................................................arbetet		652
17.4	Konsekvenser ...........................................................i övrigt		652

18	Ikraftträdande och övergångsbestämmelser ................		655
18.1	Ikraftträdande.......................................................................		655
18.2	Övergångsbestämmelser ......................................................		655
	18.2.1 Den nya dataskyddsregleringen medför
		särskilda övergångsproblem..................................	655
	18.2.2	Ärendehandläggning m.m. ...................................	658
	18.2.3 Övergångsbestämmelser till det nya
		sanktionssystemet.................................................	659
	18.2.4	Övergångsbestämmelser i övrigt..........................	662

19	Författningskommentar ............................................	665
19.1	Förslaget till brottsdatalag ...................................................	665
19.2	Förslaget till lag om ändring i lagen (2000:562) om
	internationell rättslig hjälp i brottmål .................................	771
19.3	Förslaget till lag om ändring i lagen (2000:1219) om
	internationellt tullsamarbete................................................	771
19.4	Förslaget till lag om ändring i lagen (2003:1174) om
	vissa former av internationellt samarbete i
	brottsutredningar..................................................................	771
19.5	Förslaget till lag om ändring i offentlighets- och
	sekretesslagen (2009:400) ....................................................	772

16

SOU 2017:29 Innehåll

19.6 Förslaget till lag om ändring i lagen (2017:000) om
internationellt polisiärt samarbete .......................................		774
Särskilda yttranden ..........................................................		775
Bilagor
Bilaga 1	Kommittédirektiv 2016:21 ...........................................	781
Bilaga 2	Europaparlamentets och rådets direktiv (EU)
	2016/680........................................................................	795

17

Sammanfattning

SOU 2017:29

En ny ramlag

Utredningen föreslår att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säker- ställa att behöriga myndigheter kan behandla och utbyta person- uppgifter med varandra på ett ändamålsenligt sätt. Lagen ska – i lik- het med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär. De myndigheter som bedriver verksamhet inom lagens tillämpnings- område har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. Utredningen kommer att i slutbetän- kandet föreslå de anpassningar som krävs med anledning av ram- lagen i de registerförfattningar som ingår i utredningens uppdrag. Registerförfattningarna kommer att gälla utöver brottsdatalagen.

Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.

Tillämpningsområdet

Lagen ska tillämpas av myndigheter som har till uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbe- handling vid upprätthållande av allmän ordning och säkerhet. De som har sådana arbetsuppgifter betecknas behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.

De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personupp- gifter i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dataskyddsförord- ningen kommer att bli tillämplig i övrigt, t.ex. när Polismyndig- heten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol handlägger ett tvistemål. Det som blir avgörande för om lagen är tillämplig är dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen.

20

SOU 2017:29

Sammanfattning

Gränsdragningsfrågor som rör lagens tillämpningsområde disku- teras ingående i kapitel 8.

Lagen ska i huvudsak gälla för sådan behandling av personupp- gifter som är helt eller delvis automatiserad.

Lagen ska inte tillämpas på Säkerhetspolisens behandling av per- sonuppgifter som rör nationell säkerhet. Undantag ska också gälla för Polismyndigheten om den övertagit en uppgift som rör natio- nell säkerhet från Säkerhetspolisen. Något motsvarande undantag för andra myndigheter vid deras behandling av uppgifter som rör nationell säkerhet görs inte.

Principer för behandlingen av personuppgifter

Det ska alltid finnas en rättslig grund för att personuppgifter ska få behandlas med stöd av ramlagen. Den huvudsakliga grunden att behandlingen av personuppgifterna ska vara nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Den andra rättsliga grunden är om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Personuppgifter får dessutom bara behandlas för särskilda, ut- tryckligt angivna, och berättigade ändamål.

Det ställs krav på att personuppgifterna ska behandlas författ- ningsenligt och på ett korrekt sätt. De personuppgifter som be- handlas ska vara korrekta och, om det är nödvändigt, uppdaterade. De ska också vara adekvata och relevanta i förhållande till ändamå- len med behandlingen. Fler uppgifter än nödvändigt får inte be- handlas och inga uppgifter får behandlas längre än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen.

Det är tillåtet att behandla personuppgifter för ett nytt ändamål som ligger inom lagens tillämpningsområde, men det måste alltid först prövas om det finns en tillåten rättslig grund för den nya be- handlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ända- målet är förenligt med det ursprungliga.

21

Sammanfattning

SOU 2017:29

Lagen föreskriver att olika typer av personuppgifter ska särskil- jas – t.ex. uppgifter om misstänkta respektive brottsoffer – och att personuppgifter som grundar sig på fakta ska skiljas från person- uppgifter som grundar sig på personliga bedömningar.

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning eller som rör hälsa, sexualliv eller sexuell läggning betecknas känsliga personuppgifter. Enligt huvudregeln får sådana uppgifter inte behandlas, men om uppgifter om en person redan behandlas får de, på samma sätt som i dag, kompletteras med känsliga person- uppgifter, under förutsättning att det är absolut nödvändigt för ändamålet med behandlingen.

Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter är också känsliga personuppgifter. Sådana upp- gifter får enbart behandlas om det är särskilt föreskrivet.

Det är förbjudet att utföra sökningar i syfte att få fram ett per- sonurval grundat på känsliga personuppgifter. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslår utredningen en särskild sekretess- regel som innebär att det gäller absolut sekretess för uppgifter i sådana sammanställningar.

Personuppgiftsansvariga åläggs att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det regleras också under vilka förutsättningar personuppgifter som behandlas på ett otillåtet sätt ska raderas och när behandlingen av dem i stället ska begränsas.

Personuppgiftsansvarigas skyldigheter

De skyldigheter som personuppgiftsansvariga har i dag kommer till stor del att gälla även i fortsättningen. Vissa regler blir dock mer preciserade och det tillkommer också vissa nya skyldigheter. Kra- ven på säkerhets- och skyddsåtgärder blir mer preciserade, liksom kravet på att det ska finnas en behandlingshistorik. Det ställs exempelvis krav på inbyggt dataskydd och dataskydd som standard. Det införs också en generell bestämmelse om att tillgången till per- sonuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

22

SOU 2017:29

Sammanfattning

Till de nya skyldigheterna hör att personuppgiftsansvariga ska dokumentera alla personuppgiftsincidenter och anmäla de inciden- ter som kan antas påverka registrerades integritet till tillsynsmyn- digheten. Det gäller dock inte sådana incidenter som rör nationell säkerhet.

Det införs också ett generellt krav på att personuppgiftsansva- riga som planerar en ny typ av behandling eller att genomföra be- tydande förändringar i pågående behandling ska göra en bedöm- ning av konsekvenserna för registrerades personliga integritet och, beroende på framför allt risken för intrång, samråda med tillsyns- myndigheten innan behandlingen påbörjas eller förändras.

Alla personuppgiftsansvariga ska utse dataskyddsombud. Om- budens arbetsuppgifter anges i lagen.

En annan nyhet är att förutsättningarna för gemensamt person- uppgiftsansvar regleras. Utredningen föreslår att gemensamt per- sonuppgiftsansvar endast får förekomma om det följer av lag eller förordning eller om regeringen i ett enskilt fall har beslutat om det.

Enskildas rättigheter

När det gäller enskildas rättigheter kommer till stora delar samma reglering som i dag att gälla, men rätten till information blir tydli- gare i vissa avseenden. Genom att lagen är subsidiär kommer reg- lerna om information i straffrättsliga förfaranden att ha företräde framför ramlagens bestämmelser om information.

Utgångspunkten är att den som vill kontrollera om hans eller hennes personuppgifter behandlas får vända sig till den personupp- giftsansvarige, som utan onödigt dröjsmål ska lämna skriftligt be- sked om uppgifterna behandlas. Om så är fallet har den registrerade rätt att få del av uppgifterna och få viss information om behand- lingen. Informationsskyldigheten gäller dock inte om uppgifterna inte får lämnas ut på grund av att vissa i lagen angivna intressen kan skadas. Om det finns grund för att inte lämna informationen får även skälen för det utelämnas.

Personuppgifter i ofärdig text eller som utgör minnesanteck- ningar omfattas som regel inte av informationsskyldigheten. Det- samma gäller personuppgifter som sökanden redan har tagit del av.

23

Sammanfattning

SOU 2017:29

Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med be- handlingen. En motsvarande skyldighet gäller i fråga om radering av personuppgifter som behandlas på ett otillåtet sätt eller om rade- ring krävs för att den personuppgiftsansvarige ska fullgöra en rätts- lig förpliktelse. I vissa fall ska behandlingen av personuppgifterna i stället begränsas. Om det finns stöd för att begränsa informa- tionen till den registrerade får den personuppgiftsansvarige också utelämna skälen för beslut om korrigeringsåtgärder.

Tillsynen över personuppgiftsbehandling

Utredningen tar inte ställning till vilken myndighet som ska utses till tillsynsmyndighet eller hur myndigheten ska organiseras, efter- som det har utretts i annan ordning. Utredningen behandlar enbart frågan hur verksamheten ska bedrivas.

Tillsynsmyndighetens dubbla perspektiv – att både verka för att fysiska personers grundläggande rättigheter och friheter skyddas och att underlätta det fria flödet av personuppgifter – lyfts fram. Myndighetens uppdrag, huvuduppgifter och befogenheter regleras i ramlagen. En viktig utgångspunkt är att tillsynsmyndighetens obe- roende ska värnas, vilket görs bäst om det inte regleras när och hur tillsyn ska inledas respektive avslutas och hur den ska bedrivas.

Tillsynsmyndigheten ska utöva allmän tillsyn över personupp- giftsbehandling, handlägga klagomål från registrerade, på begäran av fysiska personer kontrollera om deras personuppgifter behandlas författningsenligt, på begäran bistå utländska tillsynsmyndigheter och ge råd och stöd åt personuppgiftsansvariga och personupp- giftsbiträden.

Tillsynsmyndighetens undersökningsbefogenheter, som inklu- derar rätt att få tillgång till personuppgifter som behandlas och dokumentation om behandlingen och om säkerhets- och skyddsåt- gärder, tillträde till lokaler där personuppgifter behandlas och rätt till biträde av den personuppgiftsansvarige eller personuppgiftsbi- trädet vid tillsynen, blir tydligare.

Det görs också tydlig skillnad mellan tillsynsmyndighetens förebyggande och korrigerande befogenheter. Till de förebyggande

24

SOU 2017:29

Sammanfattning

befogenheterna, som inte är bindande, hör råd, rekommendationer och påpekanden. Tillsynsmyndigheten får också möjlighet att ut- färda skriftlig varning om att det finns risk för att viss behandling kan komma att stå i strid med regelverket.

Till de korrigerande befogenheterna, som är bindande för den personuppgiftsansvarige eller personuppgiftsbiträdet, hör föreläg- ganden, förbud mot fortsatt behandling och beslut om sanktions- avgift.

Tillsynsmyndighetens internationella samarbete regleras också i ramlagen. I anslutning till det föreslås en sekretessbrytande regel som ger myndigheten möjlighet att, om det ligger i svenskt intres- se, lämna ut uppgifter som är sekretessbelagda när tillsynsmyndig- heten begär bistånd av en utländsk tillsynsmyndighet. Vidare före- slås en ny sekretessregel som ska gälla hos tillsynsmyndigheten i tillsynsverksamhet enligt lagen för uppgifter som en utländsk till- synsmyndighet har lämnat i samband med en begäran om svenskt bistånd med tillsyn. Sekretessen gäller om det kan antas att möjlig- heterna för den svenska tillsynsmyndigheten att bedriva tillsyn motverkas om uppgiften röjs.

Sanktioner

Utredningen anser att överträdelser av bestämmelserna om per- sonuppgiftsbehandling i ramlagen inte ska straffsanktioneras. Det ska i stället införas en ny administrativ sanktion i form av sank- tionsavgift. Det motsvarar vad som gäller vid överträdelse av be- stämmelserna i dataskyddsförordningen.

Sanktionsavgift får tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbiträden. Sanktionsavgift får tas ut av person- uppgiftsansvariga vid överträdelse av de grundläggande bestämmel- serna till skydd för enskildas integritet. Det gäller bl.a. om person- uppgifter behandlas utan rättslig grund eller utan ett särskilt angi- vet och berättigat ändamål, om personuppgifterna inte uppfyller kraven på att vara korrekta, aktuella, adekvata och relevanta eller om fler uppgifter än nödvändigt behandlas eller om de behandlas längre än vad som är nödvändigt med hänsyn till ändamålen. Det gäller också om den personuppgiftsansvarige inte vidtar tillräckliga säkerhets- och skyddsåtgärder eller om personuppgifter överförs

25

Sammanfattning

SOU 2017:29

till tredjeland eller internationella organisationer i strid med regel- verket.

Sanktionsavgift får också tas ut om den personuppgiftsansvarige inte bistår tillsynsmyndigheten vid tillsyn eller inte rättar sig efter tillsynsmyndighetens förelägganden eller beslut.

Regleringen av sanktionsavgift bygger på strikt ansvar, men sanktionsavgift behöver inte tas ut vid varje överträdelse. Vid be- dömningen av om sanktionsavgift ska tas ut och till vilket belopp den ska bestämmas ska särskild hänsyn tas till bl.a. om överträdel- sen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet och vad som gjorts för att begränsa skadan.

Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 10 000 000 kronor för mindre allvarliga överträdelser och det dubbla vid andra överträdelser.

Tillsynsmyndigheten ska besluta om sanktionsavgift och sank- tionsavgiften ska tillfalla staten.

Rättsmedel och skadestånd

Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning som behandling av personuppgifter i strid med ramlagen med tillhörande förordning har orsakat. Jämkning av skadeståndsskyldigheten ska, i motsats till vad som är fallet i dag, inte vara möjlig.

Vissa beslut som en myndighet fattat i egenskap av personupp- giftsansvarig ska kunna överklagas. Det gäller beslut i fråga om rättelse, komplettering, radering eller begränsning av behandlingen, beslut att inte lämna ut information på begäran av en registrerad, att ta ut avgift för sådan information eller att inte medge ompröv- ning av automatiserade beslut. Regleringen motsvarar i allt väsent- ligt det som gäller i dag.

Tillsynsmyndighetens beslut enligt lagen får också överklagas. Vid överklagande till kammarrätten ska det krävas prövningstill-

stånd vid överklagande av både personuppgiftsansvariga myndig- heters och tillsynsmyndighetens beslut.

26

SOU 2017:29

Sammanfattning

Det införs också en möjlighet för registrerade att föra s.k. dröjs- målstalan om tillsynsmyndigheten dröjer med att handlägga kla- gomål. Om en registrerad har lämnat in ett klagomål till tillsyns- myndigheten och den inte inom tre månader har tagit ställning till om klagomålet ska föranleda tillsyn, har den registrerade rätt att inom två veckor antingen få ett skriftligt besked i den frågan eller ett särskilt beslut om att begäran om besked avslås. Om tillsyns- myndigheten har avslagit begäran får den registrerade överklaga beslutet till allmän förvaltningsdomstol. Om domstolen bifaller talan ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i frågan om tillsyn kommer att utövas. Domstolen ska däremot inte ta ställning i frågan om tillsyn ska utövas.

Överföring till tredjeland och internationella organisationer

I ramlagen regleras vad som ska gälla vid överföring av personupp- gifter till tredjeland och internationella organisationer. Med tredje- land avses i lagen andra stater än EU:s medlemsstater, Island, Liechtenstein, Norge och Schweiz.

