Lag om flygpassageraruppgifter i brottsbekämpningen
Betänkande av
Stockholm 2017
SOU 2017:57
SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2017
ISBN
ISSN
Till statsrådet Anders Ygeman
Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direk- tiv om användning av passageraruppgiftssamlingar
Till särskild utredare förordnades från och med den 17 mars 2016 rådmannen Anna Tansjö.
Till sakkunniga att biträda utredningen förordnades från och med den 18 mars 2016 ämnesrådet Gabriela Kalm, Finansdepartementet, och rättssakkunniga Ida Salomonsson, Justitiedepartementet. Till experter utsågs samma dag den seniora strategiska rådgivaren Kurt Alavaara, Säkerhetspolisen, juristen Johnny Andersson, Transport- styrelsen, den nationella specialisten Mats Pettersson, Tullverket, tf. enhetschefen Karin Tollbäck, Säkerhets- och integritetsskydds- nämnden, och handläggaren
Hovrättsassessorn
Utredningen har antagit namnet
Till betänkandet har fogats ett särskilt yttrande av experterna Kurt Alavaara,
Uppdraget är härmed slutfört.
Höganäs i juni 2017
Anna Tansjö
Innehåll
Förkortningar..................................................................... |
19 |
|
Sammanfattning ................................................................ |
21 |
|
Summary .......................................................................... |
31 |
|
1 |
Författningsförslag..................................................... |
41 |
1.1Förslag till lag (2018:000) om flygpassageraruppgifter
|
i brottsbekämpningen............................................................. |
41 |
1.2 |
Förslag till förordning (2018:000) om |
|
|
flygpassageraruppgifter i brottsbekämpningen..................... |
58 |
1.3 |
Förslag till lag om ändring i polislagen (1984:387)............... |
64 |
1.4Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot
ett annat land inom Europeiska unionen............................... |
65 |
1.5Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära
|
säkerhetstjänst......................................................................... |
66 |
1.6 |
Förslag till lag om ändring i polisdatalagen (2010:361)........ |
67 |
1.7 |
Förslag till lag om ändring i tullagen (2016:253) .................. |
68 |
1.8Förslag till lag om ändring i tullbrottsdatalagen
(2017:000)................................................................................ |
69 |
5
Innehåll |
SOU 2017:57 |
2 |
Inledning .................................................................. |
71 |
|
2.1 |
Uppdraget ............................................................................... |
71 |
|
2.2 |
Arbetets genomförande ......................................................... |
72 |
|
3 |
|
||
|
i anledning av direktivet ............................................. |
73 |
|
3.1 |
Allmänt om direktivet............................................................ |
73 |
|
3.2 |
Bakgrund................................................................................. |
74 |
|
3.3 |
Direktivets innehåll i korthet................................................. |
76 |
|
3.4 |
Överenskommelser i anledning av direktivet ....................... |
80 |
|
4 |
Transportörsansvaret och |
81 |
|
4.1 |
Inledning ................................................................................. |
81 |
|
4.2 |
Internationella åtaganden på området................................... |
82 |
|
|
4.2.1 |
Chicagokonventionen............................................. |
82 |
|
4.2.2 |
FN:s resolution 2178 .............................................. |
83 |
4.3 |
Vissa |
84 |
|
4.3.1Schengenkonventionen och direktivet om
|
transportörsansvar .................................................. |
84 |
4.3.2 |
Kodex om Schengengränserna ............................... |
85 |
4.4 Svenska regler om transportörsansvar................................... |
85 |
|
4.4.1 |
Bakgrund.................................................................. |
85 |
4.4.2Utlänningslagens bestämmelser om
|
transportörsansvar .................................................. |
86 |
4.4.3 |
Befälhavares skyldigheter ....................................... |
87 |
4.5 |
87 |
|
4.5.1 |
87 |
|
4.5.2
|
utlänningslagen........................................................ |
88 |
4.5.3 |
Lagen om passagerarregister................................... |
89 |
6
SOU 2017:57 Innehåll
5 |
Dagens reglering och användning av |
|
|
|
flygpassageraruppgifter i brottsbekämpningen .............. |
91 |
|
5.1 |
Inledning.................................................................................. |
91 |
|
5.2 |
Tillämpliga bestämmelser ....................................................... |
92 |
|
|
5.2.1 |
Polismyndigheten och Säkerhetspolisen................ |
92 |
|
5.2.2 |
Tullverket................................................................. |
93 |
5.3 |
Dagens användning av |
95 |
|
|
5.3.1 |
Polismyndigheten.................................................... |
95 |
|
5.3.2 |
Säkerhetspolisen ...................................................... |
95 |
|
5.3.3 |
Tullverket................................................................. |
96 |
6 |
Dataskyddsreglering................................................... |
99 |
|
6.1 |
Internationella konventioner ................................................. |
99 |
|
|
6.1.1 |
Europakonventionen m.m. ..................................... |
99 |
|
6.1.2 |
Dataskyddskonventionen ....................................... |
99 |
6.2 |
Gällande |
100 |
|
6.2.1
|
|
rättigheterna........................................................... |
100 |
|
6.2.2 |
Dataskyddsdirektivet ............................................ |
101 |
|
6.2.3 |
Dataskyddsrambeslutet......................................... |
101 |
6.3 Huvuddragen i den svenska regleringen.............................. |
102 |
||
|
6.3.1 |
Regeringsformen ................................................... |
102 |
|
6.3.2 |
Personuppgiftslagen .............................................. |
103 |
6.4 |
Aktuella särregleringar.......................................................... |
108 |
|
|
6.4.1 |
Polisdatalagen ........................................................ |
108 |
|
6.4.2 |
Tullbrottsdatalag.................................................... |
111 |
|
6.4.3 |
Lagen om internationellt polisiärt samarbete ...... |
113 |
|
6.4.4 |
Lagen om internationellt tullsamarbete ............... |
114 |
|
6.4.5 |
2013 års lag............................................................. |
114 |
6.5 |
EU:s dataskyddsreform........................................................ |
115 |
|
|
6.5.1 |
Bakgrund till reformen.......................................... |
115 |
|
6.5.2 |
En dataskyddsförordning...................................... |
116 |
|
6.5.3 |
Ett nytt dataskyddsdirektiv .................................. |
117 |
6.5.4Viss personuppgiftsbehandling faller utanför
båda instrumenten ................................................. |
118 |
7
Innehåll |
SOU 2017:57 |
7 |
Pågående arbeten .................................................... |
121 |
|
7.1 |
Internationellt arbete............................................................ |
121 |
|
|
7.1.1 |
Arbete inom PNRGOV Working Group ........... |
122 |
|
7.1.2 |
Arbete inom EU.................................................... |
122 |
7.2 |
Arbete i Sverige..................................................................... |
124 |
|
7.2.1Arbete med att upprätta en nationell enhet
|
|
för passageraruppgifter ......................................... |
124 |
|
7.2.2 |
Arbetet med direktivets tekniska |
|
|
|
bestämmelser......................................................... |
125 |
VÅRA ÖVERVÄGANDEN OCH FÖRSLAG |
|
||
8 |
Utgångspunkter och inledande ställningstaganden ...... |
129 |
|
8.1 |
Allmänt om att genomföra |
129 |
|
8.2 |
En samlad ny lag ................................................................... |
130 |
|
8.3 |
Normgivningsnivå ................................................................ |
131 |
|
8.4 |
En grundläggande allmän utgångspunkt ............................. |
133 |
|
8.5Den nya lagstiftningens förhållande till relevant
|
dataskyddsreglering.............................................................. |
134 |
|
9 |
Den nya lagens inledande bestämmelser .................... |
147 |
|
9.1 |
Den nya lagens namn, innehåll och syfte............................ |
147 |
|
9.2 |
Definitioner i lagen............................................................... |
151 |
|
9.3 |
Terroristbrott........................................................................ |
152 |
|
|
9.3.1 |
Bakgrund................................................................ |
153 |
|
9.3.2 |
Våra överväganden och förslag............................. |
154 |
9.4 |
Grov brottslighet.................................................................. |
156 |
|
|
9.4.1 |
Bakgrund................................................................ |
157 |
|
9.4.2 |
Våra överväganden och förslag............................. |
158 |
9.5 |
Otillåten behandling av |
160 |
|
10 |
En enhet för passagerarinformation ........................... |
163 |
|
10.1 |
Direktivets bestämmelser..................................................... |
163 |
|
10.2 |
Den svenska enheten för passagerarinformation................ |
164 |
|
8
SOU 2017:57 Innehåll
10.3 |
Enhetens organisation och utredningens uppdrag.............. |
166 |
|
10.4 |
Tillgången till |
168 |
|
|
10.4.1 |
Direktåtkomst ....................................................... |
168 |
|
10.4.2 |
Sekretess inom Polismyndigheten?...................... |
170 |
10.4.3Begränsningar via dataskyddsbestämmelser
|
|
m.m......................................................................... |
174 |
10.5 |
Personal anställd vid andra myndigheter............................. |
179 |
|
11 |
Lufttrafikföretagens överföring av |
183 |
|
11.1 |
Om lufttrafikföretag............................................................. |
183 |
|
|
11.1.1 Olika former av kommersiell luftfart för |
|
|
|
|
befordran av passagerare ....................................... |
183 |
|
11.1.2 |
Tillstånd att bedriva passagerarflygtrafik............. |
184 |
|
11.1.3 Lufttrafikföretagens resor till och från Sverige ... |
187 |
|
11.2 |
Lufttrafikföretagens insamlande av |
187 |
|
11.3 |
Vilka lufttrafikföretag ska åläggas en skyldighet |
|
|
|
att överföra |
189 |
|
11.4 |
Överföring av |
|
|
|
för passagerarinformation .................................................... |
193 |
|
|
11.4.1 Omfattningen av vårt uppdrag ............................. |
193 |
|
|
11.4.2 Överföring av uppgifter avseende flygresor |
|
|
|
|
både inom och utom EU....................................... |
194 |
|
11.4.3 |
197 |
|
|
11.4.4 |
198 |
|
|
11.4.5 Överföringar ska ske vid två tillfällen .................. |
202 |
|
|
11.4.6 Överföringar vid andra tidpunkter....................... |
203 |
|
|
11.4.7 Hur överföringarna ska gå till............................... |
205 |
|
|
11.4.8 |
Anlitande av personuppgiftsbiträde ..................... |
208 |
12 |
Resebyråer och researrangörer .................................. |
209 |
|
12.1 |
Medlemsstaternas överenskommelse och vårt uppdrag ..... |
209 |
|
12.2 |
Resebyråer och researrangörer............................................. |
210 |
|
12.2.1Resebyråers och researrangörers insamling och överföring av
lufttrafikföretag ..................................................... |
213 |
9
Innehåll |
SOU 2017:57 |
12.2.2Behöriga myndigheter vill kunna få tillgång
|
|
till samtliga insamlade |
215 |
|
12.2.3 Insamling av |
|
|
|
|
och researrangörer i dagsläget .............................. |
215 |
12.3 |
Våra överväganden................................................................ |
216 |
|
13 |
Behandling av |
|
|
|
för passagerarinformation ......................................... |
225 |
|
13.1 |
En databas för |
225 |
|
13.2 |
Ändamål för behandling av |
226 |
|
|
13.2.1 |
|
|
|
|
förhandsbedömningar........................................... |
228 |
|
13.2.2 |
Förfarandet vid förhandsbedömningar................ |
230 |
|
13.2.3 |
|
|
|
|
överföra |
|
|
|
mottagare och tredjeland ...................................... |
235 |
|
13.2.4 |
|
|
|
|
utforma kriterier.................................................... |
237 |
|
13.2.5 |
|
|
|
|
medlemsstaters enheter för |
|
|
|
passagerarinformation........................................... |
238 |
13.3 |
Maskering av |
239 |
|
|
13.3.1 |
Direktivets bestämmelser ..................................... |
240 |
|
13.3.2 Våra överväganden och förslag............................. |
241 |
|
13.4 |
Begränsad tillgång till maskerade uppgifter ........................ |
243 |
|
14 |
|
||
|
och dess genomförande i svensk rätt.......................... |
245 |
|
14.1 |
PNR- och |
245 |
|
14.2 |
Vårt uppdrag i denna del ...................................................... |
247 |
|
14.3 |
Direktivens olika mål och syften......................................... |
248 |
|
|
14.3.1 Innebörden av den personkontroll som görs |
|
|
|
|
inom ramen för gränskontrollen.......................... |
249 |
10
SOU 2017:57 Innehåll
14.4 |
Överföring av |
|
|
|
251 |
||
14.5 |
Skillnader mellan PNR- och |
251 |
|
14.6 |
Våra överväganden ................................................................ |
254 |
|
|
14.6.1 Hur |
|
|
|
|
genomförandet av |
254 |
|
14.6.2 Är en samordnad hantering av PNR- och |
|
|
|
|
255 |
|
15 |
Enhetens överföring och utbyte av |
261 |
|
15.1 |
Inledning................................................................................ |
261 |
|
15.2 |
Överföring av |
|
|
|
myndigheter .......................................................................... |
262 |
|
|
15.2.1 |
Behörig myndighet................................................ |
262 |
|
15.2.2 Överföring av |
|
|
|
|
myndigheter........................................................... |
263 |
15.3 |
Utbyte av |
269 |
|
|
15.3.1 |
Medlemsstat........................................................... |
269 |
15.3.2Utbyte mellan medlemsstaternas enheter för
passagerarinformation........................................... |
270 |
15.3.3Överföring på direkt begäran från en behörig
myndighet i en annan medlemsstat ...................... |
276 |
15.3.4Enhetens inhämtande av
|
|
andra medlemsstaters motsvarande enheter ........ |
277 |
|
15.3.5 |
Former för informationsutbytet .......................... |
278 |
15.4 |
Europols tillgång till |
279 |
|
|
15.4.1 Europol och dess verksamhet ............................... |
279 |
|
|
15.4.2 |
Europolförordningen ............................................ |
280 |
|
15.4.3 |
Direktivets bestämmelser...................................... |
282 |
|
15.4.4 Våra överväganden och förslag ............................. |
283 |
|
15.5 |
Överföring av avmaskerade |
285 |
|
|
15.5.1 |
Direktivets bestämmelser...................................... |
285 |
15.5.2Vilka överföringar kräver att särskilda
förutsättningar är uppfyllda? ................................ |
287 |
15.5.3 Vilken prövning ska enheten göra? ...................... |
288 |
11
Innehåll |
SOU 2017:57 |
|
15.5.4 Vem ska lämna tillstånd till överföring |
|
|
|
|
av fullständiga uppgifter?...................................... |
289 |
16 |
Behöriga myndigheters behandling |
|
|
|
av |
307 |
|
16.1 |
Behöriga myndigheters rätt att motta och begära |
|
|
|
tillgång till |
307 |
|
|
16.1.1 Behöriga myndigheters rätt att motta |
|
|
|
|
308 |
|
|
16.1.2 Behöriga myndigheters möjlighet att begära |
|
|
|
|
tillgång till |
308 |
|
16.1.3 Våra överväganden och förslag............................. |
309 |
|
16.2 |
Behandling av |
|
|
|
myndigheterna...................................................................... |
311 |
|
|
16.2.1 Tillämpliga dataskyddsbestämmelser hos de |
|
|
|
|
behöriga myndigheterna ....................................... |
311 |
|
16.2.2 Våra generella överväganden i denna del ............. |
312 |
|
|
16.2.3 Myndigheternas behandling av den överförda |
|
|
|
|
314 |
|
|
16.2.4 |
Automatiserade beslut .......................................... |
316 |
17 |
Överföring till tredjeland........................................... |
319 |
|
17.1 |
Direktivets bestämmelser..................................................... |
319 |
|
17.2 |
Bakgrund............................................................................... |
320 |
|
|
17.2.1 Dataskyddsrambeslutet och 2013 års lag............. |
320 |
|
|
17.2.2 |
Brottsdatalagen...................................................... |
322 |
17.3 |
Våra överväganden och förslag ............................................ |
324 |
|
|
17.3.1 |
Grundläggande begrepp........................................ |
324 |
|
17.3.2 Förutsättningar för överföring till tredjeland ..... |
325 |
|
|
17.3.3 |
Överföring utan medgivande ............................... |
330 |
|
17.3.4 Säkerställande av direktivets bestämmelser......... |
332 |
|
18 |
Lagringstid och gallring ............................................ |
335 |
|
18.1 |
Inledning ............................................................................... |
335 |
|
18.2 |
Rättslig bakgrund ................................................................. |
335 |
|
12
SOU 2017:57 |
|
Innehåll |
18.2.1 |
Gällande rätt .......................................................... |
336 |
18.2.2 |
Brottsdatalagen ...................................................... |
340 |
18.3 Inledande radering hos enheten för |
|
|
passagerarinformation .......................................................... |
341 |
|
18.3.1 |
Direktivets bestämmelser...................................... |
341 |
18.3.2 Våra överväganden och förslag ............................. |
341 |
|
18.4 Lagringstiden hos enheten för passagerarinformation för |
|
|
343 |
||
18.4.1 |
Direktivets bestämmelser...................................... |
343 |
18.4.2 Våra överväganden och förslag ............................. |
343 |
|
18.5 Radering av |
|
|
personuppgifter..................................................................... |
345 |
|
18.5.1 |
Direktivets bestämmelser...................................... |
345 |
18.5.2 Allmänt om känsliga personuppgifter.................. |
345 |
|
18.5.3
|
|
personuppgifter ..................................................... |
346 |
|
18.5.4 Våra överväganden och förslag ............................. |
347 |
|
18.6 |
Enhetens bevarande och gallring av resultatet |
|
|
|
av en förhandsbedömning .................................................... |
349 |
|
|
18.6.1 |
Direktivets bestämmelser...................................... |
349 |
|
18.6.2 Våra överväganden och förslag ............................. |
350 |
|
18.7 |
Enhetens bevarande och gallring av resultat |
|
|
|
av behandling av |
353 |
|
18.8 |
Bevarande och gallring av |
|
|
|
hos behöriga myndigheter.................................................... |
354 |
|
|
18.8.1 |
Direktivets bestämmelser...................................... |
354 |
|
18.8.2 Våra överväganden och förslag ............................. |
355 |
|
19 |
Personuppgiftsansvarigas skyldigheter ....................... |
357 |
|
19.1 |
Personuppgiftsansvar............................................................ |
357 |
|
|
19.1.1 |
Direktivets bestämmelser...................................... |
357 |
|
19.1.2 Nya dataskyddsdirektivet och brottsdatalagen ... |
358 |
|
|
19.1.3 Våra överväganden och förslag ............................. |
358 |
|
19.2 |
Generella datasäkerhetsbestämmelser ................................. |
361 |
|
|
19.2.1 |
Direktivets bestämmelser...................................... |
361 |
13
Innehåll |
SOU 2017:57 |
19.2.2Dataskyddsrambeslutet och dess
|
|
genomförande i svensk rätt .................................. |
362 |
|
19.2.3 |
Brottsdatalagen...................................................... |
363 |
|
19.2.4 Våra överväganden och förslag............................. |
364 |
|
19.3 |
Bevarande av dokumentation och loggning........................ |
365 |
|
|
19.3.1 |
Direktivets bestämmelser ..................................... |
365 |
|
19.3.2 |
Nuvarande reglering.............................................. |
367 |
|
19.3.3 |
Brottsdatalagen...................................................... |
368 |
|
19.3.4 Våra överväganden och förslag............................. |
369 |
|
19.4 |
Personuppgiftsincident ........................................................ |
372 |
|
|
19.4.1 |
Direktivets bestämmelser ..................................... |
372 |
|
19.4.2 |
Nuvarande reglering.............................................. |
373 |
|
19.4.3 |
Brottsdatalagen...................................................... |
373 |
|
19.4.4 |
Våra överväganden ................................................ |
375 |
19.5 |
Dataskyddsombud................................................................ |
377 |
|
|
19.5.1 |
Direktivets bestämmelser ..................................... |
377 |
|
19.5.2 |
Nuvarande reglering.............................................. |
378 |
|
19.5.3 |
Brottsdatalagen...................................................... |
378 |
|
19.5.4 Våra överväganden och förslag............................. |
379 |
|
20 |
Enskildas rättigheter ................................................ |
383 |
|
20.1 |
Direktivets bestämmelser..................................................... |
383 |
|
20.2 |
Rätten till information ......................................................... |
384 |
|
|
20.2.1 |
Dataskyddsrambeslutet ........................................ |
384 |
|
20.2.2 |
Brottsdatalagen...................................................... |
384 |
|
20.2.3 |
Dataskyddsförordningen...................................... |
387 |
|
20.2.4 Våra överväganden och förslag............................. |
388 |
|
20.3 |
Rätt till rättelse, radering eller begränsning |
|
|
|
av behandlingen av uppgifter ............................................... |
391 |
|
|
20.3.1 |
Dataskyddsrambeslutet ........................................ |
391 |
|
20.3.2 |
Brottsdatalagen...................................................... |
392 |
|
20.3.3 Våra överväganden och förslag............................. |
393 |
|
20.4 |
Rätt till ersättning................................................................. |
395 |
|
|
20.4.1 |
Dataskyddsrambeslutet ........................................ |
395 |
|
20.4.2 |
Brottsdatalagen...................................................... |
395 |
14
SOU 2017:57 Innehåll
|
20.4.3 Våra överväganden och förslag |
............................. 396 |
|
20.5 |
Rätt till rättsmedel ................................................................ |
396 |
|
|
20.5.1 |
Dataskyddsrambeslutet ......................................... |
396 |
|
20.5.2 |
Brottsdatalagen ...................................................... |
397 |
|
20.5.3 Våra överväganden och förslag ............................. |
398 |
|
21 |
Tillsyn |
.................................................................... |
399 |
21.1 |
Direktivets bestämmelser..................................................... |
399 |
|
21.2 |
Bakgrund ............................................................................... |
400 |
|
21.2.1Dagens tillsyn över behandling av
|
|
personuppgifter ..................................................... |
400 |
|
21.2.2 Förslag om förändrat tillsynsansvar ..................... |
402 |
|
|
21.2.3 |
Dataskyddsrambeslutet......................................... |
403 |
|
21.2.4 |
Brottsdatalagen ...................................................... |
403 |
|
21.2.5 |
Dataskyddsförordningen ...................................... |
407 |
21.3 |
Våra överväganden och förslag............................................. |
407 |
|
22 |
Sanktioner .............................................................. |
411 |
|
22.1 |
Direktivets bestämmelser och vårt uppdrag........................ |
411 |
|
22.2 |
Olika typer av sanktioner ..................................................... |
412 |
|
22.3 |
Sanktioner mot lufttrafikföretag.......................................... |
413 |
|
|
22.3.1 |
Chicagokonventionens bestämmelser.................. |
413 |
|
22.3.2 |
Jämförbara nationella sanktionsbestämmelser .... |
414 |
|
22.3.3 Sanktioner som tillämpas i andra länder............... |
419 |
|
|
22.3.4 |
Valet av sanktionsform.......................................... |
420 |
|
22.3.5 När ska sanktionsavgift få användas?................... |
423 |
|
|
22.3.6 |
Utformningen av sanktionsavgiftssystemet ........ |
425 |
|
22.3.7 Förfarandet vid beslut om sanktionsavgift .......... |
429 |
|
22.4 |
Sanktioner vid felaktig behandling av |
433 |
|
22.4.1Dagens sanktionssystem vid felaktig
behandling av personuppgifter ............................. |
433 |
22.4.2Administrativa sanktionsavgifter enligt
brottsdatalagen ...................................................... |
434 |
22.4.3Sanktionsavgiftssystemet i brottsdatalagen
bör användas .......................................................... |
436 |
15
Innehåll |
SOU 2017:57 |
23 |
Bestämmelser i direktivet som inte kräver |
|
|
lagstiftningsåtgärder ................................................ |
441 |
24 |
Sekretess................................................................ |
443 |
24.1 |
Vårt uppdrag i denna del ...................................................... |
443 |
24.2 |
Sekretess i brottsbekämpande verksamhet m.m................. |
444 |
24.3 |
Våra överväganden................................................................ |
451 |
|
24.3.1 Skyddet för |
|
|
för passagerarinformation..................................... |
451 |
|
24.3.2 Skyddet för |
|
|
myndigheter........................................................... |
454 |
|
24.3.3 Behövs nya sekretessbrytande bestämmelser? .... |
456 |
25 |
|
|
|
regleringen.............................................................. |
459 |
25.1 |
Nuvarande reglering............................................................. |
459 |
25.2 |
Våra överväganden och förslag ............................................ |
461 |
26 |
Konsekvenser .......................................................... |
465 |
26.1 |
Inledning ............................................................................... |
465 |
26.2 |
En effektiv användning av |
|
|
brottsbekämpningen ............................................................ |
466 |
26.3 |
Konsekvenser för lufttrafikföretagen.................................. |
467 |
26.4 |
Konsekvenser för staten....................................................... |
471 |
26.5 |
Konsekvenser för enskilda................................................... |
473 |
26.6 |
Konsekvenser i övrigt........................................................... |
475 |
27 |
Ikraftträdande ......................................................... |
477 |
28 |
Författningskommentar ............................................ |
479 |
28.1 |
Förslaget till lag om flygpassageraruppgifter |
|
|
i brottsbekämpningen .......................................................... |
479 |
16
SOU 2017:57 |
Innehåll |
28.2 Förslaget till lag om ändring i polislagen (1984:387) ......... |
515 |
28.3Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett
annat land inom Europeiska unionen .................................. |
515 |
28.4Förslaget till lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära
|
säkerhetstjänst....................................................................... |
516 |
28.5 |
Förslaget till lag om ändring i polisdatalagen (2010:361)... |
516 |
28.6 |
Förslaget till lag om ändring i tullagen (2016:253)............. |
517 |
28.7 |
Förslaget till lag om ändring i tullbrottsdatalagen |
|
|
(2017:000).............................................................................. |
517 |
Särskilt yttrande .............................................................. |
519 |
|
Bilagor |
|
|
Bilaga 1 |
Kommittédirektiv 2016:22 ........................................... |
521 |
Bilaga 2 Europaparlamentets och rådets direktiv |
|
|
|
(EU) 2016/681.............................................................. |
529 |
Bilaga 3 |
Rättelse till Europaparlamentets och rådets |
|
|
direktiv (EU) 2016/681................................................ |
547 |
Bilaga 4 |
Uttalande från Europeiska unionens råd..................... |
549 |
17
Förkortningar
BDL |
brottsdatalagen (2018:000), förslag till |
|
ramlag för genomförande av det nya |
|
dataskyddsdirektivet, lämnat av |
|
Utredningen om 2016 års dataskydds- |
|
direktiv (SOU 2017:29) |
BDF |
brottsdataförordningen (2018:000), |
|
den till den föreslagna brottsdatalagen |
|
tillhörande förordningen |
dataskyddsförordningen |
Europaparlamentets och rådets förord- |
|
ning (EU) 2016/679 av den 27 april |
|
2016 om skydd för fysiska personer |
|
med avseende på behandling av person- |
|
uppgifter och om det fria flödet av |
|
sådana uppgifter och om upphävande |
|
av direktiv 95/46/EG (allmän data- |
|
skyddsförordning) |
dataskyddsrambeslutet |
rådets rambeslut 2008/977/RIF av den |
|
27 november 2008 om skydd av person- |
|
uppgifter som behandlas inom ramen |
|
för polissamarbete och straffrättsligt |
|
samarbete |
dir. |
direktiv |
Ds |
Departementsserien |
EU |
Europeiska unionen |
Europeiska unionens stadga om de |
|
|
grundläggande rättigheterna |
19
Förkortningar |
SOU 2017:57 |
FN |
Förenta Nationerna |
JK |
Justitiekanslern |
JO |
Justitieombudsmannen |
Ju |
Justitiedepartementet |
kommissionen |
Europeiska kommissionen |
nya dataskyddsdirektivet |
Europaparlamentets och rådets direk- |
|
tiv (EU) 2016/680 av den 27 april 2016 |
|
om skydd för fysiska personer med |
|
avseende på behöriga myndigheters |
|
behandling av personuppgifter för att |
|
förebygga, förhindra, utreda, avslöja |
|
eller lagföra brott eller verkställa straff- |
|
rättsliga påföljder, och det fria flödet |
|
av sådana uppgifter och om upphävan- |
|
de av rådets rambeslut 2008/977/RIF |
OSL |
offentlighets- och sekretesslagen |
|
(2009:400) |
prop. |
regeringens proposition |
PDL |
polisdatalagen (2010:361) |
polisdataförordningen (2010:1155) |
|
PUF |
personuppgiftsförordningen |
|
(1998:1191) |
PUL |
personuppgiftslagen (1998:204) |
RF |
regeringsformen |
RB |
rättegångsbalken |
SOU |
Statens offentliga utredningar |
TBL |
tullbrottsdatalagen (2017:000), |
|
som träder i kraft den 1 juli 2017 |
TF |
tryckfrihetsförordningen |
20
Sammanfattning
Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat
PNR är en förkortning av den engelska benämningen Passenger Name Record. Det som åsyftas är uppgifter som passagerare lämnar vid beställning och bokning av flygresor samt vid incheckning. Upp- gifterna kan till exempel avse namn, resedatum, resväg, bagageinfor- mation och betalningssätt. Lufttrafikföretagen samlar redan i dag in och behandlar sådana uppgifter om sina passagerare för sina egna operativa och kommersiella syften.
Myndigheter världen över har i allt större utsträckning börjat samla in
21
Sammanfattning |
SOU 2017:57 |
En ny lag om flygpassageraruppgifter i brottsbekämpningen
Vi föreslår att
Lagen, liksom det bakomliggande
Lagen kompletteras med en förordning, som genomför vissa de- taljbestämmelser i direktivet.
Otillåten behandling av
Lagen innehåller en portalbestämmelse som anger att
22
SOU 2017:57 |
Sammanfattning |
Lagen innehåller också ett generellt förbud mot behandling av
En enhet för passagerarinformation
Det ska enligt lagen finnas en enhet för passagerarinformation inom Polismyndigheten. Denna enhet har till övergripande uppgift att samla in
Lufttrafikföretagens skyldigheter
23
Sammanfattning |
SOU 2017:57 |
Ett lufttrafikföretag som inte har överfört
Lufttrafikföretag ska informera passagerare om överföringen av
Behandling av
De
•Förhandsbedömning: Uppgifterna får behandlas för att enheten ska kunna göra en bedömning av passagerare före deras beräk- nade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol (användning i realtid). Vid en sådan förhandsbedömning av passagerare får
24
SOU 2017:57 |
Sammanfattning |
i relevanta register eller andra uppgiftssamlingar, dels med på förhand fastställda kriterier.
•Besvara förfrågningar: Lagrade uppgifter får behandlas för att enheten för passagerarinformation ska kunna fullgöra sina upp- gifter enligt lagen om att på begäran överföra
•Utforma urvalskriterier: Uppgifterna får analyseras för att enheten ska kunna uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar av passagerare.
Enheten för passagerarinformation kommer även att få del av
Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinforma- tion. Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Ombudets uppgifter framgår av lagen.
Överföring av
Enheten för passagerarinformation ska fungera som en nod vid vilken massan av
25
Sammanfattning |
SOU 2017:57 |
lemsstaters enheter för passagerarinformation till behöriga myndig- heter. En befattningshavare vid enheten ska alltid ha gjort en bedöm- ning av
Enheten för passagerarinformation ska enligt lagen även överföra
Lagen innehåller också bestämmelser om att enheten för passa- gerarinformation under vissa förutsättningar får överföra PNR- information till tredjeland.
Överföring av avmaskerade
Behöriga myndigheters behandling av
Det finns i lagen särskilda bestämmelser om behandling av PNR- information vid de behöriga myndigheterna. Bland annat anges att ett resultat av enheten för passagerarinformations förhandsbedöm- ning av passagerare genast ska gallras av behöriga myndigheter om det visar sig sakna betydelse för något av de syften som anges i lagens portalbestämmelse. Vidare finns ett undantag från lagens portal- bestämmelse om otillåten behandling av
26
SOU 2017:57 |
Sammanfattning |
Övriga bestämmelser
Direktivets krav på generella dataskyddsbestämmelser och rättig- heter för enskilda omfattas i stor utsträckning av annan tillämplig dataskyddsreglering och behöver, med något undantag, inte särskilt regleras i den nya lagen.
Tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt den föreslagna brottsdatalagen och i enlighet med bestämmelserna om tillsyn i den lagen.
Sanktionsavgift får tas ut av personuppgiftsansvariga myndigheter vid överträdelser av vissa grundläggande bestämmelser i lagen som har till syfte att skydda enskildas integritet. Vid bestämmande av sanktionsavgiftens storlek och i handläggningsfrågor ska sanktions- avgiftssystemet i den föreslagna brottsdatalagen och den tillhörande förordningen tillämpas.
Sekretess
Befintlig sekretesslagstiftning bedöms ge ett tillfredsställande skydd för
27
Sammanfattning |
SOU 2017:57 |
Enligt
Enligt vår bedömning varken ersätter eller påverkar PNR- direktivet
Genomförandet av direktivet får också en effekt på den nuvarande regleringen. Vi föreslår därför att det i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inre- gränslagen) förs in bestämmelser som innebär att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polis- myndigheten, Säkerhetspolisen och Tullverket inte ska gälla när lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Resebyråer och researrangörer
Medlemsstaterna har i en deklaration som antogs samtidigt som
28
SOU 2017:57 |
Sammanfattning |
fatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster. Någon tidsgräns för när detta ska vara genom- fört i nationell lagstiftning anges inte i deklarationen. Enligt vår be- dömning omfattas resebyråer och researrangörer redan av systemet med insamling av
Konsekvenser
Förslagen innebär att fler
Lufttrafikföretagen kommer att belastas arbets- och kostnads- mässigt av förslagen. Dock bedömer vi inte att deras konkurrens- förhållanden kommer att påverkas i någon större omfattning. Vidare medför förslagen ökade kostnader för Polismyndigheten kopplade till inrättandet av en enhet för passagerarinformation och till drivan- det av enheten. De ekonomiska konsekvenserna för Polismyndig- heten och övriga berörda myndigheter bedöms dock rymmas inom de befintliga ekonomiska ramarna.
Ikraftträdande
Den nya lagen föreslås träda i kraft den 25 maj 2018.
29
Summary
The PNR Directive
On 27 April 2016, the European Parliament and the Council adopted Directive (EU) 2016/681 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime (referred to below as the PNR Directive).
PNR refers to data provided by passengers when booking flights and during
Authorities all over the world have begun to collect more PNR data from air carriers and to analyse it for the purpose of combating terrorism and serious crime. In Sweden, the Swedish Police Autho- rity, the Swedish Security Service and Swedish Customs are already permitted to request certain PNR data from air carriers and to use it for law enforcement purposes.
The PNR Directive is an
31
Summary |
SOU 2017:57 |
A new Act on air passenger data for law enforcement purposes
We propose that the PNR Directive should mainly be implemented through a new act, the Act on air passenger data for law enforce- ment purposes. This Act will contain provisions on the transfer by air carriers of PNR data to the passenger information unit and the processing of PNR data in activities for the prevention, detection, investigation and prosecution of terrorist offences or serious crime. The purpose of this Act is to meet the need for access to PNR data in such activities and protection of privacy in the processing of such data.
The Act, like the underlying PNR Directive, will contain regula- tions on both operations and data protection. Regarding the latter, we consider it most appropriate to adapt the legislative proposal as far as possible to the data protection reform that will be implemen- ted in the first half of 2018. The provisions in the Act will apply in addition to, or instead of, the general provisions in the General Data Protection Regulation, the new framework law – the Criminal Data Act – which has been proposed to implement the new Data Pro- tection Directive (SOU 2017:29), and other special regulations on data protection that apply or will apply to relevant authorities.
The Act will be accompanied by an ordinance implementing certain detailed provisions of the Directive.
Unlawful processing of PNR information
The Act will contain a preamble stating that PNR data transferred by air carriers or the results of a unit for the processing of such passenger information, i.e. PNR information, may not be processed for any purposes other than the prevention, detection, investigation and pro- secution of terrorist offences or serious crime. Terrorist offences are defined in the Act as the offences referred to under domestic law in Sweden or other Member States in Articles
The Act also contains a general ban on processing PNR data that is sensitive personal data. In the event that the passenger informa-
32
SOU 2017:57 |
Summary |
tion unit or a competent authority receives such data, it must be deleted immediately.
A passenger information unit
Under the Act, there will be a passenger information unit at the Swedish Police Authority. This unit will have responsibility for collec- ting PNR data from air carriers, storing and processing this data, and transferring PNR information to competent Swedish authorities. The unit will also be responsible for the exchange of PNR infor- mation within the EU.
PNR data that is processed by the unit will not be directly available to competent authorities or to others working at the Swedish Police Authority. Direct access to PNR information processed at the unit will therefore not be permitted. In this unit, access to PNR infor- mation will be restricted through special authorisation provisions.
Obligations on air carriers
Under the Act, PNR data should be transferred from air carriers with a valid operating licence or equivalent permitting them to carry out, with compensation, carriage of passengers by air, and that collect and process PNR data in reservation systems in their regular acti- vities. One starting point is that the transfer obligation does not apply to the majority of small air carriers conducting taxi flights from small airfields that do not have departure control systems for pas- sengers.
PNR data is to be transferred electronically to the passenger information unit. An annex to the Act specifies the PNR data to be transferred. ‘API’ data (see below for details about this kind of data) is included in the PNR data to be transferred. However, the data re- ferred to in the annex may only be transferred when air carriers collect it as part of their regular activities. Therefore, the Act does not oblige air carriers to collect additional PNR data about their passengers; it simply states that they must transfer data to which they already have access.
33
Summary |
SOU 2017:57 |
PNR data should normally be transferred on two occasions prior to every flight arriving to or departing from Sweden. The first trans- fer should take place
An air carrier that has not transferred PNR data in accordance with the provisions in the Act or provisions issued in connection with the Act must pay a financial penalty. For every flight con- ducted without the air carrier fulfilling its transfer obligation, the financial penalty is set at a minimum of SEK 20 000 and a maximum of SEK 100 000. The financial penalty may be reduced or waived, in whole or in part, if the infringement is excusable, or if, in view of the circumstances, it would be unreasonable to impose the penalty.
Air carriers must inform passengers about the transfer of PNR data to the passenger information unit and the reasons for this transfer.
Processing of PNR data at the passenger information unit
The PNR data that has been transferred to the passenger informa- tion unit from air carriers must be stored in a special database at the unit for a period of five years. It must then be deleted. After six months, the PNR data in the database must be masked, which means that accessible data directly attributable to a natural person must be made invisible to users without special authorisation to access the data.
PNR data that has been transferred to the passenger information unit from air carriers may be processed for the following purposes only.
•Advance assessment: the data may be processed to enable the unit to conduct an assessment of passengers before their estimated arrival to or departure from Sweden so as to select individuals who need to be further investigated by competent authorities or Europol (use in real time). In this kind of advance assessment of passengers, PNR data may be compared with data in relevant data- bases or other data collections, and with
34
SOU 2017:57 |
Summary |
•Responding to enquiries: stored data may be processed to enable the passenger information unit to fulfil its responsibility under the Act to transfer PNR information to competent recipients upon request (reactive use).
•Devising selection criteria: data may be analysed to enable the unit to update or create new criteria to be used when conducting advance assessments of passengers.
The passenger information unit will also have access to PNR infor- mation transferred to the unit from corresponding units in other Member States. This data may only be processed for further transfer to competent authorities.
The Swedish Police Authority is the personal data controller for the processing of personal data conducted at the passenger informa- tion unit. The Swedish Police Authority will appoint a data protec- tion officer for the passenger information unit. The officer’s duties are stated in the Act.
Transfer of PNR information from the passenger information unit
The passenger information unit will function as a hub at which the mass of PNR data transferred by air carriers is received, stored and superficially analysed. Only PNR information considered to be of interest for combating terrorist offences or serious crime will sub- sequently be made available to competent domestic authorities for further analysis and action. The Government has appointed the Swedish Police Authority, the Swedish Security Service, Swedish Customs, the Swedish Economic Crime Authority and the Swedish Armed Forces as competent authorities to receive and request PNR data from the passenger information unit. Additional agencies may be appointed in the future. Under the Act, the unit is required, in individual cases, to transfer the results of its advance assessments to one or several competent authorities so that they can conduct an additional examination of the PNR information. The unit should also transfer PNR information to competent authorities in response to special requests from a competent authority. Moreover, the unit should forward PNR information received from other Member States’
35
Summary |
SOU 2017:57 |
passenger information units to competent authorities. An official at the unit is required to have always carried out an assessment of the PNR information before it is disclosed by the unit.
Under the Act, the passenger information unit should also transfer PNR information to corresponding units in other Member States. This is what should be done if, after an advance assessment, the unit considers that certain information is also relevant and necessary for another Member State. Data should also be transferred to other Member States in response to a request from that Member State. Moreover, PNR information should be transferred to Europol.
The Act also contains provisions stating that the passenger in- formation unit may transfer PNR information to a third country under certain conditions.
The transfer of unmasked PNR data, i.e. complete PNR data in which personal data has previously been masked, may only occur if certain more closely defined conditions have been met. If a prelimi- nary investigation is under way, a request from a competent authority on gaining access to unmasked PNR data must have been approved by a public prosecutor. In all other cases, the disclosure must have been approved by the head of the Swedish Police Authority. The National Police Commissioner should be able to delegate the right to decide, subject to certain limitations.
Processing of PNR information by competent authorities
The Act will contain special provisions on the processing of PNR information by the competent authorities. They state, among other things, that the result of an advance assessment of passengers by the passenger information unit must be immediately deleted by compe- tent authorities if it proves to be irrelevant for the purposes stated in the preamble to the Act. In addition, there is an exemption from the Act’s preamble on the unlawful processing of PNR informa- tion. If information has emerged about some form of offence other than a terrorist offence or serious crime – known as ‘excess disclosure’
– in connection with a competent authority’s actions as a result of having processed PNR information, this information may be used for the prevention, investigation and prosecution of the offence.
36
SOU 2017:57 |
Summary |
Other provisions
The Directive’s requirements concerning general data protection provisions and the rights of individuals are largely met by other applicable data protection regulations, and need not – with the occa- sional exception – be regulated separately in the new Act.
Supervision of personal data processing under the Act should be carried out by the supervisory authority in accordance with the pro- posed Criminal Data Act and in line with the provisions on super- vision in that Act.
A financial penalty may be charged by authorities acting as per- sonal data controllers in the event of a breach of certain fundamental provisions in the Act intended to protect personal privacy. When determining the size of the financial penalty, and in processing issues, the financial penalty system in the proposed Criminal Data Act and the accompanying ordinance should be applied.
Secrecy
Current secrecy legislation is considered to provide sufficient pro- tection for PNR information at both the passenger information unit and competent authorities. There is no need for any new or amended secrecy regulation. Nor is there any need for special provisions on secrecy exemptions.
How does the PNR Directive relate to the API Directive?
API (advance passenger information) data refers primarily to in- formation contained in the
37
Summary |
SOU 2017:57 |
Aliens Act (2005:716) and through the Passenger Name Record Act (2006:444).
Under the PNR Directive, air carriers should transfer both PNR and API data to the passenger information units. Therefore, the obli- gation to transfer API data is imposed not only by the API Directive, but also by the PNR Directive. Our remit includes analysing whether and how the PNR Directive affects Sweden’s implementation of the API Directive and proposing how the system of flight passenger data can enable processing of both PNR and API data.
In our view, the PNR Directive neither replaces nor affects the API Directive or its implementation in Sweden. The Directives and their implementation will therefore be applicable in parallel. We have also found that the coordinated processing of PNR and API data at the passenger information unit is possible, also with regard to API data processed under the Passenger Name Record Act. However, this requires that API data processed under the Passenger Name Record Act is kept separate from the API data transferred from air carriers under the new Act, that it is always clear which purpose and under which regulatory framework API data is processed, and that it is ensured that the differences in the regulatory frameworks con- cerning access to data, for example, are monitored.
Significance of the PNR Directive for the existing regulations
Implementation of the Directive will also have an effect on the existing regulations. We therefore propose that the Police Act (1984:387), the Customs Act (2016:253) and the Act on the powers of Swedish Customs at Sweden’s borders with other European Union countries (1996:701) (the Internal Borders Act) include pro- visions requiring that obligations on air carriers under these acts to transfer booking data to the Swedish Police Authority, the Swedish Security Service and Swedish Customs should not apply when the Act on air passenger data in law enforcement is applicable.
38
SOU 2017:57 |
Summary |
Travel agencies and tour operators
In a declaration adopted at the same time as the PNR Directive, the Member States stated that they, in accordance with their national legislation and subject to parliamentary processing in certain Member States, undertake to expand the collection of PNR data to also apply to actors that are not air carriers. Examples given in the declaration include travel agencies and tour operators that offer
Impact
The proposals would mean more PNR data concerning individual air passengers being collected for law enforcement purposes, which we consider would have a positive impact on law enforcement efforts. The proposals also mean that protection of personal privacy would be guaranteed in the competent law enforcement authorities’ pro- cessing of data.
The proposals will add a burden in terms of work and costs for air carriers. However, we do not consider that their competitiveness will be affected to any great extent. In addition, the proposals would mean increased costs for the Swedish Police Authority linked to the establishment of a passenger information unit and the running of such a unit. However, the economic consequences for the Swedish Police Authority and other relevant authorities are deemed to fall within the existing economic framework.
Entry into force
It is proposed that the new Act enter into force on 25 May 2018.
39
1 Författningsförslag
1.1Förslag till
lag (2018:000) om flygpassageraruppgifter i brottsbekämpningen
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens innehåll
1 § Denna lag innehåller bestämmelser om lufttrafikföretags över- föring av
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passa- geraruppgiftssamlingar
Lagens syfte
2 § Syftet med lagen är att tillgodose behovet av tillgång till PNR- uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och att skydda människor mot att deras personliga integritet kränks vid behand- ling av uppgifter om dem.
41
Författningsförslag |
SOU 2017:57 |
Definitioner
3 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck |
Betydelse |
|
|
|
|
Avmaskerade |
Fullständiga |
flygpassagerar- |
|||
|
uppgifter |
||||
|
personuppgifter tidigare genom- |
||||
|
gått en maskering. |
|
|||
Behörig mottagare |
En behörig myndighet, en en- |
||||
|
het för |
passagerarinformation i |
|||
|
en annan medlemsstat, en myn- |
||||
|
dighet som har utsetts som behö- |
||||
|
rig i en annan medlemsstat eller |
||||
|
Europol. |
|
|
|
|
Behörig myndighet |
En sådan av regeringen utsedd |
||||
|
myndighet som har behörighet |
||||
|
att behandla |
||||
|
verksamhet |
för |
att |
förebygga, |
|
|
förhindra, upptäcka, utreda eller |
||||
|
lagföra terroristbrottslighet eller |
||||
|
grov brottslighet. |
|
|
||
Flygpassageraruppgifter eller |
En sammanställning av upp- |
||||
gifter om varje enskild passage- |
|||||
|
rare som gör det möjligt för det |
||||
|
lufttrafikföretag som sköter bok- |
||||
|
ningen |
och |
andra |
deltagande |
|
|
lufttrafikföretag att behandla och |
||||
|
kontrollera reservationen. |
||||
Grov brottslighet |
De brott som anges i bilaga II |
||||
|
till |
||||
|
det i nationell rätt i Sverige eller |
||||
|
andra medlemsstater är föreskri- |
||||
|
vet fängelse i tre år eller mer. |
||||
Lufttrafikföretag |
Ett lufttrafikföretag med giltig |
||||
|
operativ licens eller motsvarande |
||||
|
som ger rätt att mot vederlag |
||||
|
utföra lufttransporter av passa- |
||||
|
gerare, |
och |
som |
i sin normala |
|
42
SOU 2017:57 Författningsförslag
|
verksamhet samlar och hanterar |
|
|
|
system. |
Maskerade |
Personuppgifter som genom- |
|
gått en maskering. |
Maskering |
Åtgärd som innebär att till- |
|
gängliga uppgifter som direkt kan |
|
hänföras till en fysisk person görs |
|
osynliga för en användare av ett |
|
informationssystem som saknar |
|
särskild behörighet för tillgång |
|
till uppgifterna. |
Medlemsstat |
En stat som är medlem i EU, |
|
med undantag för Danmark. |
Passagerare |
Alla personer, förutom besätt- |
|
ningsmedlemmar, som transpor- |
|
teras eller ska transporteras med |
|
ett flygplan och som finns upp- |
|
tagna i passagerarförteckningen. |
|
av en enhet för passagerarinfor- |
|
mations behandling av sådana |
|
uppgifter. |
Reservationssystem |
System där |
|
samlas för hantering av reserva- |
|
tioner. |
Terroristbrottslighet |
De brott enligt nationell rätt |
|
i Sverige eller andra medlems- |
|
stater som avses i artiklarna |
|
i rådets rambeslut 2002/475/RIF |
|
av den 13 juni 2002 om bekäm- |
|
pande av terrorism. |
Tredjeland |
En stat som inte är en med- |
|
lemsstat. |
43
Författningsförslag |
SOU 2017:57 |
Enhet för passagerarinformation
4 § Det ska hos Polismyndigheten finnas en enhet för passagerar- information. Enheten ska ansvara för att
1.samla in
2.utbyta
Otillåten behandling av
5 §
Förbud mot behandling av känsliga personuppgifter
6 §
2 kap. Lufttrafikföretagens skyldigheter
Överföring av
1 § Lufttrafikföretag ska inför varje flygning ankommande till eller avgående från Sverige överföra samtliga de
1 Med hänvisningen avses förslaget till ramlag i SOU 2017:29.
44
SOU 2017:57 |
Författningsförslag |
uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen över- föra
2§
1.
2.omedelbart efter det att gatens dörrar har stängts. Överföringar enligt första stycket 2 får begränsas till uppdate-
ringar och kompletteringar av de uppgifter som överförts vid den tidpunkt som avses i första stycket 1.
3 § När det i ett enskilt fall är nödvändigt med tillgång till PNR- uppgifter för att avvärja en specifik och faktisk fara med anknyt- ning till terroristbrottslighet eller grov brottslighet, ska lufttrafik- företag på begäran av enheten för passagerarinformation överföra
4 § Lufttrafikföretagen ska överföra
5 § Den som är skyldig att överföra uppgifter enligt denna lag får anlita ett personuppgiftsbiträde för att utföra överföringen.
Information till passagerare
6 § Lufttrafikföretag ska informera passagerare om överföringen av
Sanktionsavgift för lufttrafikföretag
7 § Ett lufttrafikföretag som inte har överfört
45
Författningsförslag |
SOU 2017:57 |
8 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestäm- mas till minst 20 000 kronor och högst 100 000 kronor.
Sanktionsavgiften får sättas ned helt eller delvis om överträdel- sen är ursäktlig eller om det annars med hänsyn till omständigheter- na skulle vara oskäligt att ta ut avgiften.
9 § Polismyndigheten beslutar om sanktionsavgift för lufttrafik- företag enligt denna lag.
Sanktionsavgiften tillfaller staten.
10 § Sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då över- trädelsen ägde rum.
11 § Polismyndighetens beslut om sanktionsavgift överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om luft- trafikföretagens överföring av
3 kap. Behandling av
1 §
46
SOU 2017:57 |
Författningsförslag |
Personuppgiftsansvar m.m.
2 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
3 § Enheten för passagerarinformations behandling av
Tillåtna ändamål
4 § Enheten för passagerarinformation får endast behandla PNR- uppgifter som anges i 1 § för följande ändamål:
1.Göra en förhandsbedömning av passagerare före deras be- räknade ankomst till eller avresa från Sverige, för att välja ut perso- ner som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i ter- roristbrottslighet eller grov brottslighet.
2.I enskilda fall fullgöra sina uppgifter enligt 4 kap. att överföra
3.Göra analyser för att uppdatera eller skapa nya kriterier som anges i 5 § 2.
Av 6 kap. framgår att
5 § Vid förhandsbedömning enligt 4 § första stycket 1 får PNR- uppgifter
1.jämföras med register eller andra uppgiftssamlingar som är rele- vanta för ett eller flera av de syften som anges i 1 kap. 5 §, eller
2.behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grun- das på sådana personuppgifter som avses i 2 kap. 11 § brottsdata- lagen (2018:000).
6 §
47
Författningsförslag |
SOU 2017:57 |
Tillgång till
7 § Endast den som tjänstgör vid enheten för passagerarinformation får ha tillgång till
Förbud mot direktåtkomst
8 § Direktåtkomst till
Bevarande och gallring av
9 §
10 §
Maskering av
11 § Följande
1.Alla namn på passagerare.
2.Antal passagerare som reser tillsammans.
3.Adress och kontaktuppgifter.
4.Alla former av betalningsinformation, inklusive fakturerings- adress, om informationen innehåller uppgifter som kan användas för att direkt identifiera en person.
5.Uppgifter om bonusprogram.
6.Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att direkt identifiera en passagerare.
7.Alla
48
SOU 2017:57 |
Författningsförslag |
Dataskyddsombud
12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgång till alla uppgifter som behand- las vid enheten.
13 § Utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000) ska dataskyddsombudet vid enheten för passagerarinfor- mation ansvara för genomförandet av relevanta skyddsåtgärder.
Enskilda ska ha rätt att kontakta dataskyddsombudet i egenskap av enda kontaktpunkt i alla frågor som gäller behandling enligt denna lag av
14 § Om dataskyddsombudet anser att enheten för passagerarinfor- mation bryter mot bestämmelser för behandling av
Föreskrifter
15 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1.utformande av kriterier,
2.tillgång till
3.dataskyddsombudets uppgifter,
4.bevarande och gallring,
5.dokumentation och loggning,
6.information till dataskyddsombud, och
7.enheten för passagerarinformations inhämtande av PNR- information från andra medlemsstater.
49
Författningsförslag |
SOU 2017:57 |
4 kap. Överföring av
Överföring till behöriga myndigheter
1 § Enheten för passagerarinformation ska i enskilda fall lämna PNR- information till en eller flera behöriga myndigheter för att
1.en vidare granskning ska ske av
2.besvara en motiverad begäran från en behörig myndighet om att tillhandahålla och behandla
3.vidarebefordra
En befattningshavare vid enheten ska ha gjort en bedömning av
Överföring till andra medlemsstater
2 § Enheten för passagerarinformation ska till en motsvarande enhet i en annan medlemsstat överföra sådan
3 § Enheten för passagerarinformation ska så snart som möjligt be- svara en motiverad begäran från en motsvarande enhet i en annan medlemsstat och överföra lagrade
4 § Endast när det i ett enskilt brådskande fall är absolut nödvän- digt ska enheten för passagerarinformation besvara en motiverad begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra
50
SOU 2017:57 |
Författningsförslag |
5 § När det i ett enskilt fall är nödvändigt med tillgång till PNR- uppgifter för att avvärja en specifik och faktisk fara med anknyt- ning till terroristbrottslighet eller grov brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta
Överföring till Europol
6 § Enheten för passagerarinformation ska besvara en motiverad begäran från Europol och överföra
Överföring av avmaskerade
7 § Avmaskerade
8 § Om förundersökning pågår ska en begäran från en behörig myn- dighet om att få tillgång till avmaskerade
9 § I de fall som inte omfattas av 8 § krävs att tillstånd till över- föringen har lämnats av Polismyndigheten.
Myndighetschefen får delegera rätten att besluta om tillstånd till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs.
Den som har fått rätten att fatta beslut får inte arbeta vid en- heten för passagerarinformation eller fatta beslut om överföring till sådan verksamhet som han eller hon deltar i.
51
Författningsförslag |
SOU 2017:57 |
5 kap. Behöriga myndigheters behandling av
Gallring av
1 § En behörig myndighet som mottagit
2 § För det fall en behörig myndighet mottar
Annan behandling av
3 § Om det har kommit fram uppgifter om annat brott än terrorist- brottslighet eller grov brottslighet i samband med en behörig myn- dighets insats som görs till följd av behandling av
Automatiserade beslut
4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grun- das på en automatiserad behandling av
Föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela bestämmelser om behöriga myndigheters inhämtande och behandling av
52
SOU 2017:57 |
Författningsförslag |
6 kap. Överföring till tredjeland
1 § Enheten för passagerarinformation får överföra
1.förutsättningarna i 8 kap. 1 § första stycket 3 och 2 § första stycket brottsdatalagen (2018:000), 4 kap. 3 och 7 §§ samt 2 § detta kapitel är uppfyllda,
2.överföringen är nödvändig för ett eller flera av de syften som anges i 1 kap. 5 §, och
3.det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för ett eller flera av de syften som anges i 1 kap. 5 § och enheten för passagerar- information har lämnat ett uttryckligt medgivande till vidareöver- föringen.
2 § Om medgivande till överföring på grund av tidsbrist inte kan hämtas in i förväg från en medlemsstat som har lämnat
3 § När enheten för passagerarinformation överför
4 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om
1.information till annan medlemsstat när personuppgifter över- förts utan förhandsmedgivande enligt 2 §, och
2.uppställande av villkor om användningsbegränsning av PNR- information som överförts till ett tredjeland.
53
Författningsförslag |
SOU 2017:57 |
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 § Vad som anges i 4 kap. 10 § brottsdatalagen (2018:000) om regi- strerads rätt till radering eller begränsning av behandling av person- uppgifter ska tillämpas vid behandling i strid mot
1.1 kap. 5 §,
2.1 kap. 6 §, eller
3.3 kap. 9 §.
Det framgår av 7 kap. 2 § brottsdatalagen att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas.
2 § Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skade- stånd ska tillämpas på motsvarande sätt vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller för- ordning som har meddelats i anslutning till den.
Tillsyn
3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska ut- föras av tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.
Sanktionsavgifter vid överträdelser av enheten för passagerarinformation eller en behörig myndighet
4 § Sanktionsavgift får tas ut av den personuppgiftsansvariga myn- digheten vid överträdelse av bestämmelserna i
1.1 kap. 5 eller 6 §,
2.3 kap.
3.4 kap.
4.5 kap. 1, 2 eller 4 §§, eller
5.6 kap. 1 eller 2 §§.
5 § Vad som sägs i 6 kap. 3 § tredje stycket och
54
SOU 2017:57 Författningsförslag
Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.
Det framgår av 7 kap. 4 § brottsdatalagen att tillsynsmyndig- hetens beslut om sanktionsavgift kan överklagas.
55
Författningsförslag |
SOU 2017:57 |
Bilaga
1.
2.Datum för bokning/utfärdande av biljett.
3.Planerat eller planerade resedatum.
4.Namn.
5.Adress och kontaktuppgifter (telefonnummer och
6.All betalningsinformation, inklusive faktureringsadress.
7.Fullständig resplan.
8.Uppgifter om bonusprogram.
9.Resebyrå/reseagent.
10.Passagerarens resestatus, inklusive resebekräftelser, incheck- ningsstatus, upplysningar om passagerare som inte infinner sig (no show) och passagerare utan bokning (go show).
11.Delade
12.Allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språk- kunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive an- komsten.
13.Biljettinformation, inklusive biljettnummer, datum för utfär- dande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14.Platsnummer och annan platsinformation.
15.Information om gemensam linjebeteckning.
16.All bagageinformation.
17.Antal medresenärer i
18.All eventuell förhandsinformation
56
SOU 2017:57 |
Författningsförslag |
19.Alla ändringar som har gjorts av de
ipunkterna
Denna lag träder i kraft den 25 maj 2018.
57
Författningsförslag |
SOU 2017:57 |
1.2Förslag till
förordning (2018:000) om flygpassageraruppgifter i brottsbekämpningen
Härigenom föreskrivs följande
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller kompletterande bestämmelser till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen (2018:000) om flygpassagerar- uppgifter i brottsbekämpningen.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av
1 § Lufttrafikföretagen ska överföra
Vid eventuella tekniska problem får överföringen ske på annat lämpligt sätt som säkerställer ett tillfredsställande skydd för upp- gifterna.
2 § Lufttrafikföretag som har samlat in sådan förhandsinformation om passagerare
58
SOU 2017:57 |
Författningsförslag |
Handläggning av sanktionsavgift för lufttrafikföretag
3 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.
Verkställighet av sanktionsavgift för lufttrafikföretag
4 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske en- ligt utsökningsbalken.
5 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
3 kap. Behandling av
Utformande av kriterier
1 § Enheten för passagerarinformation ska i samarbete med de be- höriga myndigheterna fastställa och regelbundet se över de kriterier som avses i 3 kap. 5 § 2 lagen (2018:000) om flygpassagerarupp- gifter i brottsbekämpningen.
Tillgång till
2 § Behörighet för tillgång till uppgifter som har maskerats enligt 3 kap. 11 § lagen (2018:000) om flygpassageraruppgifter i brotts- bekämpningen får endast ges till dataskyddsombudet eller den som har ett särskilt behov av fullständiga uppgifter för att kunna utföra sina arbetsuppgifter vid enheten för passagerarinformation. Behörig- heten får bara utnyttjas när det i ett enskilt fall är absolut nödvän- digt med tillgång till fullständiga uppgifter.
59
Författningsförslag |
SOU 2017:57 |
3 § Polismyndigheten meddelar närmare föreskrifter om tillgång till
Elektroniskt utlämnande av personuppgifter
4 § Begränsningen i 2 kap. 20 § första meningen polisdatalagen (2010:361) gäller inte för enheten för passagerarinformations över- föring av
Efterhandskontroll
5 § Har överföring av avmaskerade
Dataskyddsombudet ska även göra en utvärdering i efterhand av varje överföring till tredjeland som skett utan förhandssamtycke från den medlemsstat som har lämnat uppgifterna till enheten.
Bevarande och gallring
Omedelbar gallring
6 § Om lufttrafikföretagen har sänt in andra
Annan gallring
7 § Resultatet av en sådan behandling av
60
SOU 2017:57 |
Författningsförslag |
Om ett sådant resultat som avses i första stycket utgörs av en träff som inte bedöms behöva granskas vidare, får resultatet bevaras om syftet med bevarandet är att undvika motsvarande felaktiga träf- far i framtiden. Gallring måste dock senast ske då de bakomliggande
8 § Resultatet av en sådan behandling av
9 §
Dokumentation och loggning
10 § Dokumentation om behandlingen av
1.uppgifter om vilka register eller andra uppgiftssamlingar och på förhand fastställda kriterier som används inom enheten,
2.namn och kontaktuppgifter för den organisation och personal inom enheten för passagerarinformation som har behörighet att be- handla
3.varje begäran om att få ta del av
ien annan medlemsstat eller en myndighet som har utsetts som be- hörig i en annan medlemsstat, och
4.varje begäran om att få ta del av
11 § Sådan loggning som avses i 3 kap. 4 § brottsdataförordningen (2018:000) ska utföras över enheten för passagerarinformations per- sonuppgiftsbehandling. Loggarna ska bevaras i 5 år.
61
Författningsförslag |
SOU 2017:57 |
Information till dataskyddsombud
12 § Dataskyddsombudet vid enheten för passagerarinformation ska informeras om
1.varje utlämnande av avmaskerade
2.varje överföring av
4 kap. Inhämtande av
1 § Inhämtande av
2 § En behörig myndighet som önskar ta del av
3 § Endast om det i ett enskilt brådskande fall är absolut nödvän- digt får en behörig myndighet vända sig direkt till enheten för passa- gerarinformation i en annan medlemsstat med en begäran om att ta del av
Om en behörig myndighet har framställt en begäran enligt första stycket, ska en kopia av begäran skickas till enheten för passagerar- information vid Polismyndigheten.
4 § Endast när det i ett enskilt fall är nödvändigt för att reagera på en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, får enheten för passagerarinformation hos en motsvarande enhet i en annan medlemsstat begära att
62
SOU 2017:57 |
Författningsförslag |
5 kap. Överföring till tredjeland
1 § När enheten för passagerarinformation har överfört PNR- information till ett tredjeland utan förhandsmedgivande ska den utan dröjsmål informera den medlemsstat som har lämnat uppgifterna till enheten om överföringen.
2 § I samband med en överföring av
Denna förordning träder i kraft den 25 maj 2018.
63
Författningsförslag |
SOU 2017:57 |
1.3Förslag till
lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha föl- jande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
25 §2
Ett transportföretag som befordrar varor, passagerare eller for- don till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhetspolisen skyndsamt lämna de aktuella uppgifter om ankom- mande och avgående transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksamheten.
Vad som anges i första och andra stycket ska inte gälla när lagen (2018:000) om flygpassage- raruppgifter i brottsbekämpningen är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
2 Senaste lydelse 2014:588.
64
SOU 2017:57 |
Författningsförslag |
1.4Förslag till
lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen
Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets be- fogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
15 §3
Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldig- het att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Tullverket får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för verkets brottsbekämpande verksamhet.
Vad som anges i första och andra stycket ska inte gälla när lagen (2018:000) om flygpassa- geraruppgifter i brottsbekämpning- en är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
3 Senaste lydelse 1999:434.
65
Författningsförslag |
SOU 2017:57 |
1.5Förslag till
lag om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst
Härigenom föreskrivs att det i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska införas en ny paragraf, 1 kap. 1 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
1 a §
I lagen (2018:000) om flyg- passageraruppgifter i brottsbekämp- ningen och i föreskrifter som rege- ringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande be- stämmelser, ska de tillämpas i stäl- let för bestämmelserna i denna lag.
Denna lag träder i kraft den 25 maj 2018.
66
SOU 2017:57 |
Författningsförslag |
1.6Förslag till
lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska in- föras en ny paragraf, 1 kap. 4 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
4 a §
I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kämpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sär- skilda bestämmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikan- de bestämmelser, ska de tillämpas i stället för bestämmelserna i den- na lag.
Denna lag träder i kraft den 25 maj 2018.
67
Författningsförslag |
SOU 2017:57 |
1.7Förslag till
lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
4 kap.
6 a §
Vad som anges i 6 § ska inte gälla när lagen (2018:000) om flygpassageraruppgifter i brottsbe- kämpningen är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
68
SOU 2017:57 |
Författningsförslag |
1.8Förslag till
lag om ändring i tullbrottsdatalagen (2017:000)
Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:000) ska ha följande lydelse.
Lydelse enligt prop. 2016/17:91 |
Föreslagen lydelse |
2kap.
8 §
Personuppgifter som har lämnats till Tullverket från transport- företag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträck- ning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kon- trollobjekt.
Om det behövs i ett enskilt fall får sådana personuppgifter be- handlas för något annat ändamål som anges i 5 § och göras gemen- samt tillgängliga.
I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kämpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sär- skilda bestämmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikan- de bestämmelser, ska de tillämpas i stället för bestämmelserna i den- na lag.
Denna lag träder i kraft den 25 maj 2018.
69
2 Inledning
2.1Uppdraget
Utredningens uppdrag är att lämna förslag till de lagändringar som krävs för att i svensk rätt genomföra Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar
I uppdraget ingår bl.a. att
–föreslå ett system för hur flygpassageraruppgifter ska hanteras i Sverige och hur enheten för passagerarinformation ska organiseras,
–föreslå vilka sanktioner som ska kunna åläggas flygbolag som inte uppfyller sina skyldigheter enligt direktivet,
–föreslå en reglering för personuppgiftsbehandling och sekretess som passar in i den befintliga svenska strukturen och ger en rätts- säker och mer effektiv brottsbekämpning samtidigt som skyddet för den personliga integriteten säkerställs, och
–analysera om och i så fall hur direktivet påverkar det svenska genomförandet av rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passage- rare
71
Inledning |
SOU 2017:57 |
2.2Arbetets genomförande
Utredningens arbete påbörjades i mitten av april 2016. Arbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av sakkunniga och experter. Utredningen har sammanträtt vid sammanlagt nio tillfällen.
Utredningen har beaktat det arbete som pågår inom Polismyndig- heten med att bl.a. inrätta en enhet för passagerarinformation och i övrigt genomföra direktivets tekniska delar. Den 17 juni 2016 genom- fördes ett besök vid Polismyndigheten.
Det samråd som utredningen enligt direktiven ska ha med berör- da myndigheter har huvudsakligen skett genom experterna. Därut- över har utredningen i vissa delar samrått med Datainspektionen som har lämnat övergripande synpunkter.
Synpunkter har också inhämtats från berörda ekonomiska aktö- rer. Den 25 oktober 2016 hölls ett dialogmöte med representanter för lufttrafikföretagen. Ett dialogmöte med representanter för rese- byråer och researrangörer hölls den 7 november 2016. Ytterligare kontakter med dessa aktörer har förekommit efter mötena.
Enligt utredningens direktiv ska utredaren i den utsträckning det är möjligt beakta det arbete som genomförs av Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06). Utredningarna samrådde den 16 november 2016. Arbetet med genomförandet av det nya data- skyddsdirektivet har därutöver följts under hand. Våra författnings- förslag är anpassade till den nämnda utredningens förslag till ny ram- lagstiftning, brottsdatalagen med anslutande förordning, varigenom det nya dataskyddsdirektivet föreslås bli genomfört (SOU 2017:29). Skälet för detta något ovanliga anslag redogör vi för i avsnitt 8.5.
Utredningen har vidare deltagit vid ett flertal möten med andra utredningar som utreder frågor om anpassning till EU:s dataskydds- reform. Även arbetet inom andra relevanta utredningar har beaktats.
72
3
i anledning av direktivet
3.1Allmänt om direktivet
Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
PNR är en förkortning av den engelska benämningen Passenger Name Record. I den svenska versionen av direktivet har detta be- grepp översatts som passageraruppgiftssamling eller
73
SOU 2017:57 |
3.2Bakgrund
Terroristattentat under senare årtionden har lett till nya initiativ för att förbättra säkerheten. Samtidigt har den internationella organi- serade brottsligheten ökat.1 Organiserad brottslighet och terrorism är företeelser som ofta inbegriper internationella resor. Som en följd av detta har myndigheterna i flera länder i allt större utsträckning börjat samla in och analysera
1 KOM (2010) 492 slutlig av den 21 september 2010, s. 2.
74
SOU 2017:57 |
Ett antal länder utanför Europeiska unionen har i dag särskilda system för inhämtande och analys av
EU ingick i mitten av
De brottsbekämpande myndigheterna i
2 A.a. s. 4.
75
SOU 2017:57 |
och lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet3. Något nationellt system för insamling av uppgifterna finns dock inte. Uppgifterna sparas inte heller i någon central databas.
Ett unionsgemensamt regelverk för insamling och användning av
Rådet var tidigt positivt till förslaget. Europaparlamentet dröjde längre med att ta ställning bl.a. eftersom det ansågs behövas ett star- kare skydd för den personliga integriteten. Efter år av förhandlingar och sedan ett antal terroristattentat genomförts i Europa, kom rådet och parlamentet i december 2015 överens om ett gemensamt förslag till reglering. Förslaget innebar bl.a. att vissa frågor lämnades utanför direktivet och i stället hanteras i frivilliga överenskommelser mellan medlemsstaterna.
3.3Direktivets innehåll i korthet
Direktivet är indelat i fyra kapitel och innehåller sammanlagt 22 artik- lar. Artiklarna presenteras starkt förkortat i det följande. Det när- mare innehållet i artiklarna och de skäl som hänför sig till dessa kom- mer att redovisas i anslutning till våra överväganden om artiklarnas implementering.
3 Ersätts den 1 juli 2017 av tullbrottsdatalagen (2017:000).
76
SOU 2017:57 |
Av artikel 1 framgår att direktivet innehåller bestämmelser om lufttrafikföretags överföring av
Direktivet avser således endast flygningar utanför EU. I artikel 2 ges dock möjlighet för en medlemsstat att tillämpa direktivets be- stämmelser även för flygningar inom EU.
I artikel 3 definieras centrala begrepp i direktivet. Med lufttrafik- företag avses exempelvis ett sådant företag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik. Med flygningar utanför EU menas varje flygning som utförs av ett sådant lufttrafikföretag, med avgång från ett tredjeland och planerad land- ning på en medlemsstats territorium eller flygning från en medlems- stats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer. Passagerare är alla personer, förutom besättnings- medlemmar, som transporteras med eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande. Godkännandet fram- går av att personen står med i passagerarförteckningen.
I artikel 4 anges att varje medlemsstat ska inrätta eller utse en myndighet eller del av en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brotts- lighet som ska fungera som medlemsstatens enhet för passagerar- information. Enheten ska ansvara för att samla in
Av artikel 5 framgår att enheten för passagerarinformation ska utse ett dataskyddsombud, som bl.a. ska ansvara för övervakningen av behandlingen av
I artikel 6 anges hur de överförda
77
SOU 2017:57 |
motiverade frågor från exempelvis de behöriga myndigheterna. Vidare får uppgifterna behandlas för att uppdatera och skapa nya riskkrite- rier som kan användas vid förhandsbedömningar av passagerare. I artikel 6 regleras vidare överföring av
Varje medlemsstat ska enligt artikel 7 fastställa en förteckning över de myndigheter som har befogenhet att begära eller motta PNR- uppgifter eller resultatet av behandlingen av dessa uppgifter från enheten för passagerarinformation. Artikeln innehåller också vissa bestämmelser om dessa myndigheters vidare behandling av PNR- uppgifter.
Lufttrafikföretagens skyldigheter vad gäller överföring av PNR- uppgifter framgår av artikel 8. Överföringen ska ske genom att upp- gifterna skickas från lufttrafikföretagen till enheten för passagerar- information i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium flygningen kommer att avgå. I bilaga I till direktivet anges vilka
Formerna för utbyte av
I artikel 12 behandlas frågor om lagringstid för uppgifter och av- identifiering.
78
SOU 2017:57 |
Artikel 13 innehåller bestämmelser om skydd av personuppgifter. Medlemsstaterna ska bl.a. föreskriva att den behandling av person- uppgifter som sker vid den nationella enheten för passagerarinfor- mation och vid behöriga myndigheter ska omfattas av vissa nationella dataskyddsbestämmelser som överensstämmer med rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (dataskyddsrambeslutet). Med hänvisningen till dataskyddsrambeslutet ska förstås såväl nuvarande lagstiftning som de framtida bestämmelser som kommer att ersätta detta. Vidare finns i artikel 13 dataskyddsbestämmelser om bl.a. förbud mot behandling av känsliga personuppgifter, regler om loggning, informationssäker- het m.m.
Medlemsstaterna ska enligt artikel 14 införa effektiva, propor- tionella och avskräckande sanktioner för överträdelser av nationella bestämmelser som genomför direktivet. Sanktioner ska särskilt riktas mot lufttrafikföretag som inte överför
Enligt artikel 15 ska den nationella tillsynsmyndighet som anges i artikel 25 i dataskyddsrambeslutet ansvara för att ge riktlinjer för och övervaka tillämpningen av de bestämmelser som medlemsstater- na antar i enlighet med direktivet. Tillsynsmyndigheten ska vidare hantera klagomål från registrerade, kontrollera att uppgiftsbehand- lingen är laglig samt på begäran ge registrerade råd om hur de kan utöva sina rättigheter på området.
I artikel 16 anges att all överföring av
Artiklarna
Danmark deltar inte i antagandet av direktivet, som därför inte är bindande för eller tillämpligt på Danmark.
79
SOU 2017:57 |
3.4Överenskommelser i anledning av direktivet
Genom
I deklarationen har medlemsstaterna även förklarat att de, i en- lighet med parlamentets önskemål, åtar sig att i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, utvidga insamlingen av
80
4Transportörsansvaret och
4.1Inledning
Brottsbekämpande myndigheter hanterar redan i dag information från transportföretag, inklusive flygbolag, för brottsbekämpande ändamål. För flygbolagens del innebär det en skyldighet att över- lämna uppgifter om sina passagerare till vissa brottsbekämpande myn- digheter. Ett sådant ansvar kan sägas vara en vidareutveckling av det s.k. transportörsansvaret i vid mening.
Med transportörsansvar menas att transportörer har vissa skyl- digheter beträffande de personer som de transporterar till ett lands gräns. De kan också åläggas sanktioner om de inte uppfyller sina skyldigheter. Sverige har alltsedan anslutningen till den s.k. Chicago- konventionen på
I detta avsnitt kommer inledningsvis de internationella åtagan- den som Sverige har på området att behandlas. Därefter kommer bestämmelser om transportörsansvar i
81
Transportörsansvaret och API‑direktivet |
SOU 2017:57 |
4.2Internationella åtaganden på området
4.2.1Chicagokonventionen
Sverige har anslutit sig till 1944 års konvention angående inter- nationell civil luftfart, den så kallade Chicagokonventionen, också kallad
I Chicagokonventionen förbinder sig de fördragsslutande sta- terna till samarbete för att, i alla sådana hänseenden där likformighet kan underlätta och befrämja luftfarten, säkerställa största möjliga likformighet i fråga om författningar, normer, tillämpningsförfaran- den och organisation avseende luftfartyg, besättning, luftfartslinjer och markorganisation. I detta syfte antar det permanenta rådet av FN:s fackorgan International Civil Aviation Organization (Icao) olika internationella normer och rekommendationer, vilka tas in i s.k. Annex till konventionen.
I det nu gällande Annex 9 finns bl.a. internationella normer om transportörsansvar och behandlingen av API- och
Artikel 3.35 i Annex 9 ålägger flygtrafikföretagen att kontrollera att passagerare vid ombordstigningen innehar pass och tillstånd för transit och inresa. Enligt artikel 3.33 ska de fördragsslutande stater- na och transportörerna samarbeta för att fastställa att de resedoku- ment som visas upp är äkta och giltiga. Myndigheterna ska enligt artikel 5.3 och 5.4 utan dröjsmål informera transportören när en person inte tillåts inresa och rådgöra med transportören angående möjligheter till återförande. Transportören ska därefter enligt arti- kel 5.11 återföra passageraren till den plats där han eller hon påbörjade sin resa eller till någon annan plats där han eller hon kan tas emot. Enligt artikel 5.10 får transportören inte hindras från att ta ut trans- portkostnaden från den avvisade personen. Återförandeplikten upp- hör enligt artikel 3.47 när personen tillåts resa in i landet.
I artikel 3.48 finns bestämmelser hänförliga till
82
SOU 2017:57 |
Transportörsansvaret och API‑direktivet |
UN/EDIFACT PAXLST som har utarbetats gemensamt av World Customs Organization (WCO), International Air Transport Association (Iata) och Icao. Det anges vidare att de fördragsslutan- de staterna så långt det är möjligt ska försöka minimera de operativa och administrativa bördorna för flygtrafikföretagen. Antalet över- föringar av
Enligt artikel 3.49 bör fördragsslutande stater som kräver tillgång till
4.2.2FN:s resolution 2178
Den 24 september 2014 antog FN:s säkerhetsråd resolution 2178 (2014). Resolutionen är antagen i enlighet med kapitel VII i FN- stadgan och är därmed folkrättsligt bindande för alla medlemsstater.
I resolutionen anges att terrorism i alla dess former är ett hot mot internationell fred och säkerhet. Vidare uttrycks en allvarlig oro över det akuta och växande hot som de personer utgör som reser till ett annat land för att delta i terroristhandlingar eller terrorist- träning, även när detta sker inom ramen för en väpnad konflikt. De bidrar enligt resolutionen till intensiteten och varaktigheten i kon- flikter och till att de blir mer svårlösta. Personerna uppges även kunna utgöra ett allvarligt hot mot bl.a. sina ursprungsländer, länderna de reser igenom och länderna de reser till.
I resolutionens paragraf 2 bekräftas att alla stater ska begränsa möjligheten för terrorister eller terroristgrupper att röra sig fritt över
83
Transportörsansvaret och API‑direktivet |
SOU 2017:57 |
gränserna bl.a. genom effektiva gränskontroller och medlemsstaterna uppmanas att införa vissa säkerhetsåtgärder i detta avseende. Med- lemsstaterna uppmuntras således att använda sig av evidensbaserad riskbedömning och kontrollförfaranden för resande, inklusive insam- ling och analys av resedata. Det påpekas dock att profilering utifrån stereotyper grundade på diskriminering är förbjudet enligt folkrätten.
I resolutionens paragraf 9 uppmanas medlemsstaterna att kräva att lufttrafikföretag som är verksamma inom deras territorier i för- väg lämnar ut uppgifter om passagerare till behöriga nationella myn- digheter för att upptäcka avresa från deras territorier eller försök till inresa till eller transitering genom deras territorier med civila luft- fartyg.
4.3Vissa
4.3.1Schengenkonventionen och direktivet om transportörsansvar
Sverige har
Artikel 26 i Schengenkonventionen1 och rådets direktiv om kom- plettering av bestämmelserna i den artikeln (direktivet om transpor- törsansvar2) behandlar transportörsansvaret. I artikel 26 i Schengen- konventionen föreskrivs att de avtalsslutande parterna – om inte annat följer av förpliktelser i samband med anslutning till Genève- konventionen angående flyktingars rättsliga ställning, ändrad genom New
1Konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.
2Rådets direktiv 2001/51/EG av den 28 juni 2001 om komplettering av bestämmelserna i artikel 26 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985.
84
SOU 2017:57 |
Transportörsansvaret och API‑direktivet |
Direktivet om transportörsansvar har som syfte att harmonisera medlemsstaternas lagar om ekonomiska sanktioner mot transpor- törer som försummar sin kontrollskyldighet avseende inresehand- lingar.
De förpliktelser som följer av artikel 26 i Schengenkonventionen och direktivet om transportörsansvar har Sverige uppfyllt genom bestämmelser i utlänningslagen (2005:716), se avsnitt 4.4.2.
4.3.2Kodex om Schengengränserna
I den så kallade kodexen om Schengengränserna3, även kallad gräns- kodexen, behandlas en unionskodex om gränspassager för personer. I bilaga VI till kodexen upptas särskilda bestämmelser om de olika transportmedel som används för passage av de yttre gränserna. Bl.a. anges att befälhavaren vid privata flygningar från eller till tredjeländer före starten ska överlämna uppgifter om passagerarnas identitet till gränskontrolltjänstemännen i destinationsmedlemsstaten och, i före- kommande fall, i den medlemsstat där den första inresan äger rum.
4.4Svenska regler om transportörsansvar
4.4.1Bakgrund
I svensk rätt har det under lång tid funnits reglering av transportörs- ansvaret såsom nära knuten till utlänningslagstiftningen. Utan att i detalj gå in på detta kan nämnas att det redan i lagen den 14 september 1914 (nr 196) angående förbud för vissa utlänningar att här i riket vistas fanns en bestämmelse om att en befälhavare på fartyg under vissa förutsättningar var skyldig att, utan ersättning från statsverkets sida, vid avvisning återföra utlänningar till det land varifrån de hade medtagits. Bestämmelser med i huvudsak samma innehåll återkom i flera därpå följande utlänningslagar. Genom en ändring i 1937 års utlänningslag den 1 september 1942 ålades befälhavare på luftfartyg samma skyldighet som befälhavare på fartyg. I 1954 års utlännings-
3 Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unions- kodex om gränspassage för personer (kodex om Schengengränserna).
85
Transportörsansvaret och API‑direktivet |
SOU 2017:57 |
lag lades ansvaret för återförandet i stället på innehavaren av far- tyget eller luftfartyget.
Regler om transportörsansvaret har funnits kvar i senare versio- ner av utlänningslagen och har skärpts både i fråga om återförande- plikten och gällande transportörens kostnadsansvar. Den senaste regelskärpningen i utlänningslagen skedde den 1 juli 2004 sedan Sverige operativt inträtt i Schengensamarbetet. Transportörsansvaret i utlänningslagen utvidgades då för att uppfylla de åtaganden som följer av artikel 26 i Schengenkonventionen och direktivet om trans- portörsansvar. Bl.a. lagreglerades transportörers skyldighet att kon- trollera att utlänningar har pass och andra tillstånd som krävs för in- resa i landet.
På senare tid har transportörer också ålagts en skyldighet att genomföra identitetskontroller vid transporter som utförs med buss, tåg eller passagerarfartyg till Sverige från en annan stat bl.a. med stöd av bestämmelserna i den tillfälliga lagen (2015:1073) om särskilda åt- gärder vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet.
4.4.2Utlänningslagens bestämmelser om transportörsansvar
De svenska bestämmelserna om transportörsansvar återfinns alltså främst i utlänningslagen. I 9 kap. 3 § regleras transportörers kon- trollskyldighet. Enligt bestämmelserna ska en transportör kontrollera att en utlänning, som transportören transporterar till Sverige direkt från en stat som inte omfattas av Schengenkonventionen, innehar pass och de tillstånd som krävs för att resa in i landet. Transportören ska också, om det inte är obehövligt på grund av resultatet av denna kontroll, kontrollera att utlänningen har medel för sin hemresa.
I 12 kap. 5 § regleras transportörers ansvar att ombesörja utlän- ningars återresa i vissa fall. Med transportör avses här ägare eller brukare av ett fartyg eller ett luftfartyg. En utlänning som har kom- mit till Sverige med ett fartyg eller ett luftfartyg direkt från en stat som inte omfattas av Schengenkonventionen och som har avvisats för att han eller hon saknar pass eller de tillstånd som krävs för att resa in i landet eller medel för sin hemresa, får som utgångspunkt föras tillbaka till fartyget eller luftfartyget eller sättas ombord på ett annat sådant med samma transportör.
86
SOU 2017:57 |
Transportörsansvaret och API‑direktivet |
I 19 kap. 2 § regleras transportörers kostnadsansvar om utlän- ningar saknar pass eller de tillstånd som krävs för inresa till Sverige eller medel för hemresan. Transportören är enligt denna bestämmelse normalt skyldig att ersätta staten för kostnader för utlänningens resa från Sverige samt resekostnaden för den bevakningspersonal som följer med.
De transportörer som inte har fullgjort sin kontrollskyldighet be- träffande pass och de tillstånd som krävs för inresa till landet kan enligt 19 kap. 5 § bli skyldiga att betala en särskild avgift. Avgiften ska enligt 19 kap. 6 § bestämmas till högst 46 000 kr för varje ut- länning.
4.4.3Befälhavares skyldigheter
Befälhavaren på ett luftfartyg som kommer från en ort utanför Schengenstaterna ska enligt 6 kap. 8 § utlänningsförordningen (2006:97) före ankomst underrätta flygplatschefen om ankomsten. Flygplatschefen ska i sin tur utan dröjsmål underrätta Polismyndig- heten om att ett luftfartyg kommer från eller avgår till en ort utan- för Schengenstaterna. Underrättelseskyldigheten gäller inte för befäl- havaren på ett privatflyg. För en sådan befälhavare finns bestäm- melser om underrättelseskyldighet i gränskodexen, se ovan under avsnitt 4.3.2.
4.5
4.5.1
Den 29 april 2004 antog rådet direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare
Uppgiftsskyldigheten enligt direktivet omfattar transportörer som luftvägen ska transportera passagerare från länder som inte tillhör
87
Transportörsansvaret och API‑direktivet |
SOU 2017:57 |
EU och inte heller har slutit avtal om samarbete enligt Schengen- konventionen med konventionsstaterna. Dessa transportörer ska på begäran av en myndighet som ansvarar för personkontrollen vid de yttre gränserna föra över information om de ankommande passa- gerarna. De uppgifter som ska överföras avser bl.a. passagerarnas namn, födelsedatum, medborgarskap, ort för ombordstigning och gränsövergångsställe för inresa. Sådana uppgifter av personlig karak- tär hämtas i normala fall från den maskinläsbara delen av passage- rarens pass. Uppgifterna ska vidarebefordras till myndigheterna efter incheckning. Myndigheterna får spara passageraruppgifterna i ett tillfälligt register i 24 timmar och ska därefter radera dem om inte uppgifterna behövs för att de myndigheter som ansvarar för genom- förandet av personkontroller vid de yttre gränserna ska kunna ut- föra sina lagstadgade uppgifter.
Medlemsstaterna ska införa sanktioner mot de transportörer som genom fel eller försummelse underlåter att lämna uppgifter eller som lämnar ofullständiga eller felaktiga uppgifter.
I svensk rätt har direktivet genomförts främst genom nya be- stämmelser i utlänningslagen samt genom lagen (2006:444) om passa- gerarregister.
4.5.2
I 9 kap. 3 a § anges att en transportör, som luftvägen ska trans- portera passagerare till Sverige direkt från en stat som inte tillhör EU och inte heller har slutit avtal om samarbete enligt Schengenkon- ventionen med konventionsstaterna, på begäran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats. De uppgifter som ska överföras är
1.nummer på och typ av resehandling som används,
2.medborgarskap,
3.fullständigt namn,
4.födelsedatum,
88
SOU 2017:57 |
Transportörsansvaret och API‑direktivet |
5.gränsövergångsstället för inresa,
6.transportkod,
7.avgångs- och ankomsttid för transporten,
8.det totala antalet passagerare vid transporten, och
9.ursprunglig ort för ombordstigning.
De insamlade uppgifterna ska enligt 3 b § samlas in av transportören och överföras elektroniskt till Polismyndigheten. Om det inte är möjligt att föra över uppgifterna elektroniskt ska de överföras på annat lämpligt sätt. I 3 c § anges att bestämmelser om behandlingen av de uppgifter som överförts till Polismyndigheten finns i lagen om passagerarregister.
I 3 d § anges att en transportör som har överfört uppgifter enligt 3 a § inom 24 timmar efter det att transportmedlet har anlänt till gränsövergångsstället ska radera de insamlade och överförda upp- gifterna.
En transportör som samlar in uppgifter som är avsedda att över- föras enligt 3 a § ska enligt 3 e § informera passagerarna enligt be- stämmelserna i
I 19 kap. 5 a § framgår att en transportör som inte har fullgjort sin uppgiftsskyldighet kan bli skyldig betala en särskild avgift. Enligt 19 kap. 6 § ska den särskilda avgiften för varje flygning som har gjorts utan att transportören har fullgjort sin uppgiftsskyldighet bestäm- mas till högst 46 000 kr.
4.5.3Lagen om passagerarregister
I lagen om passagerarregister finns bestämmelser om behandlingen av de
89
Transportörsansvaret och API‑direktivet |
SOU 2017:57 |
är personuppgiftsansvarig för behandlingen av personuppgifter i registret.
Av 2 § framgår att personuppgiftslagen är tillämplig om inget annat följer av lagen eller föreskrifter som har meddelats med stöd av den. Det framgår också att en registrerad person inte har rätt att mot- sätta sig sådan behandling som är tillåten enligt lagen. I 3 § definieras vissa begrepp.
I 4 § anges passagerarregistrets ändamål. Registret ska föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med kon- ventionsstaterna.
Registret får enligt 5 § endast innehålla de uppgifter som har in- kommit i enlighet med 9 kap. 3 a § utlänningslagen.
Personuppgifter i passagerarregistret ska på begäran lämnas ut till Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Personuppgifterna får dock inte lämnas ut på medium för auto- matiserad behandling. Säkerhetspolisen får dock ha direktåtkomst till personuppgifterna i registret. Regeringen får meddela föreskrif- ter om utlämnande till och direktåtkomst för fler myndigheter. (Se
I 9 § anges att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får upp- gifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda.
Vid behandling av personuppgifter enligt lagen eller enligt före- skrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd (10 §).
Tullverket har nyligen i en framställan till regeringen hemställt om att medges direktåtkomst till passagerarregistret.
90
5Dagens reglering och användning av flygpassageraruppgifter
i brottsbekämpningen
5.1Inledning
Brottsbekämpning är ett samlingsbegrepp för alla åtgärder som syftar till att motverka brottslighet. I det brottsbekämpande arbetet inne- fattas självfallet att utreda begångna brott. Men även åtgärder för att förebygga, förhindra och upptäcka brottslig verksamhet innefattas i begreppet. I svensk lagstiftning brukar man skilja mellan sådan verk- samhet som innebär att förebygga, förhindra och upptäcka brottslig verksamhet samt utredning och beivrande av konkreta brott. Åtskill- nad görs alltså mellan sådan informations- och underrättelseinhämt- ning, ”spaning”, som sker innan det finns anledning att anta att ett brott som hör under allmänt åtal har begåtts och sådan utredning som sker sedan en förundersökning enligt 23 kap. 1 § RB har inletts.
I polisens arbetsuppgifter ingår att förebygga och utreda all brottslighet. Även Tullverket har till uppgift att bl.a. bekämpa brott. I den brottsbekämpande verksamheten har Tullverket till uppgift att övervaka och kontrollera trafiken till och från utlandet, så att bestämmelserna om in- och utförsel av varor efterlevs.
Det är Polismyndigheten som ansvarar för personkontrollen vid våra yttre gränser, medan Tullverket svarar för varukontrollen. Även om tullens verksamhet är inriktad på varor får den brottsbekäm- pande verksamheten indirekt en viss anknytning till personer, efter- som det är personer som för varorna med sig över gränserna och kan dömas för smugglingsbrott. Tullverket och Kustbevakningen är skyldiga att bistå Polismyndigheten vid kontrollen av utlänningars inresa och utresa. Mellan Polismyndigheten och Tullverket har träf- fats en överenskommelse om samverkan vad gäller person- och tull-
91
Dagens reglering och användning av flygpassageraruppgifter … |
SOU 2017:57 |
kontroll vid yttre gräns. Tullverket ansvarar emellertid för när- varande inte för personkontroll vid någon flygplats.
Sverige inträdde i EU den 1 januari 1995. Inträdet innebar bl.a. att gränsformaliteter mellan Sverige och de övriga
5.2Tillämpliga bestämmelser
5.2.1Polismyndigheten och Säkerhetspolisen
Som angetts ovan har polisen sedan år 1998 rätt att få tillgång till uppgifter från transportföretag redan innan misstanke om ett visst konkret brott har uppstått. Detta regleras i 25 och 26 §§ polislagen (1984:387). På begäran av Polismyndigheten eller Säkerhetspolisen ska således ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skyndsamt lämna de aktuella upp- gifter om ankommande och avgående transporter som företaget har tillgång till. Uppgifter om passagerare ska avse namn, resrutt, bagage, medpassagerare samt sättet för betalning och bokning. Polisen får begära in uppgifterna endast om de kan antas ha betydelse för den brottsbekämpande verksamheten. Avsikten är dock inte att upp- gifterna ska begäras in för att bekämpa rena bagatellbrott. Detta framgår redan av proportionalitetsprincipen i 8 § polislagen (se prop. 1996/97:175 s. 68).
92
SOU 2017:57 |
Dagens reglering och användning av flygpassageraruppgifter … |
Uppgifterna kan lämnas på så sätt att de görs läsbara genom terminalåtkomst. Härmed avses detsamma som numera normalt be- nämns direktåtkomst. Polismyndigheten och Säkerhetspolisen får emellertid ta del av uppgifterna på detta sätt endast i den omfattning och under den tid som behövs för att kontrollera aktuella trans- porter. De får inte ändra eller på annat sätt bearbeta eller lagra upp- gifter som hålls tillgängliga på detta sätt. Uppgifter om enskilda som har lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning eller lag- föring av brott.
Regleringen är inte avsedd att tillåta någon systematisk kartlägg- ning av resandeströmmar eller något generellt insamlande av upp- gifter. Det är inte heller avsett att uppgifter om resande ska registreras, lagras eller bearbetas på ett sådant sätt att nya personregister med uppgifter om resande skapas. Uppgifter som inhämtas genom upp- koppling till databaser via terminal (direktåtkomst) anses således fortfarande tillhöra och förvaras hos transportföretaget. (Jfr prop. 1995/96:166 s. 81 ff.)
För det fall uppgifterna anses ha betydelse för utredning eller lagföring får informationen sparas i enskilda brottsutredningar med stöd av bestämmelserna i polisdatalagen.
5.2.2Tullverket
Tullverkets befogenhet att inhämta vissa passageraruppgifter från transportföretag om uppgifterna kan antas ha betydelse för dess brottsbekämpande verksamhet infördes år 1996. Bestämmelserna finns numera i 4 kap.
Kompletterande bestämmelser finns i 4 kap.
93
Dagens reglering och användning av flygpassageraruppgifter … |
SOU 2017:57 |
samhet för att klarlägga om brott eller brottslig verksamhet har före- kommit, pågår eller planeras. Sådan information får också lämnas till en utländsk myndighet eller mellanfolklig organisation, om ut- lämnandet följer av en konvention som Sverige har tillträtt eller en överenskommelse som Sverige har ingått.
Om transportföretag inte lämnar bokningsuppgifter på Tullverkets begäran har Tullverket möjlighet att förelägga transportföretaget att vid vite lämna uppgifterna. Bestämmelser härom finns i 4 kap. 24 § och 7 kap. 5 § tullagen samt i 21 § inregränslagen.
Användningen av passageraruppgifter inom Tullverket regleras i dag i övrigt av lagen (2005:787) om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet, främst 13 §. Den lagen ska dock ersättas av en ny lag om behandling av personuppgifter i Tull- verkets brottsbekämpande verksamhet, tullbrottsdatalagen. Den nya lagen träder i kraft den 1 juli 2017 (se prop. 2016/17:91). I förslaget till tullbrottsdatalag finns bestämmelser om personuppgifter från transportföretag intagna i 2 kap. 8 och 9 §§.
Enligt 2 kap. 8 § TBL får personuppgifter som har lämnats till Tullverket enligt de aktuella bestämmelserna i tullagen eller inre- gränslagen behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kon- trollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall får, enligt andra stycket, personuppgifterna behandlas för något av lagens primära ändamål och göras gemensamt tillgängliga. I 2 kap. 9 § finns bestämmelser om i vilka fall identitetsbeteckningar såsom namn och personnummer får användas som sökbegrepp vid sökning i sådana personuppgifter som lämnats till Tullverket enligt 8 § första stycket. Sådana sökbegrepp får användas bara om upp- gifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som över- vakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts allmänt tillgängliga gäller lagens bestämmelser om sökning bland sådana upp- gifter.
94
SOU 2017:57 |
Dagens reglering och användning av flygpassageraruppgifter … |
5.3Dagens användning av
5.3.1Polismyndigheten
Polismyndigheten arbetar i dag i en mycket begränsad omfattning med PNR- och
Passageraruppgifterna används både för att hitta kända personer och för att leta efter mönster som kan indikera att en person är av intresse, s.k. profilering.
Endast ett flygbolag tillhandahåller terminalåtkomst till sitt bok- ningssystem. De API- och
Även analysen av de uppgifter som inhämtas sker manuellt då Polismyndigheten saknar tekniskt stöd för hantering av uppgifter- na. Varje passagerare hanteras individuellt vilket är ett tidskrävande arbete. Arbetet ställer också höga krav på analytikern då antalet parametrar som ska granskas kan vara stort.
Bristen på
5.3.2Säkerhetspolisen
Säkerhetspolisen arbetar i dag med insamling av API- och PNR- uppgifter i sitt arbete med kontraterrorism, kontraspionage, författ- ningsskydd och personskydd.
95
Dagens reglering och användning av flygpassageraruppgifter … |
SOU 2017:57 |
Vid de tillfällen då
Säkerhetspolisen saknar direktåtkomst till system som lagrar
Säkerhetspolisen saknar tekniskt stöd för hantering av såväl API- som
5.3.3Tullverket
Tullverket är den myndighet som i störst utsträckning använder API- och
Tullverket delar uppgifter med andra länder, främst i Norden. Enbart uppgifter om specifika brottsmisstänkta personer delas för att möjliggöra identifiering och matchning av liknande inkomman- de händelser.
Tullverket begär in eller hämtar själv in
96
SOU 2017:57 |
Dagens reglering och användning av flygpassageraruppgifter … |
lämpliga kontrollobjekt får uppgifterna formateras om till ett an- vändarvänligt format och sammanställas elektroniskt. Sammanställ- ningen sker i ett avgränsat system. Tullverket har således visst system- stöd till sin hjälp vid överföringen av uppgifterna. All inhämtning, profilering och analys av uppgifterna hanteras dock manuellt.
Tullverket använder
Tullverket har dagligen åtkomst till bokningsuppgifter från 32 flygbolag, antingen via direktåtkomst eller genom att flygbolagen skickar sina uppgifter till Tullverket. Hur stor del av dessa upp- gifter som tullen faktiskt tar del varierar. Vissa dagar sker inte någon profilering över huvud taget beroende på personalsituationen. Vissa bolag, vars bokningssystem tullen har direktåtkomst till, anses inte utgöra en risk ur ett tullperspektiv. Dessa bokningsuppgifter granskas därför sällan. Av samtliga ankommande resenärer till statliga och kommunala flygplatser år 2015 kontrollerade Tullverket mindre än 1 procent.
Alla grova narkotikabeslag på Arlanda år 2015 i passagerartrafi- ken var baserade på tillgång till
97
6 Dataskyddsreglering
6.1Internationella konventioner
6.1.1Europakonventionen m.m.
Enligt artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa- konventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får endast göra inskränkningar i dessa rättigheter med stöd av lag och om det är nödvändigt i ett demokratiskt samhälle för vissa i artikeln uppräknade ändamål, bl.a. med hänsyn till den allmänna säkerheten och till förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter.
Europakonventionen gäller som svensk lag. Det framgår av 2 kap. 19 § RF att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Även i FN:s konvention om medborgerliga och politiska rättig- heter finns en bestämmelse till skydd för godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).
6.1.2Dataskyddskonventionen
Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personupp- gifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985. Sverige har, liksom övriga
Dataskyddskonventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till per-
99
Dataskyddsreglering |
SOU 2017:57 |
sonlig integritet i samband med automatiserad behandling av person- uppgifter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
Konventionen innehåller principer för dataskydd som de konven- tionsanslutna staterna måste iaktta i sin nationella lagstiftning. Bl.a. ska personuppgifter som är föremål för automatiserad behandling samlas in och behandlas på ett korrekt sätt för särskilt angivna ända- mål. Vidare måste uppgifterna vara relevanta för ändamålen med be- handlingen och får inte senare användas på ett sätt som är ofören- ligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre tid än vad som är nödvändigt för ända- målen.
Vissa kategorier av personuppgifter får enligt konventionen be- handlas endast om den nationella lagstiftningen ger ett ändamåls- enligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexual- liv och uppgifter om brott. Vidare föreskrivs att en registrerad bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade.
Under vissa förutsättningar får undantag göras från bestämmel- serna i konventionen om bl.a. uppgifternas beskaffenhet. Sådana in- skränkningar förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. brottsbekämpning.
Konventionen kompletteras med flera av ministerkommittén an- tagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.
6.2Gällande
6.2.1
I artikel 7 i Europeiska unionens stadga om de grundläggande rättig- heterna slås fast att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 före- skrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens sam- tycke eller någon annan legitim och lagenlig grund. Var och en har
100
SOU 2017:57 |
Dataskyddsreglering |
rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.
I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara fören- liga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt sam- hällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
6.2.2Dataskyddsdirektivet
Den allmänna regleringen av behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på be- handling av personuppgifter och att främja ett fritt flöde av per- sonuppgifter mellan medlemsstaterna i EU.
Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se av- snitt 6.3.2). Direktivet gäller inte för behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
6.2.3Dataskyddsrambeslutet
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar data- skyddet inom angivna områden. Rambeslutet är föranlett av ett antal
101
Dataskyddsreglering |
SOU 2017:57 |
rambeslutet gäller däremot inte för rent nationell personuppgifts- behandling. Från tillämpningsområdet undantas också personupp- giftsbehandling inom området nationell säkerhet.
Dataskyddsrambeslutet uppfylls redan till stora delar av befint- lig lagstiftning. De återstående delarna har genomförts i svensk rätt genom lagen (2013:329) med vissa bestämmelser om skydd för per- sonuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) med tillhörande förordning (se avsnitt 6.4.5).
6.3Huvuddragen i den svenska regleringen
6.3.1Regeringsformen
Grundläggande bestämmelser till skydd för den personliga integri- teten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyd- det kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.
Andra stycket i 2 kap. 6 § infördes vid 2010 års grundlags- reform. Bestämmelsen omfattar enbart betydande intrång i den enskildes privata sfär. I förarbetena anges att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare upp- gifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal upp- gifter kan innebära ett betydande intrång i den personliga inte- griteten om uppgifterna är av mycket känslig karaktär. Vid bedöm- ningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig
102
SOU 2017:57 |
Dataskyddsreglering |
än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget. (Se prop. 2009/10:80 s. 183.)
6.3.2Personuppgiftslagen
Lagens syfte och tillämpningsområde
Personuppgiftslagen, genom vilket det nu gällande dataskyddsdirek- tivet genomfördes i svensk rätt, syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av person- uppgifter. Kompletterande bestämmelser till lagen finns i person- uppgiftsförordningen (1998:1191).
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida upp- gifterna.
Lagen innehåller generella regler för all behandling av person- uppgifter och behandlar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning fram- för bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.
Enligt 5 § ska lagen tillämpas på all helt eller delvis automatise- rad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.
Behandling av uppgifter om juridiska personer, som definitions- mässigt inte utgör personuppgifter, omfattas inte av personuppgifts- lagen. Sådan behandling som en fysisk person utför i verksamhet av rent privat natur undantas också enligt 6 §.
103
Dataskyddsreglering |
SOU 2017:57 |
Grundläggande krav på behandlingen
Vissa grundläggande krav för all behandling av personuppgifter slås fast i 9 § PUL. Där anges att personuppgifter alltid ska behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personupp- gifter ska samlas in och behandlas bara för särskilda, uttryckligt an- givna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personupp- gifter som behandlas ska vidare vara riktiga och relevanta i förhål- lande till ändamålen med behandlingen och får inte vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. För det fall per- sonuppgifterna inte uppfyller dessa krav, ska alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna uppgifterna.
Personuppgifter får inte bevaras längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. Därefter ska de avidenti- fieras eller förstöras. Eftersom personuppgiftslagen är subsidiär till annan lagstiftning får uppgifter inte avidentifieras eller förstöras om det strider mot annan lagstiftning, t.ex. tryckfrihetsförordningens bestämmelser om allmänna handlingar eller arkivlagstiftningen.
Tillåten och otillåten behandling
I
I vissa fall får personuppgifter behandlas även om den registre- rade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.
Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det be- hövs för att på den registrerades begäran vidta åtgärder innan av- talet träffas. Som exempel på behandling som kan vara nödvändig för att fullgöra ett avtal kan nämnas fakturering och förande av kundregister. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig
104
SOU 2017:57 |
Dataskyddsreglering |
skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter be- handlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slut- ligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.
Behandling av känsliga personuppgifter
I 13 § PUL förbjuds behandling av känsliga personuppgifter. Med detta avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Från förbudet mot behandling av känsliga uppgifter gäller ett flertal undantag som närmare regleras i
Regeringen, eller den myndighet regeringen bestämmer, får en- ligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Information till den registrerade
Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Om uppgifter om en person samlas in från personen själv, ska den per- sonuppgiftsansvarige enligt 23 § självmant lämna den registrerade information om behandlingen av uppgifterna. Har uppgifterna samlats in från en annan källa, ska den personuppgiftsansvarige enligt 24 § självmant informera den registrerade när uppgifterna noteras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Informationen behöver dock inte lämnas om det finns bestämmelser om registrerandet eller ut- lämnandet av personuppgifterna i lag eller annan författning. Infor- mation behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.
105
Dataskyddsreglering |
SOU 2017:57 |
Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen. Information behöver inte lämnas om sådant som den registrerade redan känner till.
Enligt 26 § är den personuppgiftsansvarige vidare skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökan- den behandlas eller inte, ändamålen med behandlingen, vilka upp- gifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personupp- gifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteckning, utom i de fall där uppgifterna har lämnats till tredje man eller – i fråga om behandling i löpande text – har behandlats under längre tid än ett år.
Informationsskyldigheten gäller enligt 27 § inte om uppgifterna omfattas av sekretess eller tystnadsplikt.
Rättelse
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska enligt 28 § på begäran av den registrerade rättas, blockeras eller utplånas av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats till tredje man, ska denne i vissa fall informeras om korri- geringen.
Säkerhet vid behandlingen
I 30 och 31 §§ PUL finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar upp- gifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säker- heten.
106
SOU 2017:57 |
Dataskyddsreglering |
Överföring av personuppgifter till tredjeland
Enligt 33 § PUL är det förbjudet att till tredjeland föra över per- sonuppgifter under behandling om landet i fråga inte har en adekvat nivå för skydd av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skydds- nivån är adekvat ska bedömas med hänsyn till samtliga omständig- heter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behand- lingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.
I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för an- vändning enbart i en stat som har anslutit sig till dataskyddskon- ventionen. I 35 § PUL finns vissa bemyndiganden som ger möjlig- het att besluta om ytterligare undantag i förbudet i 33 §. I bilagor till personuppgiftsförordningen anges vilka stater som enligt särskilda beslut av kommissionen anses ha en adekvat skyddsnivå för behand- lingen av personuppgifter vid överföring till vissa i besluten speci- ficerade mottagare.
I 13 a § PUF finns en specialbestämmelse som reglerar transpor- törers överföring av flygpassageraruppgifter till tredjeland. Enligt bestämmelsen får en transportör som luftvägen transporterar passa- gerare till eller från ett tredjeland, till det landet föra över person- uppgifter som finns i transportörens passagerarförteckning, om det sker enligt villkor som framgår av en överenskommelse mellan tredje- landet och EU avseende behandling och överföring av uppgifter rörande flygpassagerare. I en bilaga till förordningen anges att sådana överenskommelser gäller mellan EU och USA respektive Australien.
Tillsyn
Datainspektionen är enligt 2 § PUF tillsynsmyndighet enligt person- uppgiftslagen. Inspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda re- gisterförfattningar. Datainspektionen har till uppgift att bl.a. verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Inspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger
107
Dataskyddsreglering |
SOU 2017:57 |
råd och hjälp åt personuppgiftsombud. I
Sanktioner
I 48 § PUL regleras den registrerades rätt till skadestånd för den kränkning som en behandling av personuppgifter i strid med lagen har orsakat. Lagen innehåller också en straffbestämmelse. Enligt 49 § kan den som uppsåtligen eller av grov oaktsamhet överträder vissa bestämmelser i lagen dömas för brott mot personuppgiftslagen.
6.4Aktuella särregleringar
6.4.1Polisdatalagen
Syfte och tillämpningsområde
Polisdatalagen (2010:361) är tillämplig vid behandling av personupp- gifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen. Lagen gäller även för den polisiära verksamheten vid Ekobrottsmyndigheten. Kompletterande bestämmelser finns i polisdataförordningen (2010:1155).
Syftet med lagen är att ge polisen möjlighet att behandla person- uppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verk- samhet och att skydda enskilda mot att deras personliga integritet kränks vid sådan behandling.
Lagen är tillämplig endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Enligt 1 kap. 6 § tillämpas lagen även i viss utsträckning på behandling av uppgifter om juridiska personer.
Lagen är generellt utformad. Det finns dock även andra författ- ningar som reglerar personuppgiftsbehandling i polisens brottsbekäm- pande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § undantas från lagens tillämpnings- område behandling av personuppgifter enligt bl.a. lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen
108
SOU 2017:57 |
Dataskyddsreglering |
(2000:344) om Schengens informationssystem och lagen (2006:444) om passagerarregister.
Förhållande till personuppgiftslagen
Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgifts- lagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestäm- melser i personuppgiftslagen som gäller vid behandling av person- uppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och sanktioner.
Ändamål för behandling och utlämnande av uppgifter
I 2 kap. PDL anges för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Enligt 2 kap. 7 § får per- sonuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden. Bestäm- melsen innehåller de primära ändamål för vilka personuppgifter en- ligt lagen får behandlas.
I 2 kap. 8 § anges de sekundära ändamålen för vilka personupp- gifter får behandlas enligt lagen. De ändamålen aktualiseras när per- sonuppgifter som behandlas i polisens brottsbekämpande verksam- het lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt bestämmelsen får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla infor- mation som behövs i brottsbekämpande verksamhet hos Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgifter får också behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Enligt 2 kap. 9 § får personuppgifter också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till
109
Dataskyddsreglering |
SOU 2017:57 |
Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller lik- nande och behandlingen är nödvändig för handläggningen.
I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekretessbry- tande bestämmelser som gäller i förhållande till vissa andra myndig- heter finns i 2 kap.
Behandling av känsliga personuppgifter
För behandling av känsliga personuppgifter finns särskilda begräns- ningar i 2 kap. 10 § PDL. Enligt bestämmelsen får uppgifter om en person inte behandlas enbart på grund av vad som är känt om per- sonens ras eller etniska ursprung, politiska åsikter, religiösa eller filo- sofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Register som regleras särskilt i polisdatalagen
Några register regleras särskilt i 4 kap. PDL. Dessa är register över
Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet
I 6 kap. PDL finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Bestämmelser- na reglerar framför allt ändamålen för Säkerhetspolisens personupp- giftsbehandling, som delvis avviker från regleringen för Polismyn- digheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgifts-
110
SOU 2017:57 |
Dataskyddsreglering |
skyldighet gäller i huvudsak samma bestämmelser som för Polis- myndigheten.
6.4.2Tullbrottsdatalag
En ny lag för Tullverkets personuppgiftsbehandling
Lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet gäller för närvarande för Tullverkets person- uppgiftsbehandling i denna verksamhet. Lagen kommer att ersättas av en ny lag, tullbrottsdatalagen (prop. 2016/17:91) den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrotts- datalag.
Lagens tillämpningsområde
Tullbrottsdatalagen har utformats i nära anslutning till andra data- skyddslagar på det brottsbekämpande området, t.ex. polisdatalagen. Lagen ska reglera all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Enligt 1 kap. 2 § ska lagen endast gälla om behandlingen är helt eller delvis automatiserad eller om person- uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Tullbrottsdatalagen ska gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgifts- lagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skade- stånd.
111
Dataskyddsreglering |
SOU 2017:57 |
Ändamål för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter ska få behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § TBL få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra för- pliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen ska också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brotts- bekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket eller en utländsk myndighet eller mellanfolklig organi- sation. Personuppgiftsbehandling genom utlämnande ska också en- ligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhanda- hålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten och i annan verk- samhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså får personuppgifter i ett enskilt fall behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgift- erna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag, se avsnitt 5.2.2.
Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvän- dig för handläggningen.
I 2 kap. 12 § finns en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyndighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska sam- arbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till vissa myndigheter finns i 2 kap. 13 §.
112
SOU 2017:57 |
Dataskyddsreglering |
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, ska enligt 2 kap. 10 § TBL inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nöd- vändigt för syftet med behandlingen.
6.4.3Lagen om internationellt polisiärt samarbete
Lagen (2000:343) om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den utsträckning som följer av internationella överenskommelser. Enligt 1 a § gäller polisdatalagen för polisens behandling av person- uppgifter vid sådant internationellt polisiärt samarbete som regleras i lagen, om den inte innehåller särskilda regler.
Lagen innehåller bestämmelser om informationsutbyte enligt Prümrådsbeslutet1,
Den nuvarande lagen om internationellt polisiärt samarbete kom- mer att upphävas den 2 juli 2017 och ersättas av en ny lag i samma ämne. Lagen kommer att delas in i kapitel. Det införs också fem kapitel som reglerar olika former av personuppgiftsbehandling vid polisiärt samarbete med andra stater inom och utanför EU. Några ändringar i sak ska dock inte ske när det gäller regleringen av behand- ling av personuppgifter. (Se prop. 2016/17:139.)
1Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande sam- arbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.
2Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om under- lättande av gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott.
3Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.
113
Dataskyddsreglering |
SOU 2017:57 |
6.4.4Lagen om internationellt tullsamarbete
Lagen (2000:1219) om internationellt tullsamarbete tillämpas bl.a. på internationellt tullsamarbete som följer av vissa internationella åtaganden och har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. I 2 kap.
6.4.52013 års lag
Lagen (2013:329) med vissa bestämmelser om skydd för personupp- gifter vid polissamarbete och straffrättsligt samarbete inom Euro- peiska unionen (2013 års lag) genomför dataskyddsrambeslutet. Kompletterande bestämmelser finns i förordningen (2013:343) med i övrigt samma namn. Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straff- rättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en med- lemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz eller Liechtenstein eller mellan en svensk myndighet och ett
Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i bestämmelsen.
Personuppgifter som en svensk myndighet har erhållit får enligt 5 § endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda
114
SOU 2017:57 |
Dataskyddsreglering |
eller beivra brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt med- givande eller den som uppgifterna avser har samtyckt till det.
Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internatio- nella organ.
Lagen reglerar också villkor för användningen av personuppgifter. Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) har föreslagit att lagen upphävs i samband med genomförandet av det
nya dataskyddsdirektivet.
6.5EU:s dataskyddsreform
6.5.1Bakgrund till reformen
I januari 2012 presenterade kommissionen ett förslag till en genom- gripande reform av EU:s regler om skydd för personuppgifter. Paket- et omfattade en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet samt ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.
Det huvudsakliga syftet med kommissionens förslag var att ytter- ligare harmonisera och effektivisera skyddet av personuppgifter inom EU för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv. Regleringen antogs tillsammans med
115
Dataskyddsreglering |
SOU 2017:57 |
6.5.2En dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (dataskyddsför- ordningen) börjar tillämpas den 25 maj 2018.
Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersätta dataskyddsdirek- tivet från år 1995. Förordningen, som är direkt tillämplig, kommer att utgöra ett ramregelverk för skyddet av personuppgifter inom EU. Den kommer därigenom att gälla t.ex. för lufttrafikföretags behand- ling av
Förordningen reglerar bl.a. grundläggande principer för behand- ling av personuppgifter, den registrerades rättigheter, personupp- giftsansvar, tillsyn över personuppgiftsbehandling och rätten för en- skilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Från förordningens tillämpningsområde undantas bl.a. person- uppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde.
Dataskyddsutredningen har haft i uppdrag att föreslå de anpass- ningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till. Utredningen har av- gett betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I betänkandet före- slås att kompletterande bestämmelser till dataskyddsförordningen av generell karaktär ska samlas i en ny lag, dataskyddslagen.
116
SOU 2017:57 |
Dataskyddsreglering |
6.5.3Ett nytt dataskyddsdirektiv
Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på be- höriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrätts- liga påföljder, och om det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (det nya dataskydds- direktivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.
Direktivet ska dels skydda fysiska personers grundläggande fri- heter och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet.
I förhållande till nuvarande svensk reglering innehåller det nya dataskyddsdirektivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgifts- ansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumen- tation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personupp- giftsincidenter.
Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredjeland och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser.
Enligt direktivet har enskilda vissa rättigheter, bl.a. att få vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rätts- medel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansva- riga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om påföljder eller sank- tioner vid överträdelser av bestämmelser som genomför direktivet.
Utredningen om 2016 års dataskyddsdirektiv har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt. Utredningen har i delbetänkandet Brottsdatalagen (SOU 2017:29) föreslagit att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med den föreslagna lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säker-
117
Dataskyddsreglering |
SOU 2017:57 |
ställa att behöriga myndigheter kan behandla och utbyta personupp- gifter med varandra på ett ändamålsenligt sätt. Enligt förslaget ska lagen – i likhet med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara sub- sidiär. Den föreslagna lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksam- het, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för person- uppgiftsbehandling vid upprätthållande av allmän ordning och säker- het. De som har sådana arbetsuppgifter betecknas behöriga myn- digheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena. De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt- hålla allmän ordning och säkerhet. Dataskyddsförordningen kom- mer att bli tillämplig i övrigt, t.ex. när Polismyndigheten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol hand- lägger ett tvistemål. Det som blir avgörande för om lagen är tillämp- lig är dels om det är en behörig myndighet som behandlar person- uppgifterna, dels syftet med behandlingen.
De närmare bestämmelserna i förslaget till brottsdatalag kommer, i den mån de är av intresse för vår utredning, att behandlas i kom- mande avsnitt.
De myndigheter som bedriver verksamhet inom den föreslagna lagens tillämpningsområde har i allmänhet särskilda registerförfatt- ningar som reglerar personuppgiftsbehandlingen. Utredningen om 2016 års dataskyddsdirektiv kommer att i slutbetänkandet, som ska redovisas den 30 september 2017, föreslå de anpassningar som krävs i berörda registerförfattningar.
6.5.4Viss personuppgiftsbehandling faller utanför båda instrumenten
Viss behandling av personuppgifter undantas från både dataskydds- förordningens och dataskyddsdirektivets tillämpningsområden. Det gäller bl.a. personuppgiftsbehandling i verksamhet som inte om- fattas av unionsrätten, däribland området nationell säkerhet. Till
118
SOU 2017:57 |
Dataskyddsreglering |
Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säker- het och terrorbrott och att utreda och beivra sådana brott. Säker- hetspolisen ansvarar vidare för personskyddet av den centrala stats- ledningen. Nu nämnda uppgifter hör till nationell säkerhet.
Utredningen om 2016 års dataskyddsdirektiv har föreslagit att brottsdatalagen inte ska vara tillämplig för Säkerhetspolisens behand- ling av personuppgifter som rör nationell säkerhet. Inte heller ska lagen vara tillämplig när Polismyndigheten övertagit en uppgift som rör nationell säkerhet från Säkerhetspolisen. Förslaget innebär dock inte att Säkerhetspolisens personuppgiftsbehandling kommer att läm- nas oreglerad inom området nationell säkerhet. På samma sätt som Säkerhetspolisen i dag tillämpar polisdatalagen och vissa bestämmel- ser i personuppgiftslagen i verksamhet som rör nationell säkerhet bör, enligt utredningen, myndigheten i framtiden tillämpa vissa be- stämmelser i brottsdatalagen. Vilka bestämmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör reg- leras kommer utredningen att behandla i slutbetänkandet. (Se SOU 2017:29 s. 175 ff.)