Behöriga myndigheter får överföra personuppgifter som be- handlas automatiserat till ett tredjeland eller en internationell orga- nisation eller överföra uppgifterna dit för att de ska behandlas auto- matiserat där. Det ställs upp en rad villkor för att uppgifterna ska få överföras. Personuppgifter får endast överföras om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder eller upprätthålla allmän ordning och säkerhet. Överföring- en ska enligt huvudregeln riktas till en behörig myndighet i ett tredjeland eller en internationell organisation som är en behörig myndighet. Dessutom krävs det att kommissionen har meddelat ett beslut om att det tredjelandet eller den internationella organisatio- nen har adekvat skyddsnivå för personuppgifter eller, om det inte finns ett sådant beslut, personuppgifterna omfattas av tillräckliga skyddsåtgärder. I vissa särskilda undantagssituationer får dock per- sonuppgifter överföras även om det inte finns ett beslut om ade- kvat skyddsnivå eller tillräckliga skyddsåtgärder. Det gäller bl.a. om det är nödvändigt för att skydda den registrerades eller en annan

27

Sammanfattning

SOU 2017:29

fysisk persons vitala intressen, för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder eller upprätthålla allmän ordning och säkerhet eller för att avvärja en omedelbar eller allvarlig fara för allmän säkerhet.

Vidare regleras vad som ska göras om ett tredjeland eller en in- ternationell organisation vill vidareöverföra personuppgifter till ett tredjeland eller en internationell organisation och möjligheten att i vissa fall överföra personuppgifter till andra än behöriga myndig- heter.

Konsekvenser

Förslagen bedöms förbättra skyddet för enskildas integritet. För- bättrat dataskydd ger samtidigt möjlighet till ökat informationsut- byte mellan brottsbekämpande myndigheter både nationellt och mellan medlemsstaterna, vilket är positivt för det brottsförebyg- gande arbetet. De ekonomiska konsekvenserna för berörda myn- digheter bedöms rymmas inom de befintliga ekonomiska ramarna.

Ikraftträdande och övergångsbestämmelser

Den nya lagen föreslås träda i kraft den 1 maj 2018. Det krävs sär- skilda övergångsbestämmelser, dels för det nya sanktionssystemet, dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före lagens ikraftträdande men inte hunnit slut- föras. Det krävs också övergångsbestämmelser för mål som har överklagats men inte hunnit slutföras och för ersättning för skador som har vållats före ikraftträdandet.

28

Författningsförslag

SOU 2017:29

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personupp- gifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Lagen gäller inte vid Säkerhetspolisens behandling av personupp- gifter som rör nationell säkerhet eller om Polismyndigheten har över- tagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspoli- sen.

Avvikande bestämmelser i annan författning

5 § Om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.

Uttryck i lagen

6 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination av
	åtgärder som vidtas i fråga om
	personuppgifter	eller	uppsätt-
	ningar av personuppgifter, oavsett
	om det görs automatiserat eller
	inte, t.ex. insamling, registrering,
	organisering, strukturering,			lag-
	ring, bearbetning	eller	ändring,
	framtagning, läsning, användning,
	utlämnande, spridning eller till-
	handahållande på annat sätt, jus-
	tering, sammanföring,		begräns-
	ning, radering eller förstöring.
Behörig myndighet	1. En myndighet som har till
	uppgift att
	a) förebygga,	förhindra		eller
	upptäcka brottslig verksamhet,
	b) utreda eller lagföra brott,

30

SOU 2017:29

Författningsförslag

	c) verkställa		straffrättsliga			på-
	följder, eller
	d) upprätthålla allmän ordning
	och säkerhet, eller
	2. en annan aktör som utövar
	myndighet för något av de syften
	som anges i 1.
Biometriska uppgifter	Personuppgifter			som	rör	en
	persons fysiska,		fysiologiska			eller
	beteendemässiga kännetecken, som
	tagits fram genom särskild teknisk
	behandling och som möjliggör eller
	bekräftar	unik	identifiering			av
	personen i fråga.
Dataskyddsombud	En fysisk person som utses av
	den personuppgiftsansvarige					för
	att självständigt se till att person-
	uppgifter behandlas författnings-
	enligt och på ett korrekt sätt.
Genetiska uppgifter	Personuppgifter			som	rör en
	persons nedärvda eller förvärvade
	genetiska	kännetecken och				som
	härrör från analys av ett spår av
	eller ett prov från personen i
	fråga.
Internationell organisation	En organisation och dess un-
	derställda organ som lyder under
	folkrätten eller ett annat organ
	som inrättats genom eller på
	grundval av en överenskommelse
	mellan två eller flera stater.
Medlemsstat	En stat som är medlem i Euro-
	peiska unionen och Island, Liech-
	tenstein, Norge och Schweiz.
Mottagare	Den till vilken personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av för-
	fattning	utövar	tillsyn,		kontroll
	eller revision.

31

Författningsförslag SOU 2017:29

Personuppgift	Varje upplysning om en iden-
	tifierad eller		identifierbar fysisk
	person som är i livet.
Personuppgiftsansvarig	Den behöriga myndighet som
	ensam	eller	tillsammans		med
	andra bestämmer ändamålen med
	och medlen för behandlingen av
	personuppgifter.
Personuppgiftsbiträde	Den som, med stöd av ett
	skriftligt avtal eller annan skriftlig
	överenskommelse, behandlar per-
	sonuppgifter för den personupp-
	giftsansvariges räkning.
Personuppgiftsincident	En säkerhetsincident som leder
	till oavsiktlig eller olaglig för-
	störing, förlust eller ändring eller
	obehörigt röjande av eller obehörig
	åtkomst till personuppgifter.
Registrerad	Den fysiska person som per-
	sonuppgiften rör.
Tillsynsmyndighet	Myndighet som regeringen ut-
	ser att enligt dataskyddsdirektivet
	utöva tillsyn över behandling av
	personuppgifter som utförs av be-
	höriga myndigheter i syfte att före-
	bygga,	förhindra eller upptäcka
	brottslig verksamhet,			utreda	eller
	lagföra brott, verkställa straffrätts-
	liga påföljder eller upprätthålla all-
	män ordning och säkerhet.
Tredjeland	En stat som inte är en med-
	lemsstat.
Tredje man	Någon annan än den registre-
	rade,	den personuppgiftsansva-
	rige, dataskyddsombudet, person-
	uppgiftsbiträdet och sådana per-
	soner som under den personupp-
	giftsansvariges eller			personupp-
	giftsbiträdets		direkta	ansvar	har
	rätt att behandla personuppgifter.

32

SOU 2017:29 Författningsförslag

Uppgift som rör hälsa	Personuppgift som rör en per-
	sons fysiska eller psykiska hälsa,
	inkluderande information om till-
	handahållande av hälso- och sjuk-
	vårdstjänster som ger upplysning
	om personens hälsostatus.

2 kap. Behandling av personuppgifter

Behandling för ändamål inom denna lags tillämpningsområde

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att en be- hörig myndighet ska kunna utföra en arbetsuppgift i syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lag- föra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.

2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndig- hetens handläggning.

Ändamål för behandling av personuppgifter

3 § Personuppgifter får behandlas bara för särskilda, uttryckligt an- givna och berättigade ändamål.

Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en sär- skild upplysning.

33

Författningsförslag

SOU 2017:29

4 § Innan personuppgifter får behandlas för ett nytt ändamål inom denna lags tillämpningsområde ska det säkerställas att

1.det finns en tillåten rättslig grund enligt 1 § för den nya behand- lingen, och

2.behandlingen är nödvändig och proportionerlig för det nya ända- målet.

5 § En behörig myndighet får behandla personuppgifter för veten- skapliga, statistiska eller historiska ändamål inom denna lags tillämp- ningsområde.

Grundläggande krav på behandlingen av personuppgifter

Laglig och korrekt behandling

6 § Personuppgifter ska behandlas författningsenligt och på ett kor- rekt sätt.

Personuppgifters kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Åtskillnad mellan olika slag av personuppgifter

9 § Så långt det är möjligt ska personuppgifter som rör olika katego- rier av registrerade, som personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, särskiljas. Om det inte framgår av sammanhanget eller på annat sätt till vilken kate- gori personen hör, ska det tydliggöras genom en särskild upplysning.

34

SOU 2017:29

Författningsförslag

10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta skiljas från personuppgifter som grundar sig på personliga be- dömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.

Känsliga personuppgifter

11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.

12 § Biometriska uppgifter som används för att identifiera en person och genetiska uppgifter får behandlas endast om det är särskilt före- skrivet och det är absolut nödvändigt för ändamålet med behand- lingen.

13 § Personuppgifter som avses i 11 och 12 §§ betecknas i denna lag som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 2 §.

14 § Det är förbjudet att utföra sökningar i syfte att få fram ett per- sonurval grundat på känsliga personuppgifter.

Åtgärder för att säkerställa personuppgifternas kvalitet

15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är fel- aktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

När personuppgifter lämnas ut till en behörig myndighet ska mot- tagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.

35

Författningsförslag

SOU 2017:29

16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som be- handlas i strid med 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgif- ter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige i stället utan onödigt dröjsmål begränsa be- handlingen av uppgifterna.

Längsta tid som personuppgifter får behandlas

17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att en behörig myndig- het arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ända- mål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.

Automatiserade beslut

19 § Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är av- sedda att bedöma hans eller hennes egenskaper, ska personen ha möj- lighet att på begäran få beslutet omprövat av någon person.

Automatiserade beslut får inte enbart grundas på känsliga person- uppgifter.

Villkor om användningsbegränsning

20 § Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall

36

SOU 2017:29

Författningsförslag

får ställas upp samma typ av villkor i förhållande till en svensk mot- tagare.

Behandling för ändamål utanför denna lags tillämpningsområde

21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att data- skyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.

Föreskrifter

22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.underrättelseskyldighet, eller

2.åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.

3 kap. Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

1 § Den personuppgiftsansvarige är ansvarig för all behandling av per- sonuppgifter som utförs under dennes ledning eller på dennes vägnar.

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättig- heter skyddas.

37

Författningsförslag

SOU 2017:29

3 § Både vid beslut om hur behandlingen ska utföras och vid behand- lingen ska den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i be- handlingen (inbyggt dataskydd).

4 § Den personuppgiftsansvarige ska säkerställa att det i automatisera- de behandlingssystem som regel endast är möjligt att behandla de per- sonuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

5 § Den personuppgiftsansvarige ska säkerställa att det i automatise- rade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

6 § Den personuppgiftsansvarige ska se till att tillgången till person- uppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd

7 § Kan en typ av ny behandling, eller betydande förändringar avse- ende redan pågående behandling, antas medföra särskild risk för in- trång i registrerades personliga integritet, ska den personuppgiftsan- svarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registerades personliga integritet eller om typen av behand- ling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen på- börjas eller betydande förändringar genomförs.

38

SOU 2017:29

Författningsförslag

Säkerheten för personuppgifter

Skyddsåtgärder

8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, för- störing eller annan oavsiktlig skada.

Personuppgiftsincidenter

9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsyns- myndigheten, utom i de fall där incidenten rör nationell säkerhet.

Anmälan behöver inte göras om det kan antas att personuppgifts- incidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.

10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbör- ligt intrång i registrerades personliga integritet, ska den personupp- giftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.

Underrättelseskyldigheten enligt första stycket gäller inte om den personuppgiftsansvarige

1.har tillämpat lämpliga tekniska och organisatoriska skyddsåtgär- der på de personuppgifter som påverkades av incidenten,

2.har säkerställt att det inte längre finns särskild risk för otillbör- ligt intrång i registrerades personliga integritet, eller

3.skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.

I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.

11 § Den personuppgiftsansvarige får underlåta att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

39

Författningsförslag

SOU 2017:29

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.annans fri- och rättigheter skyddas.

Första stycket gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sek- retesslagen (2009:400).

Samarbete med tillsynsmyndigheten

12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyn- digheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till den.

Dataskyddsombud

13 § Den personuppgiftsansvarige ska utse ett eller flera dataskydds- ombud och anmäla till tillsynsmyndigheten när dataskyddsombud ut- ses och entledigas.

14 § Dataskyddsombud ska

1.självständigt kontrollera att den personuppgiftsansvarige be- handlar personuppgifter författningsenligt och på ett korrekt sätt och

iövrigt fullgör sina skyldigheter,

2.informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyl- digheter vid behandling av personuppgifter,

3.på begäran ge den personuppgiftsansvarige råd vid en konse- kvensbedömning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och

5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av per- sonuppgifter.

40

SOU 2017:29

Författningsförslag

15 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskydds- ombudet anmäla det till tillsynsmyndigheten.

16 § [Tystnadsplikt för dataskyddsombud]

Personuppgiftsbiträden

17 § Den personuppgiftsansvarige får, om det är lämpligt, anlita per- sonuppgiftsbiträden. När ett personuppgiftsbiträde anlitas, ska den personuppgiftsansvarige försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

18 § Det ska finnas ett skriftligt avtal eller annan skriftlig överens- kommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av den personuppgiftsansvarige anlita ett annat personuppgiftsbiträde.

19 § Ett personuppgiftsbiträde och de som arbetar under biträdets led- ning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Om ett personuppgiftsbiträde i strid med den personuppgiftsan- svariges instruktioner fastställer ändamålen med och medlen för be- handlingen, ska biträdet anses vara personuppgiftsansvarig för den be- handlingen.

20 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvar

21 § Två eller flera behöriga myndigheter får vara gemensamt person- uppgiftsansvariga endast i den utsträckning det följer av lag eller för- ordning eller om regeringen i ett enskilt fall beslutar om det.

41

Författningsförslag

SOU 2017:29

Bemyndigande

22 § Regeringen får meddela föreskrifter om skyldigheten att föra register över kategorier av behandling av personuppgifter och skyl- digheten att införa interna rutiner för anmälan av överträdelser.

Föreskrifter

23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.åtgärder som avses i 2–5, 7 och 8 §§,

2.tillgången till personuppgifter,

3.anmälan om personuppgiftsincidenter,

4.underrättelser till registrerade om personuppgiftsincidenter, och

5.innehållet i avtal och överenskommelser enligt 18 §.

4 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Den personuppgiftsansvarige ska göra följande allmänna informa- tion tillgänglig för registrerade.

1.Den personuppgiftsansvariges identitet och kontaktuppgifter.

2.Dataskyddsombudets kontaktuppgifter.

3.Ändamålen med behandlingen.

4.Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 9 och 10 §§.

6.Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

Personrelaterad information

2 § Den personuppgiftsansvarige ska i specifika fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.

42

SOU 2017:29

Författningsförslag

1.Den rättsliga grunden för behandlingen.

2.Kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

3.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

4.Övrig nödvändig information.

Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.

3 § Den personuppgiftsansvarige ska till den som begär det utan onö- digt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökan- den få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om sökanden som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 9 och 10 §§.

8.Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

Utlämnande enligt första stycket behöver inte omfatta personupp- gifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § får av den personuppgiftsansvarige begära närmare information om beslutet.

43

Författningsförslag

SOU 2017:29

Begränsning av rätten till information

5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträck- ning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att upp- gifter inte får lämnas ut av hänsyn till intresset av att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.annans fri- och rättigheter skyddas.

Om förutsättningarna i första stycket är uppfyllda, är den person- uppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begräns- ning av behandlingen enligt 9 eller 10 §.

Undantagen från informationsskyldigheten enligt första och andra styckena gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretess- lagen (2009:400).

6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpan- de text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifter- na har behandlats längre än ett år.

7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.

Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.

44

SOU 2017:29

Författningsförslag

Möjligheten att begära kontroll genom tillsynsmyndigheten

8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personupp- gifter behandlas författningsenligt.