119
7 Pågående arbeten
7.1Internationellt arbete
Intresset för att använda sig av
Som angetts i avsnitt 3.2 ingick EU i mitten av
Fem länder, Storbritannien, USA, Kanada, Australien och Nya Zeeland, har ett underrättelsesamarbete kallat ”The Five Eyes” som även behandlar PNR- och
121
Pågående arbeten |
SOU 2017:57 |
7.1.1Arbete inom PNRGOV Working Group
Som framgått i avsnitt 4.2.1 rekommenderas i annex 9 till Chicago- konventionen att de fördragsslutande staterna använder sig av stan- dardformatet PNRGOV för överföringen av
PNRGOV har utarbetats gemensamt av stater, lufttrafikföretag och tjänsteleverantörer. Formatet uppdateras ständigt och instruk- tionerna för dess implementering finns för närvarande i version 16.1. Arbetet relaterat till PNRGOV utförs av en arbetsgrupp bestående av företrädare för såväl industrin som olika stater och leds av Iata. Arbetsgruppen, med namnet PNRGOV Working Group, håller år- ligen två möten där standardformatet diskuteras och förslag till för- ändringar tas fram. Vid mötena deltar Iata, Icao, WCO samt före- trädare för olika länder, flygbolag och systemleverantörer.
7.1.2Arbete inom EU
Samtliga berörda medlemsstater arbetar nu med att genomföra
Enligt artikel 4 i
Under tiden
122
SOU 2017:57 |
Pågående arbeten |
ibland Sverige, har ansökt och erhållit bidrag från den s.k. ISEC- fonden1. Sedan
Enligt artikel 8.3 i
Inom EU finns även en operativ arbetsgrupp som har till uppgift att säkerställa ett harmoniserat genomförande av
Inom kommissonens Generaldirektorat för skatter och tullar (Taxud) pågår ett arbete som syftar till att så många tullmyndig-
1Program “Prevention of and Fight against Crime” (ISEC).
2Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när
123
Pågående arbeten |
SOU 2017:57 |
heter som möjligt ska bli delaktiga i medlemsstaternas enheter för passagerarinformation.
7.2Arbete i Sverige
7.2.1Arbete med att upprätta en nationell enhet för passageraruppgifter
Polismyndigheten har till uppgift att förebygga, upptäcka och ut- reda de flesta av de brott som omfattas av
Polismyndigheten har tillsammans med Tullverket, som fram- gått ovan, ansökt och erhållit bidrag från en
Polismyndigheten, Tullverket och Säkerhetspolisen har genom- fört en förstudie gällande införandet av en systematiserad hantering av såväl PNR- som
I förstudierapporten lämnas vissa förslag på hur den nationella enheten för passagerarinformation bör organiseras. Enheten föreslås vara bemannad dygnet runt och bestå av personal som har sin grund- anställning inom Polismyndigheten, Säkerhetspolisen eller Tullverket. Tillgång till passageraruppgifterna ska ske via ett
124
SOU 2017:57 |
Pågående arbeten |
om de olika roller och kompetenser som kommer att krävas vid en- heten, uppgifter om processer och arbetssätt samt ett tekniskt lös- ningsförslag.
Det bedrivs för närvarande ett projekt vid Polismyndigheten som har till uppgift att etablera en nationell enhet för passagerarinforma- tion med relevant
Vid Polismyndighetens fortsatta arbete med att inrätta en enhet för passagerarinformation har de i förstudien angivna organisations- förslagen vidhållits.
7.2.2Arbetet med direktivets tekniska bestämmelser
Inom Polismyndigheten pågår således ett arbete med att införa ett automatiserat och strukturerat system för hantering av
Analyssystemet för
125
Pågående arbeten |
SOU 2017:57 |
kommer systemet att ge möjlighet att jämföra
De behöriga myndigheterna kommer att få möjlighet att via sär- skilda sökmallar i ett gemensamt
Med tanke på de risker som är förknippade med behandlingen och arten av
126
VÅRA ÖVERVÄGANDEN
OCH FÖRSLAG
8Utgångspunkter och inledande ställningstaganden
8.1Allmänt om att genomföra
Vårt övergripande uppdrag är att föreslå de författningsändringar och andra åtgärder som krävs för att genomföra
Det avgörande är således att det i nationell rätt läggs fast en rätts- lig ram som garanterar att direktivet tillämpas fullt ut på ett tillräck- ligt klart och precist sätt och som gör det möjligt för enskilda indi- vider att på ett tydligt sätt urskilja vilka rättigheter och skyldigheter de har enligt unionsrätten.
129
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
8.2En samlad ny lag
Vårt förslag:
130
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
personuppgiftsbehandling som systemet med användning av PNR- uppgifter inom brottsbekämpningen för med sig. Bestämmelsernas utformning är dock ibland sådan att de olika karaktärerna av reg- lering är sammanvävda och svåra att särskilja. Direktivet är vidare omfattande och komplext, bl.a. i det att det berör helt olika slags aktörer; såsom kommersiellt verksamma flygbolag och brottsbekäm- pande myndigheter.
Rent lagtekniskt finns det olika tänkbara sätt att helt eller delvis inarbeta
Vår bedömning är dock att en sådan uppsplittrad lagteknisk lös- ning skulle vara komplicerad, oöverskådlig och kräva korshänvis- ningar som skulle göra tillämpningen besvärlig. Övervägande skäl talar i stället, enligt vår mening, för att direktivet i huvudsak bör in- föras i svensk rätt genom en samlad ny lag. Genom en sådan lösning kommer en överskådlig reglering av området för
8.3Normgivningsnivå
Vårt förslag: Till den nya lagen ska det införas en anslutande för- ordning. Centrala bestämmelser i direktivet ska finnas i lagen. Bestämmelser i frågor av mindre vikt för enskilda intressen och närmare bestämmelser rörande hanteringen av
131
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
Införandet av
Enligt 2 kap. 6 § RF är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av per- sonliga förhållanden. Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demo- kratiskt samhälle (2 kap. 20 och 21 §§ RF). Det har i flera lagstift- ningsärenden som rört myndigheters personuppgiftsbehandling fram- hållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
1 Enligt Transportstyrelsens statistikuppgifter. Observera dock att alla resande inom EU inte nödvändigtvis har ett
132
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
Det kan diskuteras hur pass integritetskänsliga
De delar av direktivet som bör införas i svensk rätt genom lag avser bl.a. de grundläggande bestämmelserna om lufttrafikföretagens skyldigheter, tillåten behandling och vidaresändande av
8.4En grundläggande allmän utgångspunkt
Vår utgångspunkt: Utformningen av våra förslag ska ske med beaktande av att det nya systemet för insamling och utbyte av
Som vi redan framhållit ovan innebär
133
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
nationella flygresande. Härigenom företer systemet i viss mån lik- heter med skyldigheten för teleoperatörerna att utföra en generell datalagring för brottsbekämpande syften, vilket har underkänts av
Verksamhetens känsliga karaktär talar, tillsammans med bristan- de erfarenhet av hur man ska arbeta med
Av bl.a. detta skäl vore det lämpligt med en utvärdering och en rättslig översyn efter det att
8.5Den nya lagstiftningens förhållande till relevant dataskyddsreglering
Våra bedömningar: Eftersom
Övervägande skäl talar för att i lagen inte närmare reglera dess förhållande till mer generell dataskyddsreglering på området. Bestämmelserna i lagen kommer dock att i olika avseenden gälla utöver eller i stället för de generella bestämmelserna i dataskydds- förordningen, den nya ramlag som genomför det nya dataskydds-
2 Dom den 21 december 2016 i de förenade målen
134
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
direktivet och annan särreglering för dataskydd som gäller eller kommer att gälla för berörda myndigheter.
Vårt förslag: Det tas i de behöriga myndigheternas allmänna registerförfattningar in bestämmelser om att det i den av oss före- slagna lagen och i föreskrifter som meddelats med stöd av den lagen finns bestämmelser om personuppgiftsbehandling som ska tillämpas i stället för bestämmelserna i aktuell registerförfattning.
Den nya lagen kommer att innehålla bestämmelser som berör flera olika aktörer; främst lufttrafikföretag och olika myndigheter med uppgifter inom det slags brottsbekämpning som avses i PNR- direktivet. Verksamheterna hos dessa aktörer är redan föremål för mer eller mindre ingående författningsreglering. Detta gäller även den personuppgiftsbehandling som sker i verksamheterna. Några grundläggande relationer till annan lagstiftning måste därför redas ut. Det gäller framför allt förhållandena till de nya generella regle- ringarna på dataskyddsområdet, nämligen dataskyddsförordningen och det förslag till ramlag som genomför det nya dataskyddsdirek- tivet. Även några andra regleringar kommer att beröras nedan.
EU:s dataskyddsreform
EU:s nya dataskyddsförordning antogs den 27 april 2016. Förord- ningen, som ska börja tillämpas den 25 maj 2018, utgör en ny generell reglering för personuppgiftsbehandling och kommer att ersätta data- skyddsdirektivet från år 1995. Samtidigt antogs ett nytt dataskydds- direktiv som ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, ut- reda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I detta ingår även att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Personuppgiftsbehandling som ligger inom direktivets tillämpningsområde är undantagen från dataskydds- förordningens tillämpningsområde. Det nya dataskyddsdirektivet ska vara genomfört i nationell rätt senast den 6 maj 2018. Se en något mera utförlig beskrivning av reformen i avsnitt 6.5.
135
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
Förslag till anpassning och genomförandet i Sverige
Två olika utredningar har analyserat den nya förordningen och det nya direktivet.
Dataskyddsutredningen har i betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39) bl.a. lämnat förslag till en ny lag, dataskyddslagen, med kompletterande bestämmelser till dataskyddsförordningen. Till lagen har även föreslagits en anslutande förordning. Enligt förslaget till kompletterande lag ska dataskyddsförordningen, i den ursprung- liga lydelsen, i tillämpliga delar gälla även vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Alla bestämmelser i förord- ningen gäller dock inte, t.ex. inte de som reglerar skyldigheter för medlemsstaters nationella tillsynsmyndigheter att samarbeta med den svenska tillsynsmyndigheten eller den europeiska tillsynsmyndig- hetens befogenheter (a. SOU s. 354).
Den till dataskyddsförordningen kompletterande lagen föreslås vara subsidiär till annan lagstiftning (1 kap. 3 §). Avvikande bestäm- melser i annan lag eller förordning gäller alltså i stället för lagen.
Utredningen om 2016 års dataskyddsdirektiv har i delbetänkandet Brottsdatalag (SOU 2017:29) lämnat förslag till en ny ramlagstift- ning med bestämmelser om skydd av personuppgifter inom direk- tivets tillämpningsområde. I delbetänkandet föreslås en ny ramlag, brottsdatalagen, som ska vara generellt tillämplig vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lag- föra brott eller verkställa straffrättsliga påföljder. Ramlagen föreslås också gälla vid behöriga myndigheters personuppgiftsbehandling som utförs i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 § förslaget till brottsdatalag). Med behörig myndighet avses en myn- dighet som har till uppgift att utföra sådan brottsbekämpning m.m. som nyss sagts (1 kap. 6 §). Genom en särskild bestämmelse föreslås dock att Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet inte ska omfattas av lagens tillämpningsområde (1 kap. 4 §). Detsamma ska gälla om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Enligt vad utredningen anger i delbetänkandet som sin uppskatt-
136
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
ning ligger Säkerhetspolisens verksamhet i allt väsentligt utanför det nya dataskyddsdirektivets tillämpningsområde, bl.a. dess verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott samt att utreda och beivra sådana brott (a. SOU s. 175).
I förslaget föreslås att ramlagen ska vara subsidiär till annan lagstiftning. I 1 kap. 5 § föreskrivs således att om det i en annan lag eller en förordning finns bestämmelser som avviker från ramlagen, ska de bestämmelserna gälla. Om det i en viss myndighets register- författning, t.ex. polisdatalagen, finns avvikande bestämmelser gäller alltså de i stället för ramlagen.
I det återstående uppdraget för Utredningen om 2016 års data- skyddsdirektiv innefattas bl.a. att lämna de förslag till författnings- ändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsätt- ningarna. De centrala författningarna avser bl.a. polisdatalagen och lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet3. Vidare ska utredningen överväga om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehand- ling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag. Uppdraget ska slutredo- visas senast den 30 september 2017.
Olika regleringsmodeller för registerförfattningar
I nuvarande dataskyddsreglering finns, såsom beskrivits i avsnitt 6.3, personuppgiftslagen varigenom 1995 års dataskyddsdirektiv genom- förts. Personuppgiftslagen är generellt tillämplig och gäller även för personuppgiftsbehandling vid brottsbekämpande verksamhet trots att det bakomliggande dataskyddsdirektivet undantar sådan verksam- het från dess tillämpningsområde. Personuppgiftslagen är dock sub- sidiär till avvikande reglering i annan lag eller förordning (2 § PUL). Inom främst myndighetsområdet finns en mycket stor mängd sär- regleringar i förhållande till personuppgiftslagen som innehåller just från personuppgiftslagen avvikande regleringar. Det kan handla om författningar som reglerar viss registerföring eller författningar som
3 Ersätts av tullbrottsdatalagen (2017:000) den 1 juli 2017.
137
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
mer övergripande reglerar dataskyddsfrågor vid personuppgiftsbe- handling vid en viss myndighet eller viss verksamhet. Det gemen- samma begreppet för sådan särreglering är registerförfattning.
I dagens registerförfattningar förekommer vanligen bestämmelser som på ett eller annat sätt klargör lagens förhållande till personupp- giftslagen. Olika regleringsmodeller har kommit till användning, huvudsakligen enligt antingen den kompletterande modellen eller den hänvisande modellen men det finns även en heltäckande variant.
De flesta registerförfattningar är i dag utformade i enlighet med den kompletterande modellen. Den tekniken kännetecknas av att särregleringen endast kompletterar eller ersätter huvudregleringen, dvs. personuppgiftslagen, i frågor som är specifika för de verksam- heter som omfattas av särlagstiftningen. Den myndighet som berörs måste därmed tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Person- uppgiftslagen ska tillämpas om inte annat följer av registerförfatt- ningen eller av föreskrifter som meddelats med stöd av registerför- fattningen. Detta gäller oavsett om registerförfattningen i fråga innehåller eller inte innehåller någon bestämmelse som anger vilket förhållande som gäller mellan författningen och personuppgiftslagen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt personuppgiftslagen får göras med tillämpning av sed- vanliga metoder för tolkning av författningar (se prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltså inte måste regleras att registerförfattningen och personuppgiftslagen kompletterar varan- dra på detta sätt, innehåller registerförfattningar ofta bestämmelser som ger uttryck för förhållandet till personuppgiftslagen, dvs. det anges på ett eller annat sätt att personuppgiftslagen gäller utöver re- gisterförfattningen. Ofta anges detta i en paragraf under en särskild rubrik, exempelvis Förhållandet till personuppgiftslagen.
Vid användning av den hänvisande modellen anges i registerför- fattningen att den gäller i stället för personuppgiftslagen, om inte annat anges i bestämmelser i registerförfattningen som hänvisar till särskilt utpekade bestämmelser i personuppgiftslagen som ska vara tillämpliga även vid behandling av personuppgifter enligt register- författningen i fråga. Även vid den hänvisande modellen måste alltså myndigheten tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Däremot behöver man inte jämföra bestämmelserna i de båda författningarna
138
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
för att komma fram till vad som gäller. Den hänvisande modellen används i flertalet registerförfattningar som gäller för behandling av personuppgifter inom den brottsbekämpande sektorn, exempelvis polisdatalagen och den nya tullbrottsdatalagen som träder i kraft den 1 juli 2017.
För de registerförfattningar som är konstruerade enligt den hel- täckande modellen är personuppgiftslagen över huvud taget inte tillämplig beträffande den behandling av personuppgifter som regle- ras genom författningen. De bestämmelser i personuppgiftslagen som trots detta ska tillämpas i den aktuella verksamheten upprepas i stället i registerförfattningen, vilket i praktiken innebär ett slags dubbel- reglering. Fördelen är att tillämparen inte behöver läsa i två olika lagar
– registerförfattningen respektive personuppgiftslagen – för att kon- statera vilka bestämmelser som reglerar den aktuella personuppgifts- behandlingen. Registerförfattningen är således heltäckande på så sätt att den helt ersätter personuppgiftslagen. Den heltäckande modellen är ovanlig men används t.ex. i kameraövervakningslagen (2013:460).
Våra bedömningar och förslag
Vårt förslag till lagstiftning för genomförande av
Redan här vill vi emellertid framhålla att det mot bakgrund av dataskyddsreformen, som ska genomföras ungefär samtidigt med
139
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
Förhållandet till dataskyddsförordningen
Vissa bestämmelser i den nya lag som vi föreslår kommer att ha lufttrafikföretagen som adressat. Dessa bestämmelser handlar i allt väsentligt om skyldigheter för företagen att leverera
Förhållandet till den föreslagna ramlagen, brottsdatalagen
Vi kommer i vårt arbete att i stor utsträckning förhålla oss till det förslag till ramlag som lämnats av Utredningen om 2016 års data- skyddsdirektiv såsom om den vore genomförd i enlighet med utred- ningsförslaget. Av framställningstekniska skäl har vi valt att kon- sekvent kalla förslaget för brottsdatalagen och även använda förkortningen BDL i anslutning till hänvisningar till föreslagna be- stämmelser. Det kan förvisso te sig ovanligt att i så stor utsträckning förhålla sig till ett författningsförslag som ännu inte är antaget av riksdagen och inte heller har föreslagits av regeringen eller ens remiss- behandlats. Det är dock fråga om en ovanlig situation där våra för-
140
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
fattningsförslag, såsom anförts ovan, bör anpassas till genomförandet av det nya dataskyddsdirektivet som ska genomföras ungefärligen vid samma tidpunkt. I sammanhanget kan nämnas att flera artiklar i
Vi bedömer att den personuppgiftsbehandling som kommer att ske hos den nationella enheten för passagerarinformation som en följd av
Det är vidare vår uppfattning att brottsdatalagen, som förslaget nu är utformat, kommer att i och för sig vara tillämplig på behand- lingen av
Frågan är om brottsdatalagens tillämplighet bör framgå i lagen genom någon bestämmelse på sätt som i dag vanligen sker när det
141
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
gäller befintliga registerförfattningars förhållande till personuppgifts- lagen.
Som framgått kommer avvikande bestämmelser i annan lag eller förordning att gälla framför brottsdatalagens bestämmelser alldeles oavsett om detta anges i registerförfattningar eller inte. Omvänt gäller vidare att brottsdatalagens bestämmelser kommer att vara tillämpliga även på en registerförfattnings tillämpningsområde, i den utsträckning som den sistnämnda inte innehåller avvikande bestäm- melser och givetvis i övrigt faller under brottsdatalagens tillämp- ningsområde.
Utredningen om 2016 års dataskyddsdirektiv har aviserat att det kommer att lämnas förslag om en delvis ny regleringsmodell för registerförfattningarna på området. Enligt förslaget ska registerför- fattningarna anpassas till brottsdatalagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikelser från bestämmelserna i ramlagen (se SOU 2017:29 s. 141). Utredningen kommer dock, i enlighet med direkti- ven för arbetet, först i slutbetänkandet lämna förslag till de föränd- ringar som behöver göras i myndigheternas registerförfattningar som en följd av brottsdatalagen.
De redovisade modeller som förekommer bland gällande register- författningar är alla förenade med både för- och nackdelar. Vår ambition är att anpassa vår lagkonstruktion till hur de centrala för- fattningarna om personuppgiftsbehandling på det brottsbekämpande området kommer att se ut framöver.
Utredningen om 2016 års dataskyddsdirektiv har alltså redan an- gett att särförfattningarna ska utformas i enlighet med den komplet- terande modellen. Hur detta kommer att närmare utformas är dock på nuvarande stadium inte klart, dvs. om det kommer att föras in bestämmelser i respektive registerförfattning som klargör dess för- hållande till brottsdatalagen eller inte.
Vi ser inte skäl att föreslå en annan lagteknisk lösning för vår lag, i den utsträckning den riktar sig till myndigheter som är behöriga myndigheter enligt den nya brottsdatalagen. Även den lagstiftning vi föreslår bör alltså vara kompletterande och gälla utöver brotts- datalagen. Frågan är om det behöver anges på annat sätt än genom den bestämmelse i brottsdatalagen som anger att avvikande bestäm- melser i lag eller förordning gäller före den lagen.
142
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
Brottsdatalagen är utformad för och kommer att, med visst undantag, att gälla generellt för brottsbekämpande verksamhet vid myndigheter som har till uppgift att bedriva sådan verksamhet. Detta kommer att bli väl inarbetat hos dessa myndigheter. Vi ser därför inte att det finns ett behov av att i en allmän bestämmelse i den lag vi föreslår upplysa om förhållandet till brottsdatalagen, vare sig att brottsdatalagen gäller utöver de regler som finns i den föreslagna lagen eller, motsatsvis, att den föreslagna lagens bestämmelser ersätter eller gäller utöver brottsdatalagens bestämmelser. Det sagda menar vi bör gälla för såväl den reglering som avser personuppgiftsbehand- ling vid enheten för passagerarinformation vid Polismyndigheten som de bestämmelser som berör den behandling som kommer att ske hos behöriga myndigheter när de mottar
Sammantaget är det alltså vår bedömning att övervägande skäl talar för att det är mest ändamålsenligt att inte ta in någon bestämmelse i den av oss föreslagna lagen som upplyser om det som redan gäller vare sig det uttrycks särskilt i lagen eller inte. Med detta åsyftas att brottsdatalagen också gäller vid behandlingen av
Det är möjligt att de lagtekniska lösningarna för registerför- fattningars förhållande till brottsdatalagen som Utredningen om
143
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
2016 års dataskyddsdirektiv kommer att föreslå blir andra och att det därför, för att uppnå konsekvensens och ändamålsenlighet på området, finns anledning att i det fortsatta arbetet med genomföran- det av
Registerförfattningar
En ytterligare fråga är hur den av oss föreslagna lagstiftningen ska förhålla sig till sådana registerförfattningar som i dag gäller och som framöver kommer att anpassas till brottsdatalagen.
Utgångspunkten för vårt uppdrag är, enligt våra kommittédirek- tiv, att den nationella enheten för passagerarinformation ska inrättas vid Polismyndigheten. Vi kommer att behandla detta mer ingående i avsnitt 10. Redan här och i linje med det ovan sagda kan sägas att enhetens arbete kommer att omfattas av tillämpningsområdet för polisdatalagen i dess nuvarande lydelse (1 kap. 2 § första stycket 1 PDL). Det är oklart hur polisdatalagens tillämpningsområde kom- mer att anges i det anpassade förslag som Utredningen om 2016 års dataskyddsdirektiv ska föreslå. Vi har därför att utgå från den ut- formning som finns i dag.
Många bestämmelser i den lag vi föreslår kommer att avvika från regleringen i polisdatalagen. Det gäller t.ex. bestämmelser om tillåtna ändamål, behandling av känsliga personuppgifter, gallring, åtkomst m.m. Det skulle tala för att den av oss föreslagna lagen helt skulle ersätta polisdatalagen. Samtidigt kommer emellertid enhetens arbete med
I den tämligen omfattande bearbetningen och i det analysarbete som ska ske vid enheten bör enligt vår mening polisdatalagen gälla i den utsträckning som den av oss föreslagna lagen inte innehåller avvikande bestämmelser. Vi föreslår därför detta. Rent lagtekniskt bör detta åstadkommas genom en bestämmelse som utformas med 1 kap. 4 § PDL som modell. Det bör alltså föras in en bestämmelse i polisdatalagen, 1 kap. 4 a §, av vilken framgår att det finns av- vikande bestämmelser i den av oss föreslagna lagen som ska tillämpas
144
SOU 2017:57 |
Utgångspunkter och inledande ställningstaganden |
i stället för bestämmelserna i polisdatalagen när det gäller person- uppgiftsbehandling vid enheten för passagerarinformation.
De behöriga myndigheterna kommer också att behandla PNR- uppgifter när de väl mottagit denna information från enheten för passagerarinformation. Även för den behandlingen kommer det i våra författningsförslag finnas vissa begränsningar som går utöver vad som i dag gäller enligt polisdatalagen och motsvarande regle- ringar för andra behöriga myndigheter som utsetts eller senare kan komma att utses av regeringen till behöriga myndigheter enligt
I och med att Polismyndigheten och Ekobrottsmyndighetens ut- setts som behöriga myndigheter kan den av oss nyss föreslagna be- stämmelsen i polisdatalagen göras mer generell så att den omfattar all behandling enligt den av oss föreslagna lagen för dessa myndig- heter. Enligt vad vi upplysts om är tanken att det endast är inom Ekobrottsmyndighetens polisiära del som det kommer att bli aktuellt att behandla
För Tullverkets del bör en motsvarande bestämmelse tas in i den nya tullbrottsdatalagen, Vi föreslår därför det. Bestämmelsen kan tas in som en nytt tredje stycke i 2 kap. 8 § TBL.
Med tanke på den osäkerhet som råder angående den kommande regleringen för Säkerhetspolisen har vi inte sett det som möjligt att lämna något förslag för den myndigheten. I den mån Säkerhets- polisen även framgent ska omfattas av polisdatalagens tillämpnings- område, kommer emellertid den bestämmelse vi ovan föreslagit i polisdatalagen att även omfatta Säkerhetspolisens personuppgifts- behandling.
Särskilt om Försvarsmakten
Som nämnts ovan utsåg regeringen den 4 maj 2017 Polismyndig- heten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten såsom behöriga myndigheter enligt artikel 7 i direk-
145
Utgångspunkter och inledande ställningstaganden |
SOU 2017:57 |
tivet. Vi har av tidsskäl inte haft möjlighet att närmare behandla frågor som gäller Försvarsmakten.
Såvitt vi erfarit är tanken att
146
9Den nya lagens inledande bestämmelser
9.1Den nya lagens namn, innehåll och syfte
Våra förslag: Den nya lagen ska heta lagen om flygpassagerar- uppgifter i brottsbekämpningen. Lagen ska inledas med bestäm- melser som i korthet anger lagens innehåll och att lagen innebär ett genomförande av
Syftet med lagen ska vara att dels tillgodose behovet av till- gång till
Lagens namn
Som framgått i avsnitt 8.2 kommer den nya lagen som genomför
147
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
Den nya lagen är komplex och riktar sig i större eller mindre utsträckning till flera aktörer. För att i någon mån leva upp till kravet på korta lagrubriker anser vi att benämningen lagen om flygpassa- geraruppgifter i brottsbekämpningen är ändamålsenlig då den fångar kärnan i regleringen, nämligen att sådana uppgifter ska bli tillgäng- liga för användning inom brottsbekämpande verksamhet.
Lagens innehåll
De
148
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
innebörd i
Bestämmelsen i artikel 1 utgör en bra sammanfattning av direk- tivet. En ny lag om
Upplysning om
I författningar som genomför direktiv förekommer ibland och ibland inte en upplysning om att författningen i fråga genomför ett EU- direktiv. En sådan bestämmelse har ingen materiell betydelse som sådan utan innebär enbart just en upplysning. Vi ser ett värde i att upplysa om att lagen genomför
149
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
Lagens syfte
Direktivets syfte får anses framgå av dess ingress. I skäl 5 anges att målen för direktivet bland annat är att trygga säkerheten, skydda personers liv och säkerhet och att inrätta en rättslig ram till skydd för
Enligt skäl 10 är det av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhanda- håller flygförbindelser utanför EU att överföra de
På grund av rättsliga och tekniska skillnader mellan olika natio- nella bestämmelser om behandling av personuppgifter, däribland
150
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
direktivet att det är nödvändigt att på unionsnivå inrätta en gemen- sam rättslig ram för överföring och behandling av
Det bör i lagens inledande del finnas en bestämmelse som be- skriver lagens syfte. En sådan bestämmelse måste dock utformas på ett mycket övergripande och förenklat sätt men ändå fånga regle- ringens syfte. Detta är tudelat. Lagen syftar dels till att ge behöriga myndigheter tillgång till information för användning i viss brotts- bekämpande verksamhet, dels till att värna de enskildas integritet vid insamlingen och den vidare användningen samt utbytet av upp- gifter om dem.
9.2Definitioner i lagen
Vårt förslag: Vissa uttryck som används i lagen ska definieras. Definitionerna ska ligga så nära
Vi har i tidigare avsnitt angett att dataskyddsförordningen, brotts- datalagen, polisdatalagen och viss annan dataskyddsreglering för behöriga myndigheter kommer att gälla i mer eller mindre stor utsträckning utöver de bestämmelser som vi föreslår i den nya lagen. Därmed kommer en hel rad dataskyddsrättsliga begrepp att också bli tillämpliga vid behandling av personuppgifter enligt vår lag. Exempel på detta är just orden behandling och personuppgifter, men även begreppen personuppgiftsansvarig, personuppgiftsbiträde, dataskyddsombud, registrerad m.m.
I artikel 3 i
151
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
direktivet och för att ringa in dess närmare tillämpningsområde. Vi menar att huvuddelen av dessa definitioner bör tas in i den nya lagen som genomför direktivet och föreslår därför detta. Vi kommer där- vid att förhålla oss nära lydelsen i direktivet. Vilka begreppen är kommer att närmare behandlas eller annars framgå i andra avsnitt i detta betänkande.
Ett par definitioner i direktivet kommer det dock att saknas be- hov av i vårt förslag enligt vår bedömning. Detta gäller till en början begreppen flygning utanför EU och flygning inom EU, eftersom det inte kommer att finnas någon särreglering för det ena eller andra slaget av flygningar. Inte heller finns det behov av att definiera be- greppet sändmetoden. Detta kommer vi att närmare behandla i av- snitt 11.4.7.
Vidare kommer vi att föreslå definitioner av en del ytterligare begrepp än de som anges i artikel 3 i direktivet. Skälet till detta är närmast att förenkla utformningen av de materiella bestämmelserna i lagen. Inte i något avseende kommer dessa extra definitioner att strida mot direktivet. Vilka dessa definitioner är kommer att framgå i senare avsnitt.
Av avgörande betydelse för
9.3Terroristbrott
I artikel 3.8 i
152
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
9.3.1Bakgrund
Vad som utgör ett terroristbrott definieras i artikel 1 i terrorism- rambeslutet. Med ett sådant brott avses i korthet vissa uppsåtliga handlingar som genom sin art eller sitt sammanhang allvarligt kan skada ett land eller en internationell organisation och som begås i syfte att
–injaga allvarlig fruktan hos en befolkning,
–otillbörligen tvinga offentliga organ eller en internationell orga- nisation att utföra eller att avstå från att utföra en handling, eller
–allvarligt destabilisera eller förstöra de grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation.
Artiklarna
Den 15 mars 2017 antog Europaparlamentet och rådet ett direktiv om bekämpande av terrorism2 (terrorismdirektivet). Direktivet har trätt i kraft. Avsikten med direktivet är att fastställa minimiregler rörande definitionen av straffbara gärningar samt påföljder och sank- tioner på området för terroristbrott, brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet.
1Rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism.
2Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF.
153
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
Avsikten är vidare att fastställa minimiregler om åtgärder för skydd av och hjälp till offer för terrorism. Direktivet innehåller flera nyheter i förhållande till rambeslutet. Bl.a. föreslås terroristbrottet utökas till att även omfatta vissa angrepp mot informationssystem (i svensk rätt t.ex. grovt dataintrång). Kriminaliseringen av terrorismfinansi- ering utvidgas också. Artiklarna
Utredningen om genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism (Ju 2014:26) har fått i upp- drag att analysera behovet av och lämna förslag till de författnings- ändringar som behövs för att genomföra det nya terrorismdirektivet. Utredningen ska redovisa detta uppdrag senast den 29 september 2017.
Vidare har en särskild utredare fått i uppdrag att genomföra en översyn av den nationella straffrättsliga lagstiftningen för att bekämpa terrorism. Syftet med översynen är att åstadkomma en ändamåls- enlig, effektiv och överskådlig reglering som samtidigt är förenlig med ett väl fungerande skydd för grundläggande fri- och rättigheter. Den föreslagna regleringen bör enligt utredningsdirektivet samlas i ett regelverk (dir. 2017:14). Uppdraget ska redovisas senast den 31 januari 2019.
9.3.2Våra överväganden och förslag
Vårt förslag: I stället för direktivets benämning terroristbrott ska benämningen terroristbrottslighet användas i lagen. Terrorist- brottslighet ska i den nya lagen definieras som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artik- larna
154
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
Behovet och nyttan av en uppräkning av olika brottsbenämning- ar som avser terroristbrottslighet kan ifrågasättas, bl.a. med hänsyn till att det främst är enheten för passagerarinformation som ska tillämpa regleringen. Till detta kommer att terrorismdirektivet har trätt i kraft. Detta direktiv, som ersätter terrorismrambeslutet, inne- håller flera förändringar avseende aktuell brottslighet. En möjlig uppräkning av svenska brott i vårt författningsförslag skulle därmed bli inaktuell efter genomförandet av terrorismdirektivet.
Det främsta skälet mot en uppräkning av svenska brottsbenäm- ningar är emellertid att även terroristbrottslighet i andra medlems- staters nationella rätt, vari 2002 års rambeslut genomförts eller det nya terrorismdirektivet kommer att genomföras, är av betydelse för tillämpningen av den nya lag vi föreslår. Så blir fallet vid utlämnande av
I redan befintlig näraliggande lagstiftning rörande brottsbekäm- pande myndigheters åtkomst till informationssystemet för viseringar (VIS) förekommer en lagteknisk lösning som innebär att begreppet terroristbrott definieras genom en direkt hänvisning till definitionen i artikeln i rådets beslut 2008/633/RIF, se 24 § lagen (2000:343) om internationellt polisiärt samarbete och prop. 2014/15:82 s. 34 f. I artikeln i fråga hänvisas vidare till artiklar i 2002 års rambeslut. Vi har övervägt en motsvarande lösning eftersom det finns uppenbara
155
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
fördelar med enhetliga lagtekniska lösningar på näraliggande områden. Enligt vår mening skulle det emellertid innebära en enklare och tyd- ligare reglering att i vår lag föra in en direkt hänvisning till de brott enligt nationell rätt som avses i rambeslutet. Med nationell rätt skulle då kunna avses såväl svensk som annat
Som nyss angetts har terrorismdirektivet förvisso trätt i kraft. Den av oss föreslagna definitionen kan därför troligen behöva ändras i samband med att terrorismdirektivet genomförs i svensk rätt. Det är ännu inte klart hur detta kommer att genomföras i Sverige och vilka analyser som kommer att göras angående förhållandet mellan befintliga och nya definitioner av aktuell brottslighet. Dessa analy- ser och ställningstaganden bör lämpligen göras av den utredning som genomför terrorismdirektivet.
9.4Grov brottslighet
Med grov brottslighet avses enligt
Förteckningen över brott i bilaga II omfattar 26 punkter. Upp- räkningen innefattar flera brottsbalksbrott (t.ex. mord, grov miss- handel, rån och bedrägeri) liksom brott och gärningstyper i special- straffrätten (t.ex. narkotikabrott och miljöbrott). En del punkter avser brott som inte har någon direkt svensk motsvarighet, dock kan det indirekt, helt eller delvis, finnas motsvarigheter.
156
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
9.4.1Bakgrund
De brott som anges i bilaga II till
Tanken med urvalet av brotten i den s.k. listan enligt artikel 2.2 i rambeslutet är att listan ska omfatta typiskt sett grov, gränsöver- skridande brottslighet som kan förekomma mellan medlemsstater- na (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 58.). Vare sig i arresteringsorderlagen eller i dess förarbeten finns angivet vilka svenska brott som motsvarar listbrotten. Detta får anses naturligt eftersom lagen endast gäller överlämnande från Sverige enligt en euro- peisk arresteringsorder och en uppgift från den utfärdande myn- digheten om att en gärning omfattas av listan innebär att någon prövning inte ska göras. Frågan om överlämnande till Sverige enligt en europeisk arresteringsorder regleras i förordningen (2003:1178)
3Rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan staterna (2002/584/RIF).
4En motsvarande lösning har införts i lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen.
157
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
om överlämnande till Sverige enligt en europeisk arresteringsorder. Enligt förordningen får en arresteringsorder för lagföring utfärdas för brott, för vilket den eftersökte är häktad på sannolika skäl miss- tänkt för brottet och för vilket är föreskrivet fängelse i ett år eller mer. Inte heller när det gäller överlämnande till Sverige enligt en euro- peisk arresteringsorder finns det således angivet vilka svenska brott som motsvarar listbrotten. De brott som anges i listan motsvarar dock inte nödvändigtvis brott som i den svenska lagen har samma beteckning (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 57 f.).
För att de brott som anges i bilaga II till
För Sveriges del innebär kravet på att det ska finnas tre års fängel- se i straffskalan för ett brott att det i flera fall krävs att brott be- döms som grova för att de ska omfattas av direktivets användnings- område även om de i och för sig omfattas av listan. Som exempel kan nämnas stöld, bedrägeri, barnpornografibrott och vapenbrott. Narkotikabrott och narkotikasmuggling av normalgraden omfattas dock. Inom tillämpningsområdet faller också t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt, och rån.
9.4.2Våra överväganden och förslag
Vårt förslag: Begreppet grov brottslighet ska i lagen definieras genom en hänvisning till de brott som anges i bilaga II till PNR- direktivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.
158
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
Vid genomförandet av EU:s direktiv om underlättande av ett gräns- överskridande informationsutbyte om trafiksäkerhetsrelaterade brott, det s.k.
På samma sätt ansåg regeringen vid genomförandet av
Den hänvisningslösning som har valts vid genomförandet av bl.a.
159
Den nya lagens inledande bestämmelser |
SOU 2017:57 |
svensk lagstiftning är av intresse för tillämpningen av den nya lagen. Vid utlämnande av
Det som talar mot en hänvisning till direktivets definition av grov brottslighet är att en viss otydlighet kan komma att uppstå för tillämparna. Som angivits ovan kommer det dock att vara den natio- nella enheten för passageraruppgifter som i första hand kommer att behandla
Enligt vår mening framstår lösningen med en direkt hänvisning till direktivets bilaga sammantaget som den både enklaste och lämp- ligaste lösningen för den nya lagen. Eftersom direktivets definition har rättats bör det av tydlighetsskäl därutöver av lagens definition framgå att brottsligheten ska vara sådan för vilken det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.
9.5Otillåten behandling av
Vårt förslag: Det ska i lagen föras in en inledande allmän portal- bestämmelse som tydliggör att det inte är tillåtet att behandla
Vi har redan nämnt att det i artikel 1.2 i direktivet föreskrivs – under artikelns rubrik ”Syfte och tillämpningsområde” – att
160
SOU 2017:57 |
Den nya lagens inledande bestämmelser |
Artikeln kan enligt vår mening ses som en portalbestämmelse som talar om vilken behandling av
Av direktivets olika bestämmelser följer vidare att inte heller resul- tatet av en enhet för passagerarinformations behandling av PNR- uppgifter får användas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet.
Vi menar att det är lämpligt att i en allmän portalparagraf slå fast den begränsning för användningen av
I avsnitt 18.5 kommer vi att föreslå ett mer allmängiltigt förbud som enligt vår mening bör tas in redan i lagens inledande kapitel, nämligen förbudet mot behandling av känsliga personuppgifter. Av framställningstekniska skäl behandlas frågan först i det nämnda senare avsnittet.
161
10En enhet för passagerarinformation
10.1Direktivets bestämmelser
Enligt artikel 4.1 i direktivet ska varje medlemsstat inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en av- delning inom en sådan myndighet vilken ska fungera som medlems- statens enhet för passagerarinformation. Av skäl 13 framgår att ett syfte med att
a)samla in
b)utbyta både
Personal vid enheten för passagerarinformation kan, enligt artikel 4.3, utgöras av tjänstemän som har avdelats från behöriga myndigheter. Vidare anges att medlemsstaterna ska ge enheterna för passagerar- information tillräckliga resurser för att de ska kunna utföra sina upp- gifter. Av artikel 4.4 framgår att två eller flera medlemsstater får in- rätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. Slutligen anges i artikel 4.5 att varje med- lemsstat inom en månad från inrättandet eller utseendet av sin enhet för passagerarinformation ska informera kommissionen om detta och får när som helst ändra detta meddelande. Kommissionen ska
163
En enhet för passagerarinformation |
SOU 2017:57 |
offentliggöra meddelandet och eventuella ändringar därav i Euro- peiska unionens officiella tidning.
10.2Den svenska enheten för passagerarinformation
Våra förslag: Det ska i lagens inledande bestämmelser tas in en paragraf om att det hos Polismyndigheten ska finnas en enhet för passagerarinformation. I bestämmelsen ska enhetens övergripan- de uppgifter beskrivas. Dessa är att samla in
I lagens definitionsparagraf tas in ett samlingsbegrepp för
Det förs även i lagen in en definition av behörig mottagare. Med en behörig mottagare avses en behörig myndighet i Sverige, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.
Artikel 4 slår alltså fast att varje medlemsstat ska inrätta en egen eller med andra medlemsstater gemensam enhet. Enligt direktivet ska enheten utgöra en egen myndighet med brottsbekämpande uppgifter eller utgöra en avdelning inom en sådan myndighet, Direktivet ger således inte utrymme för att enheten utformas som ett myndighets- gemensamt organ för samverkan mellan flera nationella myndigheter med brottsbekämpande uppgifter. Direktivet slår också fast vad en- heten för passagerarinformation ska ha för grundläggande uppgifter.
Enligt våra kommittédirektiv är utgångspunkten för vårt upp- drag att den nationella enheten för passagerarinformation ska pla- ceras vid Polismyndigheten. Det är således inte aktuellt för vår del att överväga en placering hos någon annan myndighet, att en med annan medlemsstat gemensam enhet för passagerarinformation skulle finnas eller att den svenska enheten ska inrättas som en egen myn- dighet.
164
SOU 2017:57 |
En enhet för passagerarinformation |
Inrättandet och placeringen av den svenska nationella enheten för passagerarinformation bör enligt vår mening komma till klart uttryck genom en bestämmelse som placeras bland den nya lagens inledande bestämmelser. I och med att det redan i lagen framgår att enheten ska finnas och vara placerad vid Polismyndigheten, saknas behov av föreskrifter om enheten i Polismyndighetens instruktion.
Även enhetens övergripande uppgifter bör komma till klart ut- tryck i bestämmelsen. Dessa uppgifter kan uttryckas på motsvarande sätt som i artikel 4.2 i direktivet. Dock anges i den nämnda artikeln endast att utbyte av
Som framgår redan i artikel 4.2 avser enhetens uppgifter inte bara att lagra, analysera och utbyta
165
En enhet för passagerarinformation |
SOU 2017:57 |
10.3Enhetens organisation och utredningens uppdrag
Vår bedömning: Våra författningsförslag ger ett rättsligt ramverk för verksamheten enligt den nya lagen vid enheten för passagerar- information. Hur enheten närmare ska organiseras, bemannas och administreras m.m. bör överlåtas till Polismyndigheten att bestämma, lämpligen i samråd med behöriga myndigheter.
Enligt våra kommittédirektiv ska Polismyndigheten ansvara för genomförandet av direktivets tekniska bestämmelser. I vårt utred- ningsuppdrag ingår dock att föreslå hur enheten för passagerar- information ska organiseras.
Inom Polismyndigheten pågår redan ett arbete med att införa en enhet för passagerarinformation. En förstudie gällande införandet av en systematiserad hantering av PNR- och
Vi har tolkat utredningsuppdraget så att vi i frågan om hur en- heten för passagerarinformation ska vara organiserad bör arbeta i linje med det planeringsarbete som redan pågår. Vi ser det således som vårt uppdrag att se till att det finns ett rättsligt ramverk inom vilket inrättandet och organiseringen kan utvecklas vidare. Vår mål- sättning är således att ge Polismyndigheten möjlighet att genomföra direktivets tekniska bestämmelser och utarbeta hur enheten för passa- gerarinformation rent operativt och administrativt ska organiseras. De mer praktiska frågorna kring hur enheten för passagerarinforma- tion rent faktiskt ska arrangeras och bemannas tas lämpligen och bäst om hand av involverade myndigheter själva. Utgångspunkten för vårt arbete är alltså att Polismyndigheten i stor utsträckning ska få bestämma sin egen organisation (jfr 38 § förordning [2014:1102] med instruktion för Polismyndigheten). Med tanke på enhetens uppgifter att bidra till arbetet att bekämpa terroristbrottslighet och
166
SOU 2017:57 |
En enhet för passagerarinformation |
grov brottslighet även vid andra behöriga myndigheter, ter det sig dock lämpligt att det i relevant omfattning sker ett samråd med dessa andra myndigheter när det gäller utformningen av enhetens organi- sation och arbetssätt m.m. Det är dock inget som vi anser behöver regleras närmare. Endast i den mån det anses nödvändigt kommer vi därför att föreslå att enheten för passagerarinformations organi- sation ska författningsregleras (jfr prop. 2013/14:110 s. 395 f.).
Organisatoriska frågor för utredningen
Vi ser det således som vårt uppdrag att utarbeta ett rättsligt ramverk inom vilket Polismyndigheten kan organisera enheten för passa- gerarinformation. Den övergripande rättsliga frågan av organisato- risk karaktär som enligt vår mening bör behandlas av utredningen, avser att överväga vilken reglering som krävs för att säkerställa att behandlingen av
167
En enhet för passagerarinformation |
SOU 2017:57 |
10.4Tillgången till
10.4.1Direktåtkomst
Vårt förslag: Direktåtkomst till
Om direktåtkomst
Det finns inte någon legaldefinition av begreppet direktåtkomst. Begreppet har dock använts i lagstiftningssammanhang sedan 1990- talet. Dessförinnan användes begreppet terminalåtkomst. Begreppet direktåtkomst har i senare års dataskyddsreglering främst använts såsom en specialform av elektroniskt utlämnande genom passerande av rättsliga gränser mellan myndigheter eller mellan självständiga verk- samhetsgrenar inom myndigheter, s.k. sekretessgränser. Med direkt- åtkomst avses vanligtvis att någon myndighet har en sådan teknisk tillgång till en annan myndighets upptagningar som avses i 2 kap. 3 § andra stycket TF. En myndighet med direktåtkomst har alltså getts direkt tillgång till någon annan myndighets register eller data- bas och kan på egen hand söka efter information, normalt utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är person- uppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall (se bl.a. SOU 2015:39 s. 121). Beslutet att lämna ut uppgifterna tas långt tidi- gare. Uppgifterna i registret eller databasen är nämligen att betrakta som utlämnade i tryckfrihetsförordningen och sekretesslagstift- ningens mening redan då direktåtkomsten tekniskt etableras.
Varken nuvarande personuppgiftslag eller det nya dataskydds- direktivet reglerar närmare olika sätt att elektroniskt lämna ut person- uppgifter. Inte heller brottsdatalagen innehåller bestämmelser av det slaget. Däremot förekommer sådana bestämmelser i polisdatalagen,
168
SOU 2017:57 |
En enhet för passagerarinformation |
tullbrottsdatalagen och flertalet andra registerförfattningar på om- rådet. Enligt 2 kap. 21 § PDL är direktåtkomst tillåten bara i den utsträckning som följer av polisdatalagen. Av 3 kap. 8 § PDL följer att bl.a. Säkerhetspolisen, Ekobrottsmyndigheten och Tullverket får medges direktåtkomst till personuppgifter som har gjorts gemen- samt tillgängliga i Polismyndighetens brottsbekämpande verksamhet. Med gemensamt tillgängliga avses att fler än ett fåtal personer har rätt att ta del av uppgifterna (3 kap. 1 § PDL). Enligt en förekom- mande uppfattning innebär tillgång bland en grupp på fler än tio personer att rekvisitet gemensamt tillgängliga är uppfyllt. Inte bara antalet personer med tillgång räknas emellertid. Även sådana fak- torer som hur länge uppgifter behandlas kan ha betydelse för att ta bara ett exempel. I 3 kap. 2 § PDL anges vilka personuppgifter som får göras gemensamt tillgängliga.
Det kan också nämnas att lagen (2006:444) om passagerarregister, som tillkommit för att genomföra
Våra överväganden
Av
Som vi redovisat i avsnitt 8.5 kommer polisdatalagen att vara tillämplig vid enhetens behandling av
169
En enhet för passagerarinformation |
SOU 2017:57 |
får medges till vissa av de myndigheter som är behöriga myndig- heter enligt
Vi förutsätter att informationsutbytet enligt direktivet ska kunna ske med användning av modern informationsteknik. Därmed anser vi att det i vår reglering finns behov av ett undantag från den nu- varande bestämmelsen i 2 kap. 20 § första meningen PDL som anger att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Frågan kan regleras i förordning.
10.4.2Sekretess inom Polismyndigheten?
Vår bedömning: Det kommer inte att finnas någon sekretess- gräns mellan enheten för passagerarinformation och Polismyn- dighetens övriga brottsbekämpande verksamhet. Det finns inte heller tillräcklig anledning att föreslå en reglering som skulle kunna skapa en sådan sekretessgräns.
Uppgifter inom Polismyndighetens verksamhet omfattas av bestäm- melserna om tystnadsplikt och handlingssekretess i offentlighets- och sekretesslagen. Uppgifter som skyddas av sekretess får inte lämnas ut till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen. Sekretess gäller således även mellan myndigheter (8 kap. 1 § OSL). Mellan myndigheter, även med näraliggande upp- gifter, finns alltså sekretessgränser.
Enligt 8 kap. 2 § OSL kan det även finnas en sekretessgräns inom en myndighet, nämligen mellan olika verksamhetsgrenar om de är att betrakta som självständiga i förhållande till varandra. Mellan så-
170
SOU 2017:57 |
En enhet för passagerarinformation |
dana verksamhetsgränser får sekretessbelagda uppgifter inte röjas utan stöd i offentlighet- och sekretesslagen. Bestämmelsen har sin motsvarighet i 2 kap. 8 § TF om när en handling blir allmän när den överlämnats mellan organ inom samma myndighetsorganisation. Det avgörande är även i detta fall att organen uppträder som själv- ständiga i förhållande till varandra. Däremot behöver det inte vara fråga om olika verksamhetsgrenar.
Frågan om när organ eller verksamhetsgrenar inom samma myn- dighetsorganisation är att betrakta som självständiga i förhållande till varandra kan vara svårbedömd. Frågan har behandlats i ett antal propositioner på senare år, se t.ex. En Kronofogdemyndighet i tiden (prop. 2005/06:200 s. 146 f.) och Patientdatalag m.m. (prop. 2007/08:126 s. 162 f. och 202). I dessa propositioner har, mot bak- grund av uttalandena i förarbetena till den tidigare gällande sekre- tesslagen, slagits fast att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser, får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagstiftning- ens mening finns det skäl att även ta ställning till om de också är att betrakta som självständiga i förhållande till varandra.
I motiven till offentlighets- och sekretesslagen anges att det för- hållandet att en myndighet har att tillämpa olika sekretessbestäm- melser inte med automatik innebär att det också finns olika verk- samhetsgrenar inom myndigheten i lagens mening. Att myndigheten har att tillämpa flera olika sekretessbestämmelser kan t.ex. bero på att bestämmelserna visserligen gäller på samma verksamhetsområde men att de finns i olika kapitel därför att de gäller till skydd för olika intressen, t.ex. sekretess till skydd för allmänna intressen i 18 kap. OSL och sekretess till skydd för enskildas intressen i 35 kap. OSL. Sekretessregleringen inom ett verksamhetsområde kan vidare vara uppdelad på flera paragrafer av redaktionella skäl. Först om det finns olika delar av en myndighets verksamhet som har att tillämpa sinsemellan helt olika set av sekretessbestämmelser är det fråga om olika verksamhetsgrenar i sekretesslagstiftningens mening. Om så är fallet behövs det därutöver göras en bedömning av om de olika verksamhetsgrenarna också har organiserats på ett sådant sätt att de förhåller sig självständiga till varandra. Det är bara om båda dessa kriterier är uppfyllda som det uppstår en sekretessgräns inom en myndighet. (Se prop. 2008/09:150 s. 358 ff.).
171
En enhet för passagerarinformation |
SOU 2017:57 |
De tidigare 21 polismyndigheterna, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium slogs den 1 januari 2015 ihop i en ny myndighet, Polismyndigheten. Säkerhetspolisen utgör sedan samma datum en egen myndighet. I propositionen En ny organisation för polisen (prop. 2013/14:110) analyserades om det kommer att finnas enheter inom den nya Polismyndigheten som intar en sådan ställning att de kan anses utgöra självständiga organ i tryckfrihetsförord- ningens mening. Det ansågs då ännu inte gå att bedöma vilka delar av verksamheten som skulle komma att anses som självständiga organ. Den omständigheten att handläggningen av vissa ärenden koncentre- ras till en viss enhet inom myndigheten ansågs dock inte innebära att enheten kan anses som ett självständigt organ i den mening som avses i 2 kap. 8 § TF (se a. prop. s. 507 ff.).
I propositionen analyserades vidare om det kommer att finnas sekretessgränser inom Polismyndigheten. Åtta olika verksamhets- grenar identifierades: den brottsförebyggande och brottsutredande verksamheten (18 kap.
172
SOU 2017:57 |
En enhet för passagerarinformation |
att ”första stycket har anpassats till att sekretess inte gäller inom Polismyndigheten i dess brottsbekämpande verksamhet, varför polismyndigheter har tagits bort” (a. prop. s. 649).
En närliggande fråga är hur en befattningshavare ska tillämpa sekretessreglerna i förhållande till sina kollegor. Den frågan berörs i viss utsträckning i förarbetena till ändringar i sekretesslagen. Där uttalas att sekretessreglerna inte anses utgöra hinder mot att lämna uppgifter mellan befattningshavare hos en myndighet i den utsträck- ning som är normal för och behövlig för ett ärendes handläggning eller verksamhetens bedrivande i övrigt (prop. 1990/91:111 s. 24.) Det framhålls dock att det av grunderna för sekretesslagen torde följa att en befattningshavare inte bör anses ha en obegränsad frihet att lämna uppgifter som omfattas av sekretess till andra anställda inom myndigheten. JO har också uttalat att det torde stå klart att en befattningshavare inte har någon obegränsad frihet att lämna upp- gifter som omfattas av sekretess till sina arbetskamrater (JO 1983/84 s. 262). JO konstaterar dock att sekretesslagstiftningen inte kan anses utgöra ett hinder mot att en handläggare rådfrågar andra befatt- ningshavare om ett ärende, åtminstone inte om det framstår som objektivt försvarbart. Uppgifter måste också fritt kunna lämnas till den som på ett eller annat sätt deltar i beredningen och avgörande av ett ärende. (Se prop. 2013/14:110 s. 517.)
Vår bedömning
Enheten för passagerarinformation kommer att vara en egen enhet men som sådan utgöra en del av Polismyndighetens brottsbekäm- pande verksamhet. När det gäller informationsöverföring inom Polis- myndigheten synes den rådande uppfattningen vara den att det inte förekommer sekretessgränser (eller sekretessväggar) inom Polismyn- dighetens brottsförebyggande och brottsutredande verksamhet (se t.ex. a. prop. s. 508 f.). Vi delar den uppfattningen. De sekretessbe- stämmelser som i första hand blir tillämpliga för
173
En enhet för passagerarinformation |
SOU 2017:57 |
Även för det fall särskilda sekretessbestämmelser därutöver skulle införas avseende
Begränsningar i tillgången till
10.4.3Begränsningar via dataskyddsbestämmelser m.m.
Våra förslag: Det ska föras in en bestämmelse i lagen om att bara den som tjänstgör vid enheten för passagerarinformation får ha tillgång till
174
SOU 2017:57 |
En enhet för passagerarinformation |
Nuvarande reglering i polisdatalagstiftningen m.m.
I 2 kap. 11 § PDL slås fast att tillgången till personuppgifter inom Polismyndigheten ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen omfattar såväl direkt tillgång till automatiserade uppgiftssamlingar som till- gång i allmänhet. Polismyndigheten ska således organisera sin verk- samhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. Bestämmelsen riktar sig inte bara till dem som är enga- gerade i den dagliga verksamheten. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter. (Se prop. 2009/10:85 s. 94 och 326.) I bestämmelsens andra stycke finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättning- arna för tillgången till personuppgifter. Detaljbestämmelser kan så- ledes utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande. I lagens för- arbeten har angetts att det inte är lämpligt att i lagform ange detalje- rade riktlinjer för hur tillgången till personuppgifter bör avgränsas. Det har i stället angetts vara Polismyndighetens och övriga berörda myndigheters uppgift att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen (a. prop. s. 95.) Regeringen har i 3 § PDF föreskrivit att Polismyndigheten och Säkerhetspolisen får med- dela närmare föreskrifter om tillgången till personuppgifter för sina respektive verksamhetsområden. Vidare anges att för tilldelning av behörigheter för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet. Enligt 4 § ska de nu nämnda myndigheterna ansvara för att det inom respektive myndighet finns rutiner för tilldelning, för- ändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Av 4 a § framgår vidare att beträf- fande penningtvättsregistret som regleras i 4 kap. 18 § PDL och det internationella registret som regleras i 4 kap. 21 § PDL får bara tjänstemän vid särskilda enheter ges tillgång till uppgifter i de re- gistren. I paragrafen anges således att endast tjänstemän vid finans- underrättelseenheten vid Polismyndigheten får ha tillgång till upp-
175
En enhet för passagerarinformation |
SOU 2017:57 |
gifter i penningtvättsregister och att endast tjänstemän vid den nationella funktionen för internationella uppgifter vid Polismyndig- heten får ha tillgång till uppgifter i det internationella registret. Av bestämmelsen framgår vidare att det vid Polismyndigheten löpande ska föras en förteckning över de tjänstemän vid myndigheten som behandlar dessa uppgifter.
I förarbetena till polisdatalagen framgår därtill att underrättelse- verksamhet bedrivs vid särskilda enheter med särskilt utbildade tjänstemän och att det är en naturlig del av underrättelsearbete att begränsa antalet tjänstemän som tar del av viss information (a. prop. s. 107). I propositionen En ny organisation för polisen (prop. 2013/14:110) anges att det får förutsättas att underrättelsearbetet kommer att bedrivas på samma sätt i den nya polisorganisationen. Polismyndigheten och Säkerhetspolisen ska se till att anställda som arbetar med underrättelseverksamhet inte ges tillgång till fler upp- gifter än de har behov av i sitt arbete (a. prop. s. 517).
I de för Tullverket nu gällande bestämmelserna om tillgång till passageraruppgifter finns bestämmelser som reglerar vilka anställda som ska ha behörighet att ta del av bokningsuppgifterna. Således anges i 4 kap. 6 § tullförordningen (2016:287) och i 5 § förordningen (1996:702) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen att chefen för Tullverket, eller en chefstjänsteman som förordnats för uppgiften av chefen, beslutar om vilka anställda som ska ha behörighet att ta del av bokningsupp- gifter som lämnats av transportföretag, eller genom terminalåtkomst. Behörighet ska endast ges till den som har nödvändig utbildning och som behöver informationen för sina arbetsuppgifter inom Tull- verkets brottsbekämpande verksamhet.
Våra överväganden
Inom en myndighet utan inre sekretessgränser ställer det allmänna dataskyddsrättsliga regelverket krav på att personuppgifter ska skyd- das genom att tillgången till uppgifterna avgränsas och begränsas så långt möjligt är för verksamheten. Som framgått ovan finns redan tydliga regler om detta för Polismyndighetens del i polisdatalagstift- ningen. Det är snarare regel än undantag att sådana bestämmelser tas in i registerförfattningar som sätter ramar för myndigheternas
176
SOU 2017:57 |
En enhet för passagerarinformation |
informationshantering. Denna dataskyddsreglering sker utifrån in- tresset att tillgodose enskilda registrerades intresse av att person- uppgifter om dem hanteras på ett sätt som ger dem ett tillbörligt skydd för deras personliga integritet.
I stor utsträckning överlappande och likartade krav på att be- gränsa tillgång till myndigheternas information, särskilt känslig sådan, följer även av annan reglering som motiverats av helt andra intressen än det integritetsintresse som ligger bakom den dataskyddsrättsliga regleringen. Begränsningar av tillgången till en myndighets elektro- niska informationssamlingar behövs för att skydda t.ex. verksam- hetens effektivitet, samhällsfunktioner och liknande. Det säger sig självt att Polismyndighetens verksamhet är sådan att ett otal begräns- ningar i polisanställdas tillgång till information måste finnas för att skydda informationen från risken att spridas till nackdel för polis- verksamheten som sådan.
Inom enheten för passagerarinformation kommer det att finnas personuppgifter om enskilda som inte bör kunna vara allmänt till- gängliga inom Polismyndigheten för att
Det är också av vikt, menar vi, att det inom enheten inte ska få lov att vara full åtkomst till
177
En enhet för passagerarinformation |
SOU 2017:57 |
begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten. Därmed framgår motsatsvis att onödigt bred åtkomst bland tjänstemännen på enheten inte får före- komma. Närmare bestämmelser om tillgången – inom denna ram – bör dock kunna meddelas i förordningen eller genom föreskrifter av Polismyndigheten. Dessa bestämmelser kommer att gälla i stället för polisdatalagstiftningens reglering. Vi kommer att i senare avsnitt föreslå en bestämmelse i förordningen om att tillgången till vissa slags uppgifter ska begränsas, se avsnitt 13.4.
Därutöver får tillgången till uppgifterna vid enheten för passa- gerarinformation regleras internt med hjälp av bestämmelser om be- hörighetstilldelning. Med en sådan ordning kan de uppgifter som behandlas inom enheten på ett enkelt sätt avgränsas och omges av extra integritets- och säkerhetsskydd. Därmed kan tillgången till den information som finns tillgänglig inom enheten för passagerarinfor- mation begränsas till vad varje tjänsteman behöver för att utföra sina arbetsuppgifter. Behörighetsstyrning och principer som avgör tillgången till uppgifter kan utarbetas på förhand. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hänsyn till tjänstenivå och arbetsuppgifter.
Inom enheten kommer emellertid att behandlas inte bara PNR- information som vårt förslag tar sikte på. Enheten kommer exempel- vis att kunna göra slagningar i andra databaser som finns tillgäng- liga i den brottsbekämpande verksamheten. Tillgång och övriga förutsättningar för detta bör, menar vi, lämpligen bedömas och han- teras utifrån polisdatalagstiftningen eller annan tillämplig reglering för detta. Vi föreslår alltså ingen tillkommande dataskyddsrättslig reglering för detta.
Vidare kommer enheten att motta framställningar med förfrågan från behöriga svenska myndigheter, andra länders enheter för pas- sagerarinformation eller Europol. Dessa förfrågningar ska vara moti- verade och det kan förmodas att de innehåller information som är känslig både för enskilda personer och för underrättelse- eller ut- redningsverksamheten vid den begärande myndigheten. Hur dessa ska skyddas från alltför stor tillgänglighet inom enheten eller från spridning ut till övrig verksamhet inom Polismyndigheten bör myn- digheten lämpligen själv tillse, på motsvarande sätt som i dag sker beträffande annan information som av andra hänsyn än integritets- intresset inte kan få bli fritt tillgänglig bland myndighetens tiotusen-
178
SOU 2017:57 |
En enhet för passagerarinformation |
tals anställda. Vi föreslår därför ingen reglering av detta. Däremot kommer vi i nästföljande avsnitt att behandla några särskilda frågor som uppkommer med anledning av att personal från andra myndig- heter, dvs. andra behöriga myndigheter än Polismyndigheten, kom- mer att tjänstgöra vid enheten.
Slutligen hänvisar vi till avsnitt 24 där vi allmänt kommer att be- handla frågor om det behövs nya eller förändrade sekretessbestäm- melser för att skydda
10.5Personal anställd vid andra myndigheter
Vår bedömning: Det behövs inga särskilda bestämmelser med anledning av att personal med grundanställning vid andra be- höriga myndigheter än Polismyndigheten kommer att tjänstgöra vid enheten för passagerarinformation.
Som tidigare angetts kan enligt direktivet personalen vid enheten för passagerarinformation komma att utgöras av tjänstemän som har avdelats från behöriga myndigheter. Således kan personalen vid enheten komma att ha sin grundanställning inte bara vid Polismyn- digheten utan även vid exempelvis Tullverket och Säkerhetspolisen. En sådan bemanning ger större möjligheter att ta tillvara den sam- lade kompetensen som finns inom de behöriga myndigheterna och underlättar för enheten att bedriva sin verksamhet på ett sätt som är till så stor nytta som möjligt för de behöriga myndigheternas be- kämpning av terroristbrottslighet och grov brottslighet. Såvitt vi förstått det parallella projektarbetet med att praktiskt och tekniskt organisera enheten för passagerarinformation är tanken att tjänste- männen i sitt arbete vid enheten för passagerarinformation ska rep- resentera enheten och inte sina respektive myndigheter. Det är en tanke som är i linje med vad vi angett tidigare om att enheten ska ingå i Polismyndigheten, dvs. inte vara ett samverkansorgan för flera myndigheter.
En följd av detta är att tjänstemän vid enheten som har avdelats från t.ex. Säkerhetspolisen eller Tullverket anses delta i arbetet vid enheten för passagerarinformation och därmed vid Polismyndigheten.
179
En enhet för passagerarinformation |
SOU 2017:57 |
De kommer därmed att i enlighet med 2 kap. 1 § OSL bli bundna av sekretess som gäller för Polismyndighetens arbete vid denna enhet. Det gäller även i förhållande till deras ”hemmamyndigheter”. När personal från Tullverket eller Säkerhetspolisen arbetar inom enheten uppkommer alltså en sekretessgräns mellan dem och dessa myndigheter. Inom enheten kommer det, å andra sidan, inte att finnas sekretessgränser mellan anställda från Polismyndigheten, Säkerhets- polisen eller Tullverket.
En jämförelse kan i detta sammanhang göras med det arbete som sker vid Nationellt centrum för terrorhotbedömning (NCT), som är en permanent myndighetsgemensam arbetsgrupp med per- sonal från Säkerhetspolisen, Försvarets radioanstalt (FRA) och Militära underrättelse- och säkerhetstjänsten vid Försvarsmakten (Must) och som nyligen setts över och analyserats från rättslig syn- vinkel, se Ds 2016:31. Vid NCT arbetar analytiker från de tre NCT- myndigheterna, i gemensamma lokaler hos Säkerhetspolisen. Under sin tid på NCT behåller personalen sin anställning hos den ordinarie myndigheten. Analytikerna vid NCT är, vid sin placering där, alltså fortfarande anställda vid respektive myndighet och företräder också den myndigheten i arbetet vid NCT. Den behandling av person- uppgifter som respektive analytiker utför inom ramen för NCT- samarbetet, utför denne som företrädare för den egna myndigheten. I samarbetet finns myndighetsspecifika mappar med information och handläggares personliga mappar, men det finns också en gemensam mapp. Utbytet inom samarbetet av personuppgifter sker med stöd av respektive myndighets registerförfattning. Den information som ligger till grund för NCT:s analyser och bedömningar hämtas in av tjänstemännen främst från deras respektive hemmamyndigheter. Informationen hämtas från bl.a. olika register och databaser. Analy- tikerna använder sina egna myndigheters
180
SOU 2017:57 |
En enhet för passagerarinformation |
Av redogörelsen för NCT framgår motsatsvis att förutsättning- arna kommer att vara helt andra vid enheten för passagerarinfor- mation i och med att avdelade tjänstemän från t.ex. Tullverket kommer att delta i Polismyndighetens arbete när de tjänstgör vid enheten. Den information som hanteras inom enheten, inte bara personuppgifter, kommer vidare att ingå i Polismyndighetens infor- mationsmassa.
Det innebär att en anställd från Tullverket inte kommer att kunna göra slagningar i Tullverkets informationssamlingar med stöd av sin behörighet för tillgång enligt 2 kap. 11 § TBL med anknytande föreskrifter. I stället kommer det att få ske med stöd av den direkt- åtkomst för Polismyndigheten som kan medges enligt 3 kap. 8 § TBL. När tjänstemannen i fråga t.ex. gör en sökning i informationssam- lingar som hör till Polismyndigheten sker det följaktligen inte heller med stöd av direktåtkomst för Tullverket (2 kap.
Som vi tidigare påpekat kommer det av allt att döma att före- komma information av olika slag som är mycket känslig, t.ex. om underrättelseoperationer eller som rör rikets säkerhet och liknande, som bara ett fåtal bör känna till och arbeta med. Av den anledningen, samt även ur effektivitetssynpunkt, torde det t.ex. vara lämpligt att bara den som avdelats från Säkerhetspolisen ges rätt att arbeta med att besvara Säkerhetspolisens framställningar om att få ut
181
En enhet för passagerarinformation |
SOU 2017:57 |
hänsyn till såväl dataskydd och integritet som helt andra skydds- hänsyn.
Redan i detta sammanhang vill vi påpeka att det i vårt arbete inte funnits förutsättningar att klarlägga vilka informationssamlingar utöver
182
11Lufttrafikföretagens överföring av
11.1Om lufttrafikföretag
Gemensamma bestämmelser för tillhandahållande av lufttrafik i gemenskapen finns i EU:s lufttrafikförordning1. Med lufttrafik avses enligt förordningen en flygning eller serie flygningar för befordran av passagerare, gods, och/eller post som utförs mot ersättning och/eller hyra. Ett företag definieras i förordningen som en fysisk eller juri- disk person, oavsett om verksamheten bedrivs i vinstsyfte eller inte. Med företag kan enligt förordningen även avses ett officiellt organ, oavsett om det har självständig status som juridisk person eller inte.
11.1.1Olika former av kommersiell luftfart för befordran av passagerare
Den kommersiella luftfarten för transport av passagerare brukar delas in i reguljärflyg och charterflyg. Med reguljärflygning avses luftfart som regelbundet trafikerar vissa flyglinjer. Vid en reguljärflygning köper passagerarna en plats, flygstol, på ett flygplan i linjetrafik. Med charterflygning avses i stället oregelbunden luftfart. Charterflyg- ningarna går således endast under en viss säsong, beroende på res-
1 Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, vanligen benämnd EU:s lufttrafikförordning.
183
Lufttrafikföretagens överföring av |
SOU 2017:57 |
målets karaktär. En charterflygning innebär dessutom vanligtvis att ett helt flygplan hyrs och används som en del av en paketresa, i vilken resa, boende och eventuellt mat m.m. säljs i ett paket. Ett flygplan kan dock chartras även för att utföra en enstaka flygresa.
Traditionellt har researrangörer hyrt flygplan och besättning från ett flygbolag för att utföra en eller flera charterflygningar. Numera äger ofta de stora researrangörerna även flygbolagen som utför charterflygningar. Skillnaden mellan charterflyg och reguljärflyg har också blivit mindre, då researrangörerna sedan ett antal år ofta säljer flygstolar i charterflygningarna. Skillnaden är dock att charterflyg- ningar inte ingår i systemet för flygbokningar direkt hos lufttrafik- företagen utan att biljetter säljs via arrangörer och resebyråer.
Det finns även så kallad taxiflygning, som innebär att hela flyg- plan eller helikoptrar hyrs ut tillfälligtvis för transport av passagerare eller gods på uppdrag av företagsledningar, artister osv. Med taxi- flygning avses i detta sammanhang icke regelbunden luftfart med ett mindre luftfartyg, som är typgodkänt för befordran av högst tio passagerare. Vid taxiflygning med passagerare väljs destinations- orten av den som har beställt transporten.
11.1.2Tillstånd att bedriva passagerarflygtrafik
För att få utföra lufttransporter mot betalning åt allmänheten krävs som huvudregel ett drifttillstånd (AOC – air operator certificate). Detta regleras i svensk rätt i 7 kap. 1 § luftfartslagen (2010:500). Grundkravet på drifttillstånd finns även reglerat i den s.k. Easa- förordningen2 samt i den tillhörande tillämpningsförordningen, van- ligen benämnd
2Europaparlamentets och rådets förordning (EG) nr 216/2008 av den 20 februari 2008 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av en europeisk byrå för luftfartssäkerhet, och om upphävande av rådets direktiv 91/670/EEG, förordning (EG) nr 1592/2002 och direktiv 2004/36/EG.
3Kommissionens förordning (EU) nr 965/2012 av den 5 oktober 2012 om tekniska krav och administrativa förfaranden i samband med flygdrift enligt Europaparlamentets och rådets förordning (EG) nr 216/2008.
184
SOU 2017:57 |
Lufttrafikföretagens överföring av |
Kravet på drifttillstånd gäller även för utländska rättssubjekt vid luftfart inom svenskt område och för svenska rättssubjekt vid luft- fart utanför Sverige. Drifttillstånd utfärdas i Sverige av Transport- styrelsen och kan erhållas av staten, kommuner och landsting, privat- personer samt olika former av bolag, föreningar, stiftelser och sam- fund. I fråga om ett utländskt rättssubjekt som är hemmahörande i ett annat land som är medlem i Internationella civila luftfartsorga- nisationen (Icao) eller i ett land som Sverige träffat avtal med om rätt till luftfart inom svenskt område, godtas ett drifttillstånd eller en likvärdig handling som har utfärdats av det landet i enlighet med Icao:s normer.
Drifttillstånd krävs således för att få utföra lufttransporter mot betalning åt allmänheten oavsett om det handlar om reguljärflyg, charterflyg eller taxiflyg. Begreppet allmänheten ska tolkas vitt, vilket innebär att i stort sett alla som inte ingår i utövarens närmaste be- kantskapskrets innefattas. Vidare är det tillräckligt att det har avtalats om att någon form av betalning ska utgå för att en lufttransport ska vara tillståndspliktig. Det föreligger således inget krav på vinst eller vinstsyfte. Det finns inte heller något krav på att en verksamhet ska ha en viss omfattning för att den ska vara tillståndspliktig, utan en enda flygning kan medföra tillståndsplikt. (Se prop. 2009/10:95 s. 342.)
Beträffande luftfart inom EU krävs det utöver drifttillstånd även en operativ licens enligt EU:s lufttrafikförordning. I förordningen anges vilka krav som ska uppfyllas av lufttrafikföretag som bedriver vissa slag av kommersiell flygtrafik inom gemenskapen. Bl.a. krävs att företaget har ett drifttillstånd. Det görs även en prövning av om företaget uppfyller vissa finansiella villkor och försäkringskrav. Ett företag som uppfyller förordningens krav har rätt att få en operativ licens, vilket är ett tillstånd för företaget att mot betalning utföra lufttransport av passagerare, post eller gods som anges i licensen. Inget företag som är etablerat i gemenskapen, dvs. har sitt säte i ett land inom EU, får mot ersättning eller hyra utföra lufttransporter av bl.a. passagerare om de inte har beviljats den nödvändiga opera- tiva licensen. Från kravet på innehav av giltig operativ licens undan- tas lufttrafik som utförs med
185
Lufttrafikföretagens överföring av |
SOU 2017:57 |
En operativ licens enligt EU:s lufttrafikförordning utfärdas av nationella tillståndsmyndigheter för företag som är etablerade i gemenskapen. I Sverige är Transportstyrelsen tillståndsmyndighet. För närvarande har totalt 31 operativa licenser utfärdats i Sverige för både svenska och utländska företag. Vissa av dessa är tämligen stora aktörer som flyger i internationell trafik från de stora flygplatserna, t.ex. SAS Sverige AB, genom konsortiet SAS, eller TUIfly Nordic AB. Andra innehavare av svenska operativa licenser är avsevärt mindre. Roslagens Helikopterflyg AB är ett exempel på en mindre aktör och kommunalförbundet Svensk luftambulans ett annat.
När det gäller flygföretag som är etablerade i EU och som enbart flyger på destinationer utanför EU framgår inte uttryckligen av för- ordningen om dessa behöver ha en operativ licens. Eftersom den operativa licensen inte ger tillträde till marknaden utan är ett grund- läggande villkor för verksamheten som flygbolag, synes dock alla medlemsstater acceptera att en operativ licens även är ett krav för att bedriva transporter mellan EU och tredjeland. (Se prop. 2009/10:95 s. 232.) Operativa licenser, eller motsvarande, utfärdas dock även av länder utanför EU.
Frågan om tillträde till flyglinjer inom unionen, för såväl regel- bunden som icke regelbunden lufttrafik, regleras i kap. II i lufttrafik- förordningen. Enligt förordningen ska berörda medlemsstater tillåta lufttrafikföretag med giltig operativ licens utfärdad av en behörig tillståndsmyndighet inom unionen att utöva trafikrättigheter, där- ibland befordran av passagerare, på flyglinjer inom EU. Således krävs inte något särskilt trafiktillstånd för tillträde till flyglinjer inom unionen för de lufttrafikföretag som har en giltig operativ licens ut- färdad inom EU. När det gäller luftfart som inte omfattas av EU:s lufttrafikförordning, eftersom den avser inrikestrafik, trafik till tredje- länder eller utförs av sådana lufttrafikföretag som inte har en giltig operativ licens utfärdad i ett land inom EU, kan det dock utöver ett drifttillstånd även krävas ett trafiktillstånd enligt 7 kap. 10 § luft- fartslagen för att mot betalning få utföra lufttransporter åt allmän- heten. Ett trafiktillstånd är trafikpolitiskt motiverat och ger till- träde till linjer eller marknader. Trafiktillståndet kan ges till såväl svenska som utländska operatörer och kan avse såväl regelbunden som icke regelbunden trafik. Trafiktillstånd lämnas av regeringen eller Transportstyrelsen. I TSFS 2010:168 finns Transportstyrel-
186
SOU 2017:57 |
Lufttrafikföretagens överföring av |
sens föreskrifter om bl.a. trafiktillstånd. När det gäller charter- och taxiflygning finns särskilda föreskrifter i TSFS 2011:104.
11.1.3Lufttrafikföretagens resor till och från Sverige
År 2016 utförde sammanlagt 240 lufttrafikföretag flygningar för be- fordran av passagerare till eller från Sverige antingen i linjefart eller som charterflyg. Av dessa flygbolag utförde 100 stycken fem eller färre sådana resor. Därtill utfördes sådana utlandsresor av upp till 87 olika taxiflygbolag.4 Den senare uppgiften är osäker eftersom det inte finns något system som registrerar persontransporter med taxiflyg.5
Resorna gick till någon av landets många flygplatser. Det finns i dag 38 flygplatser i landet med reguljär trafik i form av linjefart eller charterflyg. Vid sidan av dessa finns ett betydande antal flygplatser av varierande standard. Taxiflygen behöver inte nödvändigtvis an- vända sig av flygplatser som är öppna och bemannade.6
11.2Lufttrafikföretagens insamlande av
Det finns i dag inte någon uttrycklig författningsreglering om att lufttrafikföretag ska inhämta
4Enligt Transportstyrelsens statistikuppgifter.
5Se t.ex. SOU 2016:83 s.143.
6Se a.a. s. 65 f. och 143.
187
Lufttrafikföretagens överföring av |
SOU 2017:57 |
på marken. I förordning (EU) nr 996/20107 behandlas frågor om utredning och förebyggande av flygolyckor. I förordningens arti- kel 20 anges att unionens flygbolag som ankommer till eller avgår från, och flygbolag från tredjeländer som avgår från, en flygplats be- lägen på territorierna i de medlemsstater som omfattas av fördragen, ska införa rutiner som gör det möjligt att så snart som möjligt och senast inom två timmar från underrättelsen om att ett luftfartyg har råkat ut för en olycka, ta fram en validerad förteckning, baserad på bästa tillgängliga uppgifter, över alla personer ombord. För att kunna göra en sådan förteckning torde fordras att uppgifter om resenä- rerna på något sätt finns sparade på marken.
Enligt 15 § TSFS 2011:104 ska vid charterflygningar en förteck- ning över passagerare förvaras av det företag som utför flygningen och lämnas till Transportstyrelsen på begäran. För taxiflygningarna finns inte någon motsvarande bestämmelse i föreskrifterna om att det ska finnas en förteckning över passagerare.
De lufttrafikföretag som utför reguljärflygningar samlar i dag in
De lufttrafikföretag som är specialiserade på charterflygningar samlar oftast inte in egna
7 Europaparlamentets och rådets förordning (EU) nr 996/2010 av den 20 oktober 2010 om utredning och förebyggande av olyckor och tillbud inom civil luftfart och om upphävande av direktiv 94/56/EG.
188
SOU 2017:57 |
Lufttrafikföretagens överföring av |
sådant fall till dem från researrangören inför flygresan. Övriga PNR- uppgifter, som passagerarna lämnat i samband med resebokningen, finns kvar hos researrangören. Vid flygningar till tredjeland skickas dock ett
De mindre lufttrafikföretag som utför taxiflygningar samlar i de flesta fall inte in uppgifter om sina passagerare på ett systematiserat sätt. De insamlande uppgifterna kan i vissa fall bestå av endast en namnuppgift som noteras för hand eller i ett excelformulär.
11.3Vilka lufttrafikföretag ska åläggas en skyldighet att överföra
Våra förslag:
Reservationssystem ska i lagen definieras som system där
Direktivets definition av ett lufttrafikföretag, innebärandes ett så- dant företag med operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik, innefattar alla företag som utför luft- transport av passagerare mot betalning eller hyra så länge de har den angivna licensen. I begreppet företag innefattas enligt vår bedöm- ning, på samma sätt som enligt lufttrafikförordningen, både fysiska och juridiska personer samt officiella organ. Enligt lufttrafikförord- ningen undantas från kravet på operativ licens endast lufttrafik som utförs med
189
Lufttrafikföretagens överföring av |
SOU 2017:57 |
definitionsmässigt av direktivets överföringsskyldighet när de mot ersättning eller hyra utför lufttransporter med hjälp av mindre flyg eller helikopter över ett lands gränser. Med tillägget ”eller motsva- rande” innefattas i definitionen även de lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom EU men som har en motsvarande licens från ett tredjeland.
Begreppet lufttrafikföretag har definierats på olika sätt i olika svenska författningar. Exempelvis definieras begreppet i TSFS 2010:68 som ett flygföretag med ett giltigt drifttillstånd (AOC). I TSFS 2011:104 definieras däremot ett lufttrafikföretag som ett flyg- företag med giltigt drifttillstånd och i förekommande fall operativ licens eller motsvarande. Även i de
Det saknas således enhetlighet i definitionerna av begreppet lufttrafikföretag. Med hänsyn härtill bör, enligt vår mening, PNR- direktivets definition av begreppet införas i den nya lag som vi före- slår. En sådan lösning synes även lämplig eftersom direktivets defi- nition innehåller en upplysning om kravet på en operativ licens. I detta ligger även ett krav på att lufttrafikföretaget har ett giltigt drift- tillstånd. Definitionen omfattar således såväl ett giltigt operativt tillstånd som ett drifttillstånd. Genom tillägget ”eller motsvarande” innefattas även sådana utländska lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom EU men som har en mot- svarande licens från ett tredjeland. Av lagens definition bör också framgå att licensen ska ge rätt att bedriva passagerarflygtrafik, dvs. ge rätt att mot betalning eller hyra, dvs. vederlag, utföra lufttrans- porter av passagerare.
För att direktivets bestämmelser om överföring av
8 Europaparlamentets och rådets förordning (EG) nr 261/2004 av den 11 februari 2004 om fastställande av gemensamma regler om kompensation och assistans till passagerare vid nekad ombordstigning och inställda eller kraftigt försenade flygningar och om upphävande av förordning (EEG) nr 295/91.
190
SOU 2017:57 |
Lufttrafikföretagens överföring av |
samlar in
Definitionen av
De lufttrafikföretag som utför charterflygningar innehar i många fall endast en mindre mängd
191
Lufttrafikföretagens överföring av |
SOU 2017:57 |
del i dessa företags verksamhet. Ombordstigningen på flygplanen sker, i de flesta fall, genom en gate och hanteras elektroniskt på samma sätt som för reguljärflygningarna. Några problem med hänsyn till direktivets överföringstidpunkter föreligger därför i normalfallet inte. Enligt vår bedömning omfattas således, som utgångspunkt, de lufttrafikföretag som utför charterflygningar av direktivets över- föringsskyldighet.
De lufttrafikföretag som utför taxiflygningar saknar emellertid i många fall strukturmässigt system för behandling av
Enligt vår bedömning behandlar inte dessa mindre taxiflygföre- tag
För att närmare ringa in de lufttrafikföretag som ska åläggas en grundläggande skyldighet att överföra
192
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4Överföring av
11.4.1Omfattningen av vårt uppdrag
Vårt förslag: Den nationella regleringen ska innehålla bestämmel- ser om lufttrafikföretagens överföring av
Av
Vad gäller flygtrafiken inom EU, som också ska omfattas av den nya lagen (se avsnitt 11.4.2), kan man också fråga sig vad den svenska regleringen bör ta sikte på. Enligt direktivet ska ett lufttrafikföretag som ska företa en flygresa från Sverige till exempelvis Frankrike överföra sina
193
Lufttrafikföretagens överföring av |
SOU 2017:57 |
dighet att överföra uppgifterna till den franska enheten för passa- gerarinformation får regleras genom Frankrikes genomförande av direktivet. Även här ser vi detta som en nödvändig begränsning för att undvika framtida tillämpningssvårigheter för lufttrafikföretagen. Våra förslag till lag och förordning kommer således att innehålla bestämmelser om lufttrafikföretagens överföring till den svenska enheten för passagerarinformation.
11.4.2Överföring av uppgifter avseende flygresor både inom och utom EU
Våra förslag: Lufttrafikföretag ska inför varje flygning ankom- mande till eller avgående från Sverige överföra
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra
Överföring inför flygningar till och från EU
Enligt artikel 8.1 ska medlemsstaterna anta de åtgärder som är nöd- vändiga för att se till att lufttrafikföretag överför vissa i direktivet angivna
Gemensam linjebeteckning, s.k. code sharing, är en form av sam- arbete mellan flygbolag. Det innebär att ett flygbolag sätter sin egen bolagskod på en flygning som genomförs av ett annat flygbolag. Detta är ett sätt för flygbolagen att genom samarbete med andra flygbolag utvidga sitt linjenät och marknadsföra sig på linjer de inte själva
194
SOU 2017:57 |
Lufttrafikföretagens överföring av |
flyger. Enligt direktivet vilar i sådant fall ansvaret för att PNR- uppgifterna överförs på det lufttrafikföretag som utför flygningen.
I artikel 8.1 anges vidare att för det fall en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flyg- platser, ska lufttrafikföretagen överföra
Överföring även inför flygningar inom EU
Direktivet ålägger således lufttrafikföretagen att överföra PNR- uppgifter om passagerare på flygningar som anländer från eller avgår till ett land utanför EU. Av artikel 2.1 framgår att medlemsstaterna därutöver på frivillig grund kan tillämpa direktivet även på flygningar inom EU. Sverige och övriga medlemsstater som är bundna av direktivet har förklarat att de har för avsikt att tillämpa direktivet även för flygresor inom EU. Sverige kommer att skriftligen meddela kommissionen detta. Kommissionen ska därefter offentliggöra detta meddelande i Europeiska unionens officiella tidning (EUT). När ett sådant meddelande har lämnats, ska, enligt artikel 2.2, alla be- stämmelser i direktivet gälla för flygningar inom EU som om de vore flygningar utanför EU och för
Direktivet ska genomföras i medlemsstaterna senast den 25 maj 2018. Kommissionen har angett att den endast kommer att offent- liggöra meddelanden om att en medlemsstat ska tillämpa direktivet även för flygresor inom EU, om staten även har underrättat kom- missionen om att den har genomfört direktivets övriga bestämmelser i enlighet med artikel 18.1. Enligt kommissionen kommer således ett
195
Lufttrafikföretagens överföring av |
SOU 2017:57 |
meddelande från en medlemsstat om att den ska tillämpa direktivet även för flygresor inom EU att få rättslig verkan först när hela direktivet är genomfört i medlemsstaten. Vidare har kommissionen angett att det är tillräckligt att direktivet är genomfört i den med- lemsstat som
För Sveriges del innebär det ovanstående att lufttrafikföretagen, när direktivet är genomfört här och kommissionen är informerad om detta och om att Sverige ska tillämpa direktivet även på flygningar inom EU, ska överföra
Våra överväganden
En utgångspunkt för vårt uppdrag är att direktivet ska tillämpas även för flygningar inom EU och att detta ska genomföras vid samma tidpunkt som direktivet i övrigt ska vara införlivat i svensk rätt. Det bör därför av vår reglering framgå att överföringar av PNR- uppgifter till enheten för passagerarinformation ska ske såväl inför resor till och från länder utanför EU som inför resor inom EU. Detta kan uttryckas som att överföringar ska ske inför varje flyg- ning ankommande till eller avgående från Sverige. Vidare bör det av regleringen framgå att om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra
9 Se Ref. Ares (2017) 68233 – 06/01/2017.
196
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4.3
Våra förslag:
Passagerare ska definieras som alla personer, förutom besätt- ningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
Med
Definitioner av begreppen
197
Lufttrafikföretagens överföring av |
SOU 2017:57 |
11.4.4
Våra förslag: Samtliga de
En förteckning över de
Förteckningen i bilaga I har enligt skäl 15 till syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brotts- lighet och därigenom förbättra den inre säkerheten i EU, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till privatlivet och rätten till skydd av personuppgifter. Vid framtagandet av för- teckningen har
10Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.
11Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna.
198
SOU 2017:57 |
Lufttrafikföretagens överföring av |
förening, hälsotillstånd, sexualliv eller sexuella läggning. De i för- teckningen angivna
Förteckningen över
I punkten 12 i bilagan anges ”Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontakt- uppgifter för den person som följer barnet till incheckning för av- resan och denna persons förhållande till barnet, namn och kontakt- uppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatsanställd som led- sagar barnet vid avresan respektive ankomsten)”. Uppgifterna om barn som reser utan vuxet sällskap är här särskilt angivna eftersom de kan ha betydelse vid utredningar om människosmuggling. All- männa anmärkningar utgör ett fritextsfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Bland de allmänna anmärk- ningarna kan finnas uppgifter om exempelvis cykel med ombord, specialkost, funktionshinder m.m. Användningen av fritextfältet för allmänna anmärkningar kan innebära att känsliga personuppgifter behandlas. Denna fråga kommer vi att återkomma till i avsnitt 18.5.
199
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Även
I punkten 18 i bilagan anges eventuell förhandsinformation (API), som samlats in. Som exempel på
Vissa lufttrafikföretag lagrar insamlade
Våra överväganden
Det bör av lagen framgå vilka
En förteckning över de
200
SOU 2017:57 |
Lufttrafikföretagens överföring av |
I punkten 7 har vi valt att byta ut uttrycket hela resrutten för aktuell passageraruppgiftssamling som används i direktivets bilaga mot det kortare uttrycket fullständig resplan.
Enligt punkten 9 i direktivets bilaga ska uppgifter om resebyrå eller resebyråtjänsteman ingå bland de uppgifter som ska överföras från lufttrafikföretagen. Resebyråtjänsteman synes dock vara en fel- översättning av det engelska ordet travelagent, som bättre bör över- sättas med reseagent eller researrangör. Med hänsyn härtill föreslår vi att ordet reseagent används i stället.
I punkten 12 i direktivets bilaga anges att så kallade allmänna anmärkningar ska ingå bland de uppgifter som ska överföras från lufttrafikföretagen. De allmänna anmärkningarna exemplifieras med tillgängliga uppgifter om ensamkommande barn. En bättre översätt- ning är ensamresande barn, vilket är den gängse terminologin inom luftfartssektorn. Enligt utredningens mening är också flygplatsper- sonal en bättre översättning än flygplatsanställd enligt samma punkt, eftersom det inte torde krävas att en person är anställd av flygplatsen för att omfattas av bestämmelsen. Vi har därför valt att använda dessa uttryck.
Vidare får med eventuella
I förteckningen över vilka
201
Lufttrafikföretagens överföring av |
SOU 2017:57 |
11.4.5Överföringar ska ske vid två tillfällen
Våra förslag:
Den andra överföringen får begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.
Av artikel 8.3 framgår att lufttrafikföretagen ska överföra sina
Direktivets bestämmelser om överföringstidpunkter bör föras in i vår lag. Bestämmelsen om att den första överföringen ska ske
202
SOU 2017:57 |
Lufttrafikföretagens överföring av |
fram
Enligt vår bedömning bör den tidsram om
Den andra överföringstidspunkten kan i lagen avgränsas till när gatens dörrar har stängts. Tidpunkten för överföringen torde här- igenom vara tillräckligt definierad. Att gatens dörrar har stängts innebär att passagerare inte längre tillåts stiga ombord eller stiga av planet. Vidare bör det av lagen framgå att den andra överföringen får begränsas till såväl uppdateringar som kompletteringar av de upp- gifter som överfördes vid det första tillfället. Således ska en andra överföring alltid omfatta även nytillkomna
11.4.6Överföringar vid andra tidpunkter
Vårt förslag: När det i ett enskilt fall är nödvändigt med tillgång till
I vissa situationer kan lufttrafikföretagen behöva överföra PNR- uppgifter även vid andra tidpunkter än de som angetts ovan. I arti- kel 8.5 anges nämligen att i situationer där åtkomst till
12 Air Transport & Travel Industry, Functional and Business Principles, PNRGOV, Version 16.1, s. 6, punkterna 8 och 11.
203
Lufttrafikföretagens överföring av |
SOU 2017:57 |
med anknytning till terroristbrott eller grov brottslighet, ska luft- trafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation överföra
Enligt direktivet ska en sådan ”extra” överföring ske efter en bedömning i det enskilda fallet. En bedömning huruvida det i ett en- skilt fall är nödvändigt med tillgång till
Bestämmelsen bör i övrigt genomföras i lag i enlighet med dess ordalydelse. I svensk lagstiftning brukar dock ordet fara användas i stället för hot. Ordet används bland annat i brottsdatalagen. Med hänsyn härtill föreslår vi att ordet fara används i stället för hot även i genomförandet av vår lag. Av samma anledning bör ordet avvärja användas i vår lag i stället för begreppet reagera på, som används i
204
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4.7Hur överföringarna ska gå till
Våra förslag: Enheten för passagerarinformation får inte med- ges direktåtkomst till lufttrafikföretagens uppgiftssamlingar med
Lufttrafikföretagen ska överföra
Direktåtkomst är inte tillåten
Det finns enligt
Det bör av lagen framgå vilken metod som ska användas för över- föringarna. Enligt vår mening görs detta lämpligast genom en bestäm- melse som anger att enheten för passagerarinformation inte får med- ges direktåtkomst till lufttrafikföretagens uppgiftssamlingar för
205
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Former för överföringarna
All överföring av
I artikel 16.2 finns närmare bestämmelser om formen för över- föringarna. Här framgår att kommissionen ska anta en förteckning över godkända gemensamma protokoll och understödda dataformat som ska användas vid överföring av
Kommissionen har i ett genomförandebeslut13 antagit en sådan förteckning över gemensamma protokoll och understödda format. Förteckningen kan senare komma att ändras (artikel 16.3). I genom- förandebeslutet anges att mindre lufttrafikföretag, som inte tillhanda- håller flygförbindelser i enlighet med en särskild och offentlig tidtabell och som inte har den nödvändiga infrastrukturen för att använda de gemensamma protokollen och understödda formaten, ska undantas från skyldigheten att använda dessa format och protokoll. Ett sådant lufttrafikföretag ska i stället överföra sina uppgifter på något annat elektroniskt sätt som tillhandahåller tillräckliga garantier med avse- ende på de tekniska säkerhetsåtgärderna, och som ska överenskom- mas mellan lufttrafikföretaget och den berörda medlemsstaten.
Ett år från den dag då kommissionen för första gången har an- tagit gemensamma protokoll och understödda dataformat ska all överföring av
13 Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensam- ma protokoll och dataformat som ska användas av lufttrafikföretag när
206
SOU 2017:57 |
Lufttrafikföretagens överföring av |
samma protokollen och understödda dataformaten (artikel 16.2). Inom samma tid ska medlemsstaterna vidta de tekniska åtgärder som krävs för att dessa gemensamma protokoll och dataformat ska kunna börja användas (artikel 16.5).
Till dess gemensamma protokoll och understödda dataformat finns tillgängliga ska överföringarna göras med elektroniska medel som tillhandahåller tillräckliga garantier med avseende på de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som styr den be- handling som ska utföras. I händelse av tekniska problem får PNR- uppgifterna överföras på annat lämpligt sätt under förutsättning att samma säkerhetsnivå upprätthålls och att unionsrätten om data- skydd respekteras fullt ut. (Artikel 16.1 och 16.4.)
Reglering av överföringsformerna
Kommissionen har således antagit en lista över gemensamma proto- koll och understödda dataformat. Dessa ska användas såväl av luft- trafikföretagen som av medlemsstaterna redan när direktivet ska vara genomfört i nationell rätt. Det saknas därför anledning att reglera vad som skulle ha gällt för det fall sådana gemensamma protokoll och format inte hade antagits.
Gemensamt för alla överföringar till enheten för passagerarinfor- mation kommer att vara att de ska ske i elektronisk form. Detta bör framgå av vår lag. De närmare formerna för överföringarna kommer dock att skifta mellan lufttrafikföretagen och bero på vilket format och protokoll de kommer att välja för överföringarna och huruvida företagen är sådana att de enligt kommissionens beslut kan använda sig av någon annan form för överföringen.
Enligt direktivets artikel 14 ska sanktioner träffa de lufttrafik- företag som inte överför
207
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Vid eventuella tekniska problem ska överföringarna enligt arti- kel 8.3 ske på något annat sätt som säkerställer ett lämpligt dataskydd, se även artikel 16.1. Även denna fråga kan regleras i förordning.
11.4.8Anlitande av personuppgiftsbiträde
Vårt förslag: Den som är skyldig att överföra
Den grundläggande skyldigheten att överföra
14 Se t.ex. Europarlamentets och rådets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphävande av rådets förord- ning (EEG) nr 2299/89.
208
12 Resebyråer och researrangörer
12.1Medlemsstaternas överenskommelse och vårt uppdrag
I samband med att
I våra kommittédirektiv anges att deklarationen innebär att med- lemsstaterna ska eftersträva att införa nationella bestämmelser som innebär skyldigheter att överföra flygpassageraruppgifter även för ekonomiska aktörer som inte är transportörer, t.ex. de resebyråer och researrangörer som erbjuder bokningsförmedling vid vilken så- dana uppgifter samlas in och behandlas. En utgångspunkt för vårt uppdrag är därför att skyldigheten att föra över flygpassagerarupp- gifter till de nationella enheterna i medlemsstaterna även ska om- fatta resebyråer och researrangörer.
209
Resebyråer och researrangörer |
SOU 2017:57 |
12.2Resebyråer och researrangörer
Det är vanligt att dela in de aktörer som förmedlar resetjänster i rese- byråer och researrangörer, där en resebyrå vanligen är att betrakta som en återförsäljare av andras resor och turisttjänster, medan en researrangör är ett företag som producerar och säljer egna resor. Denna uppdelning är emellertid inte helt skarp. En aktör kan vara resebyrå i ett sammanhang och researrangör i ett annat.
Någon definition av begreppet resebyrå finns inte i lagstiftningen. En resebyrå utmärks dock typiskt sett av att den förmedlar ett avtal för annan. Avtalet ingås mellan, å ena sidan, en resenär och, å andra sidan, en transportör, en researrangör eller ett hotell etc. Det finns emellertid situationer då en resebyrå kan få ställning som part i rese- avtalet. Om resebyrån agerar självständigt i förhållande till trans- portörens avtalsvillkor, t.ex. genom att ge en egen rabatt eller göra egna utfästelser, talar det för att den agerar för egen räkning som part i reseavtalet. Frågan om resebyrån i övrigt intar partsställning får bedömas utifrån allmänna avtalsrättsliga grundsatser (se NJA 2014 s. 978). Det är inte helt ovanligt att en resebyrå även arrangerar egna paketresor, företrädesvis grupp- och konferensresor för affärsrese- kunder.
Antalet svenska företag som kan betraktas som resebyråer upp- gick vid utgången av år 2015 till drygt 2901. Beräkningen inkluderar dock inte resebyråer som endast säljer resor via internet. Av resebyrå- erna är något mer än hälften huvudsakligen inriktade på privatrese- försäljning, ett sextiotal är renodlade affärsresebyråer och resterande säljer både privat- och affärsresor. Ca 60 procent av alla bokningar av flygbiljetter, inom EU och internationellt, utförs av resebyråer2.
En researrangör säljer resepaket, dvs. erbjuder en paketlösning med t.ex. flyg och boende. De som säljer och arrangerar paketresor kan vara allt från mindre familjeföretag till större företag och orga- nisationer. Bland researrangörer finns traditionella charteroperatö- rer som t.ex. Tui, Ving och Apollo med dotterbolag. Dessa tre rese- arrangörer ägs alla av olika internationella resekoncerner och har egna flygbolag. Andra researrangörer använder sig av reguljärflyg eller andra transportmedel.
1Enligt Svenska Resebyråföreningens marknadsuppgifter för år 2015.
2Enligt uppgift från Svenska Resebyråföreningen.
210
SOU 2017:57 |
Resebyråer och researrangörer |
I lagen (1992:1672) om paketresor (paketreselagen) regleras bl.a. arrangörers ansvar för sådana paketresor som de säljer eller marknads- för. Paketreselagen genomför det s.k. paketresedirektivet3. I lagens 3 § definieras en arrangör som den som annat än tillfälligtvis orga- niserar paketresor och säljer eller marknadsför dem direkt eller genom en återförsäljare. I lagens förarbeten anges att vid bedömningen av vad som är ”annat än tillfälligtvis” torde man få beakta dels hur ofta vederbörande ordnar paketresor men dels också hur regelbundet eller sporadiskt resorna återkommer. Den som varje år ordnar resor till en viss återkommande kongress eller något annat evenemang torde sålunda få anses vara arrangör i lagens mening. Men den som ordnar två eller tre paketresor tätt efter varandra till ett visst evene- mang omfattas knappast av lagen, om han eller hon i övrigt inte alls organiserar resor. Detsamma torde gälla den som oregelbundet och relativt sällan ordnar resor (se prop. 1992/93:95 s. 67). En återför- säljare är enligt lagen den som säljer eller marknadsför arrangörens resor.
Ett nytt
3Rådets direktiv (90/314/EEG) av den 13 juni 1990 om paketresor, semesterpaket och andra paketarrangemang.
4Europaparlamentets och rådets direktiv (EU) 2015/2302 av den 25 november 2015 om paket- resor och sammanlänkade researrangemang, om ändring av förordning (EG) nr 2006/2004 och Europaparlamentets och rådets direktiv 2011/83/EU samt om upphävande av rådets direktiv 90/314/EEG.
211
Resebyråer och researrangörer |
SOU 2017:57 |
Paketreseutredningen överlämnade den 30 augusti 2016 sina för- slag på hur det nya direktivet ska genomföras i svensk rätt. I betän- kandet föreslås att den nu gällande paketreselagen byts ut mot en ny lag med samma namn. Direktivets definitioner av begreppen arrangör och återförsäljare föreslås oförändrade föras in i den nya lagen (se SOU 2016:56 s. 124 ff.). Förslaget bereds nu inom regeringskansliet.
Det finns närmare 600 researrangörsföretag i Sverige, bussrese- företagen inte inräknade.5 De flesta arrangerar och säljer paketresor för konsumenter. Ett fåtal är helt inriktade på arrangemang för andra företag. Härutöver finns ett antal företag i form av enskilda firmor och ideella föreningar som organiserar någon eller några enstaka resor om året.
Cirka hälften av de svenska researrangörernas och resebyråernas totala försäljning sker i dag över internet. Vissa resor säljs av s.k. OTA:er. OTA är en förkortning för ”online travel agency” och be- greppet används för att beskriva aktörer som är helt inriktade på att sälja resor via internet. Det är vanligt att företag som säljer resor via internet gör det under flera olika varumärken. Det företag som har de flesta varumärkena är
Antalet resebyråer och researrangörer inom Europa uppgick år 2014 till omkring 50 000.6 Den internationella konkurrensen på mark- naden har ökat i takt med att konsumenterna i högre utsträckning vant sig vid att köpa resor via internet. Det gäller både svenska före- tag som vänder sig till utländska resenärer och utländska företag som vänder sig till svenska resenärer. Exempel på det senare är företagen Expedia och Booking.com.
5Enligt Svenska resebyråföreningens marknadsuppgifter för år 2015.
6The european travel agents and tour operator association (ACTAA), Table of Statistics.
212
SOU 2017:57 |
Resebyråer och researrangörer |
12.2.1Resebyråers och researrangörers insamling och överföring av
När en resenär väljer att boka en resa via en resebyrå eller researran- gör skapas
De reservationssystem som vanligtvis används brukar kallas Global Distribution System (GDS) eller Computer Reservation System (CRS). Reservationssystemen möjliggör direktkommunikation mellan å ena sidan den som utför bokningen och å andra sidan lufttrafik- företaget. Systemen innehåller information om bland annat flyg- bolagens tidtabeller, platstillgång, biljettpriser och tjänster i samband med flygbefordran. Genom reservationssystemen får en ansluten resebyrå eller researrangör tillgång till anslutna flygbolags ”lager” av t.ex. flygstolar. Resebyrån eller researrangören kan därmed gå rakt in i ”lagret” och sälja en flygstol till en kund för flygbolagets räkning.
Reservationssystemen byggdes ursprungligen upp och ägdes av flygbolagen. På grund av ändrade regler är det numera inte lika för- delaktigt för flygbolagen att själva äga systemen och flera flygbolag har därför helt eller delvis sålt sina ägarandelar. Det finns i dagsläget tre dominerande reservationssystem; Amadeus, Sabre och Travelport. Företaget bakom Amadeus är det enda som är lokaliserat i Europa och systemet är det som främst används i Skandinavien. Det har inom EU antagits en förordning som innehåller en uppförandekod för reservationssystemen.7
När en resebyrå eller researrangör tar emot en bokningsförfrågan från en resenär skapar företaget normalt en bokningsfil i det datori- serade reservationssystemet. Den bokningsfil som skapas innehåller således uppgifter om resenären och dennes bokning, dvs. PNR- uppgifter. De
7 Europaparlamentets och rådets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphävande av rådets förordning (EEG) nr 2299/89.
213
Resebyråer och researrangörer |
SOU 2017:57 |
endast förmedlar en flygbiljett. Därför har resebyrån och researrangö- ren olika behov av personuppgifter från kunden och de uppgifter som hämtas in och överförs kan variera. Hur många uppgifter som förs över kan också variera beroende på vilka krav som ställs av flyg- bolagen. Resebyråerna överför dock normalt på detta sätt samtliga insamlade
De
I vissa fall görs ändringar i
Det finns resebyråer och researrangörer som inte själva har till- gång till reservationssystem och som i stället köper in den tjänsten från andra resebyråer eller researrangörer.
För de researrangörer som arrangerar charterresor råder något andra förutsättningar. Resenärernas
214
SOU 2017:57 |
Resebyråer och researrangörer |
12.2.2Behöriga myndigheter vill kunna få tillgång till samtliga insamlade
För att
Flygtrafiken till vissa länder, exempelvis USA, utgörs främst av reguljärflygningar. Om en reguljär flygresa har bokats via en resebyrå, överför resebyrån normalt de
12.2.3Insamling av
Insamling av
8 Article
215
Resebyråer och researrangörer |
SOU 2017:57 |
inte haft möjlighet att närmare granska. Under alla förhållanden baseras lagbestämmelsen dock inte på en implementering av PNR- direktivet eller den därtill hörande överenskommelsen.
Det är i skrivande stund inte klart hur medlemsstaterna kommer att hantera den aktuella överenskommelsen. Det har i ett sent skede i vår utredning kommit till vår kännedom att det i Tyskland finns ett förslag som innebär att andra aktörer involverade i reservation eller bokning av flygbiljetter i god tid ska överföra
12.3Våra överväganden
Vår bedömning: Resebyråer och researrangörer omfattas redan av systemet med insamling av
Innebörden av medlemsstaternas överenskommelse och vårt uppdrag
Medlemsstaterna inklusive Sverige har alltså i ett gemensamt ut- talande från rådet, en deklaration, åtagit sig att utvidga insamlingen av
På motsvarande sätt som vi tolkat vårt uppdrag när det gäller lufttrafikföretagens skyldigheter kan vi inte förstå denna del av vårt
216
SOU 2017:57 |
Resebyråer och researrangörer |
uppdrag på annat sätt än att det handlar om att överväga en utvidg- ning som innebär att den svenska enheten för passagerarinformations insamling av
Möjliga alternativa modeller
Det kan konstateras att resebyråerna och researrangörerna utgör en stor och brokig skara, som innehåller såväl stora internationella bolag som små enmansbolag, enskilda firmor och ideella föreningar. Vissa aktörer säljer endast resor via internet och andra såväl på traditio- nellt vis som via sina hemsidor. Många aktörer använder sig av de stora internationella reservationssystemen, medan andra köper in sådana tjänster från större bolag. Vidare har användandet av internet medfört att resebranschen blivit alltmer internationell. Det är således inte alls är säkert att en svensk resenär köper sin resa via en svensk resebyrå eller arrangör. Vad gäller utländska resenärer till Sverige torde bilden bli ännu mera brokig.
Det framgår inte av överenskommelsen om insamlingen ska be- gränsas till sådana resebyråer och researrangörer som har sitt säte inom en medlemsstat eller inom unionen. För det fall insamlingen är tänkt att omfatta samtliga resebyråer och researrangörer som bokar de flygresor som direktivet träffar, skulle det innebära att alla rese- byråer och researrangörer i hela världen som ordnar eller förmedlar flygresor till eller från EU träffas av överföringsskyldigheten. Således skulle alla resebyråer och researrangörer världen över som bokar en flygresa till eller från Sverige åläggas en skyldighet att överföra PNR- uppgifter till den svenska enheten för passagerarinformation. An- talet resebyråer och researrangörer i hela världen uppgår till ett okänt och otaligt antal. Bara i Europa fanns det år 2014 ca 50 000 sådana
217
Resebyråer och researrangörer |
SOU 2017:57 |
företag. Redan här kan sägas att ett upplägg som innebär att över- föringar ska ske från företag som inte har någon annan koppling till Sverige än att de förmedlar flygresor hit, får antas vara mycket svårt att anordna. De tekniska och administrativa hindren för att genom- föra ett sådant system synes oändliga. Möjligheten att använda sank- tioner mot de utländska företag som inte uppfyller en sådan över- föringsskyldighet får också antas möta stora praktiska bekymmer.
Alldeles bortsett från dessa generella svårigheter ser vi i huvud- sak tre tänkbara modeller för hur en utvidgning av insamlingen av
Modell 1) – En direkt utvidgning av direktivet
Ett sätt att genomföra medlemsstaternas överenskommelse vore att direkt utvidga tillämpningen av
Flygbiljetter bokas många gånger långt i förväg. Efter det att en resebyrå har ställt ut önskade flygbiljetter har resebyrån normalt fullgjort sin del av avtalet. Det finns i dag inget givet system som ger resebyråer eller researrangörer möjlighet att söka fram de passagerare som ska resa ett antal dagar och timmar senare. Rent tekniskt skulle i vart fall de stora researrangörerna kunna bygga om sina system för att kunna uppfylla denna skyldighet. Det skulle dock få ske till rela- tivt omfattande kostnader. För mindre resebyråer och researrangörer skulle det vara mycket svårt att bära en sådan kostnad.
En resebyrå eller researrangör kommer dock aldrig att kunna veta om alla passagerare som är bokade på en flygning också infinner sig till denna. Det är flygbolagens personal som har hand om incheck- ningen på flygplatsen, som står uppe vid flyget och som assisterar
218
SOU 2017:57 |
Resebyråer och researrangörer |
så att flyget kan avgå. Ibland kan charterpersonal finnas på flyg- platserna, men i sådana fall är den personalen inhyrd av flygbolagen. Det är således normalt endast det lufttrafikföretag som utför flyg- ningen som har kontroll över inchecknings- och ombordstignings- processen. Komplett och uppdaterad information om vilka resenärer som faktiskt går ombord på flygplanet har därmed endast luft- trafikföretaget.
En flygning kan bli försenad av många anledningar. En flygresa kan ställas in och ersättningsflyg kan behöva användas. Resebyråerna och researrangörerna har ingen del i denna process. Dessa aktörer kan därför omöjligen veta när gatens dörrar har stängts. För att kunna uppfylla överföringsskyldigheten enligt direktivet skulle samt- liga resebyråer och researrangörer behöva ha personal på plats på samtliga flygplatser vid gaterna, vilket förefaller vara en omöjlighet. Vi kan således inte se att resebyråer och researrangörer har möjlighet att överföra
Modell 2) – Ytterligare överföring via lufttrafikföretagen
En utvidgning av insamlandet av
219
Resebyråer och researrangörer |
SOU 2017:57 |
Det är emellertid en grundläggande tanke bakom
Vi vill framhålla att en lösning enligt modell 2 torde kunna åstad- kommas på frivillig väg. Beroende på hur en sådan lösning riggas skulle den dock av allt att döma innebära utvecklingskostnader för charterarrangörerna och eventuellt ytterligare kostnader för mot- tagandet hos lufttrafikföretagen. Dessutom skulle ett antal frågor rörande integritet och dataskydd behöva analyseras närmare, såsom om överföringarna till lufttrafikföretagen skulle kräva samtycke
220
SOU 2017:57 |
Resebyråer och researrangörer |
från resenärerna eller om någon annan rättslig grund i dataskydds- förordningen kan tillämpas, vem som skulle ha personuppgifts- ansvaret för uppgifterna och därmed ansvara för säkerhetsfrågor osv.
Modell 3) – Överföring från resebyråer och researrangörer direkt till enheten för passagerarinformation
Den tredje modellen tar sin utgångspunkt i skäl 33 i
Ett system med direktöverföring från resebyråer och researrangö- rer till enheten för passagerarinformation reser ett flertal frågor.
En första fråga är givetvis hur systemet lämpligen skulle utformas i fråga om när och hur resebyråer och researrangörer skulle över- föra
En ytterligare fråga är vilka möjligheter enheten för passagerar- information har att inom en nära överskådlig tid ta emot PNR- uppgifter direkt från små och stora resebyråer och researrangörer i Sverige och i andra länder vid sidan av dem som kommer från luft- trafikföretagen. Enligt vad vi inhämtat är de tekniska och perso-
221
Resebyråer och researrangörer |
SOU 2017:57 |
nella förberedelserna för att kunna ta emot
Det måste också beaktas att ett åläggande för resebyråer och researrangörer att själva överföra
Som tidigare konstaterats består branschen av ett stort antal aktö- rer av skiftande slag och storlek. Att finna ett överföringssystem som kan tillgodose alla aktörers möjligheter och tekniska lösningar är en grannlaga uppgift. Att på egen hand finna ett system som reg- lerar överföring från all världens eller unionens resebyråer och rese- arrangörer får ses som en näst intill omöjlig uppgift inom ramen för detta uppdrag. En begränsning av överföringsskyldigheten till att endast omfatta svenska företag kan inte heller anses lämpligt. Rese- byråerna och researrangörerna agerar på en internationell och kom- mersiell marknad. För det fall Sverige skulle införa en lösning som endast eller till största del träffade svenska företag, skulle företag från andra länder få konkurrensfördelar. Vi kan inte förorda en lösning som innebär att svenska resebyråer och researrangörer drabbas hårdare än andra. Sammantaget är det vår uppfattning att övervägan- den angående införandet av ett system med direktöverföring av
222
SOU 2017:57 |
Resebyråer och researrangörer |
Vår sammanfattande bedömning
Resebyråerna och researrangörerna kommer att bli en del av PNR- systemet, eftersom de redan i dag överför
Vi är medvetna om att det möjligen har gjorts andra tolkningar av direktivet i Tyskland än de som vi har kommit fram till ovan. Det förändrar inte våra bedömningar i detta läge. Vi ser det dock som tro- ligt att en utvidgning av systemet med insamling av
Kommissionen ska senast den 25 maj 2020 utföra en översyn av
Som tidigare har angetts finns det inte någon tidsangivelse för när medlemsstaternas överenskommelse ska vara genomförd i natio-
223
Resebyråer och researrangörer |
SOU 2017:57 |
nell rätt. Enligt vår mening finns det därför all anledning att avvakta den översyn som kommer att ske av kommissionen, innan överens- kommelsen genomförs i svensk rätt genom en utvidgad insamling av
En skyldighet för resebyråer och researrangörer att överföra
224
13Behandling av
13.1En databas för
Vårt förslag: En bestämmelse förs in i lagen som anger att de
De
Det bör av lagen framgå att det vid enheten för passagerarinforma- tion ska finnas en datoriserad uppgiftssamling där de
225
Behandling av |
SOU 2017:57 |
uppgiftssamlingar. Visserligen kommer uppgiftssamlingen att inne- hålla vissa fritextfält. Den kommer dock troligen inte att innehålla löpande texter eller elektroniska dokument av olika slag. Detta talar för att det snarare är fråga om ett register i begreppets traditionella bemärkelse än en databas. Dock är de tekniska lösningarna ännu inte uppbyggda och det är därför inte helt klart hur dessa närmare kom- mer att vara utformade. Vi har därför valt att i implementeringen hålla oss så nära direktivets ordalydelse som möjligt. I lagförslaget används därför ordet databas för att beskriva den datoriserade upp- giftssamlingen.
13.2Ändamål för behandling av
Vårt förslag: Enheten för passagerarinformation får endast be- handla
Direktivets bestämmelser
De
a)Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna och i förekommande fall Europol behöver utreda ytterligare, på grund av att dessa per- soner kan vara inblandade i terroristbrott eller grov brottslighet.
b)I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla
226
SOU 2017:57 |
Behandling av |
syfte att förebygga, förhindra, upptäcka, utreda och lagföra ter- roristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.
c)Analysera
Våra överväganden
Artikel 6.2 utgör en verksamhetsreglering som anger hur de insam- lade
Ändamålsbestämning är central i dataskyddsreglering. I 2 kap. 3 § BDL anges att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 2 kap. 4 § framgår under vilka förutsättningar personuppgifter får behandlas för ett nytt ändamål. Normalt är det den personuppgiftsansvarige själv som be- stämmer ändamålen med en behandling. I registerförfattningar kan det emellertid finnas bestämmelser om ändamålsbestämmelser som kan vara mer eller mindre preciserade. I polisdatalagen finns sådana allmänt formulerade ändamålsbestämmelser för Polismyndighetens del främst i 2 kap.
Genom
227
Behandling av |
SOU 2017:57 |
enklare sätt beskriver enhetens olika uppgifter och som dessutom inkluderar behandling för sådana ändamål som anges i artiklarna 9 och 11, dvs. behandling för översändande till andra medlemsstater och till tredjeländer.
Bestämmelsen om ändamål kommer att ersätta de ändamålsbe- stämmelser som anges i 2 kap. 7 och 8 §§ PDL. Den exkluderar även en tillämpning av bestämmelsen om nya ändamål i 2 kap. 4 § BDL. Uppräkningen i bestämmelsen är uttömmande och innebär att en- dast sådan personuppgiftsbehandling som inryms i något av de i para- grafen angivna ändamålen får äga rum. Dock är behandling alltid tillåten för att uppfylla de syften som anges i 2 kap. TF. Vidare får
Hur de närmare ändamålen ska regleras i lagen diskuteras nedan.
13.2.1
Våra förslag: Från lufttrafikföretag insamlade
Användning av
228
SOU 2017:57 |
Behandling av |
Vidare kan kontroll av
Genom artikel 6.2 a ges enheten för passagerarinformation en möjlighet att använda de insamlade
Våra överväganden och förslag
Bestämmelsen i artikel 6.2 a bör föras in i lagen i stort sett i enlig- het med sin ordalydelse. Således bör det av bestämmelsen framgå att
1 KOM (2011) 32 slutlig av den 2 februari 2011, s. 6.
229
Behandling av |
SOU 2017:57 |
uppgifter kan endast erhållas för det fall enheten för passagerar- information också får tillgång till
Syftet med behandlingen är att
Bestämmelsen som genomför artikel 6.2 a kommer att behandlas återkommande i betänkandet och i lagförslaget. Av denna anled- ning och för att förenkla lagtexten föreslår vi att den bedömning som ska göras enligt bestämmelsen benämns som förhandsbedöm- ning. Benämningen bör föras in i lagtexten.
13.2.2Förfarandet vid förhandsbedömningar
Vårt förslag: Vid förhandsbedömningar får
1.jämföras med register eller andra uppgiftssamlingar som är relevanta för ett eller flera av syftena att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, eller
2.behandlas enligt på förhand utformade och fastställda krite- rier som är riktade, proportionella och avgränsade och som inte grundas på känsliga personuppgifter.
Som tidigare framgått kommer enheten för passagerarinformation att få del av
230
SOU 2017:57 |
Behandling av |
intressanta för vidare utredning bör den ha tillgång till vissa hjälp- medel. Således anges i artikel 6.3 att enheten vid förhandsbedöm- ningarna får jämföra
Jämförelser med relevanta databaser
Direktivet anger inte vilka databaser eller register som får användas vid förhandsbedömningarna. I artikel 6.3 a anges i stället att data- baserna ska vara relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och att det inkluderar databaser över personer eller föremål som är eftersökta eller finns uppförda på en spärrlista. Vidare anges att jämförelserna ska göras i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser.