Rätten till rättelse, radering och begränsning av behandlingen

9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om den personuppgiftsansvarige inte kan fastställa att personupp- gifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig för- pliktelse.

Om förutsättningarna i första stycket för att radera personuppgif- ter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information

12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Informa- tion och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.

45

Författningsförslag

SOU 2017:29

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.information enligt 1–4 §§,

2.avgift för information som avses i 3 §, och

3.kraven på en begäran enligt 3, 4, 9 eller 10 §.

5 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 § Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av person- uppgifter inom denna lags tillämpningsområde.

Tillsynsmyndighetens uppgifter 2 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling,

2.handlägga klagomål från registrerade,

3.utföra kontroll enligt 3 §, och

4.på begäran bistå en tillsynsmyndighet i en annan medlemsstat.

3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.

Myndigheten får vägra att utföra sådan kontroll som avses i första stycket om begäran är orimlig eller uppenbart ogrundad.

4 § Tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansva- riga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd och när det i övrigt är påkallat.

46

SOU 2017:29

Författningsförslag

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som den personuppgiftsansvarige eller per- sonuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Förebyggande befogenheter

6 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpe- kanden försöka förmå den personuppgiftsansvarige eller personupp- giftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

7 § Om tillsynsmyndigheten konstaterar att personuppgifter behand- las i strid med lag eller annan författning eller att den personuppgifts- ansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldig- heter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2.förelägga den personuppgiftsansvarige eller personuppgiftsbiträ- det att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

47

Författningsförslag

SOU 2017:29

3.förbjuda fortsatt behandling om bristen är allvarlig, eller

4.besluta om sanktionsavgift enligt 6 kap.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Kommunikation

8 § Innan tillsynsmyndigheten fattar ett beslut enligt 7 § första stycket 2–4, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

Besked angående handläggningen av ett klagomål

9 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran kom in till myndigheten.

10 § Om tillsynsmyndigheten har avslagit en begäran enligt 9 §, får den registrerade begära nytt besked tidigast tre månader efter det att myndighetens beslut meddelades. Om den registrerade innan dess på nytt begär besked avseende samma klagomål, ska myndigheten avvisa begäran.

Samarbete med tillsynsmyndigheter i andra medlemsstater

11 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat får vägras endast om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den.

12 § När tillsynsmyndigheten utövar tillsyn enligt 2 § 4 har den de be- fogenheter som anges i 5–7 §§.

48

SOU 2017:29

Författningsförslag

13 § Tillsynsmyndigheten får, om det är förenligt med svenska intres- sen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlig- hets- och sekretesslagen (2009:400).

14 § Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.

Ansökan hos allmän förvaltningsdomstol

15 § Om tillsynsmyndigheten vid handläggningen av ett ärende be- dömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av denna lag, får myndig- heten hos allmän förvaltningsdomstol ansöka om att en åtgärd som anges i 7 § första stycket 2–4 ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Föreskrifter

16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.kraven på en begäran enligt 3 §,

2.anmälningsskyldighet, och

3.samarbete med tillsynsmyndigheter i andra medlemsstater.

6 kap. Administrativa sanktionsavgifter

Överträdelser som kan föranleda sanktionsavgift

1 § Sanktionsavgift får tas ut av en personuppgiftsansvarig vid över- trädelse av bestämmelser i

1.2 kap. 1–5, 7–12, 14–18 eller 19 § andra stycket,

2.3 kap. 2–8 §§, eller

3.8 kap. 1–6 eller 8 §.

49

Författningsförslag

SOU 2017:29

Sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar sådana incidenter eller underlåter att bistå tillsynsmyn- digheten enligt 5 kap. 5 § eller att följa tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

2 § Sanktionsavgift får tas ut av ett personuppgiftsbiträde vid över- trädelse av 3 kap. 5, 6 eller 8 §.

Sanktionsavgift får också tas ut om ett personuppgiftsbiträde underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Hur sanktionsavgiften ska bestämmas

3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter vara minst 25 000 kronor och högst 10 000 000 kronor.

Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften vara minst 50 000 kronor och högst 20 000 000 kronor.

Om flera bestämmelser har överträtts genom samma personupp- giftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktions- avgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

4 § Vid bedömningen av om sanktionsavgift ska tas ut och när stor- leken på avgiften ska bestämmas ska särskild hänsyn tas till

1.om överträdelsen varit uppsåtlig eller berott på oaktsamhet,

2.den skada, fara eller kränkning som överträdelsen inneburit,

3.överträdelsens karaktär, svårhetsgrad och varaktighet,

4.vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan, och

5.om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala sanktionsavgift.

5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.

50

SOU 2017:29

Författningsförslag

Beslut om sanktionsavgift

6 § Tillsynsmyndigheten beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten.

7 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträ- delsen ägde rum.

Föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hand- läggningen av beslut om och verkställighet av sanktionsavgift.

7 kap. Skadestånd och rättsmedel

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med denna lag, eller föreskrifter som har med- delats i anslutning till den, har orsakat.

Överklagande

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket, eller begräns- ning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personupp- giftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsam- ma gäller beslut att inte lämna information enligt 4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge om- prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

51

Författningsförslag

SOU 2017:29

Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsyns- myndigheten att inom en bestämd tid lämna den registrerade besked i fråga om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av andra beslut av tillsynsmyndigheten

4 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrif- ter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som inte får överklagas

5 § Andra beslut enligt denna lag än de som anges i 2–4 §§ får inte överklagas.

8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Grundläggande förutsättningar för överföring

1 § En behörig myndighet får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påfölj- der eller upprätthålla allmän ordning och säkerhet,

52

SOU 2017:29

Författningsförslag

2.riktas till en behörig myndighet i ett tredjeland eller till en inter- nationell organisation som är en behörig myndighet, och

3.omfattas av

a)ett beslut om adekvat skyddsnivå enligt 3 §, eller

b)tillräckliga skyddsåtgärder enligt 4 §, eller

c)ett undantag för särskilda situationer enligt 5 §.

En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.

2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.

Om medgivande enligt första stycket på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nöd- vändigt för att avvärja en omedelbar och allvarlig fara för allmän säker- het. Detsamma gäller om det är nödvändigt för att avvärja en omedel- bar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.

Tillåtna grunder för överföring

Beslut om adekvat skyddsnivå

3 § Om Europeiska kommissionen har beslutat att det finns en ade- kvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Tillräckliga skyddsåtgärder

4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om

1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller

53

Författningsförslag

SOU 2017:29

2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en sam- ling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

1.skydda den registrerades eller en annan fysisk persons vitala in- tressen, eller andra berättigade intressen för den registrerade,

2.i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påfölj- der eller upprätthålla allmän ordning och säkerhet,

3.i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en inter-

nationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Vidareöverföring

6 § En svensk behörig myndighet får inte tillåta att sådana person- uppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte en behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.

7 § När en behörig myndighet ska ta ställning till om personuppgifter som behandlats i Sverige och därefter lämnats till en annan medlems- stat, som överfört dem till ett tredjeland eller en internationell organi- sation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar,

54

SOU 2017:29

Författningsförslag

allvaret i faran för allmän säkerhet, det ändamål för vilket personupp- gifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den internationella organisationen dit uppgifterna ska vidareöverföras.

Överföring till andra än behöriga myndigheter

8 § En behörig myndighet, med undantag för en annan aktör som ut- övar myndighet, får i ett enskilt fall, trots kravet i 1 § 2, överföra per- sonuppgifter till någon som inte är en behörig myndighet i ett tredje- land. Personuppgifterna får överföras endast om

1.det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en arbetsuppgift enligt 1 kap. 2 § som den har ansvar för,

2.den svenska myndigheten informerar den som ska ta emot per- sonuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och

3.det skulle vara ineffektivt eller olämpligt att överföra dem till be- hörig myndighet i det tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att över- föringen görs.

Villkor om användningsbegränsning

9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella orga- nisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

10 § En svensk behörig myndighet får, vid överföring av personupp- gifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifter- na, om det krävs med hänsyn till enskilds rätt eller från allmän syn- punkt.

55

Författningsförslag

SOU 2017:29

Föreskrifter

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.information till annan medlemsstat när personuppgifter över- förts utan förhandsmedgivande enligt 2 § andra stycket,

2.information till behörig myndighet i tredjeland när personupp- gifter överförts enligt 8 §, och

3.dokumentation av överföringar och information om sådana till tillsynsmyndigheten.

1.Denna lag träder i kraft den 1 maj 2018.

2.Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.Bestämmelsen i 3 kap. 5 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.

4.Sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

5.För överträdelser av bestämmelser om personuppgiftsbehandling som rör brottsbekämpning, lagföring, straffverkställighet och upprätt- hållande av allmän ordning och säkerhet som begåtts före ikraftträdan- det gäller fortfarande äldre föreskrifter.

6.Ärenden om tillsyn över personuppgiftsbehandling och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

7.Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av person- uppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet.

8.Bestämmelserna om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats vid behand- ling av personuppgifter som rör brottsbekämpning, lagföring, straff- verkställighet och upprätthållande av allmän ordning och säkerhet före ikraftträdandet.

56

SOU 2017:29

Författningsförslag

1.2Förslag till

brottsdataförordning (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av brottsdatalagen (2018:000).

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i brottsdatalagen (2018:000).

2 kap. Behandling av personuppgifter

1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 15 § första stycket eller 16 § första stycket brottsdatalagen (2018:000) har lämnats ut ska mottagaren omedelbart underrättas om det. Detsamma gäller så långt möjligt den som har tagit del av sådana personuppgifter som har gjorts tillgängliga.

2 § Den personuppgiftsansvarige ska se till att det finns rutiner för

1.att säkerställa att de som behandlar personuppgifter respekterar fristerna för när personuppgifter inte längre får behandlas, och

2.årlig översyn av behovet av att lagra personuppgifter.

3 § Den som lämnar ut personuppgifter ska underrätta mottagaren om sådana särskilda villkor för behandlingen som har ställts upp med stöd av en bindande unionsrättsakt, en lag eller en förordning.

3 kap. Personuppgiftsansvarigas skyldigheter

Tekniska och organisatoriska åtgärder

1 § De åtgärder som den personuppgiftsansvarige ska vidta enligt 3 kap. 2 och 3 §§ brottsdatalagen (2018:000) ska vara rimliga med be- aktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När den personuppgifts-

57

Författningsförslag

SOU 2017:29

ansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de tek- niska möjligheterna och kostnaderna för åtgärderna beaktas.

Dokumentationsskyldighet

Interna strategier

2 § De åtgärder som avses i 3 kap. 2 § brottsdatalagen (2018:000) ska, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning, innefatta antagande och dokumentation av interna strategier för dataskydd.

Register över behandlingar

3 § Den personuppgiftsansvarige ska förteckna kategorier av behand- lingar av personuppgifter som denne ansvarar för. Registret ska, för- utom namnet på och kontaktuppgifter till den personuppgiftsansva- rige, gemensamt personuppgiftsansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.

1.Den rättsliga grunden för behandlingen.

2.Ändamålen med behandlingen.

3.Kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas.

4.Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.

5.Kategorier av registrerade som berörs av behandlingen.

6.Kategorier av personuppgifter som kan komma att behandlas.

7.Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.

8.Användning av profilering.

9.Om det är möjligt, tidsfrister för hur länge kategorierna av per- sonuppgifter får behandlas.

10.Om det är möjligt, en allmän beskrivning av vilka säkerhetsåt- gärder som har vidtagits.

58

SOU 2017:29

Författningsförslag

Loggning

4 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 3 kap. 5 § brottsdatalagen (2018:000) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och rade- ring av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.

Konsekvensbedömning och förhandssamråd

5 § Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brottsdatalagen (2018:000) ska dokumenteras och innehålla följande uppgifter.

1.En allmän beskrivning av den planerade behandlingen.

2.En bedömning av riskerna för intrång i registrerades personliga integritet.

3.Vilka åtgärder som planeras för att hantera riskerna.

4.Åtgärder och rutiner för att säkerställa skyddet av personuppgif- terna.

5.Rutiner för att visa att tillämpliga dataskyddsregler följs.

6 § Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen (2018:000) ska den personuppgiftsansvarige ge in konsekvensbedöm- ningen till tillsynsmyndigheten och tillhandahålla den övriga informa- tion som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan av överträdelser

7 § Den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

59

Författningsförslag

SOU 2017:29

Säkerheten vid behandling av personuppgifter

Skyddsåtgärder

8 § Skyddsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:000) ska åstadkomma en skyddsnivå som är lämplig med beaktande av

1.de tekniska möjligheterna,

2.kostnaderna för åtgärderna,

3.behandlingens art, omfattning, sammanhang och ändamål,

4.de särskilda riskerna med behandlingen,

5.om känsliga personuppgifter behandlas, och

6.hur integritetskänsliga övriga personuppgifter som behandlas är.

Personuppgiftsincidenter

9 § Av 10 a och 39 §§ säkerhetsskyddsförordningen (1996:633) fram- går vilka incidenter som enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) inte ska anmälas till tillsynsmyndigheten på grund av att de rör nationell säkerhet.

10 § En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) ska innehålla följande information.

1.En beskrivning av personuppgiftsincidenten och när den inträf-

fade.

2.Kategorier av registrerade och det uppskattade antalet registre- rade som berörs.

3.Kategorier av personuppgiftsposter och det uppskattade antalet poster som berörs.

4.Sannolika konsekvenser av incidenten.

5.Vilka åtgärder som vidtagits eller kommer att vidtas med anled- ning av incidenten.

6.Genomförda eller planerade underrättelser till registrerade.

7.Namnet på och kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt.

All information enligt första stycket ska lämnas samtidigt om det är möjligt.

Om anmälan görs senare än 72 timmar efter att personuppgifts- incidenten blev känd för den personuppgiftsansvarige ska förseningen förklaras.

60

SOU 2017:29

Författningsförslag

11 § En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen (2018:000) ska innehålla följande uppgifter.

1.En beskrivning av personuppgiftsincidenten och när den inträf-

fade.

2.Bedömda konsekvenser för den registrerade.

3.Vilka åtgärder som vidtagits eller kommer att vidtas med anled- ning av personuppgiftsincidenten.

4.Åtgärder som den registrerade kan vidta för att begränsa skadan.

5.Kontaktuppgifter till dataskyddsombud eller annan lämplig kon- taktpunkt.

12 § Den personuppgiftsansvarige ska dokumentera alla personupp- giftsincidenter. Av dokumentationen ska framgå omständigheterna rörande incidenten, dess effekter och de åtgärder som vidtagits med anledning av den.

13 § Om en personuppgiftsincident rör personuppgifter som kommer från eller har lämnats till en behörig myndighet i en annan medlems- stat ska sådan information som anges i 10 § första stycket utan onö- digt dröjsmål lämnas till den myndigheten.

Dataskyddsombud

14 § Den personuppgiftsansvarige ska säkerställa att dataskyddsom- bud ges möjlighet att delta i de frågor som rör skyddet av personupp- gifter.

Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap. 14 och 15 §§ brottsdatalagen (2018:000) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personupp- giftsansvarige ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.

61

Författningsförslag

SOU 2017:29

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

15 § Ett avtal eller en annan överenskommelse enligt 3 kap. 18 § brottsdatalagen (2018:000) ska åtminstone ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsan- svariges skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska

1.behandla personuppgifter bara enligt instruktioner från den per- sonuppgiftsansvarige,

2.säkerställa att personer som har tillstånd att behandla personupp- gifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjälpa den personuppgiftsansvarige att säkerställa att bestämmel- serna om registrerades rättigheter följs,

4.radera eller återlämna alla personuppgifter till den personupp- giftsansvarige när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,

5.ge den personuppgiftsansvarige tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 16 § och 3 kap. 17– 19 §§ brottsdatalagen följs, och

6. respektera de villkor som framgår av denna paragraf, 16 § och 3 kap. 18 § brottsdatalagen vid anlitande av ett annat personuppgifts- biträde.