Direktivet innehåller således en generell begränsning av vilka typer av uppgiftssamlingar
Våra överväganden
Artikel 6.3 a är av sådan vikt för
Det är i nuläget inte klart vilka register eller uppgiftssamlingar som
231
Behandling av |
SOU 2017:57 |
internationella brottslingar kan registreras. Ett nationellt register man kan tänka sig är misstankeregistret. Som angetts i avsnitt 10.5 är det vår utgångspunkt att enheten, när den startar det operativa arbetet, kommer att använda sig av de system som den nuvarande registerförfattningsregleringen ger förutsättningar för och som reg- leras i annan författning. Bestämmelser härom behöver därför inte föras in i denna reglering. Dock krävs, som angetts ovan, att registren eller uppgiftssamlingarna är relevanta för
Det bör i sammanhanget noteras att vissa uppgiftssamlingar som kan bli aktuella för jämförelser kan innehålla uppgifter om personer som inte faller inom direktivets tillämpningsområde eftersom de t.ex. är misstänkta för annat slags eller lindrigare brottslighet. En auto- matisk sökning i dessa uppgiftssamlingar skulle kunna innebära att
Jämförelser med på förhand fastställda kriterier
Vid förhandsbedömningarna får enheten för passagerarinformation enligt artikel 6.3 b även behandla
En analys av
232
SOU 2017:57 |
Behandling av |
människohandlare som alltid reste samma väg. De använde falska handlingar för att checka in till en flygning inom EU samtidigt som de använde äkta handlingar för att checka in till en annan flygning med destination i ett tredjeland. Så snart de befann sig i flygplatsens
I artikel 6.4 anges att förhandsbedömningen av passagerare i en- lighet med på förhand fastställda kriterier ska utföras på ett icke- diskriminerande sätt. De på förhand fastställda kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för pas- sagerarinformation i samarbete med behöriga myndigheter. Dessa på förhand fastställda kriterier får dessutom under inga omständig- heter vara baserade på känsliga personuppgifter.
Inte heller direktivets bestämmelse om de på förhand fastställda kriterierna i artikel 6.3 b är tvingande. Det utgör således en frivillig möjlighet för medlemsstaterna att använda sig av profilering. Om en profilering sker ska dock bestämmelserna i artikel 6.4 vara upp- fyllda.
Våra överväganden
Även artikel 6.3 b och 6.4 bör genomföras i lagen. Det bör här framgå att
Förbudet mot behandling av känsliga personuppgifter bör föras in i lagen genom en hänvisning till den bestämmelse i brottsdatalagen där dessa uppgifter behandlas. Dock följer det redan av 1 kap. 9 § RF att en myndighet inte ska utföra sitt arbete på ett diskriminerande sätt. Enlig vår mening saknas det därför anledning att i lagen särskilt ange detta kriterium.
2 A.a. s. 5.
233
Behandling av |
SOU 2017:57 |
Det kan i förordning regleras att kriterierna ska fastställas och regelbundet ses över av enheten för passagerarinformation i sam- arbete med behöriga myndigheter.
Konsekvenser av förhandsbedömningarna
I artikel 6.9 anges att konsekvenserna av förhandsbedömningarna inte får äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG3. När bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka kodexen om Schengengränserna4 är tillämp- lig, ska vidare konsekvenserna av sådana bedömningar vara förenliga med den förordningen.
I rådets direktiv 2004/38/EG slås unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom med- lemsstaternas territorium fast. Direktivet har genomförts i Sverige främst genom ändrade bestämmelser i utlänningslagen.
Kodexen om Schengengränserna syftar till att precisera unionens bestämmelser om gränskontroller vid personers passage av EU:s yttre gränser och tillfälliga inre gränser. Kodexen gäller som lag i Sverige. Enligt gränskodexen får alla personer, oavsett nationalitet, passera de inre gränserna vid vilket övergångsställe som helst, utan att någon in- eller utresekontroll genomförs. Detta utesluter inte möjligheten att den nationella polismyndigheten utövar sina befogenheter, på villkor att det inte har samma verkan som gränskontroller. Därut- över finns det i gränskodexen bestämmelser om att de
3Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmed- borgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlems- staternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG.
4Direktivet hänvisar till Europarlamentets och rådets förordning (EG) nr 562/2006 av den
15mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengen- gränserna). Den har emellertid ersatts av Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna).
234
SOU 2017:57 |
Behandling av |
13.2.3
Våra förslag: Från lufttrafikföretag insamlade
Reaktiv behandling av
235
Behandling av |
SOU 2017:57 |
den till EU. Personerna identifierades genom att det på grundval av
Lagrade
Behöriga myndigheter som tror sig kunna ha nytta av äldre PNR- uppgifter kan vända sig till enheten för passagerarinformation och begära att få ut äldre
Av andra bestämmelser i direktivet framgår att enheten för passa- gerarinformation under vissa förutsättningar även ska besvara för- frågningar från andra än behöriga myndigheter om att få ta del av sådana
Våra överväganden
Bestämmelsen i artikel 6.2 b bör genomföras på så sätt att det av bestämmelsen framgår att
5 KOM (2011) 32 slutlig av den 2 februari 2011, s. 5 f.
236
SOU 2017:57 |
Behandling av |
uppgifter från enheten för passagerarinformation och för att tillhandahålla dessa mottagare resultatet av sådan behandling. Detta kan lösas genom att det i lagen hänvisas till behöriga mottagare i stället för endast behöriga myndigheter och Europol. Vidare bör framgå att
Enligt artikel 11 i direktivet får i vissa fall
13.2.4
Vårt förslag: Från lufttrafikföretag insamlade
Som tidigare har angetts ska de på förhand fastställda kriterierna regel- bundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. De
Enligt vår mening bör även denna ändamålsbestämmelse föras in i lagen. Det bör här framgå att
237
Behandling av |
SOU 2017:57 |
13.2.5
Vårt förslag:
En enhet för passagerarinformation som vid sin förhandsbedömning av passagerare har identifierat en person kan i vissa fall överföra
Vidare kommer enheten för passagerarinformation att motta
238
SOU 2017:57 |
Behandling av |
sina kriterier etc. Den
Den behandling som ska ske av
13.3Maskering av
Våra förslag: En bestämmelse förs in i lagen som anger att vissa
Vidare ska det föras in definitioner i lagen som anger att
–med maskering ska förstås en åtgärd som innebär att tillgäng- liga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som sak- nar särskild behörighet för åtkomst till uppgifterna,
239
Behandling av |
SOU 2017:57 |
–med maskerade
–med avmaskerade
13.3.1Direktivets bestämmelser
Enligt direktivets artikel 12.2 ska
Av artikel 12.2 framgår således att vid utgången av en period på sex månader efter överföringen från lufttrafikföretagen ska PNR- uppgifterna avidentifieras genom maskering av vissa särskilt uppräk- nade uppgifter som kan användas för att omedelbart identifiera de passagerare som PNR uppgifterna avser.
I artikelns uppräkning ingår
a)namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans,
b)adress och kontaktuppgifter,
c)alla former av betalningsinformation, inbegripet faktureringsadress om denna innehåller uppgift som kan användas för att omedelbart identifiera den passagerare som personuppgiftssamlingar avser eller andra personer,
d)uppgifter om bonusprogram,
e)allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som per- sonuppgiftssamlingar avser, samt
f)alla
240
SOU 2017:57 |
Behandling av |
13.3.2Våra överväganden och förslag
Av direktivets skäl 25 framgår att syftet med maskering av PNR- uppgifter som direkt identifierar en person är att en oproportioner- lig användning av uppgifterna ska undvikas. Tanken torde vara att efter hand som tiden går efter det att det inte längre är aktuellt att göra en förhandsbedömning av passagerare, minskar behovet av till- gång till direkt utpekande personuppgifter om passagerare. Efter så lång tid som sex månader torde det i huvudsak endast vara vid undersökningar på särskild förfrågan som tillgång till sådana uppgifter om passagerare kan vara av intresse.
Artikel 12.2 är en bestämmelse som enligt vår uppfattning måste genomföras genom författningsreglering. Den har en central ställning och bör därför genomföras i den nya lagen.
I den svenska översättningen av direktivet används begreppet av- identifiering genom maskering för att beskriva denna ordning. Med avidentifierade data avses dock i andra lagstiftningar och i andra sammanhang att kopplingen mellan uppgifterna och en fysisk per- son har eliminerats. I
Ordet maskering är ett tämligen ovanligt begrepp i lagstiftnings- sammanhang. I artikel 4 i dataskyddsförordningen definieras det till synes näraliggande begreppet pseudonymisering. Vi har övervägt om det vore ett ord som lämpligen borde användas i stället för maskering. Begreppet pseudonymisering definieras emellertid i förordningen med att det avser ”behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under för- utsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifier- bar fysisk person”. Enligt vår mening kommer det beträffande det som kallas maskerade
241
Behandling av |
SOU 2017:57 |
att behörigheten för åtkomst eller tillgång till de direkt identi- fierande uppgifterna ska snävas in så att en vanlig befattningshavare vid enheten för passagerarinformation som dittills haft tillgång till fullständiga uppgifter, inte längre kommer att ha det. Begreppet pseudonymiserade
Vi bedömer det i stället som lämpligast att använda samma be- grepp som i direktivet, dvs. maskering. Ordet förekommer redan i författningstext, nämligen i lagen (2005:900) om förbud mot maske- ring i vissa fall. Den lagen innehåller förbud att i vissa sammanhang, t.ex. en demonstration, helt eller delvis täcka för ansiktet på ett sätt som försvårar identifikation. Att ordet förekommer i ett annat slags sammanhang med en annorlunda innebörd utgör enligt vår mening inget hinder mot att vi använder ordet i den nya lagen för att genom- föra direktivets bestämmelse om den åtgärd som avses där. Detta gäller särskilt eftersom användningsområdena i den nyssnämnda lagen och den av oss föreslagna nya lagen är så pass åtskilda att risken för missuppfattningar om innebörden av ordet i den ena eller andra lagen inte torde kunna uppstå. Vi föreslår således en bestämmelse om att
Med maskering ska förstås en åtgärd som innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som saknar särskild be- hörighet för åtkomst till uppgifterna. Detta föreslår vi ska definieras i lagen.
Vi föreslår också att det i lagen definieras att med maskerade
Direktivets uppräkning av de uppgifter som ska maskeras är ut- tömmande. Bestämmelsen i artikel 12.2 bör genomföras i den nya lagen genom en motsvarande uppräkning, men med några språkliga justeringar enligt följande.
I direktivet anges under punkten a namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsam- mans. Med PNR torde i sammanhanget avses passageraruppgifts- samlingen. Det är, enligt vår bedömning, tillräckligt om det i lagen
242
SOU 2017:57 |
Behandling av |
anges att maskering ska ske av alla namnuppgifter samt av uppgifter om antalet passagerare som reser tillsammans.
Under punkten c anges alla former av betalningsinformation, in- begripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som pas- sageraruppgiftssamlingen avser eller andra personer. All betalnings- information som kan användas för att direkt identifiera en person ska alltså maskeras, oavsett om denna person är en passagerare eller inte. Detta bör framgå av vår bestämmelse.
När det gäller de allmänna anmärkningarna enligt punkten e ska dessa maskeras om de innehåller uppgifter som kan användas för att direkt identifiera en passagerare. Även detta bör framgå av bestäm- melsen.
13.4Begränsad tillgång till maskerade uppgifter
Våra förslag: Det ska införas ett författningsreglerat krav på att tillgången till maskerade uppgifter ska vara strikt begränsad. Det kan ske genom att det i förordningen förs in en bestämmelse om att endast dataskyddsombudet samt den som har ett särskilt be- hov av fullständiga uppgifter för att kunna utföra sina arbetsupp- gifter vid enheten för passagerarinformation ska kunna ges be- hörighet för tillgång till maskerade
Enligt direktivets skäl 25 bör åtkomst till maskerade uppgifter endast beviljas under mycket strikta och begränsade villkor för att säker- ställa högsta möjliga nivå av dataskydd. Som ett komplement till bestämmelserna om maskering bör det därför föras in bestämmelser som ställer krav på att behörigheten för åtkomst till fullständiga
243
Behandling av |
SOU 2017:57 |
absolut nödvändigt med tillgång till fullständiga uppgifter. Som fram- går av artikel 6.7 ska enhetens dataskyddsombud ha åtkomst till alla uppgifter som enheten behandlar. Dataskyddsombudet måste därför ha tillgång även till de fullständiga uppgifterna bakom maskerade
244
14
14.1PNR- och
Som har framgått av tidigare avsnitt kan de uppgifter som överförs från lufttrafikföretagen avse såväl PNR- som
En viss överlappning mellan vad som är en
245
SOU 2017:57 |
De
För de lufttrafikföretag som utför charterflygningar blir endast en mindre del av
Överförda
246
SOU 2017:57
kan även användas för att analysera och fastställa misstänkta rese- och beteendemönster.
Det kan innebära ett mervärde att behandla
14.2Vårt uppdrag i denna del
I kommittédirektiven framhålls att regeringen i skrivelsen Före- bygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) angett att systemet för hantering av flygpassagerar- uppgifter bör samordnas med systemet för
•analysera om och i så fall hur
•föreslå hur systemet med flygpassageraruppgifter ska möjliggöra hantering av både
•föreslå de författningsändringar som bedöms nödvändiga.
1 Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare.
247
SOU 2017:57 |
14.3Direktivens olika mål och syften
248
SOU 2017:57
14.3.1Innebörden av den personkontroll
som görs inom ramen för gränskontrollen
Sverige deltar sedan år 2001, i likhet med ett flertal andra
– ska upphöra. Den andra grundtanken är att kampen ska stärkas mot internationell kriminalitet och mot sådan invandring som är illegal.
Vid Schengenterritoriets yttre gränser utförs gränskontroll i en- lighet med EU:s kodex om Schengengränserna2, som gäller som lag i Sverige. Enligt Schengenregelverket får inre gräns passeras överallt utan att någon in- och utresekontroll genomförs. Medlemsstaterna har dock möjlighet att tillfälligt återinföra gränskontroll vid de inre gränserna, om det uppkommer ett allvarligt hot mot allmän ordning eller inre säkerhet. Regeringen beslutade den 12 november 2015 att tillfälligt återinföra gränskontroll vid inre gräns. De tillfälliga gräns- kontrollerna gäller alltjämt.
I Sverige ansvarar Polismyndigheten för kontroll av personer vid de yttre gränserna (9 kap. 1 § utlänningslagen). Tullverket och Kust- bevakningen är efter en begäran av Polismyndigheten skyldiga att bistå vid en sådan kontroll. Även Migrationsverket får efter över- enskommelse med Polismyndigheten hjälpa till vid kontrollen. Kust- bevakningen ska medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.
Den personkontroll som görs inom ramen för gränskontrollerna syftar i första hand till att fastställa behörigheten för
2 Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unions- kodex om gränspassage för personer (kodex om Schengengränserna).
249
SOU 2017:57 |
bl.a. genom resande- och invandrarströmmar. I begränsat avseende hör till den gränsöverskridande brottsligheten de utlänningar som i strid med utlänningslagens bestämmelser reser in eller vistas i Sverige. Brott mot utlänningslagen kan exempelvis avse utlänningar som vistas i Sverige utan erforderliga tillstånd eller bryter mot återreseförbud. Olika former av smugglingsbrott – av varor, narkotika och män- niskor – är därtill naturligtvis att betrakta som gränsöverskridande brottslighet. Även andra brott kan dock vara gränsöverskridande, om de har koppling till flera länder genom att planering eller genom- förande inte enbart sker i Sverige. (Jfr SOU 2004:110 s. 291 och 331 ff.)
Personkontrollens syfte att förhindra gränsöverskridande brotts- lighet har efter Sveriges inträde i Schengensamarbetet fått en än mer framträdande roll. En av grundtankarna bakom Schengensamarbetet är att genom olika kompensatoriska åtgärder i form av bl.a. ökat polissamarbete och annat rättsligt samarbete förhindra att den fria rörligheten inom Schengen får till följd att kriminella personer och organisationer fritt kan verka inom Schengenområdet. (Se SOU 2004:110 s. 344.)
Kontrollen vid de yttre gränserna har tre huvudinriktningar. Den första är den traditionella gränskontrollen, dvs. kontroll av att den inresande har erforderliga handlingar och uppfyller övriga villkor för inresa i Schengenområdet. Den andra är kontrollen av om den in- resande har begått brott eller är efterlyst för brott. Slutligen har den yttre gränskontrollen till syfte att vara ett verktyg för att avvärja hot mot allmän ordning och säkerhet. Personkontrollen vid de yttre gränserna kan således sägas innehålla ett i vid mening brottsföre- byggande moment. (Jfr SOU 2004:110 s. 59 och 61, se även prop. 2015/16:65 s. 61 f.)
I förarbetena till lagen om passagerarregister angavs att förbätt- rade gränskontroller ökar möjligheten att motverka organiserade smugglingsaktioner och att människor utan skyddsbehov luras att till smugglare betala stora summor för att sedan bli avvisade. Förbätt- rade gränskontroller ansågs även innebära att möjligheterna ökar att tidigt kunna identifiera eventuella terrorister och avvärja nya terror- dåd (se prop. 2005/06:129 s. 35).
250
SOU 2017:57
14.4Överföring av
För att uppnå
Förpliktelser att överföra
Vår utmaning är att försöka få genomförandena av de båda direk- tiven att fungera sida vid sida. Kan något föras ihop? Eller talar över- vägande skäl för att genomförandena och tillämpningen av dessa behöver hållas isär?
14.5Skillnader mellan PNR- och
Det kan inledningsvis konstateras att de båda direktiven har delvis olika, delvis överlappande mål och syften.
251
SOU 2017:57 |
gränsöverskridande brottslighet.
En ytterligare väsentlig skillnad är att
252
SOU 2017:57
I
Direktiven innehåller vidare olika bestämmelser om överförings- tider. Enligt
Enligt
En stor skillnad mellan de båda direktiven är vidare direktivens olika lagringstider för de överförda uppgifterna. Enligt
253
SOU 2017:57 |
till Polismyndigheten. Om uppgifter i registret behövs för att Polis- myndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. I
14.6Våra överväganden
14.6.1Hur
Vår bedömning:
Genomförandet av
För de
254
SOU 2017:57
vara tillämpliga. De
Vår bedömning är mot denna bakgrund att
I rättslig mening påverkar
Som tidigare har angetts kommer en översyn av
14.6.2Är en samordnad hantering
av PNR- och
Vår bedömning: En samordnad hantering av PNR- och API- uppgifter vid enheten för passagerarinformation är möjlig även avseende
255
SOU 2017:57 |
En gemensam hantering av de PNR- och
Enligt vad som framgått ovan finns det dock stora skillnader mellan API- och
256
SOU 2017:57
till att bekämpa olaglig invandring, och inte avser brottsbekämpning av något slag eller avser bekämpning av annan brottslighet än sådan som omfattas av
Det kan te sig svårt att inom samma enhet hantera passagerar- uppgifter som inhämtas enligt bestämmelserna i två direktiv med så pass olika bestämmelser och delvis olika syften och tillämpnings- områden.
257
SOU 2017:57 |
Med hänsyn till det ovanstående kan det alltså synas svårt att hantera
För det första behöver det säkerställas att de
För det andra är det av största vikt att det i alla lägen står klart enligt vilket syfte
258
SOU 2017:57
mation inte användas. Inte heller kan uppgifterna i den databasen användas när syftet med behandlingen är att utföra en gränskontroll avseende annan eller lindrigare brottslighet än den som avses i PNR- direktivet. I sådana fall får i stället passagerarregistret innehållandes endast
För det tredje krävs ett säkerställande av att extern tillgång, dvs. åtkomst från operativa delar av Polismyndigheten eller direktåt- komst för Säkerhetspolisen och eventuellt även Tullverket, endast är möjlig till det passagerarregister som genomför
För att säkerställa att användandet av uppgifterna från respek- tive inhämtning endast används på de sätt som direktiven medger krävs alltså en bra riggad organisation, god kunskap i dessa frågor hos befattningshavarna vid enheten för passagerarinformation och en närvarande rättslig kompetens. Vidare kommer en tät intern kontroll och extern tillsyn att vara nödvändig.
I övrigt vill vi understryka att det ovan sagda handlar om rätts- liga gränser och begränsningar för behandlingen och användningen av de olika uppgiftsslagen inom enheten för passagerarinformation samt för vidareanvändningen av uppgifterna. De informations- tekniska systemen måste tekniskt och logiskt klara av att hantera de krav som ställs upp, särskilt i de bestämmelser som genomför PNR- direktivet. Så länge detta sker, är frågor om hur de informations- tekniska systemen anordnas eller fungerar inte något som bör bli föremål för författningsreglering.
259
15Enhetens överföring och utbyte av
15.1Inledning
Det är ett centralt syfte med
Direktivets bestämmelser om utbyte mellan medlemsstaterna inne- bär även att den svenska enheten för passagerarinformation kommer att kunna begära och få ta emot
Slutligen finns en bestämmelse som innebär att behöriga svenska myndigheter i undantagsfall kan vända sig direkt till andra medlems-
261
Enhetens överföring och utbyte av |
SOU 2017:57 |
stater med en begäran om överföring av
15.2Överföring av
till behöriga nationella myndigheter
15.2.1Behörig myndighet
Vårt förslag: En behörig myndighet definieras i lagen som en sådan av regeringen utsedd myndighet som har behörighet att behandla
Av direktivets artikel 7.1 framgår att varje medlemsstat ska utse de myndigheter som ska vara behöriga att begära eller ta emot PNR- information från enheten för passagerarinformation. Dessa myndig- heter ska ansvara för den vidare granskningen av informationen samt för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. De myn- digheter som utses ska därmed, som får anses framgå av artikel 7.2, vara sådana myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet. Varje medlemsstat ska enligt artikel 7.3 senast den 25 maj 2017 meddela kommissionen vilka myndigheter som har utsetts.
Det ingår inte i vårt uppdrag att föreslå vilka myndigheter som ska anses behöriga enligt
Våra överväganden
Det är en lämplig ordning att regeringen avgör vilka brottsbekäm- pande myndigheter som ska vara behöriga enligt direktivet. Av vårt lagförslag bör emellertid framgå vilka myndigheter som regeringen
262
SOU 2017:57 |
Enhetens överföring och utbyte av |
över huvud taget kan ge behörighet att begära eller ta emot PNR- uppgifter och som därmed är skyldiga att behandla dessa uppgifter på det sätt som anges i direktivet. Detta kan åstadkommas genom att det i lagen förs in en definition av begreppet behörig myndighet som inte räknar upp olika myndigheter men som avgränsar vad för slags myndighet som kan komma i fråga och hur den utses som be- hörig enligt direktivet. En definition av detta slag har den fördelen att den inte behöver ändras om nya myndigheter skulle utses som behöriga. Genom att definiera begreppet undviks också att en upp- räkning av de behöriga myndigheterna behöver införas i lagens olika bestämmelser.
Enligt vårt förslag ska med en behörig myndighet avses en sådan av regeringen utsedd myndighet som har behörighet att behandla
15.2.2Överföring av
Vårt förslag: Enheten för passagerarinformation ska i enskilda fall lämna
1.en vidare granskning ska ske av
2.besvara en motiverad begäran från en behörig myndighet om att tillhandahålla och behandla
263
Enhetens överföring och utbyte av |
SOU 2017:57 |
3.vidarebefordra
En befattningshavare vid enheten ska ha gjort en bedömning av
I vilka situationer ska
Enheten för passagerarinformation ska enligt direktivet föra vidare
Enheten kan dock även motta
Enligt vår mening bör det i författning klargöras i vilka situatio- ner enheten för passagerarinformation får överföra
264
SOU 2017:57 |
Enhetens överföring och utbyte av |
Närmare förutsättningar för att en överföring ska få ske
Direktivets bestämmelser
I artikel 6.5 och 6.6 finns närmare bestämmelser om hur enheten för passagerarinformation ska gå till väga när en träff har uppkom- mit i samband med en förhandsbedömning av passagerare. Av arti- kel 6.5 framgår att sådana träffar alltid ska granskas individuellt med
När enheten för passagerarinformation mottar uppgifter från en annan medlemsstats motsvarande enhet efter en förhandsbedömning vid den enheten ska, enligt artikel 9.1, bestämmelsen i artikel 6.6 tillämpas. Således får även i dessa fall en överföring av
Hur enheten ska gå till väga när den ska besvara en särskild för- frågan framgår indirekt av artikel 6.2 b. Enligt bestämmelsen ska en sådan förfrågan endast besvaras i enskilda fall. För att enheten ska behandla en begäran krävs vidare att den är vederbörligen motiverad. Vidare ska förfrågan enligt artikel 6.2 b bygga på tillräckliga skäl om att tillhandahålla och behandla
265
Enhetens överföring och utbyte av |
SOU 2017:57 |
de
Våra överväganden
Förutsättningarna för att en överföring alls ska få ske till de be- höriga myndigheterna bör framgå av lagen. Således bör det av lagen framgå att överföringar från enheten för passagerarinformation till behöriga myndigheter endast får ske i enskilda fall. Det krävs således alltid att en individuell bedömning utförs innan
Enligt direktivet ska träffar i samband med automatisk behand- ling av
En rent automatisk behandling av
266
SOU 2017:57 |
Enhetens överföring och utbyte av |
lagen. Vidare bör det av lagen framgå att en förfrågan från en be- hörig myndighet ska vara motiverad och avse behandling av PNR- information för ett eller flera av de syften som anges i lagens portal- bestämmelse.
Närmare om den bedömning som ska göras vid enheten
Utöver vad som angetts ovan innehåller direktivet inte några närmare bestämmelser om vilka överväganden som bör göras vid enheten för passagerarinformation vid bedömningen av om en träff i sam- band med en förhandsbedömning av passagerare ska överföras till behöriga myndigheter. Det uppställs således inte något krav på att en person ska finnas med i något eller några relevanta register eller andra uppgiftssamlingar för att informationen ska anses vara tillräck- ligt intressant för att föras vidare. Det anges inte heller i vilket skede som sökningar i olika register eller andra uppgiftssamlingar får göras. Enligt vår mening bör det, utöver vad som anges i direktivet, inte närmare i lag eller förordning anges hur enheten för passagerarinfor- mation ska göra sitt urval. Det bör således vara upp till personalen vid enheten för passagerarinformation att bedöma huruvida viss information är så pass intressant att den bör sändas vidare för när- mare granskning. Det kan i sammanhanget tilläggas att de behöriga myndigheterna kan ha annan information om de resande som inte finns tillgänglig för enheten för passagerarinformation, vilket medför att även vissa inledningsvis mindre intressanta träffar visar sig vara högintressanta för de behöriga myndigheterna.
Den granskning som ska utföras vid enheten för passagerarinfor- mation innan
267
Enhetens överföring och utbyte av |
SOU 2017:57 |
terroristbrottslighet eller grov brottslighet. Så kan vara fallet exem- pelvis om en sökning mot på förhand fastställda kriterier ger ett orimligt stort utfall. Vidare anser vi att det av artikel 6.5 och 6.6 rimligen följer att granskningen också ska omfatta att överföring bara sker till en behörig myndighet som kan antas behöva PNR- informationen för att göra en närmare granskning av informationen och eventuellt göra insatser för att bekämpa aktuell brottslighet. T.ex. bör ett översändande till Ekobrottsmyndigheten endast ske när det kan vara fråga om sådan brottslighet som den myndigheten arbetar mot.
I artikel 6.2 b anges att svaret på en viss förfrågan från en be- hörig myndighet ska tillhandahållas de behöriga myndigheterna. Skrivningen kan tolkas som att svaret på en förfrågan ska överföras till samtliga behöriga myndigheter. De behöriga myndigheterna har dock olika uppdrag och därmed olika intressen av att få ta del av
För det fall
Vidare bör det alltid kontrolleras att
268
SOU 2017:57 |
Enhetens överföring och utbyte av |
uppgifter. Som tidigare har angetts kan sådana känsliga personupp- gifter t.ex. dölja sig bland de allmänna anmärkningarna (se vidare i avsnitt 18.5).
Vad som bör ingå i den granskning som ska utföras av enheten för passagerarinformation innan en överföring görs framgår implicit av andra bestämmelser i lagen eller förordningen och behöver, enligt vår mening, inte anges särskilt i regleringen.
15.3Utbyte av
15.3.1Medlemsstat
Vårt förslag: En medlemsstat definieras i lagen som en stat som är medlem i EU, med undantag för Danmark.
Artikel 9 gäller vid utbyte av
Ordet medlemsstat används på flera håll i direktivet, främst i fråga om överföring av
Om Danmark skulle besluta att ansluta sig till direktivet kom- mer Danmark att ingå bland de medlemsstater som omfattas av direktivet. I sådant fall skulle en definition av begreppet inte behövas.
269
Enhetens överföring och utbyte av |
SOU 2017:57 |
15.3.2Utbyte mellan medlemsstaternas enheter för passagerarinformation
Vår bedömning: Regleringen ska innehålla bestämmelser om den svenska enheten för passagerarinformations skyldigheter att över- föra
Av direktivets skäl 23 framgår att medlemsstaterna bör utbyta
Bestämmelserna i artiklarna
270
SOU 2017:57 |
Enhetens överföring och utbyte av |
till vår nationella enhet får självfallet regleras i respektive medlems- stats rättsordning. Våra förslag till reglering kommer således att inne- hålla bestämmelser om den nationella enhetens skyldigheter att under de förutsättningar som anges i direktivet överföra uppgifter till övriga medlemsstaters motsvarande enheter och behöriga myndigheter. Våra förslag kommer också att innehålla vissa bestämmelser om hur enheten för passagerarinformation samt våra behöriga myndigheter ska gå till väga för att inhämta uppgifter från motsvarande enheter i de andra medlemsstaterna. Våra behöriga myndigheters möjlighet i denna del kommer att behandlas i avsnitt 16.1.
Överföring av
Vårt förslag: Enheten för passagerarinformation ska till en mot- svarande enhet i en annan medlemsstat överföra sådan PNR- information som behandlats för ändamålet förhandsbedömning och som bedömts vara relevant och nödvändig för vidare gransk- ning i den andra medlemsstaten.
Direktivets bestämmelse
När personer har identifierats av en enhet för passagerarinforma- tion i enlighet med artikel 6.2, ska enheten enligt artikel 9.1 även översända alla relevanta och nödvändiga
Våra överväganden
Artikel 9.1 innebär att enheten för passagerarinformation självmant ska överföra
271
Enhetens överföring och utbyte av |
SOU 2017:57 |
av sådana uppgifter på begäran (6.2 b). Dock anges i bestämmelsen också att ett översändande ska ske när någon har identifierats, vilket enligt bestämmelsen i artikel 6.2 endast sker vid förhandsbedöm- ningar. Dessutom anges att de översända uppgifterna ska behandlas enligt artikel 6.6 i den mottagande staten. Artikel 6.6 behandlar också endast förhandsbedömningar av passagerare. Med hänsyn härtill är det vår uppfattning att artikel 9.1 ska läsas som att den endast avser överföring av sådan
Således ska enheten för passagerarinformation enligt bestäm- melsen i artikel 9.1 överföra sådan
272
SOU 2017:57 |
Enhetens överföring och utbyte av |
och ett urval både av vilken eller vilka mottagare som kan komma i fråga och vilken
Artikel 9 gäller vid utbyte av
En bestämmelse om under vilka förutsättningar den svenska en- heten för passagerarinformation på eget initiativ ska överföra PNR- uppgifter till utlandet är av så grundläggande betydelse att den bör genomföras i lag.
Överföring av
Vårt förslag: Enheten för passagerarinformation ska så snart som möjligt besvara en motiverad begäran från en motsvarande enhet i en annan medlemsstat och överföra lagrade
Direktivets bestämmelse
Enligt artikel 9.2 ska enheten för passagerarinformation i en med- lemsstat ha rätt att vid behov begära att en motsvarande enhet i en annan medlemsstat tillhandahåller
273
Enhetens överföring och utbyte av |
SOU 2017:57 |
gifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhanda- hålla den begärda informationen så snart som möjligt.
Om de begärda uppgifterna är äldre än sex månader och därmed har maskerats får enheten för passagerarinformation tillhandahålla fullständiga, avmaskerade,
Våra överväganden
En bestämmelse som genomför enheten för passagerarinformations skyldigheter att överföra
Av bestämmelsen bör vidare framgå att förfrågan från den andra medlemsstaten ska vara motiverad. Skälen till detta är att enheten för passagerarinformation ska kunna bedöma huruvida den begärda informationen behövs för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och begäran därmed över huvud taget får behandlas.
274
SOU 2017:57 |
Enhetens överföring och utbyte av |
Vi kommer att återkomma till frågan om överföring av avmaske- rade
Inför ett överlämnande av
Överföring efter begäran om att inhämta
Vårt förslag: När det i ett enskilt fall är nödvändigt med tillgång till
Om åtkomst till
Även en bestämmelse som genomför enheten för passagerar- informations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av bestämmelsen bör framgå att enheten för passagerarinformation på begäran av en motsvarande enhet i annan medlemsstat ska inhämta uppgifter från lufttrafikföretagen på andra tider än normalt och överföra dessa till den begärande enheten. Uppgifterna ska enligt direktivet hämtas in endast i undantagsfall, vilket torde innebära att det endast är tillåtet i vissa särskilda situationer. Vi föreslår därför att det i lagen anges att uppgifterna endast ska hämtas in på detta sätt i ett enskilt fall. Vidare ska enligt direktivet uppgifter endast hämtas in på andra tider än normalt för det fall de är nödvändiga för att
275
Enhetens överföring och utbyte av |
SOU 2017:57 |
reagera på ett specifikt och faktiskt hot med anknytning till terrorist- brottslighet eller grov brottslighet. I svensk lagstiftning brukar ordet fara användas i stället för hot. Ordet används bland annat i brotts- datalagen. Med hänsyn härtill föreslår vi att ordet fara används i stället för hot även i genomförandet av denna lag. Av samma an- ledning bör ordet avvärja användas i vår lag i stället för begreppet reagera på, som används i
15.3.3Överföring på direkt begäran från en behörig myndighet i en annan medlemsstat
Vårt förslag: Endast när det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en motiverad förfrågan från en myndighet som utsetts som behörig i en annan medlemsstat och överföra
Enheten för passagerarinformations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av en sådan lagbestämmelse bör framgå att enheten endast i speciella undantagsfall ska besvara en begäran från en behörig myndighet i en annan medlemsstat om att få ta del av
276
SOU 2017:57 |
Enhetens överföring och utbyte av |
15.3.4Enhetens inhämtande av
från andra medlemsstaters motsvarande enheter
Våra förslag: En begäran om att få ta del av
Endast när det i ett enskilt fall är nödvändigt för att reagera på en specifik och faktisk fara med anknytning till terrorist- brottslighet eller grov brottslighet, får enheten för passagerar- information hos en motsvarande enhet i en annan medlemsstat begära att
Bestämmelser om detta kan tas in i förordning.
Som framgått ovan innehåller artikel 9.2 och 9.4 också vissa upp- gifter om hur en nationell enhet för passagerarinformation ska gå till väga när den vill ha tillgång till
277
Enhetens överföring och utbyte av |
SOU 2017:57 |
förhindra, upptäcka, utreda eller lagföra sådan brottslighet som omfattas av direktivet. Begäran får vidare enligt artikel 9.2 avse en viss uppgift eller en kombination av uppgifter. Något krav på formen för begäran anges inte och därmed inte heller något uttryckligt skriftlighetskrav. Av artikel 9.5 framgår att informationsutbytet får ske via alla befintliga kanaler för samarbete mellan staterna. En be- gäran om att få ta del av
Enligt vår mening kan frågan om enheten för passagerarinfor- mations skyldigheter i samband med en begäran om att få ta del av
I artikel 9.4 behandlas vår nationella enhets möjlighet att begära att en annan medlemsstats motsvarande enhet hämtar in uppgifter från lufttrafikföretag på andra tider än som i övrigt följer av direk- tivet. En bestämmelse som genomför artikeln i fråga om enhetens begäran bör utformas på samma sätt som angetts ovan för den situa- tion där vår enhet mottar en sådan begäran. Även denna fråga kan regleras i förordning.
15.3.5Former för informationsutbytet
Informationsutbytet mellan medlemsstaterna får enligt artikel 9.5 ske via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det språk som används i samband med be- gäran och informationsutbytet ska vara det som gäller för den kanal som används. Medlemsstaterna ska i samband med att de lämnar meddelanden i enlighet med artikel 4.5 även meddela kommissionen uppgifter om de kontaktpunkter till vilka framställningar kan sändas
278
SOU 2017:57 |
Enhetens överföring och utbyte av |
i nödfall. Kommissionen ska underrätta medlemsstaterna om dessa uppgifter.
Bestämmelserna i artikel 9.5 behöver enligt vår bedömning inte författningsregleras.
15.4Europols tillgång till
15.4.1Europol och dess verksamhet
Europol är EU:s gemensamma polisbyrå och utgör en del av det brottsbekämpande samarbetet i unionen. Europol har till uppgift att stödja och stärka medlemsstaternas polismyndigheter och andra brottsbekämpande organs insatser och deras samarbete för att förebygga och bekämpa viss brottslighet.
Europol är en egen juridisk person och har ställning av en EU- enhet, finansierad genom unionens allmänna budget. Europols be- hörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlems- staternas sida på grund av brottslighetens omfattning, betydelse eller följder.
Europol arbetar till stor del med insamling, behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen och fungerar som en knutpunkt för utbyte av upp- gifter mellan medlemsstaterna. Medlemsstaterna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa upp- gifter sammanställs och bearbetas samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som härigenom får ett bättre underlag för sin opera- tiva verksamhet. Härutöver stödjer Europol medlemsstaterna med rådgivning och fördjupade specialkunskaper vid utredningar och till- handahåller även strategiska underrättelser för att främja operationer i medlemsländerna m.m.
Europol har egna datasystem och upprättar särskilda analysfiler för de ärenden där Europol tar på sig att utföra analysarbetet. Regel- verket innehåller detaljerade bestämmelser om dataskyddet hos Europol och om tillgång till uppgifter som behandlas av Europol.
279
Enhetens överföring och utbyte av |
SOU 2017:57 |
Inom ramen för samarbetet finns också ett gemensamt informa- tionssystem (Siena) för säkert informationsutbyte.
I varje medlemsstat finns det en nationell enhet som är kontakt- punkt och förbindelselänk mellan Europol och medlemsstaternas myndigheter. Chefen för den nationella enheten har också en formell roll i Europols interna verksamhet. I Sverige är Polismyndigheten nationell enhet. Det operativa ansvaret har lagts vid Polismyndig- hetens nationella operativa avdelning. Den nationella enheten har till huvudsaklig uppgift att förse Europol med den information från de nationella polisregistren eller motsvarande som ska överlämnas till Europol, samt att ta emot information som kommer från Europol och vidarebefordra denna till sådana nationella myndigheter och organ som är ansvariga för att förebygga och bekämpa brott.
Europols ledning utgörs dels av en styrelse bestående av repre- sentanter från alla medlemsstater och kommissionen, dels en verk- ställande direktör som assisteras av tre biträdande verkställande direktörer. Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkontoret finns personal som är direkt anställd av Europol, t.ex. experter och analytiker inom olika områden. Där arbetar också särskilda sambandsmän som är utsända av medlemsstaterna. Sam- bandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheter- na samt att samverka med Europols anställda i bl.a. analysarbetet.
Europol inrättades genom Europolkonventionen år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömning- en att tillträdet till konventionen endast i mycket begränsad om- fattning krävde lagändringar (prop. 1996/97:164). Europols verk- samhet inleddes år 1999. Europolkonventionen ersattes sedermera av rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europolrådsbeslutet).
15.4.2Europolförordningen
Den 11 maj 2016 antog Europaparlamentet och rådet förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF,
280
SOU 2017:57 |
Enhetens överföring och utbyte av |
2009/936/RIF och 2009/968/RIF (Europolförordningen). Förord- ningen ska i sin helhet tillämpas från och med den 1 maj 2017 då Europolrådsbeslutet upphörde att gälla. Eftersom Europolförord- ningen är bindande och direkt tillämplig i medlemsstaterna har be- stämmelserna i förordningen inte genomförts i svensk lagstiftning. Europolförordningen har inte heller bedömts medföra behov av några kompletterande bestämmelser i svensk rätt (se prop. 2016/17:139 s. 81).
Europolförordningen innehåller det styrande regelverket för Europol. Europol kommer även fortsättningsvis ha som huvudsak- lig uppgift att stödja och stärka insatser som utförs av de brotts- bekämpande myndigheterna i medlemsstaterna samt deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som rör två eller fler medlemsstater, terrorism och sådana former av brottslighet som påverkar ett gemensamt intresse som omfattas av unionens politik. Vilken form av brottslighet som avses anges i bilaga I till Europolförordningen. Genom Europolförordningen har Europols uppgifter och mandat utökats något. Europol har bl.a. fått i uppgift att samordna, organisera och initiera insatser tillsammans med med- lemsstaterna.
Medlemsstaternas skyldighet att förse Europol med den infor- mation som byrån behöver för att genomföra sitt uppdrag förtyd- ligas i Europolförordningen. Enligt artikel 7.6 ska varje medlems- stat tillhandahålla Europol den information som är nödvändig för att den ska kunna uppfylla sina mål. Varje medlemsstat ska också säker- ställa att nationell rätt efterlevs vid tillhandahållande av information till Europol. Enligt förordningen föreligger således en uppgiftsskyl- dighet för de nationella myndigheterna gentemot Europol. Ansvaret för att översändandet av uppgifterna är lagenlig ligger enligt för- ordningen hos den medlemsstat som lämnade uppgifterna.
En annan skillnad i förhållande till rådsbeslutet är att den pro- cedur enligt vilken Europol kan ingå avtal med tredjeland och vill- koren för överförande av personuppgifter till tredjeland regleras. Europolförordningen innehåller även ett uppdaterat avsnitt med data- skyddsregler. Europolförordningen innehåller därmed en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som är mer detaljerade än det nya dataskydds- direktivet (se SOU 2017:29 s. 577).
281
Enhetens överföring och utbyte av |
SOU 2017:57 |
Av artikel 41 framgår att Europols styrelse ska utse ett data- skyddsombud, som ska vara anställd vid Europol. Vid fullgörandet av sina arbetsuppgifter ska dataskyddsombudet agera oberoende.
15.4.3Direktivets bestämmelser
Europol har enligt
De närmare bestämmelserna om Europols tillgång till PNR- uppgifter finns i artikel 10. Av artikel 10.1 framgår att Europol, inom ramen för sina befogenheter och för fullgörandet av sina arbetsupp- gifter, ska ha rätt att begära specifika
Enligt artikel 10.3 ska Europol informera det dataskyddsombud som har utsetts i enlighet med artikel 28 i Europolrådsbeslutet om
282
SOU 2017:57 |
Enhetens överföring och utbyte av |
varje informationsutbyte enligt den här artikeln. Som angetts finns en liknande bestämmelse i artikel 41 i Europolförordningen.
I artikel 10.4 anges att informationsutbyte enligt artikeln ska äga rum via Siena och i enlighet med Europolrådsbeslutet. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena.
Av direktivets skäl 23 framgår att medlemsstaterna bör utbyta
15.4.4Våra överväganden och förslag
Vårt förslag: Enheten för passagerarinformation ska besvara en motiverad begäran från Europol och överföra
Regleringen i Europolförordningen innebär bl.a. att Sverige, lik- som övriga medlemsstater, har en skyldighet att lämna sådan infor- mation till Europol som är nödvändig för att den ska kunna uppfylla sina mål.
En tanke bakom
283
Enhetens överföring och utbyte av |
SOU 2017:57 |
ansvarar enligt förordningen medlemsstaterna för att nationell rätt efterlevs vid tillhandahållande av information till Europol. För det fall det i svensk rätt genomförs närmare bestämmelser om hur PNR- uppgifterna får överföras till Europol, kommer dessa bestämmelser att behöva tillämpas av enheten för passagerarinformation vid över- föringar till Europol.
Enligt vår bedömning är det inte tillräckligt att luta sig mot de bestämmelser om tillhandahållande av uppgifter som anges i Europol- förordningen. För att genomföra
Genomförandet av direktivets bestämmelser
Artikel 10 innehåller såväl skyldigheter för medlemsstaternas enhe- ter för passagerarinformation att på begäran vidarebefordra PNR- information till Europol, som en rättighet för Europol att begära och motta sådana uppgifter. På samma sätt som vid överföring till andra medlemsstater ser vi det som vår uppgift att författningsreg- lera vår enhet för passagerarinformations skyldighet att i vissa fall översända uppgifter till Europol. I den mån bestämmelserna inne- håller stadganden om i vilka fall och hur Europol ska gå till väga för att begära in PNR uppgifter från de nationella enheterna för passa- gerarinformation, bör dessa tas om hand av Europol. Det kan i vart fall inte ankomma på Sverige att genomföra dessa bestämmelser.
De grundläggande förutsättningarna för den svenska enheten för passagerarinformations överföring av
284
SOU 2017:57 |
Enhetens överföring och utbyte av |
resor (artikel 6.2 b). Med hänsyn härtill och till skyldigheterna enligt Europolförordningen att tillhandahålla Europol med information, bör lagen inte innehålla närmare reglering om i vilka fall PNR- information får överföras till Europol. Innehållet i artikel 10 och direktivets skäl 23 medför dock enligt vår mening att det i bestäm- melsen bör anges att en begäran från Europol ska vara motiverad. Härigenom säkerställs att överföringar endast sker för användning i verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
I artikel 10 anges inte närmare i vilken form de efterfrågade upp- gifterna ska tillhandahållas. För det fall de begärda
Enligt artikel 10.3 ska Europol informera sitt dataskyddsombud om varje informationsutbyte som sker enligt artikeln. Det bör an- komma på Europol, och således inte på den nationella lagstiftaren, att genomföra denna bestämmelse.
Bestämmelsen i artikel 10.4 innebär enligt vår tolkning att infor- mationsutbytet med Europol ska ske via Siena och i enlighet med Europolförordningen. Dessa frågor behöver enligt vår mening inte författningsregleras.
15.5Överföring av avmaskerade
15.5.1Direktivets bestämmelser
När de
285
Enhetens överföring och utbyte av |
SOU 2017:57 |
mer därmed endast de maskerade uppgifterna att lämnas ut. Full- ständiga
I artikel 12.3 anges således att vid utgången av sexmånadersperio- den ska utlämnande av fullständiga
För det första ska ett utlämnande rimligen kunna antas vara nöd- vändigt för de ändamål som anges i artikel 6.2 b. Av den bestämmel- sen följer att enheten får behandla personuppgifter för ändamålet att i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla
För det andra krävs tillstånd från
a)en rättslig myndighet, eller
b)en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång (på eng. disclosure) är uppfyllda. Detta gäller under förutsättning att dataskydds- ombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.
Enligt artikel 9.2 sista meningen och 9.3 gäller likalydande villkor vid utlämnande från enheten till en enhet eller behörig myndighet i en annan medlemsstat. I artikel 9.2 anges således att enheten för passagerarinformation ska tillhandahålla avmaskerade uppgifter en- dast om det rimligen kan antas vara nödvändigt för de ändamål som anges i artikel 6.2. b och detta endast efter tillstånd från en behörig myndighet som avses i artikel 12.3 b. I artikel 9.3 hänvisas till denna bestämmelse.
I artikel 11.1 d görs också en hänvisning varav framgår att samma villkor också gäller vid överföring till tredjeland, utöver de ytterligare begränsningar som finns föreskrivna i artikel 11, se avsnitt 17.3.2.
286
SOU 2017:57 |
Enhetens överföring och utbyte av |
15.5.2Vilka överföringar kräver att särskilda förutsättningar är uppfyllda?
Vårt förslag: Överföring av avmaskerade
Artikel 12.3 anger alltså förutsättningarna för överföring av fullstän- diga, dvs. avmaskerade
Det förhållandet att det i vissa artiklar särskilt anges att arti- kel 12.3 ska vara tillämplig vid en överföring kan, enligt vår mening, inte tas till intäkt för att bestämmelsen inte är tillämplig vid andra överföringar enligt lagen. Bestämmelsen i artikel 12.3 är generellt for- mulerad och träffar därmed överföringar från enheten för passa- gerarinformation till i och för sig behöriga mottagare. Artikel 12.3 ska därför tillämpas även vid överföringar till svenska behöriga myn- digheter och till Europol. Att bestämmelsen är generellt tillämplig vid sådana överföringar som omfattas av direktivet bör framgå genom reglering i den nya lagen.
287
Enhetens överföring och utbyte av |
SOU 2017:57 |
15.5.3Vilken prövning ska enheten göra?
Vårt förslag: Enheten för passagerarinformation ska göra en egen bedömning av om en överföring av fullständiga uppgifter rimligen kan antas vara nödvändig för att besvara mottagarens begäran.
För att avmaskerade
Enligt vår tolkning av bestämmelserna innebär detta att en för- utsättning för överföring av avmaskerade uppgifter är att en särskild förfrågan ställts till enheten av en behörig mottagare eller ett tredje- land. En ytterligare förutsättning är att enheten har gjort en egen prövning av motiven till förfrågan och funnit att det rimligen kan antas vara nödvändigt för att besvara förfrågan korrekt att motta- garen i sin bekämpning av terroristbrottslighet eller grov brottslig- het får tillgång inte bara till maskerade
Direktivets bestämmelser om överföring av avmaskerade upp- gifter ger inte medlemsstaterna utrymme att införa snävare förut- sättningar för överföring än de som direktivet föreskriver. Således vore det som vi ser det inte förenligt med direktivet att t.ex. före- skriva att överföring av avmaskerade
288
SOU 2017:57 |
Enhetens överföring och utbyte av |
för enhetens prövning av om en överföring av avmaskerade PNR- uppgifter är motiverad bör framgå genom bestämmelser i lagen som med vissa tillägg hänvisar till de bestämmelser som genomför artiklarna 6.2 b och 9.2.
I detta sammanhang förtjänar att påpekas att utlämnanden med stöd av tryckfrihetsförordningen inte kan begränsas på grund av de bestämmelser vi föreslår för att genomföra direktivet.
15.5.4Vem ska lämna tillstånd till överföring av fullständiga uppgifter?
En ytterligare förutsättning för överföring av avmaskerade uppgifter, dvs. fullständiga
a)en rättslig myndighet, eller
b)en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passa- gerarinformation informeras och att denne gör en efterhands- utvärdering.
I EU:s rättsakter för samarbete i rättsliga frågor används ofta be- greppet rättslig myndighet. Med en sådan myndighet avses enligt en vedertagen uppfattning i första hand domstol eller, för svenska förhållanden, åklagare.
289
Enhetens överföring och utbyte av |
SOU 2017:57 |
Datalagring
Brottsbekämpande myndigheters tillgång till trafikuppgifter om elektronisk kommunikation via data- eller telenät företer vissa lik- heter med systemet för lagring och utbyte av
Det finns dock stora skillnader. Systemet med datalagring av trafikuppgifter innebär en skyldighet för teleoperatörer m.fl. att lagra sin kommersiella information om kunders teletrafik m.m. under viss tid och således inte att leverera den till en nationell enhet för att där samlas i en databas såsom enligt
Datalagringsdirektivet och det svenska genomförandet
Datalagringsdirektivet1, som antogs den 15 mars 2006, syftade till att harmonisera medlemsstaternas bestämmelser om skyldighet att lagra vissa uppgifter om elektronisk kommunikation för att på så sätt säkerställa att uppgifterna är tillgängliga för avslöjande, utredning och åtal av allvarliga brott. Direktivet genomfördes i svensk rätt bl.a. genom införandet av nya bestämmelser i 6 kap. 16
1 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgäng- liga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.
290
SOU 2017:57 |
Enhetens överföring och utbyte av |
Tillgång till datalagrade uppgifter var inget nytt verktyg inom den svenska brottsbekämpningen när datalagringsdirektivet antogs. Redan vid genomförandet av datalagringsdirektivet var tillgången reglerad såsom ett hemligt tvångsmedel i 27 kap. 19 § RB genom be- stämmelser om hemlig teleövervakning (numera hemlig övervakning av elektronisk kommunikation). Den regleringen var och är tillämp- lig när trafikuppgifter ska inhämtas i en förundersökning. Tillstånd meddelas av allmän domstol. I lagen om elektronisk kommunika- tion fanns vidare bestämmelser om tillgång till trafikuppgifter i bl.a. underrättelseverksamhet. Dessa bestämmelser upphävdes dock vid genomförandet av datalagringsdirektivet och ersattes dels av bestäm- melser i rättegångsbalken som under vissa förutsättningar möjliggör hemlig övervakning av elektronisk kommunikation i en förunder- sökning även om det inte finns någon som är skäligen misstänkt för brott, dels av bestämmelser i en ny lag om inhämtning av sådana uppgifter i underrättelseverksamhet.
Frågan om beslutsordningen i underrättelseverksamhet blev i för- arbetena till inhämtningslagen föremål för regeringens allmänna över- väganden (prop. 2011/12:55 s.88 f.). Regeringen bedömde att rätten att hämta uppgifter om elektronisk kommunikation i förundersök- ningar alltid ska prövas av domstol. Att allmän domstol fattar beslut om hemliga tvångsmedel under en förundersökning ansågs lämpligt och väl förenligt med det tvåpartsförfarande och de möjligheter till rättslig prövning som gäller där. Vidare ställde sig regeringen frågan om allmän domstol borde fatta beslut om inhämtning i under- rättelseverksamhet. I ett utförligt resonemang betonades det bl.a. att det vore principiellt tveksamt att de allmänna domstolarna på förhand rättsligt prövar olika åtgärder som vidtas inom ramen för underrättelseverksamhet. Därmed kunde det finnas risk för att dom- stolens roll som oberoende prövningsinstans i brottmålsförfarandet ifrågasätts, i varje fall när åtgärderna senare leder fram till förunder- sökning och åtal. En sådan roll skulle för domstolen också vara delvis främmande i det svenska rättssystemet. Domstolarna kunde inte heller tillgodose behovet av snabba beslut utanför kontorstid. Mot den bakgrunden ansåg regeringen att allmänna domstolar inte borde ges beslutanderätten för inhämtning av uppgifter om elektro- nisk kommunikation i de brottsbekämpande myndigheternas under- rättelseverksamhet. Att tilldela åklagare en roll i polisens allmänna underrättelsearbete ansågs också olämpligt. Beslutanderätten borde
291
Enhetens överföring och utbyte av |
SOU 2017:57 |
därför inte heller läggas hos åklagare. Inte heller ansågs det lämpligt att inrätta särskilda beslutsnämnder för beslut om inhämtning av övervakningsuppgifter i underrättelseverksamhet. I stället landade regeringen i bedömningen att beslutanderätten borde tillkomma de inhämtande myndigheterna själva med myndighetschefen som be- slutande, dock med möjlighet till delegation.
Lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrät- telseverksamhet (inhämtningslagen) reglerar alltså Polismyndig- hetens, Säkerhetspolisens och Tullverkets möjligheter att hämta in uppgifter om elektronisk kommunikation i underrättelseverksamhet. Beslut om inhämtning enligt inhämtningslagen fattas av myndigheten själv och är inte föremål för någon utomstående förhandskontroll (4 §). Det är myndighetschefen som fattar beslut om inhämtning av trafikuppgifter. Myndighetschefen får delegera rätten att fatta beslut om inhämtning till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs. Den som rätten att fatta beslut har delegerats till, får inte fatta beslut om inhämtning i sådan operativ verksamhet som han eller hon deltar i. Enligt 5 § gäller vissa krav på innehållet i beslutet. I 6 § föreskrivs vidare att Säkerhets- och integritetsskyddsnämnden (SIN) ska under- rättas om beslut om inhämtning av trafikuppgifter enligt inhämt- ningslagen. Enligt lagen (2007:980) om tillsyn över viss brottsbe- kämpande verksamhet har nämnden tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel.
Sammanfattningsvis fungerar systemet således på det sättet att när trafikuppgifter hämtas in i en pågående förundersökning, gäller rättegångsbalkens bestämmelser om hemlig övervakning av elektro- nisk kommunikation med krav på tillstånd från allmän domstol efter ansökan av åklagare, dvs. förundersökningsledaren. I brådskande fall har åklagaren dock möjlighet att fatta interimistiska beslut i väntan på rättens prövning. Inhämtande i underrättelseverksamhet beslutas av varje myndighet själv. Tullverkets myndighetschef, eller efter delegation någon annan inom Tullverket, prövar inhämtande i Tullverkets underrättelseverksamhet osv. Enskilda som har utsatts för tvångsmedlet ska normalt underrättas om åtgärden i efterhand om det handlar om inhämtning i förundersökning men inte om det gäller underrättelseverksamhet. I underrättelseverksamhet ska i stället SIN underrättas om myndighetsbeslut att inhämta trafikuppgifter.
292
SOU 2017:57 |
Enhetens överföring och utbyte av |
Den 8 april 2014 meddelade
De svenska reglerna om datalagring, tillgång till och behandling av datalagrade uppgifter samt bestämmelsernas förhållande till unions- rätten, blev därefter föremål för ingående analys (se Ds 2014:23 och SOU 2015:31). Bland annat analyserades inhämtningslagens fören- lighet med unionsrätten, däribland bestämmelsen i 4 § som innebär att uppgifter inhämtas av en myndighet utan föregående prövning av en oberoende instans. Denna förnyade prövning av beslutsord- ningen ledde dock inte till något förslag till lagändring. Bedöm- ningen gjordes alltså att beslut även i fortsättningen borde fattas av Polismyndigheten, Säkerhetspolisen eller Tullverket. Resonemangen bakom detta kan sägas i stora drag överensstämma med övervägan- den från förarbetena till inhämtningslagen som redovisats ovan.
Den 21 december 2016 meddelade
293
Enhetens överföring och utbyte av |
SOU 2017:57 |
nisk kommunikation är förenliga med unionsrätten.
I dom den 7 mars 2017 upphävde Kammarrätten beslutet att före- lägga Tele2 att lagra trafikuppgifter m.m. för brottsbekämpande ändamål. I domen anges att det, med hänsyn till
Regeringen har gett en särskild utredare i uppdrag att bl.a. se över bestämmelserna om skyldigheten för leverantörer av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommu- nikationstjänster att lagra uppgifter om elektronisk kommunikation samt om de brottsbekämpande myndigheternas tillgång till sådana uppgifter, Utredningen om datalagring och
EU:s
Europaparlamentet har begärt
294
SOU 2017:57 |
Enhetens överföring och utbyte av |
Den 8 september 2016 meddelade generaladvokaten ett förslag till yttrande.2 Yttrandet ska inte redovisas närmare här. Av intresse är dock att generaladvokaten fann det utgöra en brist att den i Kanada insamlande myndigheten, CBSA, själv fattar beslut om ut- lämnande till en annan myndighet i Kanada eller annat tredjeland utan att dess bedömning av skyddsnivån för uppgifterna hos mottagaren är underställd någon förhandskontroll av en oberoende myndighet eller en domstol.
Våra överväganden och förslag
Våra förslag: En förutsättning för att en överföring av avmaske- rade
Bortsett från fall då en svensk åklagare beslutat om inhäm- tande av fullständiga uppgifter, ska dataskyddsombudet vid en- heten för passagerarinformation informeras och göra en efter- handsutvärdering av varje överföring av avmaskerade uppgifter.
Några utgångspunkter
Bestämmelsen om att utlämnande av avmaskerade
2 Förslag till yttrande av generadvokat Paolo Mengozzi, föredraget den 8 september 2016.
295
Enhetens överföring och utbyte av |
SOU 2017:57 |
maskerade
Det kan konstateras att det inte finns någon myndighet som är självskriven för tillståndsgivningen. Något system med lagring och tillgång till
296
SOU 2017:57 |
Enhetens överföring och utbyte av |
anledning att göra förfrågningar till enheten för att skaffa sig mer substans inför ett eventuellt beslut om att inleda förundersökning.
I linje med hur man resonerat i tidigare lagstiftningsärenden om beslutsordning för brottsbekämpande åtgärder som är ingripande för enskilda berörda anser vi att det finns skäl att göra skillnad mellan om behöriga myndigheter begär ut avmaskerade
Behörig myndighets begäran sker i en förundersökning
Förundersökning är ett reglerat förfarande, se 23 kap. RB och för- undersökningskungörelsen (1947:948). Beslut att inleda förundersök- ning kan fattas av Polismyndigheten, Säkerhetspolisen eller åklagare. Även Tullverket kan fatta beslut om inledande av förundersökning enligt 19 § lagen (2000:1225) om straff för smuggling (smugglings- lagen). De befogenheter och skyldigheter som undersöknings- ledaren har enligt rättegångsbalken gäller i sådant fall Tullverket.
Har förundersökningen inletts av Polismyndigheten eller Säker- hetspolisen och är saken inte av enkel beskaffenhet, ska ledningen av förundersökningen om brottet övertas av åklagaren så snart någon skäligen kan misstänkas för brottet. Åklagaren ska också i annat fall överta ledningen när det är motiverat av särskilda skäl (23 kap. 3 § RB). Liknande bestämmelser finns i smugglingslagen. En förunder- sökning kan alltså ledas av en åklagare, en polisiär undersöknings- ledare eller en tulltjänsteman. När förundersökningen leds av åklaga- ren, får han eller hon anlita biträde av Polismyndigheten, Säkerhets- polisen eller Tullverket för att genomföra den. Åklagaren får också uppdra åt en polisman eller tjänsteman vid Tullverket att vidta en viss åtgärd som hör till förundersökningen, om det är lämpligt med hänsyn till åtgärdens beskaffenhet.
Enligt 23 kap. 4 § RB ska en förundersökning bedrivas objektivt. Vid förundersökningen ska förundersökningsledaren söka efter, ta till vara och beakta omständigheter och bevis som talar såväl till den misstänktes fördel som till hans eller hennes nackdel. Förundersök- ningen ska bedrivas så att inte någon onödigt utsätts för misstanke eller orsakas kostnad eller olägenhet.
297
Enhetens överföring och utbyte av |
SOU 2017:57 |
En mängd olika mer eller mindre ingripande åtgärder kan vidtas under en förundersökning. Vissa för enskilda berörda särskilt ingri- pande åtgärder under pågående förundersökning regleras som straff- processuella tvångsmedel i
Gemensamt för all tvångsmedelsanvändning enligt rättegångs- balken är att beslutsförfarandet är reglerat. Vid de mera ingripande tvångsmedlen är allmän domstol ensam behörig att fatta beslut (t.ex. häktning, kvarstad, hemlig rumsavlyssning, hemlig avlyssning eller övervakning av elektronisk kommunikation), dock med rätt i vissa fall för åklagare att fatta interimistiskt beslut i brådskande fall.
Beträffande många andra i och för sig ingripande åtgärder under pågående förundersökning finns inte någon motsvarande reglering som den i rättegångsbalken för tvångsmedel. Exempel härpå är an- vändning i förundersökning av vissa spanings- eller utrednings- metoder såsom infiltration eller provokation. Vad gäller just dessa metoder har i stället utfärdats riktlinjer av Åklagarmyndigheten, RåR 2016:1. Av dessa framgår bl.a. att beslut om användande av sådana metoder alltid ska fattas av den allmänna åklagare som är förundersökningsledare.
Trots den osäkerhet som finns angående hur behöriga myndig- heter kommer att använda sig av möjligheten att begära ut PNR- uppgifter är det vår uppfattning att en sådan åtgärd inte är att jäm- ställa med ett sådant hemligt tvångsmedel som bör regleras som ett sådant i rättegångsbalken. Visserligen finns paralleller med utfående av datalagrad elektronisk kommunikation från teleoperatörer, vilket utgör ett hemligt tvångsmedel benämnt hemlig övervakning av elektronisk kommunikation. Beträffande
298
SOU 2017:57 |
Enhetens överföring och utbyte av |
matiskt inkonsekvent att införa förändringar i det straffprocessuella regelverket som vore kopplade enbart till sådana
Vid bedömningen av hur tillståndsgivningen enligt
Enligt vår mening tillgodoses direktivets krav och enskilda registre- rade passagerares berättigade anspråk på ett tillfredsställande inte- gritetsskydd om det införs en bestämmelse i den nya lagen som föreskriver att en begäran från en behörig myndighet om utfående av avmaskerade
Lydelsen av artikel 12.3 b i direktivet ger vid handen att det är enheten för passagerarinformation som ska inhämta ett tillstånd eller godkännande till utlämnande av avmaskerade
299
Enhetens överföring och utbyte av |
SOU 2017:57 |
praktiken uppnås dock samma resultat om det är den begärande be- höriga myndigheten som inhämtar tillståndet eller godkännandet. Vi ser därför inget hinder mot att genomföra direktivets bestämmelse genom ett på så sätt ”omvänt” förfarande där den behöriga myn- digheten införskaffar ett åklagarbeslut.
En svensk åklagare uppfyller rekvisiten på att vara en sådan rätts- lig myndighet som avses i artikel 12.3 b i direktivet. Direktivet ställer i och för sig inga krav på att den rättsliga myndigheten ska vara oberoende. Vi har dock övervägt om det är olämpligt att en för- undersökningsledande åklagare själv fattar beslutet och därmed står för den särskilda kontrollmekanism som ska stoppa obefogad an- vändning av äldre
300
SOU 2017:57 |
Enhetens överföring och utbyte av |
mer det att i allmänhet vara erfarna åklagare som är förundersök- ningsledare. Mot denna bakgrund finner vi att övervägande skäl talar för inte införa något krav på att beslutsfattande åklagare ska vara någon annan än förundersökningsledaren.
Behörig myndighets begäran sker i underrättelseverksamhet
Av beskrivningen ovan om genomförandet av datalagringsdirektivet har framgått att det inte finns någon reglering om att vissa åtgärder i underrättelseverksamhet ska beslutas eller underställas någon rättslig myndighet eller någon oberoende myndighet av annat slag. Frågan har varit mycket omdiskuterad och bl.a. har Polismetodutredningen föreslagit inrättande av en nämnd för prövning av vissa särskilda spaningsmetoder under underrättelsestadiet (SOU 2010:103), vilket dock inte lett till vidare lagstiftningsåtgärder. Vi har inom ramen för vårt utredningsuppdrag inte haft möjligheten att göra sådana mera ingående analyser som skulle krävas för att föra frågan vidare och eventuellt finna någon ny lämplig övergripande ordning för hur frågor av detta slag skulle tas om hand. Med tanke på att det tillsatts en utredning som ska analysera
Våra överväganden och förslag får således anpassas till den be- fintliga strukturen. Det kan därvid konstateras att det inte finns någon befintlig myndighet som vore självskriven för att ge tillstånd till att behöriga myndigheter får tillgång till avmaskerade PNR- uppgifter i sitt underrättelsearbete.
Fyra olika existerande myndighetsorganisationer, utanför de be- höriga myndigheterna själva, framstår som tänkbara för uppgiften. Dessa är domstolsväsendet, åklagarväsendet och de två tillsynsmyn- digheter som för närvarande har tillsyn över polisens behandling av personuppgifter. Ingen av dessa har, som tidigare angetts, någon erfarenhet av tillståndsgivning i liknande fall. När det gäller dom- stolar och åklagarväsendet instämmer vi dock i de argument mot att lägga beslutsfunktioner hos dem som redovisats ovan i förarbetena till inhämtningslagen. Varken allmän domstol eller åklagare bör alltså
301
Enhetens överföring och utbyte av |
SOU 2017:57 |
ges i uppgift att ta ställning till överföring av avmaskerade person- uppgifter för användning i underrättelseverksamhet.
En annan lösning vore att lägga tillståndsgivningen hos någon av de myndigheter som har till uppgift att utöva tillsyn över den brotts- bekämpande verksamheten. Datainspektionen och SIN har i dag överlappande tillsynsansvar när det gäller Polismyndighetens behand- ling av personuppgifter. Utredningen om tillsynen över den per- sonliga integriteten har nyligen föreslagit att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt både dataskydds- förordningen och det nya dataskyddsdirektivet (se SOU 2016:65). Vidare har utredningen föreslagit att tillsynen över den öppna polisens personuppgiftsbehandling i brottsbekämpande verksamhet inte längre ska ingå i SIN:s uppdrag utan i fortsättningen utföras endast av Datainspektionen. Enligt förslaget kommer Datainspektionen att bli nationell tillsynsmyndighet för Polismyndighetens behandling av personuppgifter i den brottsbekämpande verksamheten och därmed även för arbetet vid enheten för passagerarinformation.
Det vore olämpligt att använda sig av samma myndighet för till- ståndsgivningen som för tillsynen över arbetet inom enheten som för passagerarinformation. Med hänsyn härtill skulle Datainspek- tionen vara utesluten medan SIN däremot skulle kunna användas som tillståndsmyndighet enligt
Det alternativ som återstår att överväga är därmed om frågan om tillstånd eller godkännande av en överföring kan beslutas av någon av de behöriga myndigheterna själva förutsatt att det ges av någon utanför enheten.
302
SOU 2017:57 |
Enhetens överföring och utbyte av |
Som framgått av ovan nämnda avgöranden från
Det som enligt
Behandling, lagring och användning av
303
Enhetens överföring och utbyte av |
SOU 2017:57 |
lika stort intrång i privatlivet som datalagringen. Av den anledningen anser vi att det finns goda skäl för att inte dra så långtgående slut- satser av
Mot bakgrund av det sagda är det vår bedömning att övervägan- de skäl talar för att
Vid valet av en annan tillståndsmyndighet än en rättslig sådan ska enligt direktivets bestämmelser dataskyddsombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvär- dering varje gång avmaskerade
304
SOU 2017:57 |
Enhetens överföring och utbyte av |
om han eller hon vid sin efterhandsutvärdering konstaterar någon brist i hanteringen av överföringen eller liknande.
Bland annat på grund av att dataskyddsombudet alltid ska göra en egen utredning, med möjlighet att anmäla eventuella missförhål- landen till tillsynsmyndigheten, har vi inte funnit skäl att överväga att underrättelse om överföring av avmaskerade
Avslutningsvis vill vi påtala att vi inte är omedvetna om att tillämpningen av beslutsordningen enligt inhämtningslagen i vissa fall föranlett en del kritik från tillsynsmyndigheten SIN. Det inger viss oro och talar för att, i händelse av att en ny ordning för beslutsfat- tande avseende inhämtning av datalagrade uppgifter eller andra åt- gärder i underrättelseförfarande införs som en följd av den översyn av inhämtningslagen som nu genomförs, det kan finnas skäl att i framtiden överväga om också överföring av avmaskerade PNR- uppgifter ska inordnas i ett sådant nytt beslutsförfarande. Det vore dock av värde att kunna göra sådana överväganden först då PNR- systemet kommit igång och funnits en tid för att med erfarenheter från den faktiska hanteringen kunna göra närmare överväganden om vilken beslutsnivå osv. som bör gälla för överföringar enligt den nya lag som genomfört
Begäran från andra länder och Europol
Om det framstår som oklart när, hur och för vilken närmare an- vändning avmaskerade
305
Enhetens överföring och utbyte av |
SOU 2017:57 |
av beslut från andra länders rättsliga myndigheter torde kräva en harmoniserad reglering av något slag.
Enligt direktivet kommer det vidare som huvudregel att vara en enhet för passagerarinformation som begär ut uppgifterna från den svenska enheten. Vilken bakomliggande information som då kommer att göras tillgänglig för den svenska enheten vet vi inte i nuläget, t.ex. om det kommer att bifogas beslut från en åklagare eller under- sökningsdomare om att uppgifterna ska inhämtas i en viss brottsut- redning eller underrättelseverksamhet. Gissningsvis kommer formulär eller något slags standardiserade ordningar införas för detta upp- giftsutbyte men än så länge finns inga sådana utarbetade. Redan av denna anledning anser vi att övervägande skäl talar för att begäran från andra medlemsstaters enheter och Europol alltid ska behandlas på samma sätt som begäran från svenska myndigheter utanför för- undersökningsförfarandet. Det innebär att oavsett om uppgifterna begärs ut från en annan medlemsstat för att användas i en förunder- sökning eller i underrättelseverksamhet, ska Polismyndighetens myndighetschef fatta beslut om utlämnande och dataskyddsom- budet göra en efterhandsutvärdering. Detsamma föreslår vi ska gälla i de absoluta undantagsfall när det kan bli aktuellt att lämna ut avmaskerade
306
16Behöriga myndigheters behandling av
16.1Behöriga myndigheters rätt att motta och begära tillgång till
Som tidigare har angetts ska varje medlemsstat utse de myndig- heter som ska vara behöriga att ta emot eller begära
307
Behöriga myndigheters behandling av |
SOU 2017:57 |
16.1.1Behöriga myndigheters rätt att motta
De behöriga myndigheterna kommer främst att få tillgång till PNR- information avseende sådana passagerare som den nationella enheten för passagerarinformation har valt ut vid de förhandsbedömningar som görs av passagerare före deras beräknade ankomst till eller av- resa från Sverige (artikel 6.2 a och 6.6). Aktuella myndigheter kom- mer även att få tillgång till motsvarande uppgifter som har tagits fram av andra medlemsstaters enheter för passagerarinformation vid deras förhandsbedömningar och som i vissa fall därefter har överförts till den svenska enheten för vidare befordran till svenska behöriga myndigheter (se artikel 9.1 och 6.6).
Vidare kommer de behöriga myndigheterna att få tillgång till
I undantagsfall kan
16.1.2Behöriga myndigheters möjlighet att begära tillgång till
De behöriga myndigheterna har, som framgått ovan, en möjlighet att ställa egna frågor till enheten för passagerarinformation och på så sätt få tillgång till sådan
Det finns enligt direktivet även en möjlighet för de behöriga myndigheterna att vända sig direkt till en enhet för passagerar- information i en annan medlemsstat för att få ta del av sådan PNR- information som finns lagrad hos den enheten. Denna möjlighet, som regleras i artikel 9.3, ska dock endast användas i nödfall och
308
SOU 2017:57 |
Behöriga myndigheters behandling av |
i övrigt enligt de villkor som fastställts i artikel 9.2 (se avsnitt 15.3.3). Även i dessa fall ska begäran vara motiverad. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den be- gärande medlemsstaten. Möjligheten för en behörig myndighet att vända sig direkt till en enhet för passagerarinformation i en annan medlemsstat ska endast användas i undantagsfall. I alla andra fall ska, enligt artikel 9.3, de behöriga myndigheterna översända sina fram- ställningar via enheten för passagerarinformation i den egna med- lemsstaten.
16.1.3Våra överväganden och förslag
Våra förslag: En behörig myndighet som önskar ta del av PNR- information som lagras hos en enhet för passagerarinformation i en annan medlemsstat ska framställa begäran till enheten för passagerarinformation vid Polismyndigheten för vidare förmed- ling till den andra medlemsstaten.
Endast om det i ett enskilt brådskande fall är absolut nöd- vändigt får en behörig myndighet vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om att ta del av
Frågorna kan regleras i förordning.
Införandet av en bestämmelse som innebär att
Vidare saknas det enligt vår bedömning anledning att författ- ningsreglera de närmare förutsättningarna för att en behörig myn-
309
Behöriga myndigheters behandling av |
SOU 2017:57 |
dighet ska få tillgång till
Vidare bör det av författning framgå att en begäran från en be- hörig myndighet om att få ta del av
En situation där det skulle kunna anses absolut nödvändigt för en behörig myndighet att vända sig direkt till en enhet för passagerar- information i en annan medlemsstat skulle kunna uppstå om myn- digheten finner att det finns risk för ett nära förestående terrorist- attentat och det är nödvändigt att så snabbt som möjligt få informa- tion om en misstänkts resväg. Enligt vår bedömning kommer dock bestämmelsen troligen inte att användas i praktiken. För de behöriga myndigheterna kommer det sannolikt att gå snabbare att begära in
310
SOU 2017:57 |
Behöriga myndigheters behandling av |
den önskade informationen via den nationella enheten för passagerar- information, som har upparbetade vägar för utbyte med motsva- rande enheter, i stället för att myndigheterna själva ska ta dessa kon- takter.
För det fall en behörig myndighet har begärt
16.2Behandling av
16.2.1Tillämpliga dataskyddsbestämmelser hos de behöriga myndigheterna
Polisdatalagen är för närvarande tillämplig vid behandling av person- uppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen. Lagen gäller även för den polisiära verksam- heten vid Ekobrottsmyndigheten. Enligt vad vi erfarit är det endast till Ekobrottsmyndighetens polisiära del som det kommer att bli aktuellt att överföra
För Tullverkets del kommer från den 1 juli 2017 en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verk- samhet, tullbrottsdatalagen, att bli tillämplig för Tullverkets person- uppgiftsbehandling i den brottsbekämpande verksamheten. Den ersätter den nu gällande lagen (2005:787) om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet. För en kortfattad beskrivning av den nya lagen, se avsnitt 6.4.2.
311
Behöriga myndigheters behandling av |
SOU 2017:57 |
Som tidigare har framgått har Utredningen om 2016 års data- skyddsdirektiv lämnat förslag till en brottsdatalag med bestämmelser om skydd av personuppgifter på det brottsbekämpande området. Förslaget innehåller bestämmelser som i princip genomför samtliga bestämmelser i det nya dataskyddsdirektivet. Utredningen kommer senast den 30 september 2017 att lämna förslag till de författnings- ändringar som krävs för att anpassa bl.a. polisdatalagen och tull- brottsdatalagen till de nya förutsättningarna.
För Försvarsmakten gäller bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverk- samhet och militära säkerhetstjänst med anslutande förordning (SFS 2007:260). Lagen gäller för verksamheten vid den del av För- svarsmakten som kallas Must och i vilken
16.2.2Våra generella överväganden i denna del
Som vi anfört redan i avsnitt 8.5 hade de fåtaliga bestämmelserna om hur
312
SOU 2017:57 |
Behöriga myndigheters behandling av |
att se ut. Förslaget till brottsdatalag tyder på att dess bestämmelser inte kommer att vara direkt tillämpliga för Säkerhetspolisens verk- samhet. Utredningen om 2016 års dataskyddsdirektiv har dock angett att vissa bestämmelser i brottsdatalagen kommer att vara tillämpliga på motsvarande sätt som vissa bestämmelser i personuppgiftslagen i dag (SOU 2017:29 s. 176). Vilka bestämmelser i brottsdatalagen och hur Säkerhetspolisens personuppgiftsbehandling ska regleras kommer utredningen att återkomma till i sitt slutbetänkande. Vidare omfattas inte Försvarsmaktens personuppgiftsbehandling av den dataskyddsreglering som föreslagits eller kommer att föreslås för brottsbekämpande myndigheter. Med hänsyn till dessa förhållan- den föreslår vi, som framgått av avsnitt 8.5, att
Vidare föreslår vi att det i de aktuella registerförfattningarna förs in bestämmelser om att det i den av oss föreslagna lagen och i före- skrifter som har meddelats med stöd av den lagen finns bestämmelser om personuppgiftsbehandling som ska tillämpas i stället för bestäm- melserna i aktuell registerförfattning (se avsnitt 8.5).
Utöver de bestämmelser som kommer att föreslås i detta avsnitt föreslår vi även att det i den nya lagen tas in bestämmelser om gallring vid de behöriga myndigheterna av sådan
I övriga frågor kommer behandlingen av den
313
Behöriga myndigheters behandling av |
SOU 2017:57 |
är tillämpliga för de behöriga myndigheterna. I praktiken innebär detta brottsdatalagen, avvikande eller kompletterande bestämmelser i polisdatalagen, tullbrottsdatalagen, lagen om behandling av person- uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst eller de nya författningar som kan komma att genomföras på grundval av förslag från Utredningen om 2016 års dataskyddsdirektiv eller den nyss nämnda utredning som ser över behandlingen av personuppgifter inom Försvarsmakten.
För att skyddet för enskilda ska bli effektivt krävs att de myn- digheter som hanterar
16.2.3Myndigheternas behandling av den överförda
Vårt förslag: Om det har kommit fram uppgifter om annat brott än terroristbrottslighet eller grov brottslighet i samband med en behörig myndighets insats som görs till följd av behandling av
314
SOU 2017:57 |
Behöriga myndigheters behandling av |
Behandling endast för direktivets syften
Av artikel 7.4 framgår att de behöriga myndigheterna endast får vidarebehandla sådan
Artikel 7.4 utgör såvitt avser
Behandling för att förhindra, utreda eller lagföra annan upptäckt brottslighet
Enligt artikel 7.5 ska punkten 4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av
315
Behöriga myndigheters behandling av |
SOU 2017:57 |
olika möjliga åtgärder som kan ske till följd av sådan misstänkt brotts- lighet som omfattas av direktivet. Man kan t.ex. tänka sig ett för- hör, en husrannsakan, en brottsplatsundersökning eller ett beslag. Man kan också tänka sig en spaningsoperation. Huruvida en för- undersökning har inletts bör inte vara avgörande.
En bestämmelse som genomför artikel 7.5 bör föras in i lag. Av bestämmelsen bör framgå att den utgör ett undantag från huvud- regeln om att
16.2.4Automatiserade beslut
Vårt förslag: Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, får inte enbart grundas på en automatiserad behandling av PNR- uppgifter eller på känsliga personuppgifter.
Med automatiserade beslut avses beslut som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid (SOU 2017:29 s. 288). En bestämmelse med liknande innehåll finns i artikel 11 i det nya dataskyddsdirektivet. I brottsdatalagen har den aktuella artikeln genomförts i 2 kap. 19 §. Av den bestämmelsen framgår att om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är av- sedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person. I bestämmelsen anges också att automatiserade beslut inte får enbart grundas på känsliga personuppgifter.
I artikel 7.6 i
316
SOU 2017:57 |
Behöriga myndigheters behandling av |
Bestämmelsen innebär alltså att en behörig myndighet inte får fatta några beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne enbart till följd av en automatiserad behandling av
Vi föreslår att det tas in en bestämmelse i den nya lagen om auto- matiserade beslut som genomför artikel 7.6 i
För de brottsbekämpande myndigheter som i sin verksamhet tillämpar brottsdatalagen, kommer 2 kap. 19 § BDL att gälla utöver den av oss föreslagna bestämmelsen om automatiserade beslut. En viss dubbelreglering kommer därmed att uppstå avseende automati- serade beslut baserade på känsliga personuppgifter. Det sagda gäller dock bara för sådana behöriga myndigheter som annars har att tillämpa 2 kap. 19 § BDL, inte t.ex. Försvarsmakten.
Enligt vår bedömning torde bestämmelsen inte komma att få någon praktisk betydelse för de behöriga myndigheternas behand- ling av
317
17 Överföring till tredjeland
17.1Direktivets bestämmelser
Överföringar från enheten för passagerarinformation till tredjeland behandlas i artikel 11 i
1.de villkor som fastställs i artikel 13 i dataskyddsrambeslutet är upp- fyllda,
2.överföringen är nödvändig för direktivets syften enligt artikel 1.2, dvs. för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet,
3.det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för direk- tivets ändamål enligt artikel 1.2 och endast efter uttryckligt sam- tycke av medlemsstaten, och
4.samma villkor för överföring till en annan medlemsstat som an- ges i artikel 9.2 är uppfyllda.
I artikel 11.2 behandlas överföringar av sådan
319
Överföring till tredjeland |
SOU 2017:57 |
kel 11.2 att överföring av
Enligt artikel 11.3 ska medlemsstaterna överföra
17.2Bakgrund
17.2.1Dataskyddsrambeslutet och 2013 års lag
I dataskyddsrambeslutet anges gemensamma regler för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt sam- arbete när personuppgifter överförs eller görs tillgängliga mellan
I artikel 13.1 anges vissa förutsättningar för att personuppgifter ska få överföras. En sådan överföring får göras bara om den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, överföringen är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd och om mottagaren har ansvar för sådan verksamhet, samt det finns en adekvat skyddsnivå för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det
320
SOU 2017:57 |
Överföring till tredjeland |
ska vara tillåtet att föra över uppgifter eller göra dessa tillgängliga måste samtliga dessa villkor som huvudregel vara uppfyllda.
Enligt artikel 13.2 finns dock möjlighet att överföra personupp- gifter i förväg. Enligt artikeln krävs då att överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats väsentliga intressen samt att ett förhandsmedgivande inte hinner utverkas i tid. Om överföringen sker utan medgivande ska enligt artikel 13.2 sista meningen den myn- dighet, vars medgivande till överföring krävs, underrättas utan dröjs- mål.
Artikel 13.3 innehåller en möjlighet att överföra personuppgifter trots att kravet på adekvat skyddsnivå inte är uppfyllt. I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mot- tagaren har en adekvat skyddsnivå.
Artikel 13 i dataskyddsrambeslutet har i svensk rätt genomförts i lagen (2013:329) med vissa bestämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) och i en tillhörande förordning (2013:343) med i övrigt samma namn. 2013 års lag gör det således möjligt för en svensk myndighet att föra över personuppgifter till ett tredjeland. Den tillämpas dock bara på personuppgifter som en svensk myndighet har fått från en annan stat som är medlem i EU, Island, Liechtenstein, Norge eller Schweiz, ett
Artikel 13 i dataskyddsrambeslutet och 2013 års lag är som an- getts enbart tillämplig vid överföring av personuppgifter som här- rör från andra medlemsstater eller från vissa andra stater, organ och informationssystem. Personuppgiftslagen blir därför tillämplig för andra överföringar, bl.a. genom hänvisningar dit i myndigheters
321
Överföring till tredjeland |
SOU 2017:57 |
registerförfattningar. Vad gäller bestämmelserna i personuppgifts- lagen hänvisas till redogörelsen i avsnitt 6.3.2.
17.2.2Brottsdatalagen
Dataskyddsrambeslutet upphör att gälla den 6 maj 2018, då det kom- mer att ersättas av det nya dataskyddsdirektivet. Av
Bestämmelserna om överföring till tredjeland har tagits in i 8 kap. brottsdatalagen. I 8 kap. 1 och 2 §§ anges de grundläggande förut- sättningarna för en sådan överföring. Enligt 1 § får en behörig myn- dighet överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av person- uppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om över- föringen
1.är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2.riktas till en behörig myndighet i ett tredjeland eller till en inter- nationell organisation som är en behörig myndighet, och
3.omfattas av
a)ett beslut om adekvat skyddsnivå enligt 3 §, eller
b)tillräckliga skyddsåtgärder enligt 4 §, eller
c)ett undantag för särskilda situationer enligt 5 §.
Enligt andra stycket ska en behörig myndighet som avser att över- föra personuppgifter till ett tredjeland särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.
322
SOU 2017:57 |
Överföring till tredjeland |
Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får, enligt 8 kap. 2 §, överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs. Om medgivande på grund av tidsbrist inte kan inhämtas i förväg, får, enligt andra stycket, personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat.
I 8 kap. 3 § anges att om kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får person- uppgifter överföras dit.
Om det inte finns ett beslut om adekvat skyddsnivå får, enligt 8 kap.4 §, personuppgifter ändå överföras om
1.skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller
2.den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.
Enligt 8 kap. 5 § kan överföring vara tillåten i vissa särskilda situa- tioner även om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §. I sådant fall får en överföring, eller en samling av överföringar, göras endast om över- föringen är nödvändig för att
1.skydda den registrerades eller en annan fysisk persons vitala in- tressen, eller andra berättigade intressen för den registrerade,
2.i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
3.i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller
4.avvärja en omedelbar och allvarlig fara för allmän säkerhet.
323
Överföring till tredjeland |
SOU 2017:57 |
Personuppgifter får, enligt andra stycket, inte överföras om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.
I 8 kap. 6 och 7 §§ finns bestämmelser om vidareöverföring till ett annat tredjeland eller internationell organisation. Enligt 6 § får en svensk myndighet inte tillåta att sådana personuppgifter som en myndighet har fått från en annan medlemsstat, och som överförts till ett tredjeland, vidareöverförs till ett annat tredjeland eller en internationell organisation, om inte den behöriga myndigheten i den medlemsstat som ursprungligen lämnade uppgiften, har medgett att uppgifterna får vidareöverföras. I 7 § anges vad en behörig myndig- het ska beakta när den ska ta ställning till om personuppgifter som behandlats i Sverige får vidareöverföras.
I 8 kap. 8 § finns en möjlighet att i vissa fall överföra person- uppgifter till andra än behöriga myndigheter. Enligt 9 § ska svenska myndigheter följa uppställda villkor för att använda personuppgifter som har överförts från ett tredjeland. I 10 § anges att en svensk behörig myndighet får, vid överföring av personuppgifter till tredje- land, ställa upp villkor som begränsar möjligheten att använda upp- gifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Enligt 7 kap. 1 § BDF ska den som har överfört personuppgifter till ett tredjeland utan förhandsmedgivande enligt 8 kap. 2 § andra stycket BDL, utan dröjsmål informera den medlemsstat som lämnat uppgifterna till en svensk myndighet om överföringen.
17.3Våra överväganden och förslag
17.3.1Grundläggande begrepp
Vårt förslag: Tredjeland ska i lagen definieras som en stat som inte är en medlemsstat.
324
SOU 2017:57 |
Överföring till tredjeland |
direktivet. Som tidigare har angetts ska direktivet inte tillämpas av Danmark. Överföringar av
17.3.2Förutsättningar för överföring till tredjeland
Vårt förslag: Enheten för passagerarinformation får överföra
1.de grundläggande förutsättningarna för överföring av person- uppgifter enligt 8 kap. 1 § första stycket 3 och 2 § första stycket BDL är uppfyllda och under i övrigt samma förutsätt- ningar som överföringar får ske mellan medlemsstaterna,
2.överföringen är nödvändig för att förebygga, förhindra, upp- täcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet, och
3.det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terrorist- brottslighet eller grov brottslighet och enheten för passagerar- information har lämnat ett uttryckligt medgivande till över- föringen.
325
Överföring till tredjeland |
SOU 2017:57 |
Det bör av lagen framgå att enheten för passagerarinformation får överföra
Enligt
Det bör vidare av lagen framgå att en överföring endast får ske om vissa särskilt uppräknade villkor är uppfyllda. En bestämmelse om överföring bör utformas så att det framgår att samtliga villkor ska vara uppfyllda för att enheten ska få överföra
Grundläggande bestämmelser om överföring av personuppgifter till tredjeland ska vara uppfyllda
326
SOU 2017:57 |
Överföring till tredjeland |
har angetts upphävs dataskyddsrambeslutet i samband med genom- förandet av det nya dataskyddsdirektivet.
Artikel 13 i dataskyddsrambeslutet innehåller rambeslutets samt- liga bestämmelser om överföring till tredjeland. Den allmänna hän- visningen till rambeslutets samtliga bestämmelser i frågan får därför tolkas som en hänvisning även till samtliga bestämmelser om över- föring till tredjeland i det nya dataskyddsdirektivet. I något fall inne- håller det direktivet dock bestämmelser som inte kan tillämpas vid överföringar till tredjeländer från enheten för passagerarinforma- tion, eftersom
Som tidigare har angetts föreslås det nya dataskyddsdirektivets samtliga bestämmelser om överföring till tredjeland genomföras i brottsdatalagen med tillhörande förordning. Brottsdatalagen inne- håller således de grundläggande bestämmelserna med allmänna prin- ciper för överföring av personuppgifter till tredjeland inom det brottsbekämpande området. Enligt vår mening är det viktigt att dessa grundläggande bestämmelser tillämpas även vid överföring av PNR- information för att den skyddsnivå som säkerställs genom det direk- tivet inte ska undergrävas. Dessa bestämmelser i brottsdatalagen bör därmed vara tillämpliga även vid överföring av
De grundläggande förutsättningarna för att överföringar alls ska få ske till tredjeländer framgår för det första av 8 kap. 1 § första stycket 3 BDL. Bestämmelsen hänvisar till 3, 4 och 5 §§, som anger förutsättningarna för att en överföring ska omfattas av beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller vara föremål för ett undantag för särskilda situationer. Dessa bestämmelser bör således tillämpas även vid överföringar av
Vidare finns i 8 kap. 2 § första stycket intaget den huvudregel som anger att personuppgifter som har erhållits från en annan med- lemsstat endast får överföras om den medlemsstat som har lämnat uppgifterna har medgett att de överförs. Även denna huvudregel bör gälla vid överföring av
327
Överföring till tredjeland |
SOU 2017:57 |
Förutsättningarna för överföring till en annan medlemsstat ska vara uppfyllda
Enligt artikel 11.1 d ska de villkor som fastställs i artikel 9.2 vara uppfyllda även vid en överföring av
Bestämmelsen i artikel 11.1 d bör genomföras i lagen genom en hänvisning till de paragrafer som genomför artikel 9.2. Det innebär att för det fall överföringen avser
Överföringen ska vara nödvändig för direktivets syften
Av artikel 11.1 b framgår att en överföring av
Bestämmelsen bör föras in i lagen genom en hänvisning till ett eller flera av de syften som anges i den portalbestämmelsen i lagen som genomför artikel 1.2 i direktivet och som innebär att uppgift-
328
SOU 2017:57 |
Överföring till tredjeland |
erna endast får behandlas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Visser- ligen hade bestämmelsen blivit tydligare om dessa syften skrevs ut i bestämmelsen. Dessa syften återkommer emellertid så pass frekvent i lagen, sedd som helhet, att hänvisningar i allmänhet bör väljas för att lagtexten inte i ska bli onödigt ordrik. Med terroristbrottslighet och grov brottslighet bör i sammanhanget avses motsvarande brotts- lighet i det tredjelandet.
Direktivets krav på att överföringen ska vara nödvändig bör också föras in i lagen. Enligt vår mening bör nödvändigheten tolkas på samma sätt som i allmänt språkbruk, dvs. att det är fråga om något som behövs. De
Villkor för vidareöverföring från det tredjelandet
Artikel 11.1 c behandlar frågan om vidareöverföring från ett tredje- land till ett annat tredjeland av sådan
I brottsdatalagen anges endast att en svensk behörig myndighet får ställa upp villkor som begränsar möjligheten att använda de över- förda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (8 kap. 10 §). Bestämmelsen i direktivet bör därför genomföras i vår lag. På samma sätt som angetts ovan föreslår vi att det i bestämmelsen ska framgå de syften för vilka en över- föring ska vara nödvändig. Så bör, på samma sätt som angetts ovan, ske genom en hänvisning till ett eller flera av de syften som anges i lagens portalbestämmelse.
Enligt direktivet får en vidareöverföring endast ske om det är strikt nödvändigt (i den engelska versionen strictly necessary, i den danska strengt nødvendigt). I svensk lag brukar begreppet absolut nödvän- digt användas för att markera ett undantagsfall som ska tillämpas restriktivt. Vi föreslår därför att det i lagen anges att det tredjelandet
329
Överföring till tredjeland |
SOU 2017:57 |
ska godta att överföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för direktivets ändamål.
Vidare får en vidareöverföring enligt direktivet endast ske efter uttryckligt samtycke av medlemsstaten. I 2013 års lag och i brotts- datalagen används ordet medgivande i stället för samtycke. För att bättre korrespondera med denna lagstiftning föreslår vi att ordet medgivande används även i vår lag. Medgivandet bör lämpligen lämnas av enheten för passagerarinformation.
Medgivandet ska enligt direktivet vara uttryckligt. Det framgår dock inte närmare hur ett sådant medgivande ska manifesteras. Man skulle kunna tänka sig att ett uttryckligt medgivande sker såväl munt- ligt som skriftligt och vi ser inga principiella eller praktiska problem med en sådan ordning. Vi föreslår därför att endast ett krav på ut- trycklighet införs i lagen. Det säger sig dock självt att oavsett på vilket sätt ett samtycke getts, måste det dokumenteras på något sätt.
17.3.3Överföring utan medgivande
Våra förslag: Om medgivande till överföring av
I förordning ska regleras att om
Som tidigare har angetts får, enligt 8 kap. 2 § första stycket BDL, personuppgifter som en svensk myndighet har fått från en annan medlemsstat överföras till ett tredjeland endast om den medlems- stat som lämnat personuppgifterna i förväg har medgett att de överförs till tredjelandet. Bestämmelsen ska enligt vårt förslag
330
SOU 2017:57 |
Överföring till tredjeland |
tillämpas även vid överföring av
För förutsebarhetens skull bör bestämmelsen i vår lag genom- föras på liknande sätt som den angivna bestämmelsen i brottsdata- lagen. Ordet medgivande bör därför, som angetts ovan, användas i stället för samtycke. I brottsdatalagen och i 2013 års lag används också ordet fara i stället för hot. Med hänsyn härtill och eftersom svensk lagstiftning brukar utformas på det sättet, föreslår vi att ordet fara används i stället för hot även vid genomförandet av PNR- direktivet. Av samma anledning bör det i de andra lagarna använda ordet avvärja användas också i vår lag i stället för begreppet reagera på, som används i direktivet. Således bör det i lagen anges att en överföring utan förhandsmedgivande får ske om det är absolut nöd- vändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet. Med uttrycket absolut nödvändigt markeras att undantaget ska tillämpas restriktivt och att det kan bli fråga om överföring utan förhandssamtycke endast i undantagsfall. Tillägget att det ska gälla brott i en medlemsstat eller tredjeland innebär att tillämpningsområdet omfattar alla stater och saknar därför egentligt innehåll. Tillägget bör således inte föras in i vår lag.
Bestämmelsen skulle exempelvis kunna användas om överföringen är nödvändig för att avvärja ett terroristattentat i en medlemsstat eller tredjeland. Eftersom det typiskt sett är fråga om en överhäng- ande fara för att något ska hända får prövningen i dessa fall göras utifrån att åtgärden kan antas vara nödvändig för att avvärja faran. Att faran inte förverkligas behöver inte innebära att överföringen har varit otillåten. Bedömningen måste göras med hänsyn till vad som är känt när prövningen görs.
331
Överföring till tredjeland |
SOU 2017:57 |
Enligt andra stycket i artikel 11.2 ska den myndighet som ansvarar för att ge samtycke informeras om överföringen utan dröjsmål. En liknande bestämmelse finns i dag i 1 § i 2013 års förordning och föreslås införas i 7 kap. 1 § BDF. Vi föreslår att en liknande bestäm- melse förs in i den till vår lag hörande förordningen. I bestämmelsen bör anges att om
Vidare ska enligt artikel 11.2 överföringar utan samtycke regi- streras och genomgå efterhandskontroll. Att överföringar till tredje- länder ska registreras anges även i artikel 13.5 c. Vi kommer därför att behandla frågan i samband med våra förslag till genomförande av den artikeln (se avsnitt 19.3). Hur en efterhandskontroll ska gå till eller av vem anges inte i direktivet. Enligt vår bedömning bör denna kontroll utföras av dataskyddsombudet vid enheten för pas- sagerarinformation(se vidare om dataskyddsombudets uppgifter i avsnitt 19.5). Även denna fråga kan regleras i förordning.
17.3.4Säkerställande av direktivets bestämmelser
Våra förslag: Det ska vara obligatoriskt för enheten för passage- rarinformation att uppställa villkor om användningsbegränsning för den som ska ta emot
När enheten för passagerarinformation överför
Enligt artikel 11.3 ska medlemsstaterna överföra
332
SOU 2017:57 |
Överföring till tredjeland |
till tredjeländer sker i enlighet med direktivets bestämmelser och att den överförda informationen är planerad att användas i överens- stämmelse med direktivets syften och begränsningar. Vid en över- föring till ett tredjeland fordras således att enheten för passagerar- information försäkrar sig om att den planerade användningen av informationen inte kommer att strida mot lagens grundläggande be- stämmelser, framför allt att informationen bara används för att före- bygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
I brottsdatalagen föreslås en bestämmelse, 8 kap. 10 §, som anger att en svensk behörig myndighet får ställa upp villkor som begränsar mottagarens möjlighet att använda överförda uppgifter. Det är dock inte obligatoriskt för en myndighet att ställa villkor. I 9 § 2013 års lag, som bl.a. genomför artikel 12 i dataskyddsrambeslutet, föreskrivs att om en svensk myndighet överför personuppgifter, ska myndig- heten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Det finns även i andra lagar bestäm- melser som anger att svenska myndigheter under vissa förutsättning- ar får ställa upp villkor som begränsar möjligheten att använda upp- gifter som lämnas till en annan stat, se t.ex. 3 a § lagen (2000:343) om internationellt polisiärt samarbete eller 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål.
Enligt vår mening bör det, för ett korrekt genomförande av arti- kel 11.3 i
333
Överföring till tredjeland |
SOU 2017:57 |
I 8 kap. 8 § BDL anges en möjlighet att i enskilda fall överföra personuppgifter till andra organ än behöriga myndigheter eller inter- nationella organisationer. Som tidigare har angetts får
Övriga, inte här särskilt angivna bestämmelser om överföring till tredjeland i brottsdatalagen kommer att bli generellt tillämpliga vid enheten för pasagerarinformations överföring av
Enligt artikel 11.4 i
334
18 Lagringstid och gallring
18.1Inledning
I detta avsnitt behandlar vi
18.2Rättslig bakgrund
När stora mängder personuppgifter samlas hos myndigheter uppstår onekligen integritetsrisker, i synnerhet då informationsteknikens ut- veckling inneburit ständigt förbättrade möjligheter att söka och sammanställa uppgifter. Frågor om hur länge personuppgifter ska få behandlas i datoriserade myndighetsregister har därför, alltsedan datoriseringen inleddes, varit en central fråga i all dataskyddsregler- ing. Efter hand som myndigheter övergått till att behandla i princip all verksamhetsinformation med hjälp av elektronisk informations- teknik har frågeställningarna blivit alltmer komplexa. Mot den data- skyddsrättsliga principen står nämligen de intressen som bär upp offentlighetsprincipen i form av handlingsoffentligheten, dvs. var och ens rätt att ta del av allmänna handlingar, se 2 kap. 1 § TF. Av be- stämmelsen framgår att syftet härmed är att främja ett fritt menings-
335
Lagringstid och gallring |
SOU 2017:57 |
utbyte och en allsidig upplysning. Myndigheter kan också från verk- samhetssynpunkt ha legitima intressen av att lagra information en längre tid. Även för den enskilde registrerade kan ett långsiktigt bevarande av information om honom eller henne vara mycket viktigt i vissa fall.
För att handlingsoffentligheten och andra bevarandeintressen ska kunna få genomslag i praktiken förutsätts att allmänna hand- lingar bevaras och hålls ordnade. I den svenska dataskyddsregler- ingen på myndighetsområdet har därför genomgående gjorts avväg- ningar mellan dessa ofta motstående intressen.
18.2.1Gällande rätt
Begreppet allmän handling
Med begreppet allmänna handlingar förstås inte bara traditionella handlingar. Även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, t.ex. datorlagrad information, är enligt 2 kap. 3 § TF att se som handlingar. Det är informationsinnehållet, dvs. de lagrade uppgifterna, som konstitu- erar handlingen (se SOU 2012:90 s. 60 f.). En sådan upptagning är en allmän handling om den förvaras hos myndigheten samt är in- kommen eller upprättad där.
I fråga om upptagningar anses en sådan som en förvarad hand- ling hos myndigheten om den är tillgänglig för den med sådana tek- niska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket TF). En hos myndigheten förvarad hand- ling blir alltså allmän om den är att betrakta som inkommen till myndigheten. I fråga om upptagningar gäller att en sådan anses som inkommen till en myndighet i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 2 kap. 3 § andra stycket TF. Detta gäller under förutsättning att det är någon utan- för myndigheten, dvs. en annan myndighet eller en enskild som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndig- heten (2 kap. 6 § första stycket andra meningen TF). Vad gäller en förvarad upptagning som myndigheten själv framställt i sin verk- samhet blir den att betrakta som allmän handling när den enligt en relativt komplicerad reglering i 2 kap. 7 § TF är att anse som upp-
336
SOU 2017:57 |
Lagringstid och gallring |
rättad hos myndigheten. Huvudregeln är att en handling anses upp- rättad och därmed allmän när den har expedierats, dvs. lämnats till annan myndighet eller enskild, eller annars föreligger i slutligt skick.
Arkivlagstiftningen
Handlingsoffentligheten förutsätter som ovan nämnts att allmänna handlingar hålls ordnade och bevaras. Myndigheterna har därför grundläggande skyldigheter att bevara och vårda sina allmänna hand- lingar i arkiv. Bestämmelser om bevarande och gallring av allmänna handlingar hos bl.a. de statliga myndigheterna finns i arkivlagen (1990:782). Lagen är en ramlag som innehåller allmänna och över- gripande bestämmelser om myndigheternas arkiv. Lagen fylls ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna utfärdar. Riks- arkivet är statlig arkivmyndighet.
Huvudprincipen enligt arkivlagen är att allmänna handlingar – konventionella handlingar likväl som upptagningar – ska bevaras i myndigheternas arkiv. Gallring av allmänna handlingar får dock ske, vilket anges i lagens 10 §. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Arkivlagens bestämmelser om gallring syftar således primärt inte till att tillgodose integritetsskyddsintressen.
I 10 § tredje stycket arkivlagen anges att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning har företräde framför arkivlagens gallringsregler. Avvikande bestäm- melser om bevarande och gallring finns i de flesta registerförfatt- ningar. Bestämmelserna kan syfta till att skydda den personliga inte- griteten hos de som uppgifterna rör. Det kan dock finnas bestäm- melser om gallring, eller som i vart fall i praktiken får till följd att gallring sker, som tillkommit av andra skäl än integritetsskäl. Även sådana bestämmelser går före arkivlagens regler enligt detta stycke.
Med gallring av elektronisk information avses normalt att viss information raderas från databäraren. Gallring kan dock även inne- bära en partiell gallring där information tas bort från ett register eller ett ärendehanteringssystem men kommer att bevaras i annan form,
337
Lagringstid och gallring |
SOU 2017:57 |
t.ex. på pappersutskrifter eller i elektronisk form men med för- sämrade sök- eller sammanställningsmöjligheter (se SOU 2015:39 s. 526 f.).
Personuppgiftslagen
I 9 § första stycket PUL framgår att det är ett grundläggande krav att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är alltså ändamålen för en personuppgiftsbehandling som avgör hur länge uppgifterna får be- varas. Ospecificerad lagring av personuppgifter som kan vara ”bra att ha” är inte tillåten. Behövs uppgifterna inte längre för ändamålen ska de förstöras eller avidentifieras (se SOU 1997:39 s. 356). Dock får uppgifterna bevaras även därefter så länge det behövs för histo- riska, statistiska eller vetenskapliga ändamål (9 § tredje stycket).
För myndigheter gäller enligt 8 § andra stycket PUL särskilda regler om förhållandet till arkivbildning. Enligt 8 § andra stycket första meningen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Bestämmelsen i 10 § arkivlagen om att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning ska ha företräde framför arkivlagens gallringsregler syftar inte på personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras. Arkivlagstiftningen har alltså i fråga om allmänna hand- lingar företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid. I detta avseende kan alltså sägas att intresset av att bevara allmänna handlingar har prioriterats framför integritets- skyddsintresset.
Bevarande och gallring i särreglering för brottsbekämpande verksamhet
I så gott som all särreglering för de behöriga myndigheterna finns regler om bevarande och gallring av uppgifter. Endast ett mycket begränsat urval nämns i det följande.
338
SOU 2017:57 |
Lagringstid och gallring |
I polisdatalagen, som gäller generellt för brottsbekämpande verk- samhet vid Polismyndigheten, Säkerhetspolisen och Ekobrottsmyn- dighetens polisiära verksamhet, finns ett omfattande regelverk om bevarande och gallring. Detta tar sikte på dels uppgifter i särskilda register som regleras i lagen, t.ex. penningtvättsregistret eller DNA- registret, dels uppgifter som mer allmänt behandlas i den brottsbe- kämpande verksamheten, se 2 kap. 12 § PDL med där angivna hän- visningar. Huvudprincipen kan sägas vara att personuppgifter inte får bevaras under längre tid än vad som behövs för det aktuella ändamålet. Därutöver finns bestämmelser om hur länge uppgifter får bevaras som längst. Regeringen eller den myndighet som regeringen bestämmer kan också meddela avvikande föreskrifter om längre tids bevarande för historiska, statistiska eller vetenskapliga ändamål. I
I den nya tullbrottsdatalagen som träder i kraft den 1 juli 2017 finns bestämmelser om bevarande och gallring samlade i lagens 4 kap. De påminner i stora drag om regleringen i polisdatalagen med gall- ring som huvudregel och bevarande som undantag genom möjlig- het att meddela särskilda föreskrifter.
I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag. Där framgår att uppgifter från transportföretag som Tullverket tar del av genom terminalåtkomst inte får ändras eller på annat sätt bearbetas eller lagras. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska förstöras omedelbart om de visar sig sakna betydelse för utredning och lagföring av brott. Motsvarande bestämmelser finns i 26 § polislagen (1984:387). Huvudregeln är alltså att uppgifterna inte alls ska bevaras utan gallras så fort de visar sig inte behövas för det primära ändamål för vilka de togs fram. I 2 kap.
339
Lagringstid och gallring |
SOU 2017:57 |
bokningsuppgifterna i vissa fall får göras gemensamt tillgängliga och därmed omfattas av lagens gallringsbestämmelser.
Enligt 9 § lagen (2006:444) om passagerarregister ska en uppgift i passagerarregistret gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyn- digheten, Säkerhetspolisen eller Tullverket ska kunna verkställa per- sonkontroller enligt 4 § samma lag, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Vidare får regeringen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kon- trollerna. Även här är huvudregeln således att i princip omedelbar gallring ska ske så fort uppgifterna inte längre behövs för sitt pri- mära syfte.
Slutligen ska nämnas att det även i lagstiftningen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst finns regler om bevarande och gallring i lagen (2007:258) och den anslutande förordningen (2007:260).
18.2.2Brottsdatalagen
I 2 kap. 17 § BDL anges att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Detta gäller dock inte om det finns avvikande bestäm- melser i lag eller förordning. Inte heller finns hinder mot att en myndighet bevarar allmänna handlingar för arkivändamål.
Utredningen om 2016 års dataskyddsdirektiv har i sitt delbe- tänkande uttalat att begreppen bevarande och gallring enbart bör användas i den betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrättsliga regler och regler om skydd för person- uppgifter. Brottsdatalagen och myndigheternas registerförfattningar bör därför i stället utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål (SOU 2017:29 s. 284). Detta kommer att behandlas närmare för registerförfattningarnas del i ut- redningen slutbetänkande.
340
SOU 2017:57 |
Lagringstid och gallring |
18.3Inledande radering hos enheten för passagerarinformation
Vårt förslag: I den nya förordning som ansluter till lagen ska före- skrivas att om lufttrafikföretagen skickat in andra
18.3.1Direktivets bestämmelser
18.3.2Våra överväganden och förslag
De
Vi uppfattar direktivets artikel 6.1 som utgörande en i arkiv- rättsligt hänseende omedelbar gallringsskyldighet, där de uppgifter
341
Lagringstid och gallring |
SOU 2017:57 |
som inte omfattas av bilaga I till direktivet inte alls ska få föras in i databasen vid enheten för passagerarinformation.
Bestämmelsen bör genomföras i stort sett i enlighet med dess orda- lydelse. Av vår bestämmelse bör således framgå att de aktuella upp- gifterna ska raderas omedelbart vid mottagandet. Enligt vår mening bör dock det i svensk lagstiftning vedertagna begreppet gallring an- vändas. För att klargöra att det är fråga om en definitiv och inte endast en partiell gallring av dessa
Enligt vår mening kan och bör bestämmelsen om gallring genom radering tas in i den till den nya lagen anslutande förordningen.
När det gäller tillämpningen av denna omedelbara gallringsskyl- dighet är vi givetvis medvetna om att det dagligen kommer att kom- ma in mycket stora mängder
342
SOU 2017:57 |
Lagringstid och gallring |
18.4Lagringstiden hos enheten för passagerarinformation för
Vårt förslag: I lagen föreskrivs att
18.4.1Direktivets bestämmelser
Lagringstiden för
I artikel 12.1 anges således att medlemsstaterna ska se till att
18.4.2Våra överväganden och förslag
343
Lagringstid och gallring |
SOU 2017:57 |
tiden på fem år är ett åliggande som medlemsstaterna ska genomföra i linje med sin skyldighet att bedriva sitt lands del i
Vi föreslår att det i den nya lagen tas in en bestämmelse som anger att sådana
I skäl 30 till direktivet anges att direktivet inte påverkar tillämp- ningen av nationell rätt om principen om allmänhetens tillgång till officiella handlingar, varmed för svenskt vidkommande avses all- männa handlingar. Vi anser emellertid att det inte bör komma i fråga att utifrån de intressen som bär upp handlingsoffentligheten och med åberopande av vår grundlag och skäl 30 föreslå en längre tids lagring än den i direktivet stipulerade absoluta tidsgränsen. Något bärande insynsintresse i den stora massan
Vi föreslår alltså en bestämmelse i den nya lagen som anger att
344
SOU 2017:57 |
Lagringstid och gallring |
18.5Radering av
som utgör känsliga personuppgifter
Våra förslag: Bland lagens inledande bestämmelser tas in en be- stämmelse som förbjuder behandling av
Det förs i lagen in en bestämmelse som anger att enheten för passagerarinformation omedelbart ska gallra
18.5.1Direktivets bestämmelser
Enligt artikel 13.4 ska medlemsstaterna förbjuda behandling av
18.5.2Allmänt om känsliga personuppgifter
De i artikel 13.4 uppräknade uppgifterna utgör vad som i dataskydds- sammanhang brukar betecknas som känsliga personuppgifter, se t.ex. 13 § PUL. Också det nya dataskyddsdirektivet innehåller en bestäm- melse om känsliga personuppgifter (artikel 10). Enligt den bestäm- melsen får sådana personuppgifter behandlas endast om det är absolut
345
Lagringstid och gallring |
SOU 2017:57 |
nödvändigt och om vissa närmare angivna förutsättningar i övrigt är uppfyllda. Bestämmelsen är genomförd i 2 kap.
Uppräkningen av vilka personuppgifter som är att se som käns- liga har tidigare varit densamma i olika instrument på dataskydds- området. Det nya dataskyddsdirektivet och dataskyddsförordningen innehåller emellertid ytterligare två kategorier av känsliga person- uppgifter; genetiska och biometriska uppgifter, som inte anges i
18.5.3
Även andra
346
SOU 2017:57 |
Lagringstid och gallring |
Uppgifter om en persons nationalitet har i lagstiftning som rör be- handling av personuppgifter inte ansetts vara uppgifter som normalt avslöjar ras eller etniskt ursprung (se t.ex. SOU 2015:39 s. 328 f.). En uppgift om att en resenär är medborgare i ett visst land omfattas alltså inte av förbudet. Skulle emellertid en sådan uppgift i det en- skilda fallet t.ex. avslöja etniskt ursprung faller den dock in under förbudet. Uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land faller också som regel utanför förbu- det mot behandling av känsliga personuppgifter (se prop. 2009/10:85 s. 325). Dock kan uppgifter om namn och språkkunskaper tillsam- mans utgöra indirekta upplysningar om en persons etniska ursprung (se t.ex. SOU 2003:40 s. 180).
18.5.4Våra överväganden och förslag
Direktivet anger att varje medlemsstat ska förbjuda behandling av
Det bör vidare av lagen framgå att för det fall enheten för passa- gerarinformation mottar
Direktivet ger inte några närmare anvisningar kring hur gall- ringen av de
347
Lagringstid och gallring |
SOU 2017:57 |
lufttrafikföretagen och behandlas av enheterna för passagerarinfor- mation skulle därmed helt tas bort. En sådan generell gallring av hela fritextfältet kan inte anses vara förenlig med direktivet. Vi kan därför inte förorda en sådan lösning.
Det ska vidare poängteras att förbudet mot behandling av PNR- uppgifter som utgör känsliga personuppgifter och gallringsskyldig- heten inte enbart omfattar sådana
De tekniska lösningar som tas fram för att genomföra PNR- systemet får utformas så att de kan tillgodose kravet på radering av
Eftersom enheten för passagerarinformation inte får behandla
348
SOU 2017:57 |
Lagringstid och gallring |
18.6Enhetens bevarande och gallring av resultatet av en förhandsbedömning
Våra förslag: Det förs i förordning in bestämmelser som genom- för artikel 12.5 om hur resultatet av en förhandsbedömning – dvs. träffar – ska få sparas. En positiv träff ska gallras så snart resultatet inte längre behövs för att kunna informera behöriga mottagare om resultatet. En ”falsk” träff får bevaras längst till dess att de bakom- liggande
Vidare införs en bestämmelse om att träffar med
18.6.1Direktivets bestämmelser
Resultatet av en förhandsbedömning av passagerare, dvs. den träff som kan uppkomma vid de bedömningar av passagerare som ska göras före deras beräknade ankomst till eller avresa från Sverige, får endast bevaras av enheten för passagerarinformation så länge som det krävs för att informera de behöriga myndigheterna och even- tuellt enheterna för passagerarinformation i andra medlemsstater om träffen. Detta framgår av första meningen i artikel 12.5.
Om resultatet av en automatisk behandling av
349
Lagringstid och gallring |
SOU 2017:57 |
18.6.2Våra överväganden och förslag
Positiva träffar ska inte sparas
Bestämmelsen i artikel 12.5 första meningen skulle kunna tolkas som att en s.k. positiv match eller träff bara får sparas tills den sänts vidare till en eller flera behöriga myndigheter. Vi menar emellertid att direktivet rimligen måste förstås så att enheten ska få behålla re- sultatet en viss tid även efter att ha skickat en träff till en av de be- höriga myndigheterna för vidare granskning. Det finns nämligen behov av viss tid för återrapportering från den behöriga myndig- heten. Den behöriga myndigheten kan exempelvis återrapportera att någon ytterligare behörig myndighet eller något annat lands enhet för passagerarinformation också bör informeras om träffen.
Direktivets bestämmelse angående sparande av träffar bör genom- föras så att dessa förutsättningar för hur länge resultaten av en för- handsbedömning av
”Falska” träffar får sparas
En falsk träff, dvs. resultatet av en förhandsbedömning som efter den individuella granskning som skett på enheten enligt artikel 6.5 inte bedöms behöva granskas närmare och därför inte har översänts till en behörig myndighet, får alltså sparas i upp till fem år enligt artikel 12.5 andra meningen. Syftet är att undvika upprepning av samma felaktiga träff mot urvalskriterierna. Sparade uppgifter om falska träffar kan nämligen medföra att oskyldiga personer inte blir kontrollerade på nytt vid en ny resa. De falska träffarna kan även användas för att förbättra urvalskriterierna. Enligt vår tolkning av bestämmelsen måste en falsk träff kunna konstateras även efter ett översändande av träffen till en behörig myndighet, nämligen om
350
SOU 2017:57 |
Lagringstid och gallring |
den myndigheten återrapporterar att den vidare granskningen visat att träffen var falsk, dvs. att det fanns inte fog för några misstankar.
En reglering i enlighet med det här sagda bör införas genom en bestämmelse som innebär ett undantag från huvudregeln om beva- rande av positiva träffar. Av bestämmelsen bör framgå att om sådana träffar som fåtts fram vid en förhandsbedömning av
Träffar som har mottagits från andra medlemsstater
Enligt vår mening bör det föras in en bestämmelse som anger hur länge
351
Lagringstid och gallring |
SOU 2017:57 |
Som har angetts ovan ska vår enhet för passagerarinformation vidaresända den
352
SOU 2017:57 |
Lagringstid och gallring |
18.7Enhetens bevarande och gallring av resultat av behandling av
Våra förslag: Resultatet av en sådan behandling av
Resultat som andra medlemsstaters enheter för passagerar- information tar fram för att besvara en svensk förfrågan och sänder över till den svenska enheten, ska gallras så snart det inte längre behövs för att kunna informera behöriga myndigheter och eventuellt återrapportera till den andra medlemsstaten.
Framtagen
Det finns inga bestämmelser i direktivet som reglerar vad som ska gälla för sådana resultat som fås fram när enheten behandlar och bearbetar
Enligt vår bedömning kommer det inte att finnas någon anled- ning för enheten att ha tillgång till dessa resultat längre tid än vad det krävs för att kunna informera de behöriga mottagarna. Vi före- slår därför att det i förordning tas in en bestämmelse som anger att resultatet av en sådan behandling av
Resultat som mottagits från andra medlemsstaters enheter
Enheten för passagerarinformation kommer också att motta resul- tat av sådan behandling av
353
Lagringstid och gallring |
SOU 2017:57 |
ring av sådana uppgifter. Vår bedömning är dock i denna fråga den- samma som ovan, nämligen att det inte finns något behov av att spara denna information vid den nationella enheten för passage- rarinformation. Resultat som mottagits från andra medlemsstaters enheter efter en svensk begäran bör därför gallras så snart den har överförts till relevanta behöriga myndigheter och en eventuell åter- rapportering har skett till den andra medlemsstaten. Även denna fråga bör kunna regleras i förordning.
18.8Bevarande och gallring av
Vårt förslag:
Vår bedömning: Behöriga myndigheters bevarande och gallring av
18.8.1Direktivets bestämmelser
Bestämmelserna i direktivet om lagring, bevarande och radering be- handlar endast hur PNR information ska och får hanteras vid enheten för passagerarinformation. I artikel 12.4 andra meningen anges dock att skyldigheten i första meningen att slutgiltigt radera
354
SOU 2017:57 |
Lagringstid och gallring |
18.8.2Våra överväganden och förslag
När behöriga myndigheter mottar
Undantaget avser sådan
355
19Personuppgiftsansvarigas skyldigheter
19.1Personuppgiftsansvar
19.1.1Direktivets bestämmelser
Vidare anges i artikel 13.3 att direktivet inte påverkar tillämplig- heten av det nuvarande dataskyddsdirektivet1 på lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet.
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
357
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
19.1.2Nya dataskyddsdirektivet och brottsdatalagen
En definition av begreppet personuppgiftsansvarig finns intagen i artikel 3.8 i det nya dataskyddsdirektivet. Enligt definitionen avses med personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för be- handlingen av personuppgifter. Om ändamålen och medlen för be- handlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller medlemsstater- nas nationella rätt. Av definitionen framgår att endast myndigheter kan vara personuppgiftsansvariga inom direktivets område. Enligt skäl 50 i direktivet bör vidare de personuppgiftsansvariga åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar.
Utredningen om 2016 års dataskyddsdirektiv föreslår att en personuppgiftsansvarig definieras som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § BDL). Enligt 3 kap. 1 § BDL ska den personuppgiftsansvarige vara ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar. Enligt utredningens allmänna överväganden ger brottsdatalagens definition vägledning som på ett tillräckligt tydligt sätt gör att det går att fastställa vem som är personuppgiftsansvarig i verksamheter där endast brottsdatalagen kommer att gälla. Vidare pekas på att myndigheternas registerförfattningar föreskriver vem som är personuppgiftsansvarig samt att utredningen kommer att i sitt slutbetänkande behandla hur personuppgiftsansvaret ska regleras i dessa författningar (SOU 2017:29 s. 298).