Underbiträden

16 § Har den personuppgiftsansvarige lämnat ett generellt tillstånd enligt 3 kap. 18 § andra stycket brottsdatalagen (2018:000), ska per- sonuppgiftsbiträdet informera den personuppgiftsansvarige innan nya personuppgiftsbiträden anlitas.

Register över behandlingar

17 § Varje personuppgiftsbiträde ska förteckna kategorier av behand- ling av personuppgifter som utförs för en personuppgiftsansvarigs räkning. Registret ska innehålla namnet på och kontaktuppgifter till

62

SOU 2017:29

Författningsförslag

personuppgiftsbiträdet och för varje kategori av behandling följande uppgifter.

1.Namnet på och kontaktuppgifter till eventuella underbiträden.

2.Namnet på och kontaktuppgifter till den personuppgiftsansva- rige för vars räkning personuppgiftsbiträdet agerar.

3.Om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, vilka uppgifter som har överförts och till vem.

4.Om möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

Underrättelseskyldighet

18 § Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den personuppgiftsansvarige om en personuppgiftsincident.

Övriga skyldigheter

19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och 8 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvariga

20 § Gemensamt personuppgiftsansvariga ska i en skriftlig överens- kommelse reglera sina respektive förpliktelser i egenskap av person- uppgiftsansvarig. I överenskommelsen ska det särskilt regleras

1.hur ansvaret för enskildas rättigheter ska utövas och vars och ens skyldighet att tillhandahålla information enligt 4 kap. 1 och 2 §§ brottsdatalagen (2018:000), och

2.vem som ska vara kontaktpunkt för registrerade.

En sådan överenskommelse som anges i första stycket får inte inne- bära att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.

Den registrerade får, trots en sådan överenskommelse som avses i första stycket, utöva sina rättigheter gentemot var och en av de per- sonuppgiftsansvariga.

63

Författningsförslag

SOU 2017:29

Bemyndiganden

21 § Tillsynsmyndigheten får meddela närmare föreskrifter om

1.sådana åtgärder som avses i 3 kap. 2–4 och 8 §§ brottsdatalagen (2018:000),

2.krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen,

3.vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen, och

4.anmälan och underrättelse om personuppgiftsincidenter.

4 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 3 kap. 10 § första stycket och 4 kap. 1–4 §§ brottsdatalagen (2018:000) ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§, 3 kap. 11 § och 5 kap. 2 § denna förordning.

Enskilds begäran

2 § Begäran enligt 4 kap. 3, 4, 9 eller 10 § brottsdatalagen (2018:000) ska göras skriftligen hos den personuppgiftsansvarige.

Den personuppgiftsansvarige ska säkerställa att begäran görs av en behörig person.

Beslut

3 § Beslut enligt 4 kap. 5, 7, 9 och 10 §§ och 12 § andra stycket brotts- datalagen (2018:000) ska vara skriftliga. Beslut som går den registre- rade emot ska motiveras.

Av 4 kap. 5 § andra och tredje styckena brottsdatalagen framgår att skälen för vissa beslut inte behöver lämnas ut.

64

SOU 2017:29

Författningsförslag

Underrättelser

Underrättelser till enskilda

4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt 4 kap. 5 § första eller tredje stycket brottsdatalagen (2018:000) i fråga om information enligt 4 kap. 3 § samma lag. Sökanden ska i sådana fall också underrättas om möjligheterna att lämna in klagomål till en till- synsmyndighet och att begära kontroll enligt 5 kap. 3 § brottsdata- lagen. Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.

5 § Sökanden ska underrättas om beslut enligt 4 kap. 7 § första stycket eller 12 § andra stycket brottsdatalagen (2018:000).

6 § Den registrerade ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen (2018:000) och om möjligheten att lämna in kla- gomål till tillsynsmyndigheten. Om den personuppgiftsansvarige med stöd av 4 kap. 5 § andra eller tredje stycket brottsdatalagen inte har lämnat ut skälen för beslutet ska den registrerade också underrättas om möjligheten att begära kontroll enligt 5 kap. 3 § brottsdatalagen.

7 § Den registrerade ska underrättas innan en begränsning enligt 4 kap. 9 § andra stycket brottsdatalagen (2018:000) upphör.

Underrättelser till andra

8 § Den myndighet från vilken personuppgifter kommer ska under- rättas om beslut enligt 4 kap. 9 § första stycket brottsdatalagen (2018:000).

Den som har tagit emot personuppgifter ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen.

5 kap. Tillsyn

Kontroll genom tillsynsmyndigheten

1 § En begäran enligt 5 kap. 3 § brottsdatalagen (2018:000) ska göras skriftligen och ange vilken behörig myndighet och vilket mål, ärende, register eller verksamhetsområde som begäran om kontroll gäller.

65

Författningsförslag

SOU 2017:29

Tillsynsmyndigheten ska säkerställa att begäran görs av en behörig person.

2 § Tillsynsmyndigheten ska skriftligen underrätta den sökande om att kontroll enligt 5 kap. 3 § brottsdatalagen (2018:000) har utförts.

Beslut att vägra utföra kontroll ska vara skriftliga och motiveras.

Anmälningsskyldighet

3 § Om tillsynsmyndigheten i sin tillsynsverksamhet uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till Åklagarmyndigheten.

Om tillsynsmyndigheten uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, ska den anmäla det till Justitie- kanslern.

Tillsynsmyndigheten ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första eller andra stycket görs. Till anmälan ska tillsynsmyndigheten foga det underlag som finns och även i övrigt lämna det biträde som behövs i anledning av anmälan.

Förhandssamråd

4 § Om tillsynsmyndigheten anser att sådan planerad behandling som avses i 3 kap. 7 § brottsdatalagen (2018:000) kan komma att stå i strid med lag eller annan författning, ska myndigheten senast sex veckor efter att begäran om samråd mottogs skriftligen lämna råd enligt 5 kap. 6 § första stycket samma lag. Om det finns särskilda skäl får tiden förlängas med en månad. Tillsynsmyndigheten ska inom en månad från det att begäran om samråd mottogs informera om för- längningen och om orsakerna till den.

66

SOU 2017:29

Författningsförslag

Samarbete med utländska tillsynsmyndigheter

Utländsk begäran om bistånd

5 § En begäran om bistånd från en tillsynsmyndighet i en annan med- lemsstat ska besvaras så snabbt som möjligt och senast en månad efter att begäran togs emot. Den som begärt bistånd ska underrättas om handläggningen och om resultatet av begäran.

6 § Om bistånd till en tillsynsmyndighet i en annan stat vägras, ska den som begärt biståndet underrättas. I underrättelsen ska skälen för vägran anges.

Svensk begäran om bistånd av en annan medlemstat

7 § Tillsynsmyndigheten får begära bistånd av en tillsynsmyndighet i en annan medlemsstat med sådana åtgärder som myndigheten får vidta när den utövar tillsyn.

8 § En begäran om bistånd ska innehålla all information som behövs för att tillsynsmyndigheten i den andra medlemsstaten ska kunna be- svara begäran. Syftet med och skälen för åtgärden ska anges.

Internationella överenskommelser

9 § Tillsynsmyndigheten får, trots det som sägs i 10 §, ingå överens- kommelser med tillsynsmyndigheter i andra medlemsstater om avgift för internationellt bistånd.

Avgiftsfrihet

10 § Tillsynsmyndigheten ska utföra sina tillsynsuppgifter avgiftsfritt, om inte annat bestäms.

67

Författningsförslag

SOU 2017:29

6 kap. Administrativa sanktionsavgifter

Handläggning

1 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.

Verkställighet av sanktionsavgift

2 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

3 § En beslutad sanktionsavgift faller bort till den del beslutet inte har verkställts inom tio år från det att beslutet fick laga kraft.

4 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.

7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

1 § Den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan ett förhandsmedgivande enligt 8 kap. 2 § andra stycket brottsdatalagen (2018:000), ska utan dröjsmål infor- mera den medlemsstat som lämnat uppgifterna till en svensk myndig- het om överföringen.

2 § Om en svensk myndighet har överfört personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000), ska myndigheten utan onödigt dröjsmål informera behörig myndighet i det tredjelandet om överfö-

68

SOU 2017:29

Författningsförslag

ringen. Det som nu har sagts gäller inte om det skulle vara ineffektivt eller olämpligt att informera om överföringen.

3 § Överföringar av personuppgifter enligt 8 kap. 4 § 2 och 5 § brotts- datalagen (2018:000) ska dokumenteras. Av dokumentationen ska fram- gå vilka personuppgifter som överförts, datum och tidpunkt för över- föringen, ändamålet med och grunden för överföringen och till vilken myndighet som personuppgifterna överfördes.

På begäran ska dokumentationen göras tillgänglig för tillsynsmyn- digheten.

4 § Den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar som görs enligt 8 kap. 4 § 2 brottsdata- lagen (2018:000).

5 § Överföringar av personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000) ska dokumenteras. Den personuppgiftsansvarige ska in- formera tillsynsmyndigheten om sådana överföringar.

1.Denna förordning träder i kraft den 1 maj 2018.

2.Genom förordningen upphävs förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.Bestämmelserna i 3 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.

69

Författningsförslag

SOU 2017:29

1.3Förslag till

lag om ändring i lagen (2000:562)

om internationell rättslig hjälp i brottmål

Härigenom föreskrivs att 5 kap. 2 § lagen (2000:562) om interna- tionell rättslig hjälp i brottmål ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

2 §1

Rättslig hjälp som lämnas en annan stat enligt denna lag får i en- skilda fall förenas med villkor som är påkallade med hänsyn till en- skilds rätt eller som är nödvändiga från allmän synpunkt. Detsamma gäller när rättslig hjälp, utan samband med ett ärende, lämnas en annan stat i form av uppgifter och bevisning för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott.

Villkor som avses i första	Villkor som avses i första
stycket får inte ställas upp om de	stycket får inte ställas upp om de
strider mot en internationell	strider mot en internationell
överenskommelse som är bin-	överenskommelse som är bin-
dande för Sverige.	dande för Sverige. I brottsdata-
	lagen (2018:000) finns bestämmel-
	ser om att villkor om hur person-
	uppgifter får behandlas inte får stäl-
	las upp i vissa fall.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2005:491.

70

SOU 2017:29

Författningsförslag

1.4Förslag till

lag om ändring i lagen (2000:1219) om internationellt tullsamarbete

Härigenom föreskrivs att 2 kap. 7 § lagen (2000:1219) om inter- nationellt tullsamarbete ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap.

7 §

Uppgifter som lämnas ut enligt 6 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt

eller från allmän synpunkt.
Villkor som avses i första	Villkor som avses i första
stycket får inte strida mot en så-	stycket får inte strida mot en så-
dan internationell överenskom-	dan	internationell	överenskom-
melse som avses i 1 kap. 1 §.	melse som avses		i 1 kap.	1 §.
	I brottsdatalagen (2018:000)			finns
	bestämmelser om att villkor om
	hur	personuppgifter	får behandlas
	inte får ställas upp i vissa fall.

Denna lag träder i kraft den 1 maj 2018.

71

Författningsförslag

SOU 2017:29

1.5Förslag till

lag om ändring i lagen (2003:1174)

om vissa former av internationellt samarbete i brottsutredningar

Härigenom föreskrivs att 6 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §1

Överlämnande av uppgifter eller bevisning från en svensk myndig- het till en gemensam utredningsgrupp som inrättats med stöd av denna lag får i enskilda fall förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.

Villkor som avses i första	Villkor som avses i första
stycket får inte ställas upp om de	stycket får inte ställas upp om de
strider mot den överenskommelse	strider mot den överenskommelse
enligt 1 § första stycket som är	enligt 1 § första stycket som är
tillämplig.	tillämplig.	I	brottsdatalagen
	(2018:000) finns bestämmelser om

att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2005:494.

72

SOU 2017:29

Författningsförslag

1.6Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 9 kap. 2 § och 35 kap. 24 § ska ha följande lydelse,

dels att det i lagen ska införas två nya paragrafer, 17 kap. 7 c § och 35 kap. 4 b §, med följande lydelse.

Lydelse enligt prop. 2016/17:139

Föreslagen lydelse

9 kap.

2 §

Bestämmelser som begränsar möjligheten att använda vissa upp- gifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2017:000) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och av- gifter inom Europeiska unionen,

8.lagen (1998:620) om belastningsregister,

9.lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,

10.lagen (2013:329) med vissa

73

Författningsförslag SOU 2017:29

	12. brottsdatalagen (2018:000).
Nuvarande lydelse	Föreslagen lydelse
	17 kap.
	7 c §
	Sekretess gäller hos tillsynsmyn-
	digheten i tillsynsverksamhet enligt
	5 kap.	brottsdatalagen (2018:000)
	för uppgift som har lämnats i sam-
	band med en begäran om svenskt
	bistånd från en tillsynsmyndighet i
	en medlemsstat		som medlemsstat
	definieras i den lagen, om det kan
	antas att den svenska tillsynsmyn-
	dighetens möjlighet att bedriva till-
	syn motverkas om uppgiften röjs.
	För uppgift i en allmän hand-
	ling gäller sekretessen i högst fyrtio
	år.
	35 kap.
	4 b §
	Sekretess gäller hos en behörig
	myndighet enligt			brottsdatalagen
	(2018:000) för uppgift i ett sådant
	personurval som avses i 2 kap. 14 §
	samma lag.
	För uppgift i en allmän hand-
	ling gäller sekretessen högst sjuttio
	år.
	24 §
	Den tystnadsplikt som följer av
	4 b §	inskränker		rätten enligt
	1 kap. 1 § tryckfrihetsförordningen
	och 1 kap. 1 och 2 §§ yttrandefri-
	hetsgrundlagen		att	meddela och
	offentliggöra uppgifter.

74

SOU 2017:29

Författningsförslag

Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket in- skränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundla- gen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.

Denna lag träder i kraft den 1 maj 2018.

75

Författningsförslag

SOU 2017:29

1.7Förslag till

lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete

Härigenom föreskrivs i fråga om lagen (2017:000) om internatio- nellt polisiärt samarbete

dels att 6 kap. 2 § ska upphöra att gälla, dels att 6 kap. 4 § ska ha följande lydelse.

Lydelse enligt prop. 2016/17:139

Föreslagen lydelse

6 kap.

4 §

En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möj- ligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskildas rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internatio- nell överenskommelse som är bindande för Sverige.

Denna lag träder i kraft den 1 maj 2018.

76

SOU 2017:29

Författningsförslag

1.8Förslag till

förordning om ändring i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen

Härigenom föreskrivs att 6 § förordningen (2008:1396) om förenk- lat uppgiftsutbyte mellan brottsbekämpande myndigheter i Euro- peiska unionen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
6 §
Uppgifter som tillhandahålls	Uppgifter	som	tillhandahålls
med stöd av 3 eller 4 § får i en-	med stöd av 3 eller 4 § får i en-
skilda fall förenas med villkor för	skilda fall förenas med villkor för
användandet, om det krävs med	användandet, om det krävs med
hänsyn till enskilds rätt eller från	hänsyn till enskilds rätt eller från
allmän synpunkt. Ett sådant vill-	allmän synpunkt. Ett sådant vill-
kor får inte strida mot Sveriges	kor får inte strida mot Sveriges
internationella förpliktelser.	internationella	förpliktelser. I
	brottsdatalagen	(2018:000) finns
	bestämmelser om att villkor om
	hur personuppgifter		får behandlas
	inte får ställas upp i vissa fall.