19.1.3Våra överväganden och förslag
Vårt förslag och vår bedömning: I lagen tas in en bestämmelse om att Polismyndigheten är personuppgiftsansvarig för den be- handling av personuppgifter som utförs vid enheten för passagerar- information. Ytterligare bestämmelser om personuppgiftsansvar behöver inte föras in i lagen.
358
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
Personuppgiftsansvaret för behandling av personuppgifter vid enheten för passagerarinformation
Enheterna för passagerarinformation får enligt direktivet inrättas såsom nya, egna, myndigheter eller etableras inom en redan befintlig myndighet. Eftersom valet av organisationsform är upp till varje med- lemsstat, är det förståeligt att direktivet ålägger enheterna för passa- gerarinformation de skyldigheter som direktivet kräver. Den svenska enheten för passagerarinformation kommer dock att inrättas inom Polismyndigheten och ingå som en organisatorisk enhet i den myn- digheten. Inom svensk förvaltning är det normalt så att det yttersta ansvaret för verksamheten läggs på myndighetsnivå. Det är således myndigheten i stort som ansvarar för personuppgiftsbehandlingen.
Eftersom enheten för passagerarinformation kommer att placeras inom Polismyndigheten är det alltså den enda rimliga ordningen enligt vår mening att det är Polismyndigheten som ska vara person- uppgiftsansvarig för den behandling av personuppgifter som enheten utför enligt den lag som vi föreslår. Frågan är om detta behöver regleras särskilt.
För Polismyndighetens personuppgiftsbehandling i den brotts- bekämpande verksamheten kommer brottsdatalagen att bli tillämp- lig. I brottsdatalagen pekas inte särskilt ut vilken myndighet som är personuppgiftsansvarig för vad. Såvitt vi i skrivande stund kan för- moda kommer den befintliga regleringen av personuppgiftsansvaret att i huvudsak behållas i de särskilda registerförfattningarna för behöriga myndigheter på området, däribland polisdatalagen, även sedan de anpassats till brottsdatalagen. Polisdatalagen kommer att gälla även för arbetet vid enheten för passagerarinformation, för det fall inte annat anges i vår lag. Det torde därför inte vara helt nöd- vändigt att även i vår lag ange att det är Polismyndigheten som har personuppgiftsansvaret. Eftersom frågan förtjänar tydlighet föreslår dock vi att det i lagen förs in en bestämmelse om Polismyndighetens personuppgiftsansvar. Behovet av tydlighet sammanhänger bl.a. med att det annars kan uppstå missförstånd på grund av de bestämmelser som anger vad enheten för passagerarinformation ska eller får göra. Bestämmelsen är således av upplysande karaktär och förtydligar att det är Polismyndigheten som ska ansvara för att
359
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Personuppgiftsansvaret för behandling hos behöriga myndigheter
Sedan
Personuppgiftsansvaret för behandling hos lufttrafikföretagen
Lufttrafikföretagen åläggs en författningsreglerad skyldighet att över- föra
2 Europaparlamentets och rådets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphävande av rådets förordning (EEG) nr 2299/89.
360
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
uppgiftsansvaret menar vi. Lufttrafikföretagens personuppgiftsan- svar enligt dataskyddsförordningen för
Ansvaret för att överföringen till enheten för passagerarinforma- tion sker på ett säkert sätt ligger således hos lufttrafikföretagen. De har dock givetvis inget ansvar för den fortsatta hantering som sker vid enheten eller behöriga myndigheter m.fl. från och med enhetens mottagande av uppgifterna.
19.2Generella datasäkerhetsbestämmelser
19.2.1Direktivets bestämmelser
Direktivet innehåller ett flertal bestämmelser som syftar till att säker- ställa en hög nivå av datasäkerhet vid behandlingen av PNR- uppgifter. I artikel 13.7 anges att medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är för- knippade med behandlingen och arten av
Som redan tidigare nämnts anges vidare i artikel 13.3 att direk- tivet inte påverkar tillämpligheten av det nuvarande dataskydds- direktivet på lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organi- satoriska åtgärder för att skydda personuppgifters säkerhet och
361
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
konfidentialitet. I artikel 16.1 anges vidare att all överföring av PNR- uppgifter från lufttrafikföretag till enheter för passagerarinforma- tion ska göras med elektroniska medel som tillhandahåller tillräck- liga garantier med avseende på de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som styr den behandling som ska utföras. I händelse av tekniska problem får
19.2.2Dataskyddsrambeslutet och dess genomförande i svensk rätt
Artikel 22 i dataskyddsrambeslutet föreskriver krav på säkerhet i samband med behandlingen av personuppgifter. Enligt bestämmelsen ska medlemsstaterna se till att behöriga myndigheter vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från att avsiktligt eller oavsiktligt utplånas eller gå förlorade samt från ändringar, otillåten spridning och otillåten tillgång till uppgifterna. I punkten 2 ställs mera konkreta krav på olika typer av åtgärder som dels ska förhindra att uppgifterna hamnar i orätta händer, dels till- försäkra att det går att i efterhand kontrollera vem som har lagt in uppgifter och att de system som används fungerar tillfredsställande.
I artikel 21 i rambeslutet föreskrivs att personuppgifter endast får behandlas av anställda vid den behöriga myndigheten eller efter instruktioner från denna, om det inte föreligger rättsliga skyldigheter till annan behandling. Vidare ska den som anlitas för att arbeta för en behörig myndighet vara bunden av alla de bestämmelser om skydd av uppgifter som gäller för respektive myndighet.
De aktuella bestämmelserna föranledde inte några ändringar i lag eller förordning i samband med genomförandet av rambeslutet, efter- som gällande rätt för den brottsbekämpande sektorn redan ansågs tillgodose kraven enligt rambeslutet (se prop. 2008/09:16 s. 52 f.). Bland annat hänvisades till de allmänna bestämmelserna i
362
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
bestämmelser om informationssäkerhet även finns i andra författ- ningar, t.ex. i arkivlagen (1990:782). Vad gäller artikel 21 ansågs där- utöver 14 § i lagen (1994:260) om offentlig anställning ha betydelse för att uppfylla rambeslutets krav såvitt gäller allmän verksamhet.
19.2.3Brottsdatalagen
Som tidigare har angetts upphävs dataskyddsrambeslutet i samband med genomförandet av det nya dataskyddsdirektivet. Av PNR- direktivets skäl 27 framgår att hänvisningar till dataskyddsrambeslu- tet bör ses som hänvisningar till såväl nuvarande lagstiftning som de framtida bestämmelser som kommer att ersätta denna. Eftersom det nya dataskyddsdirektivet ska genomföras i nationell rätt ungefärligen samtidigt som
Som tidigare framgått föreslås det nya dataskyddsdirektivet genomföras i svensk rätt genom brottsdatalagen och den tillhörande förordningen. Så gäller även för det nya dataskyddsdirektivets be- stämmelser om tekniska och organisatoriska åtgärder. Enligt 3 kap. 2 § BDL ska den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behand- lingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas. I 3 kap. 3 § anges att den personuppgiftsansva- rige ska, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt data- skydd). Det gäller både vid beslut om hur behandlingen ska utföras och vid behandlingen.
Enligt 3 kap. 4 § ska den personuppgiftsansvarige se till att det i automatiserade behandlingssystem som regel endast är möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
I 3 kap. 6 § anges att den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Kan en typ av ny behandling eller betydande förändringar av- seende redan pågående behandling antas medföra särskild risk för intrång i den registrerades personliga integritet, ska den person-
363
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
uppgiftsansvarige, enligt 3 kap. 7 §, innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter. I sådana fall ska den personuppgiftsansvarige sam- råda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs.
Enligt 3 kap. 8 § ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personupp- gifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. I 3 kap. 8 § BDF anges vidare vad som ska beaktas vid utformningen av säker- hetsåtgärder för att en lämplig säkerhetsnivå ska uppnås.
För en närmare beskrivning av de föreslagna bestämmelserna hänvisas till SOU 2017:29.
19.2.4Våra överväganden och förslag
Vårt förslag och vår bedömning: Det ska i lagen föras in en be- stämmelse som genomför artikel 6.8 i direktivet. Enligt bestäm- melsen får enheten för passagerarinformations lagring och annan behandling av
Som framgått innehåller brottsdatalagen ett flertal bestämmelser som innebär att lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa en hög säkerhetsnivå till skydd av person- uppgifter. De ovan angivna bestämmelserna innehåller även krav på sådan konfidentiell behandling och datasäkerhet som avses i data- skyddsrambeslutet. Brottsdatalagen kommer att gälla såväl för den personuppgiftsbehandling som sker vid enheten för passagerar- information som vid de flesta behöriga myndigheter som senare kommer att ta del av
Bestämmelserna i brottsdatalagen är generellt formulerade och kommer därmed att bli direkt tillämpliga för den personuppgifts- behandling som avses i
364
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
registerförfattningarna för de behöriga myndigheter som inte kom- mer att tillämpa brottsdatalagen kommer att innehålla motsvarande bestämmelser. Särskilda bestämmelser i dessa frågor behöver, med ett undantag, således inte föras in i vårt lagförslag.
Undantaget avser kravet i artikel 6.8 om att enhetens lagring, behandling och analys av
Vad gäller lufttrafikföretagen kommer dessas behandling av insamlade
19.3Bevarande av dokumentation och loggning
19.3.1Direktivets bestämmelser
Av direktivets skäl 37 framgår att all behandling av
365
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
anges att enheten för passagerarinformation ska bevara dokumen- tation om alla system och förfaranden för uppgiftsbehandling inom dess ansvarsområde. Dokumentationen ska minst innehålla
a)namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anför- trotts behandlingen av
b)begäran från behöriga myndigheter och enheter för passagerar- information i andra medlemsstater,
c)begäran om och överföring av
I bestämmelsen anges vidare att enheten för passagerarinformation på begäran ska göra all dokumentation tillgänglig för den nationella tillsynsmyndigheten.
Loggning är en säkerhetsåtgärd som innebär att behandlings- historik sparas under en viss tid. Det är en teknisk funktion i syste- met som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Loggning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information både om hur behand- lingssystemen används och om externa och interna angrepp mot systemen. Loggning är således mycket viktig för det interna säker- hetsarbetet. Den ger också tillsynsmyndigheten nödvändig infor- mation för granskningen i efterhand av hur personuppgifter har behandlats.
Av artikel 13.6 framgår att medlemsstaterna ska se till att enheten för passagerarinformation för loggar över behandling av
366
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
19.3.2Nuvarande reglering
Personuppgiftsansvariga har enligt det nu gällande dataskyddsdirek- tivet ingen skyldighet att föra register över de behandlingar som de ansvarar för. I stället är de skyldiga att anmäla behandling av per- sonuppgifter som är helt eller delvis automatiserad till tillsyns- myndigheten, som ska föra ett sådant register över de behandlingar som har anmälts till myndigheten. Någon anmälan till tillsynsmyn- digheten behöver emellertid inte göras om den personuppgifts- ansvarige utser ett personuppgiftsombud, som bl.a. ska ha till uppgift att föra register över de behandlingar som utförs av den personupp- giftsansvarige. Artiklarna har genomförts dels i 36, 37 och 39 §§ PUL, dels i personuppgiftsförordningen. Enligt 3 § 3 PUF gäller undantag från anmälningsskyldigheten bl.a. för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Myndigheternas registerförfattningar är sådana särskilda föreskrifter. Myndigheterna i rättskedjan är därmed inte anmälningsskyldiga och Datainspektionen för således inget register över dessa behandlingar. I t.ex. polisdatalagen anges dock att ett personuppgiftsombud ska utses och, genom hänvisning till 39 § PUL, att ombudet ska föra en förteckning över de behandlingar som utförs.
Som tidigare nämnts ställs krav på säkerhetsåtgärder i 31 § PUL. De anses även omfatta loggning och liknande åtgärder. Av Datain- spektionens allmänna råd om säkerhet för personuppgifter framgår att det, beroende på känsligheten hos personuppgifterna, bör finnas en behandlingshistorik (logg) som sparas viss tid så att åtkomsten till uppgifterna kan kontrolleras. Enligt Datainspektionen bör en behandlingshistorik normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgif- ter. Historiken bör, beroende på hur känsliga personuppgifterna är, ange t.ex. läsning, ändring, utplåning eller kopiering av personupp- gifter (Säkerhet för personuppgifter, Datainspektionens allmänna råd, november 2008, s. 22). Bestämmelser om loggning kan även finnas i myndighetsföreskrifter.
367
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
19.3.3Brottsdatalagen
Det nya dataskyddsdirektivet innehåller skyldigheter för person- uppgiftsansvariga att föra såväl register över viss personuppgiftsbe- handling som loggar. Skyldigheten för de personuppgiftsansvariga att föra ett register över behandlingar föreslås av Utredningen om 2016 års dataskyddsdirektiv genomföras i brottsdataförordningen. I 3 kap. 3 § BDF anges att den personuppgiftsansvarige ska för- teckna kategorier av behandlingar av personuppgifter som denne ansvarar för. Registret ska, förutom namnet på och kontaktupp- gifter till den personuppgiftsansvarige, gemensamt personuppgifts- ansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.
1.Den rättsliga grunden för behandlingen.
2.Ändamålen med behandlingen.
3.Kategorier av tjänstemän som har tillgång till de personuppgif- ter som behandlas.
4.Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.
5.Kategorier av registrerade som berörs av behandlingen.
6.Kategorier av personuppgifter som kan komma att behandlas.
7.Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.
8.Användning av profilering.
9.Om det är möjligt, tidsfrister för hur länge kategorierna av per- sonuppgifter får behandlas.
10.Om det är möjligt, en allmän beskrivning av vilka säkerhets- åtgärder som har vidtagits.
En bestämmelse om loggning föreslås i 3 kap. 5 § BDL. Enligt be- stämmelsen ska den personuppgiftsansvarige säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgifts- behandling i den utsträckning det är särskilt föreskrivet. I 3 kap. 4 § BDF anges närmare vilka behandlingar som avses. Enligt bestäm- melsen ska, i automatiserade behandlingssystem, behandlingar som
368
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
innebär insamling, ändring, läsning, utlämning, överföring till tredje- land eller internationella organisationer, sammanföring och radering av personuppgifter loggas. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.
I det nya dataskyddsdirektivet anges att loggarna över läsning och utlämning även ska göra det möjligt att fastställa motiveringen för behandlingen (i den engelska versionen justification, i den danska fastlägga begrundelsen). Enligt Utredningen om 2016 års dataskydds- direktiv kan inte skälen till att någon i ett visst fall tar del av eller lämnar ut en viss personuppgift fastställas automatiskt genom logg- ning. Någon sådan skyldighet att logga motiveringen till varför personuppgifter behandlas har därför inte förts in i förordningen (se SOU 2017:29 s. 308 f.).
Bestämmelserna om loggning i 3 kap. 5 § BDL och 3 kap. 4 § BDF föreslås inte behöva tillämpas på automatiserade behandlings- system som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
Tillsynsmyndigheten ska på begäran få upplysningar om och dokumentation av behandling av personuppgifter och säkerhets- och skyddsåtgärder från den personuppgiftsansvarige (5 kap. 5 § BDL).
19.3.4Våra överväganden och förslag
Vårt förslag: Skyldigheten för Polismyndigheten att bevara viss dokumentation och att föra logg över vissa typer av behand- lingar vid enheten för passagerarinformation ska regleras i för- ordning.
Enligt brottsdatalagen ska den personuppgiftsansvarige, i vårt fall Polismyndigheten, föra ett register över alla kategorier av verksam- heter som den ansvarar för. Den information som ska bevaras i detta register är i många fall begränsat till kategorier av uppgifter. Enligt
369
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Enligt
Bestämmelsen bör också ange att namn och kontaktuppgifter till enheten och dess personal samt personalens olika nivåer av åt- komstbehörighet ska dokumenteras. Vidare bör det av bestämmel- sen framgå att varje begäran från en behörig myndighet, eller en enhet för passagerarinformation i en annan medlemsstat, samt varje begäran om och överföring av
Det anges inte i
Utredningen om 2016 års dataskyddsdirektiv föreslår generella bestämmelser om loggning av sådana personuppgifter som behand- las i automatiserade behandlingssystem. Behandlingen av
370
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
gifter inom enheten för passagerarinformation kommer av naturliga skäl att ske med hjälp av sådana automatiserade behandlingssystem. Den loggning som ska ske enligt de båda direktiven har därtill samma syften. Vidare omfattar uppräkningen av de uppgifter som ska loggas enligt brottsdataförordningen, förutom i ett fall, de uppgifter som ska loggas enligt
Enligt
Uppgifterna i
371
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
om anledningen till behandlingen, är den mest rimliga. Enligt vår bedömning behöver således inte
Vi föreslår således en bestämmelse som anger att Polismyndig- heten ska se till att det utförs sådan loggning som anges i 3 kap. 4 § BDF över enheten för passagerarinformations personuppgifts- behandling. Av bestämmelsen ska vidare framgå att loggarna ska bevaras i fem år.
Bestämmelserna om dokumentation och loggning kan, liksom de närmare bestämmelser som genomför motsvarande artiklar i det nya dataskyddsdirektivet, föras in på förordningsnivå.
Att dokumentationen och loggarna på begäran ska göras till- gängliga för tillsynsmyndigheten framgår av brottsdatalagen och behöver inte regleras särskilt i vår lag.
19.4Personuppgiftsincident
19.4.1Direktivets bestämmelser
372
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
händelsen uppkommit eller vem som åstadkommit den utan effek- ten av den. (Jfr SOU 2017:29 s. 329.)
I artikel 13.8 i
19.4.2Nuvarande reglering
Det finns inga regler om personuppgiftsincidenter i personupp- giftslagen eller myndigheternas registerförfattningar. Incidenter behandlas inte heller i Datainspektionens allmänna råd om säker- het. Däremot ska incidenter i
Rapporteringsskyldigheten omfattar inte
19.4.3Brottsdatalagen
Personuppgiftsincident definieras i 1 kap. 6 § BDL som en säker- hetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
373
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Enligt 3 kap. 9 § ska den personuppgiftsansvarige anmäla en per- sonuppgiftsincident till tillsynsmyndigheten senast 72 timmar efter det att denne fått kännedom om incidenten. Det gäller dock inte om incidenten rör nationell säkerhet. Anmälan behöver inte heller göras om det kan antas att personuppgiftsincidenten inte har medfört eller kommer att medföra risk för otillbörligt intrång i den registrerades personliga integritet. Utredningen om 2016 års data- skyddsdirektiv anger att någon anmälan t.ex. inte behöver göras om incidenten påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under en så kort tid att obehörig åtkomst inte varit möjlig (se SOU 2017:29. 331).
Det föreslagna undantaget från anmälningsplikten för det fall personuppgiftsincidenten rör nationell säkerhet har sin grund i att
Information till enskilda registrerade regleras i 3 kap. 10 § BDL. Om en personuppgiftsincident som ska anmälas enligt 9 § har med- fört eller kan antas medföra särskild risk för otillbörligt intrång i den registrerades personliga integritet ska den personuppgiftsan- svarige utan onödigt dröjsmål underrätta den registrerade om in- cidenten. Enligt andra stycket gäller underrättelseskyldigheten inte om den personuppgiftsansvarige
374
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
1.har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,
2.har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i den personliga integriteten, eller
3.skulle behöva göra oproportionerliga ansträngningar för att under- rätta alla berörda.
I det senare fallet ska allmänheten, enligt tredje stycket, informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.
I 3 kap. 11 § anges att den personuppgiftsansvarige får underlåta att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av be- slut som har meddelats med stöd av författning att personuppgifter inte får lämnas ut av hänsyn till intresset av att
1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upp- rätthålla allmän ordning och säkerhet,
2.andra rättsliga utredningar eller undersökningar inte hindras,
3.nationell säkerhet skyddas, eller
4.annans fri- och rättigheter skyddas.
3 kap. 11 § innebär att bestämmelser om sekretess och tystnads- plikt har företräde framför regeln om rätt till information vid per- sonuppgiftsincidenter.
19.4.4Våra överväganden
Vår bedömning: Bestämmelserna om personuppgiftsincidenter i brottsdatalagen bör i sin helhet tillämpas vid enheten för passa- gerarinformation. Personuppgiftsincidenter behöver därför inte regleras särskilt i den av oss föreslagna lagen.
375
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
I 3 kap. 9 § BDL anges visserligen att den personuppgiftsansva- rige inte ska anmäla personuppgiftsincidenter som rör nationell säkerhet till tillsynsmyndigheten. Ett sådant undantag finns inte angivet i
376
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
19.5Dataskyddsombud
19.5.1Direktivets bestämmelser
Enheten för passagerarinformation ska, enligt artikel 5.1 i PNR- direktivet, utse ett dataskyddsombud. Någon definition av begrep- pet dataskyddsombud finns inte i direktivet. Termen används dock även i dataskyddsförordningen och i det nya dataskyddsdirektivet. Dagens motsvarighet till dataskyddsombud är det som i person- uppgiftslagen kallas för personuppgiftsombud. Ett personuppgifts- ombud definieras i 3 § PUL som den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Enligt artikel 5.1 i
Även i andra artiklar i direktivet finns bestämmelser som rör dataskyddsombudet. I artikel 6.7 anges att medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som en- heten för passagerarinformation behandlar. Om dataskyddsombu- det anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella till- synsmyndigheten.
Enligt artikel 11.4 ska dataskyddsombudet informeras varje gång en medlemsstat överför
Vidare ska dataskyddsombudet, enligt artikel 12.3, informeras och genomföra en efterhandsutvärdering när en annan nationell myndighet än en rättslig sådan har lämnat tillstånd till utlämnande
377
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
av fullständiga
19.5.2Nuvarande reglering
Som nyss nämnts används i dag termen personuppgiftsombud för det som motsvarar dataskyddsombud. Personuppgiftslagen föreskriver ingen skyldighet att utse personuppgiftsombud. De behöriga myn- digheterna kan dock enligt sina registerförfattningar vara skyldiga att ha personuppgiftsombud. Ett sådant krav finns t.ex. i polisdatalagen.
Enligt
19.5.3Brottsdatalagen
Ett dataskyddsombud definieras i 1 kap. 6 § BDL som en fysisk per- son som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.
Enligt 3 kap. 13 § BDL ska den personuppgiftsansvarige utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
Dataskyddsombudets uppgifter framgår av 3 kap. 14 §. Där an- ges att dataskyddsombudet ska
378
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
1.självständigt kontrollera att den personuppgiftsansvarige behand- lar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,
2.informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyl- digheter vid behandling av personuppgifter,
3.på begäran ge den personuppgiftsansvarige råd vid en konsekvens- bedömning och kontrollera att den genomförs på ett korrekt sätt,
4.vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och
5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.
Om den personuppgiftsansvarige bryter mot bestämmelser för be- handling av personuppgifter och rättelse inte vidtas, ska dataskydds- ombudet, enligt 3 kap. 15 §, anmäla det till tillsynsmyndigheten.
Enligt 3 kap. 14 § BDF ska den personuppgiftsansvarige säker- ställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap. 14 och 15 §§ BDL genom att tillhandahålla nödvändiga resur- ser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personuppgiftsansvarige ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.
19.5.4Våra överväganden och förslag
Våra förslag: Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.
Det förs i lagen in bestämmelser som anger att dataskydds- ombudet vid enheten för passagerarinformation ska ansvara för genomförandet av relevanta skyddsåtgärder. Vidare ska enskilda ha rätt att kontakta dataskyddsombudet i egenskap av enda kon-
379
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
taktpunkt i alla frågor som gäller behandling av dennes PNR- uppgifter enligt lagen. Om dataskyddsombudet anser att enheten för passagerarinformation bryter mot bestämmelser för behand- ling av
Enligt brottsdatalagen ska den personuppgiftsansvarige utse ett eller flera dataskyddsombud. I
Skyldighet för Polismyndigheten att utse ett dataskyddsombud vid enheten för passagerarinformation bör föras in i vår reglering. Skyldigheten att anmäla till tillsynsmyndigheten när dataskydds- ombud utses och entledigas bör också åligga den personuppgifts- ansvarige, dvs. Polismyndigheten. Detta framgår av brottsdatalagen och behöver inte regleras särskilt i vår lag.
Att det ska utses ett särskilt dataskyddsombud vid enheten för passagerarinformation hindrar, som vi ser det, inte i sig att detta ombud har sin anställning utanför enheten eller har fler uppdrag som dataskyddsombud. Huruvida detta är lämpligt eller möjligt torde bero på hur mycket arbete det kommer att visa sig att ombu- det behöver lägga ned på sitt uppdrag, vilket är svårt att nu bedöma. Dessutom kan säkerhetsaspekten med tanke på känsligheten i in- formationen och ombudets obegränsade tillgång till uppgifterna tala mot en sådan lösning.
Dataskyddsombuds uppgifter enligt brottsdatalagen omfattar i stora delar även de uppgifter som ett dataskyddsombud ska ha en- ligt
380
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
Således menar vi att skyldigheten enligt artikel 5.1 i direktivet att övervaka behandlingen av
Vidare omfattas uppgiften att vara kontaktpunkt för enskilda enligt artikel 5.3 i stort sett av bestämmelsen i 3 kap. 14 § 4 BDL, dock att det i
Av bestämmelsen i 3 kap. 14 § BDF framgår att den person- uppgiftsansvarige ska tillhandahålla nödvändiga resurser för att dataskyddsombudet ska kunna utföra sina uppgifter (jfr artikel 5.2 i
Enligt artikel 6.7 i
381
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
ansvarige ska säkerställa att dataskyddsombudet ges möjlighet att delta i de frågor som rör skyddet av personuppgifter. Vidare ska den personuppgiftsansvarige enligt bestämmelsen ge tillgång till doku- mentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Enligt vår mening torde ett behov av tillgång till
Vidare anges i artikel 6.7, som avser behandling av
Frågor om information till dataskyddsombudet i vissa fall och om efterhandskontroll har behandlats i tidigare avsnitt, se av- snitt 15.5.4 och 17.3.4.
382
20 Enskildas rättigheter
20.1Direktivets bestämmelser
En viktig aspekt av personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den person- uppgiftsbehandling som pågår är en förutsättning för att någon ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Enligt
Direktivet anger att passagerarna ska tillerkännas vissa grundläg- gande rättigheter vid behandlingen av deras personuppgifter. Enligt artikel 13.1 ska medlemsstaterna föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med direktivet har sam- ma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i dataskyddsram- beslutet. Enligt
383
Enskildas rättigheter |
SOU 2017:57 |
20.2Rätten till information
20.2.1Dataskyddsrambeslutet
En enskild registrerads rätt till information om behandlingen reg- leras i dataskyddsrambeslutet i artiklarna 16 och 17.
Vid genomförandet av dataskyddsrambeslutet ansågs artikel 17.1 motsvaras av 26 § PUL, som ställer mer långtgående krav på vilken information som ska lämnas. Undantagsgrunderna i 8 a och 27 §§ PUL ansågs i allt väsentligt motsvara de undantagsgrunder som anges i artikel 17.2. Bestämmelserna i artikel 17.3 ansågs inte kräva några lagstiftningsåtgärder. (Se prop. 2012/13:73 s. 90 ff.) Bestämmelserna i personuppgiftslagen behandlas närmare i avsnitt 6.3.2.
20.2.2Brottsdatalagen
Som har angetts i tidigare avsnitt får
384
SOU 2017:57 |
Enskildas rättigheter |
ombudet kontaktuppgifter, ändamålen med behandlingen, rätten att begära att få information om behandling av personuppgifter och att få del av dem, rätten att begära rättelse, radering eller begränsning av behandlingen samt möjligheten att lämna in klagomål till tillsyns- myndigheten och kontaktuppgifter till den.
Om den personuppgiftsansvarige anser att en registrerad behöver ytterligare information för att kunna ta tillvara sina rättigheter ska, enligt 4 kap. 2 §, den personuppgiftsansvarige på eget initiativ även lämna viss personrelaterad information. Denna information omfattar den rättsliga grunden för behandlingen, kategorier av mottagare av personuppgifterna, hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det samt övrig nödvändig information. Vid bedömningen av om övrig nöd- vändig information ska lämnas ut ska det särskilt beaktas om person- uppgifterna samlats in utan den registrerades vetskap.
I 4 kap. 3 § anges vilken information som ska lämnas till en registrerad på begäran. Enligt bestämmelsen ska den personuppgifts- ansvarige till den som begär det utan dröjsmål lämna skriftligt be- sked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och även få viss skriftlig information om behandlingen. Den skriftliga informa- tionen ska omfatta
1.vilka personuppgifter om sökanden som behandlas,
2.varifrån uppgifterna kommer,
3.den rättsliga grunden för behandlingen,
4.ändamålen med behandlingen,
5.mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,
6.hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det,
7.rätten att begära rättelse, radering eller begränsning av behand- lingen, och
8.möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.
385
Enskildas rättigheter |
SOU 2017:57 |
Sökanden behöver inte få del av personuppgifter som han eller hon har tagit del av, om det inte begärs. Det ska dock framgå av informa- tionen att personuppgifterna i fråga behandlas.
I 4 kap. 5 § anges att rätten till information får begränsas i lag, annan författning eller i beslut som har meddelats med stöd av för- fattning. En sådan begränsning får endast göras av hänsyn till in- tresset av att
1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upp- rätthålla allmän ordning och säkerhet,
2.andra rättsliga utredningar eller undersökningar inte hindras,
3.nationell säkerhet skyddas, eller
4.annans fri- och rättigheter skyddas.
Om dessa förutsättningar är uppfyllda är den personuppgiftsansva- riga inte heller skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandling.
Informationsskyldigheten enligt 4 kap. 3 § gäller som huvud- regel inte heller för personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller i minnesanteckningar eller liknande (4 kap. 6 §).
Om en begäran om information om att personuppgifter behand- las eller att få del av dem är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den (4 kap. 7 §).
Information ska som huvudregel lämnas utan avgift. Om någon begär information eller uppgifter enligt 3 § oftare än en gång per år får den personuppgiftsansvarige dock ta ut en rimlig avgift eller avslå begäran (4 kap. 7 och 12 §§).
I brottsdataförordningen anges krav på utformningen av bl.a. den information som lämnas till enskilda. Informationen ska vara lättill- gänglig och lättbegriplig och lämnas i lämplig form (4 kap. 1 §). En enskilds begäran om att ta del av information ska göras skriftligen hos den personuppgiftsansvarige (4 kap. 2 §).
386
SOU 2017:57 |
Enskildas rättigheter |
20.2.3Dataskyddsförordningen
Lufttrafikföretagen hör inte till den brottsbekämpande sektorn. För dem kommer således inte bestämmelserna om personuppgifts- behandling enligt dataskyddsrambeslutet eller det nya dataskydds- direktivet att vara tillämpliga. Lufttrafikföretagens personuppgifts- behandling omfattas i stället i dag av tillämpningsområdet för det nu gällande dataskyddsdirektivet1, som genomförts i svensk rätt genom personuppgiftslagen. Som tidigare angetts ska det nu gällande data- skyddsdirektivet ersättas av dataskyddsförordningen, som ska börja tillämpas den 25 maj 2018.
Enligt artikel 13.2 i
Enskildas rätt till information regleras i artiklarna
I artikel 13 anges vilken information som ska tillhandahållas om personuppgifter har samlats in från den registrerade. Den informa- tion som lufttrafikföretagen i sådant fall ska tillhandahålla omfattar bl.a. identitet och kontaktuppgifter för den personuppgiftsansvarige och eventuellt dataskyddsombud, ändamålen med behandlingen, den period under vilken personuppgifterna kommer att lagras, rätten att begära tillgång till uppgifterna, rätten till rättelse, radering eller be- gränsning av behandlingen av uppgifterna och rätten att inge klago- mål till en tillsynsmyndighet. Den information som ska lämnas ska även omfatta vilka mottagare eller kategorier av mottagare som i före- kommande fall ska ta del av personuppgifterna.
Om personuppgifterna i stället har lämnats till lufttrafikföre- tagen från någon annan, exempelvis en resebyrå eller researrangör,
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
387
Enskildas rättigheter |
SOU 2017:57 |
anges vilken information som ska lämnas i artikel 14. Bestämmelsen innehåller ungefärligen samma uppgifter som föregående artikel. Dock ska informationen i dessa fall även omfatta uppgifter om bl.a. varifrån personuppgifterna kommer samt information om de kate- gorier av personuppgifter som behandlingen gäller. Även i dessa fall ska den personuppgiftsansvarige lämna uppgift om mottagare eller de kategorier av mottagare som ska ta del av personuppgifterna. Informationen ska lämnas inom en rimlig tid efter det att person- uppgifterna erhållits, dock senast inom en månad. Om ett utläm- nande till en annan mottagare förutses, ska informationen lämnas senast när personuppgifterna lämnas ut för första gången. Informa- tion som den registrerade redan förfogar över behöver inte lämnas. Informationen behöver inte heller lämnas om erhållande eller ut- lämnande av uppgifterna följer av unionsrätten eller nationell rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.
20.2.4Våra överväganden och förslag
Vårt förslag: Lufttrafikföretagen ska informera passagerarna om överföringen av
Vår bedömning: Ytterligare bestämmelser om enskildas rätt till information behöver inte föras in i lagen.
Rätten till information om insamlingen av
Enligt skälen till
388
SOU 2017:57 |
Enskildas rättigheter |
mest praktiska lösningen vore om informationen lämnades av luft- trafikföretagen och att det därför är den mest önskvärda lösningen.2
Lufttrafikföretagen ska enligt dataskyddsförordningen tillhanda- hålla information om sin egen insamling av
Vi anser att lufttrafikföretagen bör åläggas en skyldighet att infor- mera sina passagerare om överföringen till enheten för passagerar- information alldeles oavsett om
Endast en upplysning om att
Lufttrafikföretagen lämnar redan i dag liknande information till sina resenärer inför resor till länder som kräver tillgång till PNR-
2 COM, Report of the third meeting on the implementation of the PNR Directive, 12 December 2016.
389
Enskildas rättigheter |
SOU 2017:57 |
uppgifter. Vi delar kommissionens uppfattning att den mest prak- tiska lösningen vore om lufttrafikföretagen ålades att lämna även den här aktuella informationen till sina passagerare. Således föreslår
viatt informationsskyldigheten ska åläggas lufttrafikföretagen. Informationen kan lämpligen lämnas tillsammans med den övriga
information som lufttrafikföretagen ska tillhandahålla enligt data- skyddsförordningen. Informationen kan framgå av flygbiljetten eller av lufttrafikföretagens hemsidor, eller, allra helst, på båda sätten.
Ett åläggande för lufttrafikföretagen att lämna denna information påverkar inte tillämpligheten av dataskyddsförordningen. Åläggandet medför inte heller någon inskränkning i Polismyndighetens skyldig- heter enligt brottsdatalagen att såsom personuppgiftsansvarig lämna information om den personuppgiftsbehandling som kommer att ske vid enheten för passagerarinformation.
Rätten till information om personuppgiftsbehandlingen vid enheten för passagerarinformation och behöriga myndigheter
Efter det att
Som tidigare har framgått hänvisar
390
SOU 2017:57 |
Enskildas rättigheter |
Det nya dataskyddsdirektivets bestämmelser om enskildas rätt till information föreslås genomföras i 4 kap.
Brottsdatalagen kommer att gälla utöver den av oss föreslagna lagen beträffande behandling som utförs vid enheten för passagerar- information eller vid sådana behöriga myndigheter som i sin verk- samhet har att tillämpa brottsdatalagen, dvs. Polismyndigheten, Eko- brottsmyndigheten och Tullverket som det ser ut i nuläget.
Som tidigare nämnts föreslås Säkerhetspolisen i allt väsentligt inte omfattas av brottsdatalagens tillämpningsområde. Däremot kommer det inom kort föreslås särreglering för Säkerhetspolisen. Det är rim- ligt att tro att det i det sammanhanget kommer att föreslås en generell lösning för frågan om enskildas rätt till information gällande Säker- hetspolisens verksamhet. Vi ser ingen anledning att nu föregripa det arbetet med någon särslösning för Säkerhetspolisens del. Vi gör sam- ma bedömning vad gäller Försvarsmakten vars författningsreglering av personuppgiftsbehandlingen inom försvarsunderrättelseverksam- heten och den militära säkerhetstjänsten för närvarande utreds. Det är alltså vår sammantagna bedömning att särskilda bestämmelser om enskildas rätt till information från berörda myndigheter inte bör föras in i vårt lagförslag.
Det bör påpekas att skyldigheten att lämna ut uppgifter i många fall kommer att begränsas av bl.a. bestämmelserna i offentlighets- och sekretesslagen.
20.3Rätt till rättelse, radering eller begränsning av behandlingen av uppgifter
20.3.1Dataskyddsrambeslutet
I artikel 18 i dataskyddsrambeslutet anges att en registrerad ska ha rätt att förvänta sig att en registeransvarig fullgör sina skyldigheter enligt rambeslutet att rätta, radera eller blockera personuppgifter. Medlemsstaterna ska fastställa hur den registrerade ska kunna göra anspråk på rätten till rättelse, radering och blockering. Om den re- gisteransvariga vägrar att rätta, radera eller blockera uppgifter måste
391
Enskildas rättigheter |
SOU 2017:57 |
vägran meddelas skriftligen och den registrerade informeras om möjligheterna att anföra klagomål eller begära prövning. När ett klagomål eller en begäran prövats ska den registrerade informeras om huruvida den registeransvarige handlat korrekt eller inte.
Vid genomförandet av rambeslutet ansågs bestämmelsen inte kräva några ändringar eller tillägg i personuppgiftslagen (se prop. 2012/13:73 s. 95 f.), där frågan behandlas i 28 §. Se om den bestämmelsen i avsnitt 6.3.2.
20.3.2Brottsdatalagen
Artikel 16 i det nya dataskyddsdirektivet innehåller bestämmelser om registrerades rätt till rättelse eller radering av personuppgifter och begränsning av behandling. Artikeln föreslås genomföras genom 4 kap. 9 och 10 §§ BDL.
I 4 kap. 9 § BDL anges att den personuppgiftsansvarige på begä- ran av den registrerade utan onödigt dröjsmål ska rätta eller komplet- tera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen i stället utan onödigt dröjsmål be- gränsas.
I 4 kap. 10 § första stycket BDL anges att den personuppgifts- ansvarige, på begäran av den registrerade, utan onödigt dröjsmål ska radera personuppgifter som rör honom eller henne om de behandlas i strid med vissa särskilt angivna bestämmelser i lagen som innehåller grundläggande krav på behandling av personuppgifter eller lagens bestämmelser om behandling av känsliga personuppgifter, rättslig grund eller ändamål med behandlingen. Detsamma gäller om rade- ring krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Uttrycket rättslig förpliktelse syftar på en skyldighet som åligger den personuppgiftsansvarige enligt brottsdatalagen, den behöriga myndighetens registerförfattning eller andra författningar med bestämmelser om personuppgiftsbehandling. Med radering avses detsamma som utplåning. För att radera personuppgifter i allmänna handlingar krävs författningsstöd för gallring. Utrymmet för att radera personuppgifter i allmänna handlingar på grund av att person-
392
SOU 2017:57 |
Enskildas rättigheter |
uppgifterna inte har behandlats författningsenligt torde därför vara begränsat (jfr bl.a. SOU 2015:39 s. 529 och 573 f.).
Om förutsättningarna för att radera personuppgifter är uppfyllda, men uppgifterna behöver finnas kvar som bevisning, ska den person- uppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av dem (4 kap. 10 § andra stycket). Med begränsning av behandling avses enligt direktivet en markering av lagrade personuppgifter i syfte att begränsa behandlingen av dem i framtiden. Dagens motsvarighet till begränsning av behandling är blockering.
Det är den personuppgiftsansvarige som avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandling (4 kap. 11 §).
Som tidigare framgått innehåller brottsdataförordningen flera be- stämmelser om enskildas rättigheter. Här framgår att beslut gällande enskildas rättigheter ska vara skriftliga och att beslut som går den registrerade emot ska motiveras, om inte annat angetts i lagen (4 kap. 3 §). Vidare anges en rad situationer då den registrerade eller andra ska underrättas om beslut och om möjligheten att lämna in klagomål till tillsynsmyndigheten m.m. Bl.a. ska en underrättelse alltid skickas på den personuppgiftsansvariges eget initiativ till den myn- dighet som har mottagit en personuppgift, för det fall denna upp- gift senare har rättats eller raderats eller behandlingen av den har begränsats (4 kap. 8 § andra stycket).
20.3.3Våra överväganden och förslag
Vårt förslag: Det förs i lagen in en bestämmelse som anger att rätten till radering eller begränsning av behandling av person- uppgifter enligt 4 kap. 10 § BDL ska gälla vid behandling i strid mot bestämmelserna i vår lag om otillåten behandling av PNR- information, förbud mot behandling av känsliga personuppgifter samt skyldigheten att gallra
393
Enskildas rättigheter |
SOU 2017:57 |
Vår bedömning: Ytterligare bestämmelser om enskildas rätt till rättelse, radering eller begränsning av behandling av uppgifter behöver inte föras in i lagen.
Som konstaterats i avsnitt 20.2.4 bör de nationella bestämmelser om enskildas rättigheter som genomför det nya dataskyddsdirektivet fullt ut vara tillämpliga vid sådan personuppgiftsbehandling som regleras i den av oss föreslagna lagen.
Brottsdatalagen innehåller bestämmelser om den registrerades rätt till rättelse, radering och begränsning av behandling av person- uppgifter i 4 kap.
4 kap. 10 § anger att den registrerade har rätt till radering eller begränsning av personuppgifter om uppgifterna har behandlats i strid mot vissa angivna bestämmelser i brottsdatalagen. De angivna bestäm- melserna är av så generell natur att överträdelser av dem bör med- föra en rätt för registrerade till radering eller begränsning även vid personuppgiftsbehandling enligt vår lag. Enligt vår mening bör en registrerad dock också ha rätt till radering eller begränsning av be- handling av personuppgifter vid överträdelser av vissa centrala be- stämmelser enligt vårt lagförslag. En sådan rättighet bör förekom- ma när personuppgifter har behandlats i strid mot vår lags förbud mot behandling av känsliga personuppgifter, lagens begränsning i fråga om vad för slags brottslighet som uppgifterna får användas för samt förpliktelsen att gallra
Så som vi formulerar bestämmelsen, kommer den att vara tillämp- lig alldeles oavsett vem som i ett enskilt fall har utfört den felaktiga behandlingen; ett lufttrafikföretag, enheten för passagerarinforma- tion eller en behörig myndighet. I praktiken torde den dock bara bli aktuell att tillämpa för de myndigheter som annars omfattas av
394
SOU 2017:57 |
Enskildas rättigheter |
brottsdatalagens tillämpningsområde. Alldeles oavsett detta förutser vi dock inte att det kommer att uppstå några tillämpningsproblem med anledning av brottsdatalagbestämmelsens i viss mån vidgade tillämpningsområde. När det gäller Säkerhetspolisen och Försvars- makten gör vi vidare motsvarande bedömningar som ovan i av- snitt 20.2.4 och ser således inte skäl till att i detta lagstiftningsarbete föreslå någon särreglering vad avser motsvarigheter till 4 kap. 9 och 11 §§ BDL.
20.4Rätt till ersättning
20.4.1Dataskyddsrambeslutet
Enligt artikel 19 i dataskyddsrambeslutet har var och en som lidit skada till följd av otillåten behandling av personuppgifter eller någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av rambeslutet, rätt till ersättning av den register- ansvarige, eller av en annan myndighet, för den skada han eller hon lidit. Det är inte möjligt att undgå skadeståndsansvar genom att åberopa att behandlingen avser uppgifter som har överförts från annat land och som var felaktiga redan vid överföringen.
Vid genomförandet av dataskyddsrambeslutet ansågs kraven i ram- beslutet vara uppfyllda genom skadeståndsbestämmelsen i 48 § första stycket PUL. Dock ansågs inte den jämkningsmöjlighet som finns i den bestämmelsens andra stycke förenlig med rambeslutet. Därför infördes en bestämmelse i 10 § lagen (2013:329) med vissa bestäm- melser om skydd för personuppgifter vid polissamarbete och straff- rättsligt samarbete inom Europeiska unionen som anger att 48 § andra stycket PUL inte gäller för uppgifter som har överförts vid sådant polisiärt eller straffrättsligt samarbete som rambeslutet omfattar.
20.4.2Brottsdatalagen
Enligt 7 kap. 1 § BDL ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integri- teten som behandling av personuppgifter i strid med brottsdata- lagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. Bestämmelsen har utformats med motsvarande bestämmelse
395
Enskildas rättigheter |
SOU 2017:57 |
i personuppgiftslagen som mönster. Någon möjlighet till jämkning förekommer dock inte.
20.4.3Våra överväganden och förslag
Vårt förslag: Det förs i lagen in en bestämmelse som innebär att 7 kap. 1 § BDL om skadestånd ska gälla också i fråga om behand- ling av personuppgifter i strid med bestämmelser enligt den nya lagen eller föreskrifter som meddelats med stöd av lagen.
Bestämmelsen om skadestånd enligt brottsdatalagen kommer att gälla om personuppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats i anslutning till den. För att bestämmelsen i brotts- datalagen även ska vara tillämplig vid behandling av personuppgifter i strid med den av oss föreslagna lagen eller med föreskrifter som meddelats med stöd av den lagen behöver en hänvisning till bestäm- melsen föras in i vårt lagförslag.
Vi föreslår därför att en hänvisning till 7 kap. 1 § BDL förs in i den av oss föreslagna lagen. Den ska dock bara avse sådana över- trädelser av bestämmelser som avser att ge skydd för personupp- gifter. Om ett lufttrafikföretag bryter mot bestämmelserna i 2 kap. genom att inte skicka
20.5Rätt till rättsmedel
20.5.1Dataskyddsrambeslutet
Enligt artikel 20 i dataskyddsrambeslutet ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga lagstiftningen. En liknande skrivning i det nu gällande dataskyddsdirektivet medförde inte några särskilda
396
SOU 2017:57 |
Enskildas rättigheter |
lagstiftningsåtgärder vid personuppgiftslagens införande. Rambeslu- tets bestämmelser om överklagande ansågs inte heller kräva några lagstiftningsåtgärder (se prop. 2012/13:73 s. 97 f.).
20.5.2Brottsdatalagen
Rätten att vid allmän domstol föra talan mot en personuppgifts- ansvarig eller ett personuppgiftsbiträde om den registrerades rättig- heter har kränkts genom personuppgiftsbehandlingen kräver, enligt Utredningen om 2016 års dataskyddsdirektiv, inga lagstiftnings- åtgärder. Den möjlighet enskilda har att väcka talan vid allmän dom- stol i den ordning som gäller för tvistemål anses vara tillräcklig (se SOU 2017:29 s. 529 f.).
Enligt brottsdatalagen ska dock beslut i fråga om rättelse, komplet- tering, radering eller begränsning av behandlingen av personuppgif- ter, som har meddelats av en myndighet i egenskap av personupp- giftsansvarig, få överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna sådan information eller att inte medge omprövning av ett automatiserat beslut. Vid överklagande till kam- marrätten ska, på samma sätt som i dag, krävas prövningstillstånd. Beslut av regeringen, Högsta domstolen, Högsta förvaltningsdom- stolen eller riksdagens ombudsmän ska inte kunna överklagas (7 kap. 2 §).
En registrerads rätt att lämna in klagomål till en tillsynsmyndig- het om han eller hon anser att hans eller hennes personuppgifter har behandlats felaktigt har inte ansetts kräva några lagstiftningsåtgärder. Däremot föreslås det införas en ny möjlighet för en registrerad att föra en s.k. dröjsmålstalan mot tillsynsmyndigheten. Enligt förslaget ska tillsynsmyndigheten inom tre månader från den dag ett klagomål kom in till myndigheten lämna skriftligt besked om den avser att utöva tillsyn eller i ett särskilt beslut avslå begäran (5 kap. 9 §). Om tillsynsmyndigheten avslår den registrerades begäran om besked om huruvida tillsyn kommer att utövas, får han eller hon överklaga beslutet till allmän förvaltningsdomstol. Om domstolen bifaller ett överklagande av ett avslagsbeslut, ska den förelägga tillsynsmyndig- heten att, inom den tid som domstolen bestämmer, lämna den registrerade besked om tillsyn kommer att utövas. Annars ska dom-
397
Enskildas rättigheter |
SOU 2017:57 |
stolen avslå överklagandet. Domstolens beslut får inte överklagas. (Se 7 kap. 3 §.)
I 7 kap. 4 § föreskrivs att tillsynsmyndighetens beslut i andra frågor än de som regleras i 3 § får överklagas. Det är framför allt fråga om beslut som tillsynsmyndigheten har fattat med stöd av sina korrigerande befogenheter. Det kan t.ex. vara beslut om rättelse och radering. Det kan även vara beslut om sanktionsavgift.
Några andra beslut än de som uttryckligen anges i brottsdata- lagen ska inte få överklagas (7 kap. 5 §).
20.5.3Våra överväganden och förslag
Vår bedömning: Ytterligare bestämmelser om enskildas rätt till rättsmedel behöver inte föras in i lagen.
Bestämmelser om överklagande har tagits in i 7 kap.
Någon hänvisning till bestämmelsen om dröjsmålstalan i 7 kap. 3 § är inte nödvändig för att bestämmelsen ska bli tillämplig för sådan behandling som avses i vår lag. Vidare kommer tillsynsmyndigheten inte att fatta några beslut enligt vår lag utan endast enligt bestäm- melserna i brottsdatalagen. Någon hänvisning till 7 kap. 4 § BDL är därför inte nödvändig i vår lag. Inte heller ser vi det som befogat att hänvisa till 7 kap. 5 § BDL i vår lag.
När det gäller Säkerhetspolisen och Försvarsmakten gör vi vidare motsvarande bedömningar som ovan i avsnitt 20.2.4 och ser således inte skäl till att i detta lagstiftningsarbete föreslå någon särreglering vad avser motsvarigheter till 7 kap. 3 och 5 §§ BDL.
398
21 Tillsyn
21.1Direktivets bestämmelser
Tillsynsmyndigheten ska, enligt artikel 15.2, utföra sina uppgifter i syfte att skydda grundläggande rättigheter i samband med behand- ling av personuppgifter. I artikel 15.3 anges att varje nationell till- synsmyndighet också ska
a)hantera klagomål från en registrerad, undersöka ärendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomål,
b)kontrollera att uppgiftsbehandlingen är laglig, genomföra utred- ningar, inspektioner och revision i enlighet med nationell rätt, antingen på eget initiativ eller på grundval av ett klagomål som avses i led a.
Vidare ska, enligt artikel 15.4, varje nationell tillsynsmyndighet på begäran ge registrerade råd om hur de kan utöva de rättigheter som fastställs vid genomförandet av direktivet.
Som vi berört i tidigare avsnitt framgår av artikel 6.7 att ärenden kan initieras hos tillsynsmyndigheten av dataskyddsombudet vid enheten för passagerarinformation, nämligen om ombudet anser att enhetens behandling av uppgifter inte varit lagenlig. I artikel 13.5 och 13.6 anges vidare att enheten för passagerarinformation på be-
399
Tillsyn |
SOU 2017:57 |
gäran ska göra dokumentation och loggar tillgängliga för tillsyns- myndigheten.
21.2Bakgrund
21.2.1Dagens tillsyn över behandling av personuppgifter
Datainspektionen
Datainspektionen utövar i dag tillsyn över all behandling av person- uppgifter, om inte ansvaret uttryckligen har anförtrotts någon annan myndighet. Tillsynen omfattar såväl sådan personuppgiftsbehand- ling som regleras i personuppgiftslagen som i särskilda registerför- fattningar eller andra författningar som innehåller bestämmelser om behandling av personuppgifter. Datainspektionens uppdrag regleras i förordningen (2007:975) med instruktion för Datainspektionen (nedan kallad Datainspektionens instruktion).
Inspektionen har utsetts till nationell tillsynsmyndighet enligt flera
Datainspektionen har till uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behand- ling av personuppgifter. Inspektionen ska särskilt inrikta sin verk- samhet på att informera om gällande regler och att ge råd och hjälp åt personuppgiftsombud. Vidare ska myndigheten följa och beskriva utvecklingen på
Inspektionen har rätt att för sin tillsyn få tillgång till person- uppgifter, upplysningar och dokument och tillträde till lokaler som används för behandling av personuppgifter (43 § PUL). Genom på- pekanden och liknande förfaranden ska Datainspektionen i första hand försöka åstadkomma rättelse och i andra hand besluta om för- bud mot annan behandling än lagring (45 §) eller vid domstol an- söka om utplåning av personuppgifter som behandlats på olagligt sätt (47 §) I vissa fall kan inspektionen förena sina förelägganden med
400
SOU 2017:57 |
Tillsyn |
vite (44 och 45 §§). Datainspektionens beslut i tillsynsfrågor får över- klagas (52 §).
Säkerhets- och integritetsskyddsnämnden
Säkerhets- och integritetsskyddsnämnden (SIN) utövar också tillsyn över de brottsbekämpande myndigheterna. Nämndens uppdrag regle- ras i lagen (2007:980) om tillsyn över viss brottsbekämpande verk- samhet och förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.
SIN utövar tillsyn över brottsbekämpande myndigheters använd- ning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. De myndigheter vars verksam- het med hemliga tvångsmedel berörs av tillsynen är Polismyndighe- ten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten och Tullverket. Nämnden utövar även tillsyn över Säkerhetspolisens och Polismyndighetens behandling av personuppgifter enligt polis- datalagen och lagen (2010:362) om polisens allmänna spaningsregi- ster. Tillsynen ska särskilt ta sikte på behandlingen av känsliga per- sonuppgifter.
SIN utövar sin tillsyn genom inspektioner och andra undersök- ningar. Nämnden är också skyldig att på begäran av en enskild kon- trollera om denne har varit föremål för hemliga tvångsmedel eller sådan behandling av personuppgifter inom nämndens tillsynsområde som strider mot lag eller annan författning. Den enskilde ska under- rättas om att kontrollen genomförts. För sin tillsyn har nämnden rätt att få tillgång till de uppgifter och den hjälp som den begär av den myndighet som tillsynen avser. Om nämnden finner något att anmärka på får den lämna synpunkter på hur bristerna bör avhjälpas. Nämndens rekommendationer är inte bindande och kan inte över- klagas.
Om SIN i sin verksamhet uppmärksammar förhållanden som kan utgöra brott, ska nämnden anmäla det till Åklagarmyndigheten och om nämnden finner något som kan leda till skadeståndsansvar för staten ska det anmälas till JK. Vidare ska nämnden, om den finner omständigheter som Datainspektionen bör uppmärksammas på, anmäla det till inspektionen.
401
Tillsyn |
SOU 2017:57 |
JO och JK
JO och JK utövar tillsyn över hur lagar och andra föreskrifter tilläm- pas i offentlig verksamhet. Deras tillsyn omfattar därmed även be- handlingen av personuppgifter och skyddet av enskildas integritet vid sådan behandling. JO:s verksamhet regleras framför allt i reger- ingsformen, riksdagsordningen och lagen (1986:765) med instruktion för Riksdagens ombudsmän. JK:s verksamhet regleras huvudsak- ligen i lagen (1975:1339) om Justitiekanslerns tillsyn och i förord- ningen (1975:1345) med instruktion för Justitiekanslern.
Ett granskningsärende kan inledas både efter klagomål från en- skilda och på JO:s eller JK:s eget initiativ. De som står under JO:s och JK:s tillsyn ska på begäran lämna upplysningar och yttranden och ge tillgång till handlingar och protokoll. Såväl JO som JK kan genomföra inspektioner som ett led i granskningen. Tillsynsären- dena kan resultera i beslut som kan innehålla kritik eller vägledande uttalanden. JO och JK kan även väcka åtal mot någon som står under deras tillsyn för brott som begåtts i tjänsten. JO och JK har också rätt att väcka frågor om disciplinär bestraffning.
21.2.2Förslag om förändrat tillsynsansvar
Utredningen om tillsyn över den personliga integriteten (Ju 2015:02) har haft till uppdrag att kartlägga vilken tillsyn över behandling av personuppgifter som bedrivs i dag och överväga om tillsynen i större utsträckning kan samlas hos en myndighet. Utredningen har också haft i uppdrag att bl.a. peka ut vilken eller vilka svenska myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive det nya dataskyddsdirektivet. Även frågor om hur tillsyns- verksamheten ska organiseras har ingått i den utredningens uppdrag. Utredningen har avgett betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65).
Utredningen föreslår att tillsynen enligt både dataskyddsför- ordningen och det nya dataskyddsdirektivet ska samlas hos Datain- spektionen och att det i myndighetens instruktion ska föreskrivas att Datainspektionen ska vara tillsynsmyndighet enligt de båda rätts- akterna. Enligt förslaget ska SIN – vid sidan av Datainspektionen – även fortsättningsvis utöva tillsyn över Säkerhetspolisens behand- ling av personuppgifter men däremot inte över Polismyndighetens
402
SOU 2017:57 |
Tillsyn |
personuppgiftsbehandling i allmänhet. SIN föreslås också behålla uppgiften att utöva tillsyn över bl.a. användningen av hemliga tvångs- medel.
Statsmakterna har ännu inte tagit ställning till förslagen.
21.2.3Dataskyddsrambeslutet
I artikel 25 i dataskyddsrambeslutet förutsätts att det ska finnas minst en oberoende tillsynsmyndighet i varje medlemsstat. Enligt artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och tillgång till alla de uppgifter som behövs för tillsynen. Tillsynsmyndigheten ska också ha faktiska befogenheter att ingripa och att inleda rättsliga förfaranden eller uppmärksamma de rättsliga myndigheterna på över- trädelser. Vidare ska enskilda kunna vända sig till tillsynsmyndigheten med klagomål över personuppgiftsbehandlingen.
Vid genomförandet av dataskyddsrambeslutet bedömdes inte ram- beslutets regler om tillsyn kräva några lagstiftningsåtgärder, eftersom bestämmelserna i
Regeringen har, som tidigare angetts, utsett Datainspektionen till nationell tillsynsmyndighet enligt rambeslutet.
21.2.4Brottsdatalagen
Som framgått i tidigare avsnitt får
I 1 kap. 6 § BDL definieras tillsynsmyndigheten som den myn- dighet som regeringen utser att enligt dataskyddsdirektivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
403
Tillsyn |
SOU 2017:57 |
Enligt utredningen om 2016 års dataskyddsdirektiv värnas tillsyns- myndighetens oberoende bäst om det inte införs några regler om när och hur tillsyn ska inledas respektive avslutas eller hur tillsynen närmare ska bedrivas. Det som har funnits nödvändigt att reglera är tillsynsområdet, vem som ska utföra tillsyn, tillsynsmyndighetens uppgifter samt myndighetens befogenheter. Enligt utredningen be- hövs det även vissa regler om handläggningen av ärenden. (Se SOU 2017:29 s. 442 f.)
Tillsynsmyndigheten ska enligt 5 kap. 1 § BDL ha dubbla perspek- tiv. Således anges i bestämmelsen att tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter och friheter skyddas i samband med personuppgiftsbehandling och för att underlätta det fria flödet av personuppgifter inom lagens tillämpningsområde. Samtidigt som det är viktigt att tillsynsmyndig- heten verkar för en hög skyddsnivå för personuppgifter och be- driver ett kraftfullt tillsynsarbete, måste de behöriga myndigheter- nas perspektiv beaktas. I den mån det finns utrymme att välja olika lösningar som är likvärdiga ur integritetssynpunkt, bör tillsynsmyn- digheten välja den som bäst tillgodoser det fria flödet av person- uppgifter. (Se SOU 2017:29 s. 445.)
I det nya dataskyddsdirektivet behandlas tillsynsmyndighetens uppgifter i artikel 46. Denna artikel är i brottsdatalagen genomförd genom 5 kap.
1.utöva allmän tillsyn över personuppgiftsbehandling,
2.handlägga klagomål från registrerade,
3.utföra kontroll enligt 3 §, och
4.på begäran bistå en tillståndsmyndighet i en annan stat.
I allmän tillsyn ingår, enligt utredningen, de uppgifter som nämns i artikel 46.1 punkterna a och i. Direktivets bestämmelser om hur klagomål ska hanteras av tillsynsmyndigheten motsvarar enligt utred- ningen vidare vad som redan tillämpas enligt allmänna principer för tillsyn och reglerna i förvaltningslagen (1986:223). Utöver bestäm- melsen om att det ska framgå att handläggning av klagomål ingår i tillsynsuppgifterna, behövs därför inga lagstiftningsåtgärder för att genomföra bestämmelserna i artikel 46.1 f (se SOU 2017:29 s. 449).