Denna förordning träder i kraft den 1 maj 2018.

77

Författningsförslag

SOU 2017:29

1.9Förslag till

förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap

Härigenom föreskrivs att 20 § förordningen (2015:1052) om kris- beredskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

20 §

Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skynd- samt rapportera it-incidenter som inträffat i myndighetens informa- tionssystem och som allvarligt kan påverka säkerheten i den informa- tionshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.

Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).

Om det kan antas att en incident som rapporterats till Myndig- heten för samhällsskydd och beredskap enligt första stycket har sin grund i en brottslig gärning, ska Myndigheten för samhällsskydd och beredskap skyndsamt uppmana den rapporterande myndigheten att anmäla incidenten till polisen.

I brottsdatalagen (2018:000) och brottsdataförordningen (2018:000) finns bestämmelser om skyldighet att anmäla personupp- giftsincidenter.

Denna förordning träder i kraft den 1 maj 2018.

78

Utredningens uppdrag och arbete

SOU 2017:29

gäller för Polismyndigheten och vid behov lämna författnings- förslag.

Uppdraget i den del det avser ny ramlagstiftning och tillsyn inom direktivets tillämpningsområde ska redovisas senast den 1 april 2017. Uppdraget ska slutredovisas senast den 30 september 2017.

2.2Genomförande av uppdraget

Utredningens arbete påbörjades i slutet av april 2016 och har bedri- vits på sedvanligt sätt med regelbundna sammanträden med grup- pen av sakkunniga och experter. Utredningen har, för att ta fram detta betänkande, sammanträtt vid sammanlagt 10 tillfällen.

Enligt utredningens direktiv ska utredaren i lämplig omfattning samråda med Dataskyddsutredningen (Ju 2016:04) och Utred- ningen om tillsynen över den personliga integriteten (Ju 2015:02).

Utredaren och huvudsekreteraren samrådde med Dataskyddsut- redningen den 15 april 2016 inför planeringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med varandra i för utredningarna gemensamma frågor. Den mycket begränsade tiden för vårt utred- ningsarbete har dock inte lämnat utrymme för att i tillräcklig ut- sträckning ta del av Dataskyddsutredningens förslag och texter. Det kan därför finnas oavsiktliga skillnader mellan utredningarnas syn på likartade frågor.

Utredaren samrådde med Utredningen om tillsynen över den personliga integriteten den 11 april och den 6 september 2016.

Utredaren och huvudsekreteraren samrådde med Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd (Ju 2015:14) den 22 september 2016. Utredarna samrådde också den 1 mars 2017.

Utredaren och huvudsekreteraren samrådde med Utredningen om stärkt integritet i Rättsmedicinalverkets verksamhet (Ju 2016:18) den 11 oktober 2016.

Utredaren och huvudsekreteraren samrådde med PNR-utred- ningen (Ju 2016:07) den 16 november 2016.

Utredaren och huvudsekreteraren samrådde den 8 februari 2016 med Eva Lönqvist som fått i uppdrag att biträda Justitiedeparte-

80

SOU 2017:29

Utredningens uppdrag och arbete

mentet med att anpassa viss lagstiftning på området för allmän ordning och säkerhet till EU:s dataskyddsreform.

Utredaren och huvudsekreteraren samrådde med Socialdata- skyddsutredningen (S 2016:05) den 7 november 2016.

Utredaren och delar av sekretariatet samrådde den 7 november och den 21 december 2016 med Peder Liljeqvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa domstolsdata- lagen till dataskyddsförordningen.

Utredaren och delar av sekretariatet träffade företrädare för Kri- minalvården den 14 oktober 2016.

Utredaren och huvudsekreteraren sammanträffade med företrä- dare för Sveriges Kommuner och Landsting den 10 november 2016.

Utredaren och huvudsekreteraren har också deltagit vid möten med andra utredningar som utreder frågor om anpassning till EU:s dataskyddsreform den 28 september, 18 oktober, 7 november och 21 december 2016.

2.3Avgränsningen av uppdraget

Utredningens direktiv framgår av avsnitt 2.1. Utredningen om till- synen över den personliga integriteten och Dataskyddsutredningen har till viss del ett överlappande uppdrag, varför genomförandet av vissa delar av direktivet inte ankommer på vår utredning.

Utredningen om tillsyn över den personliga integriteten har bl.a. haft till uppgift att överväga hur den framtida tillsynen över behandling av personuppgifter bör organiseras och resurssättas och att lämna de förslag som behövs för att tillsynsmyndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering. I uppdraget till den utredningen ingår att föreslå författningsändringar och andra åtgärder som behövs.

Vi har uppfattat uppdraget till Utredningen om tillsynen över den personliga integriteten på det sättet att det främst avsett orga- nisatoriska frågor, frågor som rör ledningen av myndigheten och tillsynsmyndighetens oberoende, vilket är frågor som främst berörs i artiklarna 41–43 och 44.1 i direktivet. De förslag som vi redovisar tar sin utgångspunkt i de bedömningar Utredningen om tillsynen över den personliga integriteten har gjort i fråga om vilken myndig- het som ska utses till tillsynsmyndighet enligt direktivet. Vår ut-

81

Utredningens uppdrag och arbete

SOU 2017:29

redning tar därför inte tar ställning till frågor som rör hur tillsyns- myndigheten och dess styrelseledamöter eller motsvarande ska ut- ses och hur länge de får tjänstgöra eller frågor om hur tillsynsmyn- dighetens oberoende ska värnas genom organisatoriska åtgärder.

Det ingår i uppgifterna för Dataskyddsutredningen att bl.a. ana- lysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Det innebär att vår utredning inte tar ställning till behovet av författ- ningsreglering med anledning av kraven i artikel 44.2 i direktivet.

82

Dagens reglering

SOU 2017:29

strerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventio- nen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansö- kan 62332/00).

Även Europeiska unionens (EU) stadga om de grundläggande rättigheterna (rättighetsstadgan) innehåller bestämmelser om be- handling av personuppgifter (se avsnitt 4.1.1).

3.1.2Personuppgiftslagen

Grundläggande begrepp

Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgifter. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databe- handling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen regi- ster den allmänt använda termen för datoriserade uppgiftssam- lingar. Termen register används fortfarande i vissa författningar.

Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av upp- gifter. I personuppgiftslagen (1998:204) nämns inte register utan det talas i stället om behandling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas be- nämns dock alltjämt den registrerade.

84

SOU 2017:29

Dagens reglering

Lagens tillämpningsområde

Personuppgiftslagen, genom vilken det nu gällande dataskyddsdi- rektivet genomfördes i svensk rätt, innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter om- fattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.

Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller för- ordning framför bestämmelserna i personuppgiftslagen. Sådan sär- reglering finns framför allt i olika registerförfattningar.

Behandling av uppgifter om juridiska personer (som definitions- mässigt inte utgör personuppgifter) omfattas inte av personupp- giftslagen.

Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås fast vissa grundläggande krav för be- handling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personupp- gifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprin- cipen). De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgif- terna vara aktuella. Om personuppgifterna är felaktiga eller ofull- ständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

85

Dagens reglering

SOU 2017:29

Personuppgifter får inte sparas längre än nödvändigt med hän- syn till de ändamål för vilka de behandlas.

Tillåten och otillåten behandling

I 10–12 §§ finns en uttömmande uppräkning av de fall där behand- ling av personuppgifter är tillåten. Personuppgifter får alltid be- handlas om den registrerade har gett sitt samtycke. Återkallar per- sonen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.

I vissa fall får personuppgifter behandlas även om den registre- rade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.

Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansva- rige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.

Behandling av känsliga personuppgifter

I 13 § personuppgiftslagen förbjuds behandling av känsliga person- uppgifter. Med det avses uppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening och uppgifter som rör hälsa eller sexualliv.

Förbudet mot behandling av känsliga personuppgifter är inte undantagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryck- liga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de enligt 15 § behandlas. Vidare görs i

86

SOU 2017:29

Dagens reglering

16 § undantag för nödvändig behandling, bl.a. för att den person- uppgiftsansvarige ska kunna fullgöra skyldigheter eller utöva rät- tigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.

Undantag görs också i 17 § för ideella organisationer med poli- tiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.

Likaså finns det undantag i 18 § för behandlingen av känsliga personuppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från för- budet i 13 §, om det behövs med hänsyn till ett viktigt allmänt in- tresse.

Uppgifter om brott och behandling av personnummer

Det är enligt 21 § personuppgiftslagen förbjudet för andra än myn- digheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.

Uppgifter om personnummer och samordningsnummer får en- ligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Automatiserade beslut

Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automati- serad behandling av sådana personuppgifter som är avsedda att be-

87

Dagens reglering

SOU 2017:29

döma egenskaper hos personen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.

Information till den registrerade

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personupp- giftsansvariges skyldighet att självmant lämna information till regi- strerade gäller enligt 23 § i första hand uppgifter som den registre- rade själv har lämnat. Har uppgifterna samlats in från annan källa, föreskrivs i 24 § att den personuppgiftsansvarige självmant ska in- formera den registrerade när uppgifterna registreras, eller om av- sikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller ut- lämnandet av uppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.

Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Informationsskyldig- heten omfattar bara sådana uppgifter som den registrerade inte redan känner till.

Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökan- den behandlas, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga ut- formning eller utgör minnesanteckning, utom i de fall där uppgif- terna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.

Informationsskyldigheten gäller enligt 27 § inte heller om upp- gifterna omfattas av sekretess eller tystnadsplikt.

88

SOU 2017:29

Dagens reglering

Rättelse

Personuppgifter som har behandlats i strid med personuppgiftsla- gen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om kor- rigeringen.

Säkerheten vid behandling

I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsan- svarige ansvarar för säkerheten.

Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för an- vändning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personupp- giftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kommissionen) an-

89

Dagens reglering

SOU 2017:29

ses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.

Tillsyn

Datainspektionen är enligt 2 § personuppgiftsförordningen till- synsmyndighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av person- uppgifter som regleras i särskilda registerförfattningar. Inspektio- nen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av person- uppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§ personuppgiftslagen regleras till- synsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.

Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada och kränkning av den personliga integriteten för den registrerade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både personskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.

En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personupp- gifter eller för över personuppgifter till tredjeland i strid med be- stämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gärning som omfattas av ett vites- föreläggande enligt lagen.

90

SOU 2017:29

Dagens reglering

3.1.3Personuppgiftslagens förhållande till annan lagstiftning

I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de verksamhetsområden som berörs av det nya data- skyddsdirektivet, vilket redovisas närmare i det följande. Regle- ringen har, av de skäl som anges i avsnitt 3.1.1, normalt lagform.

Författningar som reglerar personuppgiftsbehandling är ofta konstruerade så att de gäller utöver personuppgiftslagen. Det inne- bär att författningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämpningsområde är lagen (2001:617) om be- handling av personuppgifter inom kriminalvården ett exempel på det.

Det finns emellertid även författningar som gäller i stället för personuppgiftslagen. Det innebär att de i sin helhet ersätter per- sonuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa an- ges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsområde för flertalet av de centrala författningarna. Det gäller t.ex. polisdatalagen (2010:361), kustbe- vakningsdatalagen (2012:145) och åklagardatalagen (2015:433).

3.2Särregler för brottsbekämpande verksamhet

3.2.1Polisen

Allmänt om polisdatalagen

Polisdatalagen är generellt utformad och gäller i polisens brotts- bekämpande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekäm- pande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde behandling av personuppgifter enligt vapen- lagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och

91

Dagens reglering

SOU 2017:29

lagen (2015:51) om register över tillträdesförbud vid idrottsarran- gemang. Eftersom det, med undantag för den sistnämnda lagen, inte ingår i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.

Lagens tillämpningsområde

Polisdatalagen gäller vid behandling av personuppgifter i brottsbe- kämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Ekobrottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av uppgifter om juridiska personer.

I annan verksamhet än den brottsbekämpande tillämpar Polis- myndigheten personuppgiftslagen, om det inte finns en specialreg- lering. Myndigheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som den bedriver enligt utlännings- och medborgar- skapslagstiftningen, om det inte är fråga om brottsbekämpning.

Förhållandet till personuppgiftslagen

Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftsla- gen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av person- uppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmel- ser om behandlingen av personuppgifter, information till den regi- strerade, tillsyn och skadestånd.

Ändamål för behandling och utlämnande av uppgifter

I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får behandlas. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att

92

SOU 2017:29

Dagens reglering

tillgodose de behov som finns i polisens brottsbekämpande verk- samhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polis- datalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov eller till andra delar av polisverksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhanda- hålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehand- ling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndighetens handräckningsverksamhet eller, om det finns särskilda skäl, att till- handahålla informationen i annan verksamhet som myndigheten ansvarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekre- tessbrytande bestämmelser som gäller i förhållande till Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap. 16–18 §§ polis- datalagen.

93

Dagens reglering

SOU 2017:29

Behandling av känsliga personuppgifter

Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polis- datalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgif- ter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, pen- ningtvättsregister och det internationella registret. För dessa regi- ster finns särskilda bestämmelser om ändamål, gallring och direkt- åtkomst.

Behandling av personuppgifter för forensiska ändamål

I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbe- handling vid Polismyndigheten för forensiska ändamål. Där regle- ras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regleringen i övrigt i lagen, på grund av att avdel- ningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gallring. När det gäller behandling av känsliga personuppgifter, utlämnande av personupp- gifter och uppgiftsskyldighet gäller i huvudsak samma bestämmel- ser som för Polismyndigheten.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 6 kap. polisdatalagen finns bestämmelser om behandling av per- sonuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens person-

94

SOU 2017:29

Dagens reglering

uppgiftsbehandling, som delvis avviker från regleringen för Polis- myndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.

3.2.2Tullverket

En ny tullbrottsdatalag har föreslagits

Lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet – som för närvarande gäller för person- uppgiftsbehandling i den del av Tullverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, tullbrottsdatalagen (Tullbrottsdatalag, prop. 2016/17:91). En- ligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrottsdatalag.

Lagens tillämpningsområde

Tullbrottsdatalagen, som har utformats i nära anslutning till polis- datalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Tullverkets brottsbe- kämpande verksamhet. Lagen föreslås enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om per- sonuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen föreslås enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Lagen föreslås gälla i stället för personuppgiftslagen, men hänvis- ningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftsla- gen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

95

Dagens reglering

SOU 2017:29

Ändamål för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter föreslås få behandlas i Tull- verkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § få be- handlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Per- sonuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndighe- ten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndighe- ten, Kustbevakningen och Skatteverket eller en utländsk myndig- het eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås också enligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upp- rätthålla säkerheten och i annan verksamhet som Tullverket ansva- rar för, om det finns särskilda skäl för att tillhandahålla informatio- nen. Likaså föreslås personuppgifter i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag.

Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvän- dig för handläggningen.

I 2 kap. 12 § föreslås en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyn- dighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande be- stämmelse som gäller i förhållande till Polismyndigheten, Säker- hetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbe- vakningen och Skatteverket föreslås i 2 kap. 13 §.

96

SOU 2017:29

Dagens reglering

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 10 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nöd- vändigt för syftet med behandlingen.

3.2.3Kustbevakningen

Allmänt om kustbevakningsdatalagen

För Kustbevakningens behandling av personuppgifter gäller kust- bevakningsdatalagen. Lagen reglerar i princip all behandling av per- sonuppgifter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av person- uppgifter i annan operativ verksamhet som Kustbevakningen be- driver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter.

Förhållandet till personuppgiftslagen

Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för person- uppgiftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestäm- melser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande be- stämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

97

Dagens reglering

SOU 2017:29

Ändamålen för behandling och utlämnande av uppgifter

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamå- len avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.

De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får per- sonuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

Personuppgifter som behandlas i Kustbevakningens brottsbe- kämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myndighet eller mellanfolklig orga- nisation. Personuppgifter får även behandlas om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vat- tenföroreningsavgift eller tillsyn och kontroll enligt lag eller för- ordning. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i en annan myndig- hets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informa- tionen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specifice- rade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol eller utländsk kustbevaknings-

98

SOU 2017:29

Dagens reglering

eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, för- hindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekre- tess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatte- verket.

Behandling av känsliga personuppgifter

I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av käns- liga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med käns- liga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

3.2.4Skatteverket

En ny skattebrottsdatalag har föreslagits

Lagen (1999:90) om behandling av personuppgifter vid Skattever- kets medverkan i brottsutredningar – som för närvarande gäller för personuppgiftsbehandling i den del av Skatteverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, skattebrottsdatalagen (Skattebrottsdatalag, prop. 2016/17:89). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till skattebrottsdatalag.

99

Dagens reglering

SOU 2017:29

Lagens tillämpningsområde

Skattebrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får enligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner sär- skilda skäl för det. Tillämpningsområdet omfattar även sådana brott.

Skattebrottsdatalagen ska enligt 1 kap. 2 § endast gälla om be- handlingen är helt eller delvis automatiserad eller om personupp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Lagen föreslås gälla i stället för personuppgiftslagen, men hänvis- ningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgifts- lagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter föreslås få behandlas i Skatte- verkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter föreslås enligt 2 kap. 5 § få be- handlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra för- pliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i

100

SOU 2017:29

Dagens reglering

brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen eller en utländsk myndighet eller mellan- folklig organisation. Personuppgiftsbehandling genom utlämnande föreslås enligt 2 kap. 6 § också vara tillåten bl.a. när det är nödvän- digt för att tillhandahålla information som behövs i annan verk- samhet som Skatteverket ansvarar för, om det kan antas att infor- mationen behövs i ett ärende i den verksamheten. Personuppgifter föreslås i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ända- mål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nöd- vändig för handläggningen.

I 2 kap. 11 och 12 §§ föreslås sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbekämpande myndigheter och till en utländsk myn- dighet eller mellanfolklig organisation.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 8 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om upp- gifter om en person behandlas på annan grund ska de få komplette- ras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

3.2.5Åklagarväsendet

Åklagare har till uppgift både att bekämpa och lagföra brott, men eftersom åklagares brottsbekämpning syftar till att lagföra redo- visas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 3.3.1.

101

Dagens reglering

SOU 2017:29

3.2.6Lagen om internationellt polisiärt samarbete

Lagen om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den ut- sträckning som följer av internationella överenskommelser. Polis- datalagen gäller enligt 1 a § lagen om internationellt polisiärt sam- arbete för polisens behandling av personuppgifter i det samarbete som regleras i lagen, om inte den lagen innehåller särskilda regler.

I 16–21 §§ lagen om internationellt polisiärt samarbete finns be- stämmelser om informationsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant infor- mationsutbyte. I 22 och 23 §§ regleras på motsvarande sätt infor- mationsutbyte enligt CBE-direktivet. I 24–27 §§ finns bestämmel- ser om tillgång till uppgifter i informationssystemet för viseringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Paragraferna reglerar den behandling av personuppgifter som är tillåten för dessa syften.

I 28 och 29 §§ finns vissa bestämmelser som är gemensamma för Prümrådsbeslutet, CBE-direktivet och VIS-rådsbeslutet.

I propositionen Nya möjligheter till operativt polissamarbete med andra stater (prop. 2016/17:139) föreslås att lagen om interna- tionellt polisiärt samarbete ska upphävas och ersättas med en ny lag i samma ämne. Där föreslås bl.a. att lagen delas in i kapitel och att det införs fem kapitel som reglerar olika former av personuppgifts- behandling vid polisiärt samarbete med andra stater inom och utan- för EU. Några ändringar i sak föreslås inte när det gäller regle- ringen av behandling av personuppgifter.

3.2.7Lagen om internationellt tullsamarbete

Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även över- trädelser som hanteras i Tullverkets verksamhet effektiv handel.

102

SOU 2017:29

Dagens reglering

I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regleringen gäller för både spontant uppgiftsutbyte och utläm- nande av uppgifter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör underrätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i paragrafen angivna situa- tioner.

3.2.8Lagen om register över tillträdesförbud vid idrottsarrangemang

Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polismyndigheten och idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätt- hålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt 2 § med hjälp av automatiserad be- handling föra ett tillträdesförbudsregister, som innehåller uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena framhålls att Polis- myndighetens personuppgiftsbehandling enligt lagen åtminstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).

3.3Särregler för lagföring

3.3.1Åklagarväsendet

Allmänt om åklagardatalagen

Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och kustbevakningsdatalagen. Lagen gäller för behandling av per- sonuppgifter i åklagarväsendets operativa verksamhet. Personupp- gifter får behandlas både i åklagares brottsbekämpande verksamhet och om det behövs för att åklagare ska kunna fullgöra andra opera- tiva uppgifter som de har enligt bestämmelser i lag eller förordning. Behandling för sistnämnda ändamål ligger utanför direktivets till- lämpningsområde och berörs därför inte vidare här. Lagen gäller

103

Dagens reglering

SOU 2017:29

endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Lagens tillämpningsområde

Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs. åklagarverksamhet vid Åklagarmyndigheten och Ekobrotts- myndigheten. Lagen gäller däremot inte för behandling av person- uppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller i stället.

Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för be- handling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 § finns hänvisningar som innebär att ett flertal bestäm- melser i personuppgiftslagen ska tillämpas. Det gäller bl.a. person- uppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om informa- tion till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser be- handling av personuppgifter för att tillgodose de behov som finns inom åklagarväsendet. De primära ändamålen för behandling anges uttömmande i 2 kap. 5 § åklagardatalagen. Personuppgifter får be- handlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, ut- reda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Personuppgifter får även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åkla- gare ska kunna fullgöra andra författningsreglerade uppgifter.

104

SOU 2017:29

Dagens reglering

De sekundära ändamålen är aktuella när personuppgifter som får behandlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. En- ligt de sekundära ändamålen, som anges i 2 kap. 6 §, får person- uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till åklagarväsendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndig- het i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överens- kommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tull- verket, Kustbevakningen och Skatteverket.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad

105

Dagens reglering

SOU 2017:29

som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock komplette- ras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.

3.3.2Domstolsväsendet

Allmänt om domstolsdatalagen

Domstolsdatalagen (2015:728) gäller vid behandling av personupp- gifter hos de allmänna domstolarna, de allmänna förvaltningsdom- stolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om person- uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter.

Lagens tillämpningsområde

Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tullverkets och Skatteverkets motsvarande lagar – tillämplig i all rättsskipande och rättsvårdande verksamhet vid de allmänna dom- stolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vida- rebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Trots det mycket omfattande tillämpningsområdet regleras endast få frågor i domstolsdatalagen, vilket beror på den vittomfattande ändamålsregeln som medger behandling för hand- läggning av alla typer av mål och ärenden.

I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om in- ternationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straff- rättsliga påföljder som är av intresse.

106

SOU 2017:29

Dagens reglering

Förhållandet till personuppgiftslagen

Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmel- ser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.

Behandling av känsliga personuppgifter

I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

3.3.3Register över ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötes- straff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraft- vunnen dom.

Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföreläggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.

107

Dagens reglering

SOU 2017:29

Förordningen om register över strafförelägganden

I förordningen (1997:902) om register över strafförelägganden reg- leras i 2 § Tullverkets rätt att föra register över utfärdade straff- förelägganden och i 3 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se av- snitt 3.4.3 beträffande sistnämnda register).

Ett strafförelägganderegister får enligt 6 § användas för hand- läggning av ärenden om strafföreläggande, för visst uppgiftsläm- nande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.

Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åkla- gardatalagen är generellt tillämplig och när den infördes konstate- rades det att särreglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (se Åklagardatalag, prop. 2014/15:63, s. 66).

Förordningen om register över ordningsbot

I förordningen (1997:903) om register över ordningsbot ges Polis- myndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot.

Registret används inte bara av Polismyndigheten utan även av Säkerhetspolisen, Tullverket och Kustbevakningen. All registrering av förelägganden av ordningsbot hanteras i registret.

Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställ- ning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.

108

SOU 2017:29

Dagens reglering

3.4Särregler för verkställighet av straff

3.4.1Särreglering bara för vissa former av verkställighet

Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter

Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga påföljder. Det gäller fängelsestraff och frivårdspåföljder i form av skyddstillsyn och villkorlig dom med samhällstjänst.

Både Polismyndigheten och Kronofogdemyndigheten har upp- gifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.

De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.

Överlämnande till särskild vård

Om rätten beslutar om överlämnande till särskild vård enligt 31 kap. brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap. brottsbalken är det andra myndigheter som ansvarar för verkställigheten. Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är det socialnämnden eller ett hem där sådan vård meddelas som ansvarar för verkställigheten.

Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen (1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av ett landsting för verkställigheten.

Är påföljden ungdomsvård eller ungdomstjänst ansvarar social- nämnden för verkställigheten. I de fall där påföljden bestäms till sluten ungdomsvård ansvarar enligt 3 § lagen (1998:603) om verk- ställighet av sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.

De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.

109

Dagens reglering

SOU 2017:29

3.4.2Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst

Allmänt om lagen om behandling av personuppgifter inom kriminalvården

Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (cen- trala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika per- sonkategorier finns i stället i förordningen (2001:682) om behand- ling av personuppgifter inom kriminalvården.

Lagens tillämpningsområde

Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om personer som

–är föremål för personutredning,

–är häktade,

–är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller är ålagda fängelse som för- vandlingsstraff för böter eller vite, eller som på grund av en ut- ländsk dom ska verkställa någon av dessa påföljder i Sverige,

–på någon annan grund är intagna i häkte eller fängelse, eller

–annars transporteras av Kriminalvårdens transporttjänst.

Förhållandet till personuppgiftslagen

Lagen om behandling av personuppgifter inom kriminalvården gäller utöver personuppgiftslagen och innehåller bara vissa särbe- stämmelser i förhållande till personuppgiftslagen, som i övrigt gäl- ler för Kriminalvårdens verksamhet.

110

SOU 2017:29

Dagens reglering

Ändamålen med behandlingen

Personuppgifter får enligt 3 § lagen behandlas bara om det är nöd- vändigt för att

–Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

–underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

–upprätthålla säkerheten och förebygga brott under den tid som häktning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.

Behandling av känsliga personuppgifter

Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personupp- gifter om det är absolut nödvändigt för syftet med behandlingen.

Förordningen om behandling av personuppgifter inom kriminalvården

I förordningen om behandling av personuppgifter inom kriminal- vården finns dels generella regler om vilka uppgifter som får be- handlas, dels bestämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person före- kommer hos Kriminalvården. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.

Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ända- målet med registret är dels att möjliggöra för myndigheten att full- göra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsen- dets myndigheter behöver. Endast personer som har dömts till

111

Dagens reglering

SOU 2017:29

fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan påföljd i Sverige får finnas i registret.

Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får finnas i registret. Registrering förutsätter dessutom att vissa särskilda omständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verk- ställigheten.

3.4.3Verkställighet av bötesstraff

Regler om verkställighet av böter

Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötes- straff antingen genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att belopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller före- läggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.

Uppbörd av böter

Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett

112

SOU 2017:29

Dagens reglering

föreläggande av ordningsbot eller ett strafföreläggande. Polismyn- digheten ansvarar även för uppbörd av böter som utdömts av all- män domstol.

I Polismyndighetens verksamhet med uppbörd av böter tilläm- pas personuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägg- anden av ordningsbot och strafförelägganden (se avsnitt 3.3.3). Registren är bl.a. avsedda att utgöra hjälpmedel i Polismyndighe- tens roll som central uppbördsmyndighet.

I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är av- sedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. Förslagen bereds i Rege- ringskansliet (Justitiedepartementet).

Verkställighet av böter som inte betalas frivilligt

Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att för- vandlas till fängelse. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§ bötes- verkställighetslagen, dels i 17–23 §§ bötesverkställighetsförord- ningen.

3.4.4Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och ungdomstjänst

Rättspsykiatrisk vård

När det gäller rättspsykiatrisk vård finns det ingen särskild regler- ing av personuppgiftsbehandling i sådan verksamhet. I den ut- sträckning som verksamheten är hänförlig till hälso- och sjukvård gäller patientdatalagen (2008:355) även för rättspsykiatrisk vård (se Patientdatalag m.m., prop. 2007/08:126, s. 49). I övrigt tillämpas personuppgiftslagen.

113

Dagens reglering

SOU 2017:29

I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgifts- lagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på jour- nalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansvarig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndighet, landsting eller kom- mun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och vad som i övrigt gäller för behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.

Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare

Statens institutionsstyrelse, som ansvarar för verkställighet av slu- ten ungdomsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgiftslagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behand- ling av känsliga personuppgifter och uppgifter om lagöverträdelser, domar i brottmål och straffprocessuella tvångsmedel.

Kommunala myndigheter tillämpar också lagen om behandling av personuppgifter inom socialtjänsten i verksamhet enligt lagstift- ningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller missbrukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överlämnande till särskild vård enligt lagen om vård av missbrukare eller till ungdomstjänst eller ung- domsvård.

114

SOU 2017:29

Dagens reglering

3.4.5Internationellt samarbete rörande verkställighet av straffrättsliga påföljder

Ett flertal lagar och förordningar reglerar internationellt samarbete beträffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om inter- nationellt samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2009:1427) om erkän- nande och verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndig- heter vars registerförfattningar har redovisats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.

3.5Regler om personuppgiftsbehandling hos andra aktörer än myndigheter

3.5.1Uppgifter om brottsbekämpning, lagföring eller straffverkställighet

Det är inte bara myndigheter som behandlar uppgifter som rör brottsbekämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträck- ning sådana uppgifter får behandlas regleras dels i personuppgifts- lagen, dels i andra författningar som ligger utanför direktivets till- lämpningsområde.

Som framgår i avsnitt 3.1.2 förbjuds andra än myndigheter i per- sonuppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personupp- gifter om lagöverträdelser får behandlas bl.a. om behandlingen

115

Dagens reglering

SOU 2017:29

–är nödvändig för att fullgöra en föreskrift på socialtjänstområ- det,

–avser uppgift i fristående skolors elevvårdsverksamhet eller mot- svarande verksamhet hos enskilda anordnare av högskoleutbild- ning,

–är nödvändig för att kontrollera att en jävssituation inte förelig- ger i advokatverksamhet eller annan juridisk verksamhet, eller

–bara avser enstaka uppgift som är nödvändig för att anmälnings- skyldighet enligt lag ska kunna fullgöras.

3.5.2Offentliga försvarare och annat juridiskt biträde

I förundersökningar och brottmålsrättegångar biträds både den misstänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den som är advokat får enligt huvudregeln i 21 kap. 5 § rät- tegångsbalken utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen (1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträ- dande jurist eller någon annan som är lämplig för uppdraget. Mot- svarande krav ställs på den som enligt 5 § lagen (1999:997) om sär- skild företrädare för barn får utses till särskild företrädare. Den som fullgör uppgifter som offentlig försvarare, målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning per- sonuppgifter som härrör från förundersökningar, brottsmålsrätte- gångar och straffverkställighet.

I 8 kap. rättegångsbalken finns bestämmelser om advokatväsen- det. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets styrelse och disciplinnämnd enligt 8 kap. 6 och 7 §§ rättegångsbalken utövar över advokaterna.

Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksam- het redbart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.

Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.

116

SOU 2017:29

Dagens reglering

3.5.3Idrottsorganisationer

En idrottsorganisation får enligt 7 § lagen om register över tillträ- desförbud vid idrottsarrangemang behandla personuppgifter från det tillträdesförbudsregister som Polismyndigheten för, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesförbudsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automa- tiserad behandling.

3.62013 års lag

Allmänt om lagen

Lagen (2013:329) med vissa bestämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60, i fortsätt- ningen dataskyddsrambeslutet). Lagen gäller när personuppgifter överförs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatise- rad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Lagens tillämpningsområde

Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga på- följder, om uppgifterna inom ramen för polissamarbete eller straff- rättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz

117

Dagens reglering

SOU 2017:29

eller Liechtenstein eller mellan en svensk myndighet och ett EU- organ eller EU-informationssystem.

Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har över- förts genom visst informationsutbyte som specificeras i paragrafen.

Personuppgifter som en svensk myndighet har tagit emot får enligt 5 § endast behandlas för andra ändamål än det som uppgif- terna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, verkställa straffrättsliga på- följder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller interna- tionella organ.

I lagen finns också bestämmelser om villkor för användningen av personuppgifter.

118

Reformer på dataskyddsområdet

SOU 2017:29

med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 3.1.2), gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

4.1.3Dataskyddsrambeslutet

Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlems- stater och EU-organ och mellan medlemsstaster och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 3.6).

4.2Europeiska unionens dataskyddsreform

4.2.1Två nya rättsliga instrument

Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle ersätta 1995 års dataskyddsdirektiv pågick länge. Kommis- sionen presenterade den 25 januari 2012 förslag till en genomgri- pande reform av EU:s regler om skydd för personuppgifter. Pake- tet omfattade inte bara en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet utan även ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bre- dare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgif- ter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

120

SOU 2017:29

Reformer på dataskyddsområdet

Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt innebar förslaget stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en rad nyheter jämfört med dataskyddsdirektivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emel- lan. En annan nyhet var skyldigheten för den personuppgiftsansva- rige att utan dröjsmål underrätta tillsynsmyndigheten om en per- sonuppgiftsincident ägt rum.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan per- sonuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personupp- giftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskydds- direktivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder.

Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga in- strument, en förordning och ett direktiv.

4.2.2En dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (EGT L 119, 4.5.2016, s. 1, i fortsättningen dataskyddsförordningen) börjar till- lämpas den 25 maj 2018.

121

Reformer på dataskyddsområdet

SOU 2017:29

Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personuppgiftslagen upphävas. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande före- skrifter och i övrigt anpassas till den.

Förordningen reglerar bl.a. grundläggande principer för behand- ling av personuppgifter, den registrerades rättigheter, personupp- giftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.

Från förordningens tillämpningsområde undantas personupp- giftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den all- männa säkerheten. Personuppgiftsbehandling för dessa syften lig- ger i stället under det nya dataskyddsdirektivets tillämpningsom- råde (se avsnitt 4.2.3).

En särskild utredare har fått i uppdrag att föreslå de anpass- ningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen har antagit namnet Dataskyddsutredningen. Den ut- redningen förutsätts samråda med vår utredning. I direktiven till Dataskyddsutredningen framhålls att samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndig- heten och arkivering.

4.2.3Ett nytt dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på be- höriga myndigheters behandling av personuppgifter för att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, i fortsättningen direktivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.

122

SOU 2017:29

Reformer på dataskyddsområdet

Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndig- heter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.

4.2.4Viss personuppgiftsbehandling ligger utanför båda instrumenten

Viss behandling av personuppgifter undantas från både dataskydds- förordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfat- tas av unionsrätten, däribland området nationell säkerhet.

Vidare undantas den personuppgiftsbehandling som förekom- mer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutio- nerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.

4.3Dataskyddskonventionen

Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personupp- gifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa re- spekten för grundläggande fri- och rättigheter, särskilt den enskil- des rätt till personlig integritet i samband med automatisk data- behandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den prin- cip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättig- heter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.

123

Reformer på dataskyddsområdet

SOU 2017:29

I konventionen anges krav på de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas auto- matiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.

Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.

Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.

124

Det nya dataskyddsdirektivet

SOU 2017:29

ska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndig- heter, detta utbyte varken begränsas eller förbjuds av hänsyn till skyddet för fysiska personer mot behandling av personuppgifter. Det slås också fast att direktivet inte hindrar att medlemsstaterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.

Artikel 2 anger direktivets tillämpningsområde. Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av per- sonuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personupp- giftsbehandling som utförs av unionens institutioner eller andra organ.

Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses med personuppgift, behandling, register, behörig myndighet, per- sonuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsin- cident. Vidare definieras genetiska och biometriska uppgifter.

Principer – artiklarna 4–11

I artikel 4 anges grundläggande principer för behandling av person- uppgifter. Personuppgifter ska

–behandlas på ett lagligt och korrekt sätt,

–samlas in för särskilda, uttryckligt angivna och berättigade ända- mål och inte behandlas på ett sätt som står i strid med dessa än- damål,

–vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

–vara korrekta och, om nödvändigt, uppdaterade,

–inte möjliggöra identifiering av den registrerade under längre tid än nödvändigt, och

126

SOU 2017:29

Det nya dataskyddsdirektivet

–behandlas på ett sätt som säkerställer säkerheten för uppgif- terna.

Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personupp- giftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.

Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när per- sonuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.

Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.

I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs till- gängliga. Om felaktiga personuppgifter har överförts eller person- uppgifter överförts olagligen ska mottagaren omedelbart underrät- tas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.

Enligt artikel 8 är behandling laglig endast om och i den ut- sträckning behandlingen är nödvändig för att behöriga myndighe- ter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka person- uppgifter som ska behandlas och ändamålet med behandlingen.

I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för

127

Det nya dataskyddsdirektivet

SOU 2017:29

andra ändamål än dem som anges i artikel 1.1 ska dataskyddsför- ordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskapliga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.

Artikel 10 reglerar behandling av det som brukar kallas känsliga personuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgifter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåtgärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om det är fråga om uppgifter som den regist- rerade själv har offentliggjort.

I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de en- bart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grund- val av känsliga personuppgifter ska förbjudas.

Den registrerades rättigheter – artiklarna 12–18

Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättighe- ter. Informationen ska vara koncis, lättillgänglig och språkligt lätt- fattlig. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begäran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en regi- strerads begäran är uppenbart ogrundad eller orimlig får den per-

128

SOU 2017:29

Det nya dataskyddsdirektivet

sonuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.

I artikel 13 anges vilken information som alltid måste göras till- gänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktupp- gifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begräns- ning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.

Artikel 14 behandlar den registrerades rätt till tillgång till per- sonuppgifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om per- sonuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till personuppgifterna och följande information:

–ändamålen med behandlingen och den rättsliga grunden,

–vilka kategorier av personuppgifter som behandlas,

–vilka mottagare eller kategorier av mottagare som har fått per- sonuppgifterna,

–hur länge uppgifterna kommer att lagras eller, om det inte är möjligt, kriterierna för att fastställa lagringstiden,

–rätten att begära rättelse, radering eller begränsning av behand- lingen, och

–rätten att klaga hos en tillsynsmyndighet och dess kontaktupp- gifter.

Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgärden är nödvändig och proportionell, helt eller delvis begränsa den registrerades rätt till tillgång till personuppgifter och infor- mation i syfte att undvika att förundersökningar och andra utred- ningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.

129

Det nya dataskyddsdirektivet

SOU 2017:29

Artikel 16 behandlar rätten till rättelse eller radering av person- uppgifter eller begränsning av behandlingen och vilka skyldigheter den personuppgiftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade. I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall be- gränsa behandlingen av uppgifterna.

Enligt artikel 17 ska den registrerades rättigheter även kunna ut- övas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.

I artikel 18 öppnas möjlighet att föreskriva att rätten till infor- mation, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredning och straffrättsliga förfaranden.

Av skäl 107 framgår att direktivet inte hindrar att det i nationell straffprocesslagstiftning finns bestämmelser om den registrerades rätt till information, tillgång till och rättelse eller radering av per- sonuppgifter och begränsning av behandling i samband med straff- rättsliga förfaranden och begränsningar i dessa rättigheter.

Personuppgiftsansvarig och personuppgiftsbiträde – artiklarna 19–28

Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.

Artikel 20 behandlar inbyggt dataskydd och dataskydd som standard.

Artikel 21 öppnar en möjlighet att låta två eller flera personupp- giftsansvariga ha gemensamt personuppgiftsansvar för ett register.

I artikel 22 regleras vilka krav som ställs när en personuppgifts- ansvarig anlitar ett personuppgiftsbiträde. Som huvudregel får ett

130

SOU 2017:29

Det nya dataskyddsdirektivet

personuppgiftsbiträde enligt artikel 23 bara behandla uppgifter en- ligt instruktioner från den personuppgiftsansvarige.

Artikel 24 innehåller detaljerade regler om personuppgiftsansva- rigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begäran göras tillgängliga för tillsynsmyndigheten.

Enligt artikel 26 ska personuppgiftsansvariga och personupp- giftsbiträden på begäran samarbeta med tillsynsmyndigheten.

I artikel 27 ställs krav på att den personuppgiftsansvarige gör en förhandsbedömning av behandlingens konsekvenser för skyddet av personuppgifter när det gäller en ny typ av behandling som sanno- likt leder till hög risk för fysiska personers rättigheter och friheter.

Artikel 28 ställer krav på att den personuppgiftsansvarige under vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.

Säkerhet för personuppgifter – artiklarna 29–31

Artikel 29 innehåller krav på säkerhet i samband med behandlingen av personuppgifter. Den personuppgiftsansvarige och personupp- giftsbiträdet ska – med beaktande av bl.a. kostnaderna och behand- lingens art, omfattning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomstskydd för utrustning, kontroll av datamedier, lagringskontroll, användarkontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, transportkontroll, åter- ställande, driftsäkerhet och dataintegritet.

I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsynsmyndigheten utan dröjsmål och enligt huvudregeln se- nast 72 timmar efter att den personuppgiftsansvarige har fått kän- nedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.

Artikel 31 innehåller regler om information till den registrerade om en personuppgiftsincident och i vilka fall det inte krävs någon sådan information.

131

Det nya dataskyddsdirektivet

SOU 2017:29

Dataskyddsombud – artiklarna 32–34

Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett data- skyddsombud. Undantag får göras för domstolars och andra obe- roende rättsliga myndigheters dömande verksamhet. Flera myndig- heter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentliggöras, dels meddelas till tillsynsmyndigheten.

Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet kan delta i frågor som rör skyddet av person- uppgifter och stödja dataskyddsombudet i hans eller hennes upp- gifter.

Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efterlevs och att samarbeta med och vara en kontakt- punkt för tillsynsmyndigheten.

Överföring av personuppgifter till tredjeländer eller internationella organisationer – artiklarna 35–40

I artikel 35 anges allmänna principer för överföring av personupp- gifter till tredjeland och internationella organisationer. Där före- skrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en person- uppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstill- stånd till överföringen.

Artikel 36 reglerar överföring till mottagare i tredjeland eller internationella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt till- stånd.

Även om det inte finns något beslut om en adekvat skyddsnivå får, enligt artikel 37, uppgifter överföras till mottagare i ett tredje- land eller en internationell organisation om lämpliga skyddsåtgär- der kan säkerställas i ett enskilt fall.

I artikel 38 görs också undantag för överföring i särskilda situa- tioner, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

132

SOU 2017:29

Det nya dataskyddsdirektivet

Artikel 39 reglerar överföring direkt till vissa mottagare som inte är behöriga myndigheter.

Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd för personupp- gifter och att också erbjuda bistånd till tredjeland och internatio- nella organisationer i det syftet.

Oberoende tillsynsmyndigheter – artiklarna 41–51

Enligt artikel 41 ska varje medlemsstat utse en eller flera myndig- heter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt dataskyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.

Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt obe- roende när den utför sina uppgifter och utövar sina befogenheter enligt direktivet. I artikeln utvecklas vilka krav som ska vara upp- fyllda för att myndigheten ska anses vara oberoende.

De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett oberoende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.

Enligt artikel 44 ska inrättandet av myndigheten och regler och förfaranden för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.

Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsyns- myndigheten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behand- lar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.

Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till upp- gifterna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge regi-

133

Det nya dataskyddsdirektivet

SOU 2017:29

strerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgiftsfritt behandla klagomål från registre- rade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.

Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsyns- myndigheten ska ha rätt att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som be- handlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogenheter t.ex. att kunna varna den per- sonuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med de bestämmelser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyndigheten ska också ha rätt att anmäla överträdelser till rättsliga myndigheter.

De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanismer för att rapportera överträdelser av direktivet.

Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rap- port om sin verksamhet. Rapporten ska överlämnas till parlamen- tet, regeringen och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommis- sionen.

Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och senast inom en månad och får bara vägra att tillmötesgå en begäran om myndigheten inte är behörig eller det skulle stå i strid med direktivet, unionsrätt eller nationell rätt. Kommissionen får genom genomförandeakter ange formerna för ömsesidigt bistånd.

I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personuppgifter enligt direktivet.

134

SOU 2017:29

Det nya dataskyddsdirektivet

Rättsmedel, ansvar och sanktioner – artiklarna 52–57

Artikel 52 reglerar rätten för registrerade att lämna in klagomål över personuppgiftsbehandling till en tillsynsmyndighet. Har klagomå- let lämnats till fel myndighet ska den utan dröjsmål överlämna kla- gomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av klagomålet och vad det resulterar i.

I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bindande och avser dem. Detsamma gäller om tillsynsmyn- digheten inte behandlat ett klagomål inom tre månader eller inte informerat den registrerade enligt artikel 52.

Rätten till ett effektivt rättsmedel mot en personuppgiftsansva- rig eller ett personuppgiftsbiträde regleras i artikel 54.

Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organisation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hennes räkning.

Den som lidit skada till följd av olaglig behandling av person- uppgifter eller någon annan åtgärd som står i strid med de bestäm- melser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.

Artikel 57 ställer krav på att det finns sanktioner för överträdel- ser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Genomförandeakter – artikel 58

Artikel 58 reglerar kommissionens kommittéförfarande.

Slutbestämmelser – artiklarna 59–65

Enligt artikel 59 upphävs dataskyddsrambeslutet.

I artikel 60 slås fast att direktivet inte påverkar särskilda be- stämmelser om skydd av personuppgifter i gällande unionsrättsak- ter på området för straffrättsligt samarbete och polissamarbete och

135

Det nya dataskyddsdirektivet

SOU 2017:29

i artikel 61 regleras förhållandet till tidigare ingångna avtal på om- rådet för straffrättsligt samarbete och polissamarbete.

Artikel 62 reglerar kommissionens skyldighet att senast sex år efter ikraftträdandet och därefter vart fjärde år utvärdera direktivet.

I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall föreskriva att datasystem som inrättats före ikraft- trädandet ska stå i överensstämmelse med bestämmelsen om logg- ning i direktivet senast den 6 maj 2023. Under exceptionella om- ständigheter kan tiden förlängas ytterligare i högst tre år.

Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.

136

En ny ramlag

SOU 2017:29

gäller de i stället för personuppgiftslagen men hänvisar till de be- stämmelser i den lagen som ska tillämpas.

Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning motsvarar de krav på reglering som direktivet ställer. När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen och föreskrifter som har meddelats med stöd av den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – dataskyddsförordningen och kom- pletterande nationella bestämmelser – kommer inte att vara anpas- sat till de särskilda förutsättningar som gäller för personuppgifts- behandling inom brottsbekämpning, lagföring och straffverkställig- het, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet.

Regleringen bör ha lagform

Enligt 2 kap. 6 § andra stycket regeringsformen är enskilda gent- emot det allmänna skyddade mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av personliga förhållanden. Enligt 2 kap. 20 och 21 §§ regeringsformen kan inskränkningar i detta skydd enbart göras genom lag och bara för att tillgodose ändamål som är godtag- bara i ett demokratiskt samhälle. Direktivet är inte avsett att leda till några inskränkningar i skyddet av enskildas personliga integritet utan har tvärtom till syfte att stärka det. Regleringen är ändå enligt utredningens mening av den arten att den lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsak- ligen i lag.

138

SOU 2017:29

En ny ramlag

6.1.2En generellt tillämplig men subsidiär lag

Utredningens förslag: Dataskyddsdirektivet ska i huvudsak genomföras genom en ny lag som ska vara generellt tillämplig. Särregler i en annan lag eller en förordning ska dock gälla fram- för den nya lagen. Lagen ska benämnas brottsdatalagen.

Skälen för utredningens förslag

En generell reglering

Dataskyddsdirektivet ska alltså genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lag- stiftning, framför allt i berörda myndigheters registerförfattningar, eller genom att det införs en helt ny lag.

Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ända- mål personuppgifterna behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlems- stat kan behöva tillämpa inte bara personuppgiftslagen och polis- datalagen (2010:361), utan också lagen om internationellt polisiärt samarbete eller 2013 års lag. Alternativet att genomföra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer sammanhållen reglering.

Det finns dock flera nackdelar med att placera den nya regle- ringen i de olika registerförfattningarna. En sådan är att register- författningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den generella regleringen. Det talar för att så långt som möjligt skapa ett gemen- samt regelverk för behandling av personuppgifter inom direktivets

139

En ny ramlag

SOU 2017:29

tillämpningsområde. Det bör därför, som anges i utredningens direktiv, införas en ny ramlagstiftning för brottsbekämpning, lag- föring och straffverkställighet (dir. 2016:21 s. 7). Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 7.1.3.

Lagen bör vara subsidiär

Utredningen ska enligt direktiven sträva efter principiella lösningar som ansluter till och är förenliga med gällande författningar och systematik (dir. 2016:21 s. 5 f.). Den nya ramlagen bör därför inne- hålla de bestämmelser som krävs för att genomföra direktivet och som bör vara generellt tillämpliga. Regleringen bör på samma sätt som i dag kompletteras av registerförfattningar, där bestämmelser som är specifika för myndigheternas verksamhet finns.

Ramlagen kommer att vara anpassad till skyldigheterna och kra- ven i direktivet. I utredningens uppdrag ingår att anpassa myndig- heternas registerförfattningar till ramlagen. Även andra författ- ningar som innehåller bestämmelser om personuppgiftsbehandling på ramlagens tillämpningsområde måste ses över så att de, i den mån de innehåller bestämmelser som avviker från ramlagen, inte står i strid med direktivet.

Av artikel 18 framgår att det är tillåtet att i nationell rätt ha reg- ler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 11.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestäm- melser om information.

Mot den bakgrunden bör ramlagen, på samma sätt som person- uppgiftslagen, vara subsidiär i förhållande till bestämmelser i lag eller annan författning.

När personuppgiftslagen infördes övervägdes om det skulle in- föras en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot det nu gäl- lande dataskyddsdirektivet (Integritet, Offentlighet, Informations-

140

SOU 2017:29

En ny ramlag

teknik, SOU 1997:39, s. 210 f.). Datalagskommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon motsvarande nytta.

Befintlig lagstiftning måste ses över och anpassas så att det inte finns bestämmelser som står i strid med direktivet. Det arbetet pågår både genom vår utredning och andra översyner. När ny eller ändrad lagstiftning på området övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet. Utredningen anser i likhet med Datalagskommittén att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personupp- giftslagen.

En delvis ändrad struktur

Som framgår av avsnitt 3.2 och 3.3 gäller bl.a. polisdatalagen, kust- bevakningsdatalagen (2012:145), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728) i stället för personuppgiftslagen. Dessa författningar innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksam- het. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en systematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ram- lagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade registerförfattningarna kommer därför att behöva an- passas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikel- ser från bestämmelserna i ramlagen.

De registerförfattningar som i dag gäller utöver personuppgifts- lagen måste också anpassas så att de i stället ska gälla utöver ram- lagen.

En konsekvens av den ändrade strukturen är att vissa bestäm- melser som nu finns i registerförfattningarna kan komma att flyttas till ramlagen, om de är av den arten att de bör gälla för all verksam- het inom direktivets tillämpningsområde. Som exempel kan näm- nas regler om hur känsliga personuppgifter får behandlas (se av- snitt 9.2.4). Om det finns behov av särregler för de olika myndig-

141

En ny ramlag

SOU 2017:29

heterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Utred- ningen kommer att – i enlighet med direktiven för arbetet – i slut- betänkandet lämna förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av ramlagen.

Lagens benämning

Ramlagen kommer som framgår av avsnitt 7.1 att tillämpas när be- höriga myndigheter behandlar personuppgifter inom ramen för brottsbekämpning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tilläm- pas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.

Ett namn som skulle kunna återspegla lagens huvudsakliga inne- håll men ändå är förhållandevis kort är lagen om behandling av per- sonuppgifter vid brottsbekämpning, lagföring och straffverkställig- het. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personupp- gifter i polisens brottsbekämpande verksamhet) när den nu gällan- de polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (Integritet och effektivitet i polisens brottsbekämpan- de verksamhet, prop. 2009/10:85, s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hänvisning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).

De registerförfattningar som har införts på direktivets tillämp- ningsområde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen och domstolsdatalagen. Även Tull- verkets och Skatteverkets nya registerförfattningar föreslås inne- hålla ordet datalag. Ett alternativ är därför att benämna ramlagen brottsdatalagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.

Nackdelen med benämningen brottsdatalag är att det inte fram- går att lagen gäller för behandling av personuppgifter vid straff- verkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straffverkställighet och brott gör att namnet

142

SOU 2017:29

En ny ramlag

inte är missvisande. I avsnitt 7.1.3 föreslås att lagen även ska om- fatta behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till upp- väger dock nackdelen att det inte uttömmande anger lagens till- lämpningsområde. Lagen bör därför benämnas brottsdatalagen.

Benämningen brottsdatalag aktualiserar frågan hur myndighe- ternas registerförfattningar bör benämnas. De kommer även fort- sättningsvis att komplettera ramlagen och innehålla de mer precise- rade eller avvikande regler som behövs för respektive myndighets verksamhet. Registerförfattningarna benämns i dag polisdatalag, kustbevakningsdatalag, åklagardatalag etc.

Kustbevakningsdatalagen och domstolsdatalagen gäller i dag i all verksamhet som inte är administrativ hos respektive myndighet. När dataskyddsförordningen börjar gälla finns det skäl att dela upp sådana registerförfattningar som både reglerar personuppgiftsbe- handling som styrs av ramlagen och behandling för vilken data- skyddsförordningen gäller. För de myndigheter som redan har en sådan uppdelning av regelverken för personuppgiftsbehandling, Tullverket och Skatteverket, innebär uppdelningen på regelverk däremot ingen förändring. Det aktualiserar frågan hur registerför- fattningarna bör benämnas i framtiden. Ett alternativ är att använda myndighetsnamnet tillsammans med brottsdatalag för de register- författningar som kompletterar ramlagen, t.ex. Polismyndighetens brottsdatalag, Tullverkets brottsdatalag och Kustbevakningens brottsdatalag. En alternativ benämning på ramlagen skulle då kunna vara allmän brottsdatalag för att skilja den från myndighetsförfatt- ningarna. Eftersom frågan väckts i ett sent skede av utrednings- arbetet läggs inget sådant förslag.

Lagen bör kompletteras av en förordning

Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detaljregler bör inte tas in i lagen utan regleras i förordning. För att genomföra direktivet i sin helhet är det enligt utredningens mening nödvändigt att komplettera brottsdatalagen med en förord-

143

En ny ramlag

SOU 2017:29

ning. Utredningen lämnar därför även förslag till hur en sådan för- ordning, benämnd brottsdataförordning, bör utformas.

6.1.3Ramlagens syfte

Utredningens förslag: Syftet med ramlagen ska vara dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personupp- gifter med varandra på ett ändamålsenligt sätt.

Skälen för utredningens förslag: Av artikel 1.2 framgår att regle- ringen har dubbla syften. Den ska skydda fysiska personers grund- läggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt ska regleringen säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begrän- sas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdata- lagen anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Bestäm- melser om syftet med en reglering saknar normalt egentligt mate- riellt innehåll. Man kan därför fråga sig om det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte enbart en symbo- lisk eller informativ betydelse att uttryckligen slå fast lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rättstillämp- ningen genom att det ger vägledning för tolkningen av de materi- ella bestämmelserna i lagen (se Myndighetsdatalag, SOU 2015:39, s. 220).

Det finns därför skäl att införa en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften. Att fysiska personers grundläggande fri- och rättigheter ska skyddas vid behandling av personuppgifter är en central målsättning för regleringen. Samtidigt är vissa intrång i den personliga integriteten

144

SOU 2017:29

En ny ramlag

nödvändiga för att myndigheterna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brottsutredning eller brott- målsrättegång innehåller ofta personuppgifter om både brottsoffer, misstänkta, vittnen och tjänstemän som deltar i verksamheten. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla person- uppgifter i den verksamhet som omfattas av direktivets tillämp- ningsområde. En bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter och att samtidigt säkerställa att be- höriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt tydliggör den dubbla målsätt- ningen.

Formuleringen avviker något från hur målsättningen anges i artikel 1.2. Enligt direktivet ska det säkerställas att behöriga myn- digheters utbyte av personuppgifter inom unionen inte begränsas eller förbjuds med hänsyn till skyddet för enskildas personliga in- tegritet. En grundläggande förutsättning för att behöriga myndig- heter ska kunna utbyta personuppgifter är att de får behandla så- dana uppgifter. Enligt utredningens mening bör ramlagen därför inte bara syfta till att de behöriga myndigheterna ska kunna utbyta personuppgifter med varandra, utan också till att de kan behandla personuppgifter på ett ändamålsenligt sätt.

6.1.42013 års lag bör upphävas

Utredningens förslag: Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt sam- arbete inom Europeiska unionen och hänvisningar till den lagen ska upphävas.

Skälen för utredningens förslag: Enligt artikel 59 ska dataskydds- rambeslutet upphöra att gälla samma dag som medlemsstaterna ska ha införlivat direktivet i nationell rätt.

Rambeslutet bygger i huvudsak på det nu gällande dataskydds- direktivet. Eftersom Sverige i princip genomförde det direktivet

145

En ny ramlag

SOU 2017:29

även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmelser som motsvarade artiklarna i rambe- slutet i personuppgiftslagen och i myndigheternas registerförfatt- ningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EU-medlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verksam- het, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sam- manhållen som möjligt. Därför bör 2013 års lag upphävas. Därmed bör också alla de bestämmelser som hänvisar till den lagen upphä- vas. Sådana hänvisningar finns dels i myndigheternas registerför- fattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tillämp- ningsområde. Hänvisningar i myndigheternas registerförfattningar kommer att ses över i slutbetänkandet, i samband med övriga an- passningar av dem, medan hänvisningar i övrigt behandlas i detta betänkande.

6.2Uttryck i ramlagen

Utredningens förslag: Vissa uttryck som används i ramlagen ska definieras.

Skälen för utredningens förslag

Definitionerna bör ligga så nära direktivets definitioner som möjligt

I artikel 3 definieras vissa uttryck som är av grundläggande bety- delse för förståelsen av bestämmelserna i direktivet. Definitionerna överensstämmer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförordningen. Som framgår av avsnitt 7.1.5 kommer de myndigheter som är behöriga i ramlagens mening att också tillämpa förordningen i delar av sin verksamhet. För att underlätta tillämp- ningen finns det därför skäl att i så stor utsträckning som möjligt använda direktivets terminologi så att definitionerna i ramlagen och

146

SOU 2017:29

En ny ramlag

förordningen blir så lika som möjligt. Det innebär att motsvarande definitioner i personuppgiftslagen inte bör användas i den mån de avviker från direktivets terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning.

I artikel 3.3 finns en definition av begränsning av behandling. Som framgår av avsnitt 11.4.3 stämmer direktivets definition inte överens med vad som får antas vara avsikten med åtgärden. En defi- nition i enlighet med direktivets lydelse blir därför missvisande och en definition i enlighet med syftet blir innehållslös. Begränsning av behandling bör därför inte definieras i ramlagen.

Både det nu gällande och det nya dataskyddsdirektivet innehål- ler en definition av register. När det nu gällande dataskyddsdirekti- vet genomfördes ville man komma bort från registerbegreppet som redan då ansågs otidsenligt (Personuppgiftslag, prop. 1997/98:44, s. 39). Någon definition av register infördes därför inte i person- uppgiftslagen. Definitionen i direktivet användes i stället för att avgränsa lagens tillämpningsområde genom att det i 5 § anges att lagen även gäller för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Som framgår av avsnitt 7.1.6 föreslår utredningen att tillämpningsområdet för ramlagen anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Någon definition behövs därför inte.

I direktivet definieras även profilering och pseudonymisering. Profilering nämns i artikel 11 som ett exempel på beslut som grun- das enbart på automatiserad behandling. I artikel 24.1 e anges att det register som den personuppgiftsansvarige ska föra över person- uppgiftsbehandling i tillämpliga fall ska innehålla uppgifter om användningen av profilering. Pseudonymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. Utredningen föreslår inte att termerna ska användas i ramlagen och några defi- nitioner av dem behövs därför inte.

Nedan följer en redogörelse för de definitioner som bör finnas i ramlagen.

147

En ny ramlag

SOU 2017:29

Behandling av personuppgifter

Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med det nu gällande dataskyddsdirektivet och 3 § personuppgifts- lagen. Definitionen i ramlagen bör nära ansluta till direktivets text.

Behandling av personuppgifter bör definieras som en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgif- ter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läs- ning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller för- störing.

Behörig myndighet

Att det bör införas en definition av uttrycket behörig myndighet och hur den bör utformas framgår av avsnitt 7.1.4.

Biometriska uppgifter

Varken det nu gällande dataskyddsdirektivet eller personuppgifts- lagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biomet- riska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräf- tar unik identifiering av personen, som ansiktsbilder eller finger- avtrycksuppgifter. Biometriska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken utsträckning sådana uppgifter får behandlas.

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd

148

SOU 2017:29

En ny ramlag

identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr Fingeravtryck i pass, prop. 2008/09:132, s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.

I direktivets definition av biometriska uppgifter anges ansikts- bilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot be- arbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av defi- nitionen.

Ramlagen bör innehålla en definition av uttrycket biometriska uppgifter. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsatser om vad som omfattas. Biometriska uppgifter bör definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller be- kräftar unik identifiering av personen i fråga.

Dataskyddsombud

Dataskyddsombud nämns i flera artiklar men är inte definierat. I avsnitt 10.5.1 diskuterar utredningen behovet av en definition och hur den bör utformas.

Genetiska uppgifter

Genetiska uppgifter definieras inte i det nu gällande dataskydds- direktivet eller i personuppgiftslagen. Med genetiska uppgifter av- ses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller

149