404
SOU 2017:57 |
Tillsyn |
Personuppgiftsansvariga får under vissa förutsättningar begränsa enskildas rätt till information (se avsnitt 20.2). Av 5 kap. 3 § BDL framgår att tillsynsmyndigheten på begäran ska kontrollera om upp- gifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon först har begärt in- formation från eller en korrigeringsåtgärd av den personuppgifts- ansvarige. Tillsynsmyndigheten får vägra att utföra en kontroll om begäran är orimlig eller uppenbart ogrundad.
I 5 kap. 4 § anges att tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden. Enligt utred- ningens mening följer det dock redan av den allmänna service- skyldigheten enligt 4 § förvaltningslagen att myndigheterna har en skyldighet att på begäran ge enskilda information och råd om hur de kan ta tillvara sina rättigheter. När det behövs och är lämpligt ska en myndighet vägleda den enskilde genom att, beroende på om- ständigheterna, ta initiativ till ytterligare utredning, verka för att utredningen begränsas till vad som är nödvändigt och fästa den en- skildes uppmärksamhet på att det finns något annat, bättre sätt att nå det han eller hon eftersträvar. Någon lagstiftningsåtgärd för att genomföra artikel 46.1 e föreslås därför inte. (Se SOU 2017:29 s. 460.)
I 5 kap.
1.tillgång till alla personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandling av person- uppgifter och säkerhets- och skyddsåtgärder,
3.tillträde till lokaler som den personuppgiftsansvarige eller per- sonuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och
4.det biträde och annan information som behövs för tillsynen.
Tillsynsmyndigheten föreslås, på liknande sätt som i dag, ha möjlig- het att tillgripa olika befogenheter för det fall personuppgifter be- handlas i strid med lag eller annan författning. Enligt utredningens
405
Tillsyn |
SOU 2017:57 |
förslag ska dessa befogenheter ses som en trappa som ger tillsyns- myndigheten möjlighet att successivt använda kraftfullare medel och därigenom stegra påtryckningarna på den som inte självmant rättar sig efter myndighetens anvisningar (se SOU 2017:29 s. 468). I 5 kap. 6 § behandlas tillsynsmyndighetens förebyggande befogenheter. För det fall tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning ska, enligt bestämmelsen, tillsynsmyndigheten genom råd, rekommendationer och påpekanden försöka förmå den person- uppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken. Tillsynsmyndigheten får utfärda en skriftlig varning för att det finns risk för att planerad behandling av person- uppgifter kan komma att stå i strid med lag eller annan författning. Detsamma gäller om det finns risk för att pågående behandling kan komma att stå i strid med lag eller annan författning. I 5 kap. 7 § anges tillsynsmyndighetens korrigerande befogenheter. Om tillsyns- myndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldigheter får tillsynsmyndigheten
1.genom förebyggande åtgärder förmå den personuppgiftsansva- rige eller personuppgiftsbiträdet att vidta åtgärder för att behand- lingen ska bli författningsenlig eller att uppfylla andra skyldig- heter,
2.förelägga den personuppgiftsansvarige eller personuppgiftsbiträ- det att vidta åtgärder för att behandlingen ska bli författnings- enlig eller att uppfylla andra skyldigheter,
3.förbjuda fortsatt behandling om bristen är allvarlig, eller
4.besluta om sanktionsavgift.
Innan tillsynsmyndigheten fattar ett bindande beslut mot en person- uppgiftsansvarig eller ett personuppgiftsbiträde, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt (5 kap. 8 §).
I brottsdataförordningen anges att tillsynsmyndigheten ska an- mäla personuppgiftsbehandling som kan utgöra brott eller medföra
406
SOU 2017:57 |
Tillsyn |
skadeståndsskyldighet för staten till den myndighet i vars arbets- uppgifter det ingår att utreda frågan (5 kap. 3 §). Enligt 5 kap. 10 § BDF ska tillsynsmyndigheten utföra sina tillsynsuppgifter av- giftsfritt, om inte annat bestäms.
21.2.5Dataskyddsförordningen
Bestämmelser om tillsyn finns i artiklarna
Som tidigare har angetts har Utredningen om tillsyn över den personliga integriteten föreslagit att Datainspektionen ska vara till- synsmyndighet även enligt dataskyddsförordningen.
21.3Våra överväganden och förslag
Vårt förslag: Det ska i lagen föras in en bestämmelse som anger att tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt brottsdatalagen och i enlighet med bestämmelserna om tillsyn i den lagen.
Enligt
407
Tillsyn |
SOU 2017:57 |
skyddsdirektivet och att detta ska regleras i Datainspektionens myn- dighetsinstruktion. Det kommer inte att finnas något ställnings- tagande till förslaget när vårt uppdrag ska redovisas. Om Datain- spektionen utses till tillsynsmyndighet enligt dataskyddsdirektivet bör det i myndighetens instruktion föras in att inspektionen ska vara tillsynsmyndighet även enligt
Vid tillsynen ska, enligt
I
408
SOU 2017:57 |
Tillsyn |
anges i brottsdatalagen är således enligt vår mening tillräckliga för att uppfylla
Vidare ska tillsynsmyndigheten, enligt artikel 15.4 i direktivet, på begäran ge registrerade råd om hur de kan utöva sina rättigheter. Denna uppgift har Utredningen om 2016 års dataskyddsdirektiv an- sett omfattas av den allmänna serviceskyldigheten i förvaltningslagen och därmed inte kräva några lagstiftningsåtgärder. Vi delar den bedömningen. De tillsynsuppgifter som anges i brottsdatalagen kan således tillämpas för all personuppgiftsbehandling enligt PNR- direktivet.
I direktivet anges att tillsynsmyndigheten ska utföra sina upp- gifter i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter. Även enligt brottsdatalagen ska till- synen ske i detta syfte (5 kap. 1 § BDL). Enligt den bestämmelsen ska tillsynen också ske i syfte att underlätta det fria flödet av per- sonuppgifter. Enligt vår mening kommer inte tillsynens dubbla syften att medföra en lägre skyddsnivå för personuppgifterna. Bestämmel- sen i brottsdatalagen uppfyller därmed direktivets krav. Det kan i sammanhanget påpekas att tillsyn även enligt dataskyddsförordning- en ska ske både i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med personuppgiftsbehandling och i syfte att underlätta det fria flödet av sådana uppgifter inom unionen. Tillsynen inom såväl direktivets som förordningens tillämpnings- områden kommer således framöver att ske enligt båda dessa syften.
Som nyss angetts kommer den av oss föreslagna lagen att tillämpas även av aktörer som inte omfattas av brottsdatalagens tillämpnings- område, t.ex. lufttrafikföretag och Försvarsmakten. Enligt vår mening bör det därför i lagen föras in en allmän bestämmelse som anger att tillsyn över personuppgiftsbehandling enligt lagen ska utföras av till- synsmyndigheten enligt brottsdatalagen och i enlighet med den lagens bestämmelser om tillsyn. Därmed regleras att tillsynsmyndig- heten enligt brottsdatalagen ska ha tillsyn även över lufttrafikföretags behandling av personuppgifter enligt lagen. Bestämmelsen blir även tillämplig såväl för den behandling av personuppgifter enligt lagen som sker vid enheten för passagerarinformation som vid de behöriga myndigheterna, oavsett vilken tillsynsmyndighet som i övrigt har tillsynsansvaret för den myndigheten. Enligt vår mening är det näm- ligen en rimlig ordning att samma tillsynsmyndighet har tillsyn över
409
Tillsyn |
SOU 2017:57 |
hela lagens tillämpning, vilket vi menar också är den ordning som föreskrivs i artikel 15.1 i
410
22 Sanktioner
22.1Direktivets bestämmelser och vårt uppdrag
I vårt uppdrag ingår således att föreslå sanktioner mot de lufttrafik- företag som inte uppfyller skyldigheten att överföra
Vidare ingår i uppdraget att föreslå bestämmelser om sanktioner för sådana eventuella överträdelser som kan komma att ske vid en- heten för passagerarinformation och vid behöriga myndigheter av de nationella bestämmelser som genomför direktivet. Dessa sanktioner ska tillse att direktivets bestämmelser om behandling och skydd av
Lufttrafikföretagens behandling av personuppgifter kommer fram- över att regleras av dataskyddsförordningen. Förordningen kommer att vara direkt tillämplig i medlemsstaterna. För det fall lufttrafik- företagen i samband med sin överföring av
411
Sanktioner |
SOU 2017:57 |
bryta mot någon dataskyddsbestämmelse i förordningen, t.ex. genom att inte skydda
22.2Olika typer av sanktioner
Det finns inte någon rättslig definition av begreppet sanktion. En sanktion är dock i princip alltid handlingsdirigerande eller har ett bestraffande syfte. Med en vid definition skulle sanktion kunna sägas vara alla former av påföljder som kan följa på ett rättsstridigt hand- lande.
En sanktion kan vara repressiv eller icke repressiv. Med att en sanktion är repressiv avses att det är staten som kan ta initiativ till sanktionen. En icke repressiv sanktion är t.ex. möjligheten att be- gära skadestånd i en civilprocess.
Det finns flera olika sorter av repressiva sanktioner. Den mest ingripande formen utgörs av straff. Straffsanktioner bör dock an- vändas i sista hand och endast om det inte finns någon annan sank- tion som är tillräckligt effektiv (jfr Europeiska unionens råd, doku- ment 16542/3/09).
I många fall utgörs sanktioner av ekonomiska sådana. Böter, företagsbot, sanktionsavgifter och vite är alla olika former av eko- nomiska sanktioner.
Böter är en straffrättslig påföljd, som kan åläggas genom dom, strafföreläggande eller föreläggande av ordningsbot. Företagsbot är en särskild rättsverkan av brott som är avsedd att tillämpas vid all- varliga brott i näringsverksamhet. Företagsboten har en bestraffande funktion riktad mot näringsidkare i vars verksamhet brott har begåtts.
Med sanktionsavgifter avses sådana administrativa avgifter som utgör en ekonomisk sanktion vid sidan av eller i stället för vissa skadestånd, vite, böter och förverkande. Avgifterna är knutna till vissa bestämmelser på ett sådant sätt att en överträdelse av bestäm- melsen medför skyldighet att betala avgift till det allmänna. Sank- tionsavgifter drabbar den som bedriver den verksamhet inom vars ram överträdelsen har inträffat. Skyldigheten att betala avgifterna
412
SOU 2017:57 |
Sanktioner |
åläggs vanligen med strikt ansvar. Bestämmelsen i 19 kap. 5 a § ut- länningslagen (2005:716), som anger att transportörer som inte full- gör sin skyldighet att överföra
Vite är ett ekonomiskt påtryckningsmedel för att få någon att vidta en åtgärd eller underlåta något. Det kan, liksom sanktions- avgifter, användas mot såväl fysiska som juridiska personer. Ett vite har alltid anknytning till ett visst föreläggande eller förbud och riktas mot den i beslutet angivna adressaten. Möjligheten att införa vite går ofta tillbaka på generella regler av något slag, ofta av förbuds- karaktär, men måste inte ha den konstruktionen. Föreläggande och utdömande av vite regleras i lagen (1985:206) om viten (viteslagen).
Därutöver finns det en rad
22.3Sanktioner mot lufttrafikföretag
22.3.1Chicagokonventionens bestämmelser
Chicagokonventionen, även kallad
I annex 9 till konventionen finns bl.a. bestämmelser om behand- lingen av API- och
I artikel 3.49 behandlas överföringen av
413
Sanktioner |
SOU 2017:57 |
att stater bör erkänna att de
22.3.2Jämförbara nationella sanktionsbestämmelser
Flera olika sanktioner kan, som tidigare angetts, tänkas vara möjliga att använda gentemot de lufttrafikföretag som inte överför PNR- uppgifter i enlighet med de nationella bestämmelser som genomför
Sanktionsavgifter kopplade till transportörsansvaret i utlänningslagen
Sedan den 1 juli 2004 finns i utlänningslagen regler om en transportörs ansvar för att kontrollera att en utlänning, som denne transporterar till Sverige direkt från en stat som inte omfattas av Schengenkon- ventionen, innehar pass och de tillstånd som krävs för att resa in i landet (se avsnitt 4.4.2). I 19 kap. 5 § utlänningslagen finns bestäm- melser om ekonomiska sanktioner mot de transportörer som inte uppfyller denna kontrollskyldighet. Bestämmelsen innebär att de transportörer som inte uppfyller sina skyldigheter ska betala en sär- skild avgift (sanktionsavgift) om beslut om avvisning har meddelats på grund av att utlänningen saknar pass eller de tillstånd som krävs för inresa och beslutet har vunnit laga kraft eller har verkställts trots att det inte har vunnit laga kraft. Om transportören visar sig ha haft skälig anledning att anta att utlänningen hade rätt att resa in i Sverige ska emellertid någon särskild avgift inte betalas. Detsam-
414
SOU 2017:57 |
Sanktioner |
ma gäller om det framstår som uppenbart oskäligt att ta ut avgiften. Den särskilda avgiften ska enligt 19 kap. 6 § bestämmas till högst 46 000 kronor för varje utlänning. Frågan om transportören ska be- tala en avgift prövas enligt 19 kap. 7 § av den myndighet som ska verkställa avvisningen. I bestämmelsen anges att avgiften ska betalas till Migrationsverket och tillfaller staten. Vidare anges att mål om ut- tagande av avgift handläggs som allmänt mål samt att bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Beslut om särskild avgift får enligt 14 kap. 14 § ut- länningslagen överklagas hos allmän förvaltningsdomstol. Prövnings- tillstånd krävs vid överklagande till Kammarrätten.
Sanktionsavgifter enligt genomförandet av
Enligt
Genomförandet av
415
Sanktioner |
SOU 2017:57 |
transportören undgå detta ansvar. Enligt 19 kap. 6 § ska den sär- skilda avgiften för varje flygning som har gjorts utan att transpor- tören har fullgjort sin uppgiftsskyldighet bestämmas till högst 46 000 kronor. Frågan om transportören ska betala en särskild av- gift ska enligt 19 kap. 7 § prövas av Polismyndigheten. Avgiften ska också betalas dit, men tillfaller staten. Även mål om uttagande av denna avgift handläggs som allmänt mål och får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten (14 kap. 14 § utlänningslagen).
Vite enligt tullagstiftningen
I såväl polislagen (1984:387) som i tullagstiftningen finns bestäm- melser om transportörers skyldighet att på begäran av myndig- heterna lämna vissa uppgifter om transporten (se avsnitt 5.2). Om transportföretag inte lämnar dessa uppgifter på Tullverkets begäran, har Tullverket möjlighet att förelägga transportföretaget att vid vite lämna uppgifterna. Bestämmelser härom finns i 4 kap. 24 § och 7 kap. 5 § tullagen (2016:253) samt i 21 § lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen). Ett sådant föreläggande innebär en skyl- dighet för transportföretaget att lämna tidigare begärda boknings- uppgifter till Tullverket. Till föreläggandet kopplas ett vite som kan dömas ut om transportföretaget inte lämnar de begärda uppgifter- na. Föreläggandet gäller först när delgivning har skett. Vitesbeloppet fastställs av Tullverket och ska enligt 3 § viteslagen uppgå till ett belopp som med hänsyn till vad som är känt om adressatens ekono- miska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som förenats med vitet. Om transportföretaget inte följer föreläggandet om att lämna bok- ningsuppgifter till Tullverket ska verket ansöka hos Förvaltnings- rätten i Stockholm om att få vitet utdömt.
416
SOU 2017:57 |
Sanktioner |
Tullverket har endast vid två tillfällen använt sig av möjligheten att förelägga lufttrafikföretag att vid vite lämna ut bokningsupp- gifter. Inte något av fallen har gått vidare till domstol.
Sanktionsavgifter vid överträdelser av regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg
Lagen (2015:1073) om särskilda åtgärder vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet trädde i kraft den 21 december 2015. Lagen är tillfällig och gäller under tre år. I lagen ges regeringen eller den myndighet som regeringen bestäm- mer rätt att vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet meddela föreskrifter om identitetskontroller vid transporter som utförs med buss, tåg eller passagerarfartyg till Sverige från en annan stat. Regeringen får också meddela föreskrifter om sanktionsavgifter. Föreskrifterna får gälla i högst sex månader i taget. I lagens förarbeten anges att ett system med sanktionsavgift har den fördelen att man uppnår en snabb, enkel och kostnadseffektiv hantering av överträdelser av regelverket. Det ansågs därför vara lämpligt att en sanktionsavgift ska kunna tas ut av den som låter bli att utföra identitetskontroller enligt sådana föreskrifter som får med- delas med stöd av lagen (se prop. 2015/16:67 s. 17).
Regeringen har vid fyra tillfällen beslutat om en förordning med närmare föreskrifter om transportörers skyldighet att utföra iden- titetskontroller vid resor till Sverige från Danmark. Den senaste för- ordningen gällde till den 4 maj 2017. Förordningen gäller dock fort- farande för ärenden eller mål om sanktionsavgift som har inletts innan förordningen upphörde att gälla.
Sanktioner på luftfartens område
I luftfartslagen (2010:500) finns grundläggande bestämmelser om rätt att utöva luftfart inom svenskt område. Numera finns även en rad
I 11 kap. luftfartslagen finns sanktionsbestämmelser bestående i avgångsförbud. Enligt 11 kap. 1 § får Transportstyrelsen eller den
417
Sanktioner |
SOU 2017:57 |
som styrelsen utser förbjuda en flygning och hindra ett luftfartyg från att avgå om det, när flygningen ska påbörjas, kan antas att luftfartyget inte uppfyller de villkor som anges i luftfartslagen eller som har fastställts med stöd av lagen. Detsamma gäller när andra villkor som fastställts för flygningen inte är uppfyllda. Den som bryter mot ett beslutat avgångsförbud kan dömas enligt 17 kap. 13 § brottsbalken för överträdelse av myndighets bud.
Vidare finns i 11 kap. 2 § luftfartslagen en bestämmelse som anger att den som driver en flygplats får hindra ett luftfartygs avgång om avgifter för användningen av flygplatsen och tjänsterna för luftfarten, som avser luftfartygets senaste ankomst, uppehåll och avgång, inte har betalats och säkerhet inte har ställts.
Luftfartslagen innehåller flera straffbestämmelser i dess 13 kap. Dessutom finns en bestämmelse om förverkande. Om ägaren eller någon som är i ägarens ställe uppsåtligen begår eller medverkar till vissa brottsliga gärningar kan ett luftfartyg enligt 13 kap. 12 § för- klaras förverkat, om det behövs för att förebygga brott eller om det i övrigt finns särskilda skäl. Detta gäller dock inte, om förverkande är uppenbart oskäligt.
I 13 kap. 13 § finns vidare en generell bestämmelse som anger att ett föreläggande eller ett förbud som en myndighet meddelar enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen får förenas med vite.
För det fall ett lufttrafikföretag inte uppfyller aktuella regler kan vidare ett meddelat tillstånd återkallas. Exempelvis anges i 7 kap. 6 § att ett drifttillstånd ska återkallas om tillståndshavaren i väsent- lig grad åsidosätter föreskrifterna eller villkoren för verksamheten. Tillståndet kan också återkallas, om det måste antas att innehavaren inte kan upprätthålla verksamheten. I 7 kap. 11 § anges att ett trafik- tillstånd får återkallas helt eller för viss tid eller begränsas, om till- ståndshavaren inte iakttar de föreskrifter eller villkor som gäller för verksamheten, eller det i övrigt finns särskilda skäl.
En operativ licens kan enligt artikel 9 i EU:s lufttrafikförordning1 återkallas tillfälligt eller permanent om förordningens krav på eko- nomiska förutsättningar inte längre är uppfyllda. Detsamma gäller om lufttrafikföretaget uppsåtligen eller genom försumlighet förser
1 Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen.
418
SOU 2017:57 |
Sanktioner |
tillståndsmyndigheten med information som är felaktig i sak eller om företaget inte längre lever upp till förordningens krav på gott anseende.
22.3.3Sanktioner som tillämpas i andra länder
Krav på överföring av
I de gällande avtalen mellan EU och USA respektive Australien som reglerar överföringen av
Storbritannien har i sitt nuvarande
Det pågår för närvarande arbete inom samtliga medlemsstater med att genomföra
419
Sanktioner |
SOU 2017:57 |
22.3.4Valet av sanktionsform
Vårt förslag: Administrativ sanktionsavgift bör användas som enda sanktionsform mot lufttrafikföretagen.
Våra överväganden och förslag
Allmänna utgångspunkter
Som framgått finns sedan tidigare bestämmelser i svensk rätt som innebär skyldigheter för lufttrafikföretag att lämna uppgifter om sina transporter till de svenska myndigheterna. I vissa fall kan sanktioner bli tillämpliga när dessa bestämmelser inte efterlevs. I svensk rätt är det således ingen ny företeelse att lufttrafikföretag, såväl inhemska som utländska, är skyldiga att vidta vissa åtgärder, ibland före ankomst till landet, liksom att underlåtenhet att genomföra dessa åtgärder i vissa fall kan resultera i ekonomiska sanktioner.
Straffbestämmelser bör inte väljas
420
SOU 2017:57 |
Sanktioner |
Ekonomiska sanktioner
Såväl böter som företagsbot förutsätter en kriminalisering. Av de ekonomiska sanktionerna faller därmed både böter och företagsbot bort som tänkbara sanktionsformer. De möjliga ekonomiska sank- tionsformer som återstår utgörs därmed av sanktionsavgifter och vite.
Administrativa sanktionsavgifter används numera allt oftare. Över- gången från straffbestämmelser till bestämmelser om sanktions- avgifter syftade ursprungligen till att bättre utnyttja rättsväsendets resurser och att kunna beivra en del mindre allvarliga och ofta före- kommande överträdelser effektivare. Ett annat syfte var att skapa en kännbar ekonomisk sanktion mot juridiska personer, som inte kan bli föremål för straffrättsliga åtgärder. Sanktionsavgift kan därmed riktas mot det subjekt som tjänar på överträdelsen eller bär det största ansvaret för att överträdelsen begicks. (Jfr SOU 2017:29 s. 498.)
Sanktionsavgifter finns inom en rad områden. De har olika syften och utformning. Tillämpningsområdet varierar också. I vissa fall är sanktionsavgift den enda sanktionen för en överträdelse, men i andra fall kan avgift påföras vid sidan av eller i stället för straff. Både fysiska och juridiska personer kan påföras sanktionsavgift. Ofta kan avgiften påföras oavsett om reglerna överträtts uppsåtligen eller av oaktsamhet.
Sanktionsavgifter har bl.a. den fördelen att de medför ett enklare och snabbare beivrande av överträdelser. Att det är en myndighet och inte domstol som beslutar om avgiften anses ha betydelse för effek- tiviteten. Det förhållandet att myndigheten fattar beslut utifrån sin egen utredning medför också en resurseffektivitet. Andra myndig- heter behöver därmed inte kopplas in i processen, utom vid över- klagande. (Jfr SOU 2014:83, s. 104 f.)
Särskilt i förhållande till viten anses sanktionsavgifter vara mer effektiva. Användning av vite innebär ett mer omständligt förfaran- de, eftersom det först måste föreläggas och sedan överträdas för att kunna dömas ut.
Det finns givetvis även nackdelar med sanktionsavgifter. Om avgiften är satt för lågt kan verksamhetsutövaren se avgiften enbart som en kostnad som det går att kalkylera med. I dessa fall bidrar avgiften inte till ökad regelefterlevnad. Att införa system med sanktionsavgifter kan vidare kräva mer resurser hos myndigheten. Avsaknaden av domstols bedömning av händelseförlopp kan också inverka menligt på rättssäkerheten (se prop. 2007/08:107 s. 17 och
421
Sanktioner |
SOU 2017:57 |
SOU 2014:83 s. 104 f.). Domstolsväsendet kan, i vart fall inlednings- vis, få fler ärenden att hantera om sanktionsavgifter införs. Det kan t.ex. råda osäkerhet om när sanktionsavgift ska påföras och med vilket belopp innan det finns vägledande praxis. Det behöver alltså inte bli en ekonomisk besparing för staten att införa sanktionsav- gifter (SOU 2014:83 s. 106).
I dataskyddsförordningen föreskrivs sanktionsavgifter vid överträ- delse av bestämmelserna om personuppgiftsbehandling. Utredningen om 2016 års dataskyddsdirektiv föreslår också att sanktionsavgifter ska användas vid överträdelser av brottsdatalagens bestämmelser om personuppgiftsbehandling.
Det är viktigt att regelverk på snarlika områden är enhetligt ut- formade. Reglerna blir då lättare att tillämpa och mer förutsägbara. Bestämmelserna i
Av regeringens skrivelse Förebygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) framgår att PNR- systemet bör samordnas med systemet för
Sanktionsavgifter är därtill en snabb och tydlig sanktion – som även kan vara kännbar ekonomiskt. Risken att påföras sanktionsav- gifter skulle enligt utredningens bedömning verka avskräckande. Sanktionsavgifter synes också vara mer ändamålsenliga än viten. Sanktionsavgifter bör därför enligt vår mening kunna åläggas de luft-
422
SOU 2017:57 |
Sanktioner |
trafikföretag som inte har fullgjort sin överföringsskyldighet enligt
Andra än ekonomiska sanktioner bör inte införas
Förutom de ekonomiska sanktionerna finns det andra sanktions- former som skulle kunna användas mot de lufttrafikföretag som inte överför
Som har angetts ovan bör en enhetlig utformning av bestämmel- serna om sanktioner mot lufttrafikföretag eftersträvas. Vidare bör sanktionerna, enligt vår bedömning, inte riskera att gå ut över tredje- man, främst flygresenärer. Införandet av ett avgångsförbud skulle kunna få konsekvenser för bilaterala luftfartsavtal, varför använd- ningen av en sådan sanktion noga bör övervägas innan den införs. Indragande av ett lufttrafikföretags operativa licens synes därtill inte vara möjligt i en situation som den förevarande enligt bestämmel- serna i lufttrafikförordningen.
Enligt vår mening är ekonomiska sanktioner tillräckliga för att förmå lufttrafikföretagen att fullgöra sin överföringsskyldighet. Först om det i ett senare skede skulle visa sig att de införda sanktionerna inte är tillräckligt effektiva, bör det övervägas om ytterligare sank- tionsformer behöver föras in i svensk rätt.
22.3.5När ska sanktionsavgift få användas?
Vårt förslag: Sanktionsavgift ska tas ut av de lufttrafikföretag som inte överför
423
Sanktioner |
SOU 2017:57 |
Sanktioner mot lufttrafikföretag som inte överför
Enligt direktivet ska sanktioner träffa de lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte överför uppgifterna i det fastställda formatet. I artikel 8.3 anges att lufttrafik- företagen som huvudregel ska överföra
En bestämmelse som innebär att sanktionsavgift ska tas ut av luft- trafikföretag som inte fullgör sina skyldigheter motsvarar liknande bestämmelser om sanktionsavgifter för transportörer i utlänningslagen och i det tidigare gällande regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg. Liksom i dessa för- fattningar bör det finnas en möjlighet att i det enskilda fallet inte ta ut en sådan avgift, se nedan i avsnitt 22.3.6.
Enligt vårt förslag ska
Inga sanktioner vid utebliven information
Den av oss föreslagna regleringen innehåller en bestämmelse om att lufttrafikföretag ska informera sina passagerare om överföringen av
424
SOU 2017:57 |
Sanktioner |
skälen till överföringen som följer endast av vårt lagförslag. För det fall
Visserligen kan det ses som grundläggande att passagerarna in- formeras fullt ut om överföringen om
22.3.6Utformningen av sanktionsavgiftssystemet
Enligt direktivet ska medlemsstaterna vidta de åtgärder som krävs för att säkerställa att de sanktioner som införs också genomförs. Det finns i dag inga generella förfaranderegler för handläggningen av sanktions- avgifter. Regeringen har dock meddelat riktlinjer för hur sanktions- avgifter ska utformas och användas (se prop. 1981/82:142 s. 24 f.). Sådana riktlinjer följer även av internationella åtaganden.2 Vid utform- ningen av sanktionsavgiftssystemet bör bestämmelserna utformas i
2 Se t.ex. Europarådets rekommendation nr R (91) om administrativa sanktionsavgifter.
425
Sanktioner |
SOU 2017:57 |
linje med hur sådana avgifter utformats inom andra rättsområden och de rättssäkerhetskrav som ställs på sanktionsavgift bör få genomslag. Det innebär att sanktionsavgiftssystemet bör regleras i lag och att det av den bör framgå när, hur och av vem sanktionsavgift får tas ut. Systemet ska också vara förutsägbart. Det ska även möta kravet på rimlig handläggningstid, domstolsprövning och en rättssäker process. (Jfr SOU 2017:29 s. 504.)
Ska sanktionsavgift alltid tas ut?
Vårt förslag: Regleringen av sanktionsavgifter ska bygga på strikt ansvar.
Syftet med att införa administrativa sanktionsavgifter är att erhålla ett förenklat och effektivt sanktionsavgiftssystem. Som tidigare framgått är det en förutsättning att sanktionsavgiftssystemet om- fattar överträdelser av bestämmelser som typiskt sett är klara och tydliga och att överträdelserna i normalfallet inte kräver någon mer ingående utredning. På så sätt kan en överträdelse leda till en snabb reaktion från samhället i form av en avgift. En avgiftsskyldighet som bygger på strikt ansvar bidrar till en förenkling och effektivisering av sanktionssystemet. Bedömningsinslaget blir betydligt mindre än om det för ansvar skulle krävas oaktsamhet eller uppsåt.
Sanktionsavgiftssystem utformas som huvudregel med strikt an- svar. I
Att ansvaret är strikt utesluter inte att myndigheten får avgöra om en överträdelse är så allvarlig att sanktionsavgift bör tas ut. Strikt ansvar innebär endast att uppsåt eller oaktsamhet inte krävs för att sanktionsavgift över huvud taget ska tas ut.
Lagrådet har uttalat att skrivningar om att avgiftsskyldigheten bygger på strikt ansvar inte bör tas med i författningstext. I mot-
426
SOU 2017:57 |
Sanktioner |
sats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift (se prop. 2012/13:55 s. 142). Vi ser därför inget skäl att införa en sådan bestämmelse.
Avgiftens storlek
Vårt förslag: Avgiften ska uppgå till minst 20 000 kronor och högst 100 000 kronor för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet.
Ett effektivt sanktionsavgiftssystem innebär att sanktionsavgift ska kunna påföras frekvent och kort tid efter det att överträdelsen ägt rum. För att uppfylla grundläggande rättssäkerhetskrav krävs det också att systemet är förutsebart. Ett sådant system kan åstad- kommas endast om det är enkelt att avgöra med vilket belopp som avgiften ska påföras vid varje enskilt tillfälle. Detta innebär att av- giften i viss mån får fastställas schablonmässigt.
Underlåtenhet att överföra
Den transportör som inte har fullgjort sin kontrollskyldighet enligt det tidigare gällande regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg, ska betala en sank- tionsavgift om 50 000 kronor per transporttillfälle. Sanktionsavgiften är således på förhand bestämd till ett visst belopp. Dock finns det möjlighet för myndigheten att sätta ned avgiften eller avstå från att ta ut den om det finns särskilda skäl för det.
Det är vår bedömning att de möjliga sanktionsavgifterna vid under- låtenhet att överföra
427
Sanktioner |
SOU 2017:57 |
gäller i dag vid underlåten överföring av
Avgifter som motsvarar eller ligger i närheten av maximibelop- pet är avsedda för de allvarligare fallen. Det kan röra sig om uppre- pade överträdelser eller fall som rör ett stort antal passagerare och där ingen rimlig förklaring finns till att de aktuella uppgifterna inte har lämnats. I övriga fall bör en lägre avgift kunna fastställas. Direk- tivets föreskrift om att sanktionerna ska vara effektiva, proportio- nella och avskräckande ska dock alltid beaktas.
Sanktionsavgiften bör kunna sättas ned helt eller delvis
Vårt förslag: Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Lufttrafikföretagen kommer normalt sett ha möjlighet att lämna uppgifter i enlighet med direktivets bestämmelser. Det kan emellertid finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin överföringsskyldighet. Det kan t.ex. vara så att det har skett ett tek- niskt fel vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tänkt att anlända till Sverige oväntat ha omdirigerats hit. Det kan således finnas situationer där det bedöms oskäligt att ta ut en särskild avgift för att lufttrafikföretaget inte har överfört sina PNR- uppgifter. Det behöver därför i lagen finnas en möjlighet att i sådana
428
SOU 2017:57 |
Sanktioner |
situationer sätta ned avgiften helt. Detta följer av våra åtaganden enligt Chicagokonventionen. Vidare bör det i vissa situationer finnas möjlighet att jämka en avgift. Så kan t.ex. vara fallet när en överträ- delse av någon orsak bedöms vara ursäktlig.
Således bör det i lagen införas en bestämmelse om att sanktions- avgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
22.3.7Förfarandet vid beslut om sanktionsavgift
Som tidigare har angetts finns det inte några generella förfarande- regler för handläggningen av sanktionsavgifter. Detta regleras i stället vanligtvis i de författningar som föreskriver att sådana avgifter ska kunna påföras.
Vi har tidigare angett att bestämmelserna om sanktioner mot luft- trafikföretag enligt
Utredningen om 2016 års dataskyddsdirektiv föreslår, som tidigare framgått, också ett system med sanktionsavgifter, som ska användas vid överträdelser av brottsdatalagens bestämmelser om personupp- giftsbehandling. I brottsdatalagen och i den tillhörande förordningen finns således bestämmelser som hanterar förfarandet vid beslut om sanktionsavgifter. De föreslagna förfarandereglerna i brottsdatalagen och den tillhörande förordningen motsvarar enligt vår mening de rättssäkerhetskrav som kan ställas. Regleringen synes väl avvägd och får anses vara förutsägbar.
Vårt förslag till lag om flygpassageraruppgifter i brottsbekämp- ningen kommer att utgöra en sektorspecifik särreglering i förhållande till brottsdatalagen i den mån vår lag också utgör en dataskydds- reglering. Dock utgör vår lag även en verksamhetsreglering som i den aktuella frågan ålägger lufttrafikföretagen vissa skyldigheter att över- föra
429
Sanktioner |
SOU 2017:57 |
göra, snarare tvärtom. Lufttrafikföretagen utgör inte heller sådana behöriga myndigheter med brottsbekämpande uppgifter som brotts- datalagen uteslutande är tillämplig för. För lufttrafikföretagens per- sonuppgiftsbehandling blir i stället dataskyddsförordningen med an- slutande reglering tillämplig.
Av systematiska skäl vore det därför olämpligt att, när det gäller frågan om sanktioner mot lufttrafikföretag, hänvisa till de förfarande- regler som anges i brottsdatalagen och den tillhörande förordningen. Inte heller vore det lämpligt att hänvisa till bestämmelserna i data- skyddsförordningen eller den lagstiftning som kommer att innehålla till dataskyddsförordningen kompletterande bestämmelser. Nödvän- diga förfaranderegler får i stället föras in i den av oss föreslagna regleringen.
Ansvarig myndighet
Vårt förslag: Polismyndigheten ska besluta om sanktionsavgift.
Beslut om sanktionsavgift fattas normalt av en tillsynsmyndighet eller en domstol. Som tidigare har angetts är dock ett av syftena med användandet av sanktionsavgifter just att man inte ska behöva gå vägen via en domstol för att kunna använda sanktionen.
Transportstyrelsen utövar tillsyn över lufttrafikföretagen. Det är också den myndigheten som beslutar om sanktionsavgifter vid överträdelser av regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg. Transportstyrelsens tillsyn över lufttrafikföretagen innebär dock främst att myndigheten övervakar och kontrollerar att krav och regelverk följs av dem som fått ett visst tillstånd. Det kan inte sägas ingå i Transportstyrelsens nor- mala uppdrag att kontrollera att lufttrafikföretagen överför PNR- uppgifter till brottsbekämpande verksamhet.
Om ett lufttrafikföretag inte uppfyller sin överföringsskyldighet enligt vår lag kommer det att vara Polismyndigheten genom enheten för passagerarinformation som upptäcker detta. Polismyndigheten är också den myndighet som enligt dagens system prövar om sank- tionsavgift ska betalas av ett lufttrafikföretag som inte har överfört sina
430
SOU 2017:57 |
Sanktioner |
Krav på effektivitet och rättssäkerhet måste balanseras mot varan- dra vid utformningen av ett system om sanktionsavgifter. Om upp- giften att besluta om sanktionsavgift läggs på Polismyndigheten även enligt
Enligt vår mening talar övervägande skäl för att Polismyndig- heten även bör pröva frågor om åläggande av sanktionsavgift enligt
Polismyndighetens beslut om sanktionsavgifter bör få överklagas till allmän förvaltningsdomstol (se nedan). På så sätt tillgodoses rätts- säkerhetsaspekterna för den som åläggs sanktionsavgift.
En särskild fråga är vem hos Polismyndigheten som bör pröva frågor om sanktionsavgift. Det har i annat sammanhang ansetts finnas starka skäl – inte minst ur rättsäkerhetssynpunkt – som talar mot att samma person som har utrett en eventuell överträdelse får besluta om sanktionsavgift. Det har ansetts viktigt att verksamheten orga- niseras så att förtroendet för myndigheten inte riskerar att rubbas. Det har vidare ansetts böra ställas höga krav på den som får besluta sanktionsavgift och det har funnits lämpligt att sådana beslut bara får fattas av ett fåtal personer(se SOU 2017:29 s. 521). Vi delar denna uppfattning. Det kommer därmed fordras att enheten för passagerarinformation gör en utredning och rapportering till Polis- myndighetens ledning för beslutsfattande av den som getts behörig- het att företräda myndigheten i fråga om sanktionsavgifter. Detta är dock inget som vi ser anledning att föreslå regler kring utan det får vara en intern angelägenhet för Polismyndigheten.
Närmare om handläggningen vid Polismyndigheten
Våra förslag: Innan sanktionsavgift beslutas ska den som an- språket riktas mot ges tillfälle att yttra sig. Sanktionsavgift får inte beslutas om den som ska påföras avgiften inte har getts tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Att beslutet ska delges den som sanktionsavgiften ska tas ut av kan regleras i förordning.
431
Sanktioner |
SOU 2017:57 |
Innan Polismyndigheten beslutar om sanktionsavgift bör lufttrafik- företaget ges tillfälle att yttra sig. Det ger lufttrafikföretaget möj- lighet att anföra omständigheter som kan påverka både frågan om sanktionsavgift ska tas ut och frågan om sanktionsavgiftens storlek. Möjligheten att komma till tals innan beslut fattas i frågan är en förutsättning för materiellt riktiga avgöranden och är en viktig rättssäkerhetsfråga.
Det bör finnas en bortre gräns för när en sanktionsavgift får be- slutas. En regel som anger när avgift senast får beslutas, som blir en form av preskriptionsregel, bör därför tas in i vår lag. Förfarandet är avsett att leda till snabbt beivrande av överträdelser och dessa kan inte anses vara svåra att upptäcka. Preskriptionstiden bör där- för sättas kort. Enligt vår bedömning bör preskriptionstiden uppgå till två år, vilket motsvarar den åtalspreskriptionstid som gäller för brott som kan medföra böter eller fängelse i högst ett år. Motsva- rande preskriptionstid tillämpas t.ex. vid uttagande av sanktionsav- gift från transportörer enligt regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg.
Utgångspunkten är att avgiften ska betalas kort tid efter beslutet. Polismyndighetens beslut bör därför av rättssäkerhetsskäl delges lufttrafikföretaget. Denna fråga bör kunna regleras i förordning.
Rätt att överklaga
Våra förslag: Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs prövningstillstånd.
Ett beslut om att påföra sanktionsavgift bör kunna prövas av dom- stol. Den som har ålagts sanktionsavgift bör ha rätt att överklaga beslutet. Enligt kommittédirektiven bör ett sanktionssystem vara upp- byggt enligt den struktur som redan gäller i dag, som innebär att en myndighets beslut om sanktioner kan överklagas till allmän förvalt- ningsdomstol.
Det bör i vår lag införas en bestämmelse som anger att Polismyn- dighetens beslut om sanktionsavgift får överklagas till allmän förvalt- ningsdomstol. Av regeln bör framgå att det vid överklagande till kam-
432
SOU 2017:57 |
Sanktioner |
marrätten krävs att domstolen fattar ett beslut om att bevilja pröv- ningstillstånd för att klaganden ska få sitt överklagande prövat i sak.
Betalning och verkställighet
Våra förslag: Sanktionsavgifter ska tillfalla staten. I förordning ska det bl.a. regleras att en sanktionsavgift ska betalas till Polismyn- digheten, när en sanktionsavgift ska betalas och vad som gäller vid indrivning.
Polismyndighetens beslut om sanktionsavgift bör gälla som en dom och vara verkställbar. Genom en sådan lösning skapas förutsätt- ningar för en effektiv och snabb handläggning.
Sanktionsavgiften bör som brukligt tillfalla staten. Denna fråga bör regleras i lagen.
Betalningen bör göras inom 30 dagar från det att beslutet fick laga kraft. Betalningen sker lämpligen till Polismyndigheten.
Ett beslut om sanktionsavgift bör få lämnas till indrivning efter sista betalningsdagen. Bestämmelser om indrivning finns i lagen om indrivning av statliga fordringar m.m. Vid indrivning får verkställig- het ske enligt utsökningsbalken.
På samma sätt som det bör anges en tidpunkt för när sanktions- avgift inte längre får påföras, bör det också finnas en bortre gräns för när ett beslut om sanktionsavgift får verkställas. När beslutet om sanktionsavgift fått laga kraft bör beslutet verkställas inom fem år. Om så inte blir fallet bör avgiften falla bort till den del den inte har betalats. Dessa frågor kan regleras i förordning.
22.4Sanktioner vid felaktig behandling av
22.4.1Dagens sanktionssystem vid felaktig behandling av personuppgifter
I personuppgiftslagen finns flera bestämmelser som innehåller sank- tioner mot den som behandlar personuppgifter i strid med lagen. Genom dessa bestämmelser genomförs artikel 24 i det nu gällande
433
Sanktioner |
SOU 2017:57 |
dataskyddsdirektivet. Artikeln i direktivet överlåter till medlems- staterna att välja sanktioner.
Personuppgiftslagen innehåller dels regler om straffansvar (49 §), dels regler som ger tillsynsmyndigheten rätt att vid vite förbjuda behandling på annat sätt än genom lagring (44 och 45 §§). Det finns även en möjlighet för tillsynsmyndigheten att hos domstol ansöka om att personuppgifter som behandlats på ett olagligt sätt ska utplånas (47 §). Även möjligheten att begära skadestånd brukar ses som en del av sanktionssystemet. I förarbetena till personuppgiftslagen fram- höll regeringen att de huvudsakliga sanktionerna mot personupp- giftsansvariga som inte följer lagen är skadestånd och vite. Dessa sank- tioner ansågs effektiva och i stort sett tillräckliga (jfr prop. 1997/98:44 s. 104 f.).
22.4.2Administrativa sanktionsavgifter enligt brottsdatalagen
Även det nya dataskyddsdirektivet överlåter till medlemsstaterna att välja sanktioner. Enligt brottsdatalagen ska tillsynsmyndigheten, på liknande sätt som i dag, ha befogenheter att tillgripa olika medel för det fall personuppgifter behandlas i strid med lag eller annan för- fattning. Befogenheterna ska ses som en trappa som ger tillsynsmyn- digheten möjlighet att successivt använda olika medel och därigenom stegra påtryckningarna mot den som inte självmant rättar sig efter myndighetens anvisningar. Befogenheterna sträcker sig från rådgiv- ning och omfattar även möjligheten att meddela förelägganden och besluta om förbud mot fortsatt behandling. Dessa lindrigare befogen- heter behandlas i vårt avsnitt 21 om tillsyn. I sista hand har tillsyns- myndigheten en möjlighet att besluta om sanktionsavgift.
Enligt brottsdatalagen ska sanktionsavgifter få tas ut av person- uppgiftsansvariga och i vissa fall av personuppgiftsbiträden. Denna reglering är införd i 6 kap. BDL. Sanktionsavgifter ska få tas ut vid överträdelse av de bestämmelser om behandling av personuppgifter i brottsdatalagen som anses viktigast för att värna enskildas integ- ritet, som innehåller de grundläggande reglerna om hur personupp- gifter får behandlas och som – om de inte efterlevs – riskerar att leda till allvarliga kränkningar av registrerades integritet. Sanktions- avgift föreslås även få tas ut vid underlåtenhet att bistå tillsyns-
434
SOU 2017:57 |
Sanktioner |
myndigheten eller att rätta sig efter förelägganden eller beslut som myndigheten meddelat. (1 och 2 §§.)
För allvarliga överträdelser ska, enligt 3 §, sanktionsavgiften upp- gå till minst 50 000 kronor och högst 20 000 000 kronor. För mindre allvarliga överträdelser ska avgiften uppgå till minst 25 000 kronor och högst 10 000 000 kronor. Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personupp- giftsbehandlingar, ska sanktionsavgiften kunna bestämmas efter överträdelsernas allvar. Sanktionsavgiften får dock aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
Till mindre allvarliga överträdelser räknas att tillgången till per- sonuppgifter inte har begränsats internt. Enligt Utredningen om 2016 års dataskyddsdirektiv är risken för kränkning av den enskildes integritet då mindre än om uppgifterna sprids utanför verksamheten eller behandlas otillåtet på annat sätt. Till mindre allvarliga överträ- delser bör enligt utredningen också räknas underlåtenhet att anmäla eller dokumentera personuppgiftsincidenter. Även en underlåtenhet att göra en konsekvensbedömning eller att inleda ett förhandssamråd med tillsynsmyndigheten anses som mindre allvarlig. Övriga över- trädelser, som utgör den övervägande majoriteten av de överträdelser som enligt förslaget kan leda till sanktionsavgift, ska räknas som allvarliga överträdelser. (Se SOU 2017:29 s. 515.)
Strikt ansvar ska gälla för överträdelserna. Avsikten med överträ- delserna ska dock vägas in när tillsynsmyndigheten överväger frågan om sanktionsavgift ska påföras och bestämmer dess storlek. Vid bedömningen av om sanktionsavgift ska tas ut och till vilket belopp sanktionsavgiften ska bestämmas, ska, enligt 4 §, särskild hänsyn även tas till vilken skada, fara eller kränkning som överträdelsen inneburit, dess karaktär, svårhetsgrad och varaktighet och vad den person- uppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan. Om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts sanktionsavgift ska det vägas in.
Sanktionsavgiften får sättas ned helt eller delvis om överträdel- sen är ursäktlig eller om det annars med hänsyn till omständighet- erna skulle vara oskäligt att ta ut avgiften (5 §).
Det är tillsynsmyndigheten som ska besluta om sanktionsavgift (6 §). Sanktionsavgiften ska som brukligt tillfalla staten. Den som ska påföras sanktionsavgift ska ges tillfälle att yttra sig innan till-
435
Sanktioner |
SOU 2017:57 |
synsmyndigheten fattar sitt beslut (7 §). Beslutet får överklagas till allmän förvaltningsdomstol (7 kap. 4 §).
I brottsdataförordningen finns ytterligare förfaranderegler om delgivning, betalning, verkställighet, preskription och återbetalning.
Enligt utredningens förslag ska överträdelser av reglerna om per- sonuppgiftsbehandling i brottsdatalagen inte medföra straffrättsliga påföljder, utöver vad som gäller enligt brottsbalken. Vite föreslås inte heller användas i brottsdatalagen.
22.4.3Sanktionsavgiftssystemet i brottsdatalagen bör användas
Våra förslag: Administrativ sanktionsavgift får tas ut av person- uppgiftsansvariga myndigheter vid överträdelser av de bestäm- melser i lagen som har till syfte att skydda enskildas integritet.
Vid bestämmande av sanktionsavgiftens storlek och i hand- läggningsfrågor ska sanktionsavgiftssystemet i brottsdatalagen och den tillhörande förordningen tillämpas. Beslut om sanktions- avgift kan överklagas till allmän förvaltningsdomstol enligt 7 kap. 4 § BDL.
Våra överväganden och förslag
Allmänna utgångspunkter
Som tidigare har framgått innehåller
436
SOU 2017:57 |
Sanktioner |
mation exempelvis inte gallrar
Utredningen om 2016 års dataskyddsdirektiv har föreslagit att administrativa sanktionsavgifter ska användas mot den som be- handlar personuppgifter i strid med vissa närmare bestämmelser i brottsdatalagen. Det finns stora effektivitetsvinster med att an- vända sig av samma sanktionssystem i vår lag som i den föreslagna brottsdatalagen. På så sätt undviks införandet av en onödig dubbel- reglering. För de tillämpande myndigheterna vore det också av värde om samma sanktioner kan följa på all otillåten behandling av personuppgifter inom det brottsbekämpande området. Det sank- tionssystem som föreslås av Utredningen om 2016 års dataskydds- direktiv synes därtill vara lämpligt och väl avvägt. Någon annan sanktionsmöjlighet än sanktionsavgifter föreslås inte heller vid över- trädelser av bestämmelserna om personuppgiftsbehandling på det brottsbekämpande området. Enligt vår mening bör således sanktions- avgifter användas även vid överträdelser av de bestämmelser om personuppgiftsbehandling som genomför
För vilka överträdelser ska sanktionsavgift tas ut?
De bestämmelser i vår lag som bör föranleda sanktionsavgift är som utgångspunkt de som innehåller grundläggande regler om hur PNR- uppgifterna får behandlas och som därför får anses viktigast för att värna enskildas integritet. Med det som utgångspunkt bör enligt utredningens mening överträdelser av följande skyldigheter föranleda sanktionsavgift.
Bestämmelsen om att
437
Sanktioner |
SOU 2017:57 |
terroristbrottslighet eller grov brottslighet är av så grundläggande natur att överträdelser av den bör föranleda sanktionsavgift. Det- samma gäller för överträdelser av förbudet mot behandling av käns- liga personuppgifter.
Vidare bör överträdelser av bestämmelserna om hur enheten för passagerarinformation får behandla
De bestämmelser som innebär att
För det fall det inom enheten för passagerarinformation skulle ske överträdelser av andra tillämpliga dataskyddsbestämmelser än de som anges i vår lag, t.ex. bestämmelserna i brottsdatalagen, blir de sanktionsbestämmelser som anges i de lagarna tillämpliga.
Vem ska träffas av sanktionsavgift?
En personuppgiftsansvarig bär ansvaret inte bara för sin egen per- sonuppgiftsbehandling utan även för den behandling ett person- uppgiftsbiträde eller någon annan som behandlar personuppgifter på den personuppgiftsansvariges vägnar utför, dvs. anställda, personer
438
SOU 2017:57 |
Sanktioner |
som är att jämställa med anställda (inhyrd personal) eller uppdrags- tagare. För den behandling av
Enligt brottsdatalagen får sanktionsavgift tas ut av en person- uppgiftsansvarig. Även personuppgiftsbiträden ska enligt förslaget kunna påföras sanktionsavgift i vissa fall, dock endast när de har uttryckliga skyldigheter som framgår direkt av författning.
Eventuella personuppgiftsbiträden som kan komma att anlitas av enheten för passagerarinformation eller av behöriga myndigheter kommer inte att ha några uttryckliga skyldigheter enligt vår regler- ing. Det är därför tillräckligt att i vår lag ange att sanktionsavgifter kan åläggas den personuppgiftsansvariga myndigheten. Dock kommer bestämmelserna i brottsdatalagen om personuppgiftsbiträdens skyl- digheter att vara tillämpliga även vid enheten för passagerarinfor- mation i förekommande fall.
Storleken på sanktionsavgifterna
Sanktionsavgift kan enligt brottsdatalagen tas ut enligt två nivåer; en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser. Den högre nivån föreslås gälla för de flesta överträdelser.
Enligt vår mening bör överträdelser av samtliga aktuella bestäm- melser i den av oss föreslagna lagen anses vara så allvarliga att den högre nivån enligt brottsdatalagen bör tillämpas. Detta gäller även för skyldigheten att internt inom Polismyndigheten begränsa tillgången till
Utgångspunkten vid bestämmandet av sanktionsavgift är den behandling som skett av personuppgifterna. Det är möjligt att ett agerande i strid med vår lag skulle kunna föranleda sanktionsavgift
439
Sanktioner |
SOU 2017:57 |
enligt såväl vår lag som enligt den mer generella regleringen i brotts- datalagen. Tanken är inte att ett sådant agerande ska leda till dubbla sanktionsavgifter. Dock bör ett sådant agerande kunna föranleda en högre sanktionsavgift. Frågan får avgöras från fall till fall av tillsyns- myndigheten.
I övrigt bör brottsdatalagens bestämmelser vara tillämpliga
Bestämmelserna om handläggningen av sanktionsavgifter i brotts- datalagen och den tillhörande förordningen bör i övrigt vara tillämp- liga även vid överträdelser av de angivna bestämmelserna i vår lag. Särskilda bestämmelser om handläggningen behöver därför inte föras in i våra författningsförslag. En hänvisning till aktuella bestämmel- ser i brottsdatalagen och den tillhörande förordningen är tillräcklig. Dessutom föreslår vi att det förs in en upplysning om att det i 7 kap. 4 § BDL föreskrivs att beslut om sanktionsavgifter kan över- klagas till allmän förvaltningsdomstol.
440
23Bestämmelser i direktivet som inte kräver lagstiftningsåtgärder
Vår bedömning: Artiklarna 17 och
Det har i tidigare avsnitt framkommit i vilken mån de behandlade artiklarna i direktivet bör bli föremål för lagstiftningsåtgärder. Vi har där i några fall gjort bedömningen att vissa bestämmelser inte behöver föranleda författningsreglering. Därutöver innehåller direk- tivet artiklar som inte överhuvudtaget behöver omsättas i lagstiftning. Således kräver inte artikel 17 om kommittéförfarande, artikel 19 om översyn, artikel 20 om statistik, artikel 21 om förhållandet till andra instrument samt artikel 22 om direktivets ikraftträdande några lag- stiftningsåtgärder.
441
24 Sekretess
24.1Vårt uppdrag i denna del
Enligt kommittédirektiven ska vi ta ställning till om reglerna i offentlighets- och sekretesslagen innebär ett tillräckligt skydd för de uppgifter som ska utbytas enligt
Vi har tolkat vårt uppdrag i denna del på så sätt att vi bör be- handla frågor om sekretesskydd för
•
•
443
Sekretess |
SOU 2017:57 |
Vi har dessutom sett det som en uppgift för oss att behandla frågan om det finns behov av sekretessbrytande bestämmelser för att möj- liggöra det utbyte av
Som vi tidigare redogjort för behandlar vi inte frågor om en- heten för passagerarinformations tillgång till register, databaser eller andra informationskällor, se avsnitt 10.5. Följaktligen behandlar vi inte heller eventuella behov av sekretessgenombrott för sådan infor- mationsinhämtning som enheten för passagerarinformation kan komma att vilja göra sedan den börjat arbeta med
24.2Sekretess i brottsbekämpande verksamhet m.m.
Uppgifter inom Polismyndighetens, Säkerhetspolisens, Tullverkets, Ekobrottsmyndighetens och Försvarsmaktens verksamheter om- fattas av bestämmelserna i offentlighets- och sekretesslagen. Det- samma gäller för andra myndigheter som i framtiden kan komma att utses som behöriga myndigheter enligt den nya lagen.
Sekretess gäller i förhållande till såväl enskilda (fysiska eller juri- diska personer) som andra myndigheter (8 kap. 1 § OSL). Uppgifter som skyddas av sekretess får inte lämnas ut till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen. Detsamma gäller visavi utländska myndigheter. Enligt 8 kap. 3 § OSL får en upp- gift för vilken sekretess gäller bara röjas för en utländsk myndighet eller en mellanfolklig organisation, om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning (punkten 1), eller uppgiften i motsvarande fall skulle få lämnas ut till en svensk myn- dighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisa- tionen (punkten 2). I bestämmelsen görs det ingen skillnad mellan myndigheter i EU:s medlemsstater eller i tredjeländer.
Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligt, genom utlämnande av allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således både handlingssekre- tess och tystnadsplikt.
444
SOU 2017:57 |
Sekretess |
De viktigare materiella sekretessbestämmelserna
Offentlighets- och sekretesslagen innehåller en stor mängd sekre- tessbestämmelser som kan bli tillämpliga för aktuella myndigheter. Vissa gäller generellt för alla myndigheter, t.ex. bestämmelserna om utrikes- eller försvarssekretess i 15 kap. 1 och 2 §§ OSL, vilka i detta sammanhang torde vara av särskild relevans för Försvarsmakten. Andra generella bestämmelser skyddar känsligare uppgifter om enskilda och finns i 21 kap. OSL. Flertalet sekretessbestämmelser har emellertid en avgränsad räckvidd som innebär att de bara gäller inom exempelvis viss verksamhet eller vid viss myndighet. I det följande redovisar vi enbart ett urval bestämmelser som vi bedömt särskilt relevanta att beröra för de frågeställningar som behandlas i detta kapitel. Det ska alltså observeras att redovisningen nedan är långt ifrån fullständig.
Sekretess till skydd för allmänna intressen
Sekretessbestämmelser till skydd för intresset av att förebygga eller beivra brott finns i 18 kap. OSL. Enligt 18 kap. 1 § gäller sekretess för uppgift som hänför sig till en förundersökning i brottmål eller angelägenhet som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott. Enligt andra stycket 2 gäller sekretess även för uppgifter som hänför sig till annan verk- samhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av bl.a. Polismyndigheten, Säkerhetspolisen och Tullverket. Även åklagarmyndighet omfattas av bestämmelsen vilket i sammanhanget innebär att också Ekobrottsmyndigheten omfattas av bestämmelsens räckvidd. Det som åsyftas med andra stycket 2 är brottsförebyggande och brottsbeivrande verksamhet i allmänhet utan anknytning till något konkret fall. Sekretessen gäller exempelvis för uppgifter hänförliga till spaningsmetoder och för sådana uppgifter som finns i de register som används i polisär verksamhet. För upp- gifter i t.ex. Polismyndighetens verksamhet för att förebygga brott etc. som hänför sig till underrättelseverksamhet ska dock 18 kap. 2 § tillämpas.1 Bestämmelserna i 18 kap. 1 § har ett rakt skaderekvisit, som har konstruerats så att sekretessen gäller endast om följden av
1 Lenberg m.fl., Zeteo juli 2016, kommentaren till 18 kap. 1 § OSL.
445
Sekretess |
SOU 2017:57 |
att uppgifterna lämnas ut kan antas bli att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Vidare gäller enligt 18 kap. 2 § sekretess för uppgift som hänför sig till bl.a. sådan verksamhet som avses i 2 kap. 7 § 1 (förebygga, för- hindra eller upptäcka brottslig verksamhet) eller 6 kap. 1 § 1 PDL (förebygga, förhindra eller upptäcka viss slags brottslig verksamhet som innefattar t.ex. terrorbrott). Det polisarbete som åsyftas är i första hand underrättelseverksamhet, dvs. arbete med insamling, be- arbetning och analys av information för att förhindra eller upptäcka brottslig verksamhet när det inte finns konkreta misstankar om att ett visst brott har begåtts. Polisarbete som är inriktat på en redan begången individualiserad gärning faller inte in under punkten (se prop. 2009/10:85 s. 318). Sekretessen för uppgifterna enligt bestäm- melsen i polisdatalagen gäller enligt 18 kap. 2 § OSL med ett omvänt skaderekvisit, vilket innebär att uppgifterna inte får lämnas ut om det inte står klart att de kan röjas utan att syftet med beslutade eller för- utsedda åtgärder motverkas eller den framtida verksamheten skadas. Enligt andra stycket 2 gäller motsvarande sekretess för uppgifter som hänför sig till Tullverkets underrättelseverksamhet.
Det kan påpekas att sekretessen enligt 18 kap. 1 och 2 §§ OSL även gäller hos myndigheter som inte bedriver brottsbekämpande verksamhet. Det beror på att sekretessen, enligt paragraferna, avser uppgifter som hänför sig till förundersökning och underrättelseverk- samhet m.m. som bedrivs av de i paragraferna angivna brottsbekäm- pande myndigheterna. Sekretessen enligt 18 kap. 1 eller 2 § kan där- med sägas, i bildlig mening, följa med när den lämnas vidare till en helt annan slags myndighet.
Sekretessen till skydd för brottsbekämpande verksamhet gäller enbart svensk sådan verksamhet. Därför har en särskild bestämmelse, som skyddar utländsk brottsbekämpande verksamhet, införts i 18 kap. 17 § OSL. Sekretess gäller i verksamhet som avser visst rättsligt sam- arbete samt utbyte inom ramen för Schengens informationssystem. Regeringen har i en lagrådsremiss som beslutades den 4 maj 2017 före- slagit en ny sekretessbestämmelse, 18 kap. 17 a §, enligt vilken sekre- tess ska gälla hos brottsbekämpande myndigheter för uppgift som lämnats av ett utländskt organ vid internationellt polisiärt samarbete i syfte att förebygga, uppdaga, utreda eller beivra brott, om det kan antas att en förutsättning för att uppgiften lämnades var att den inte
446
SOU 2017:57 |
Sekretess |
skulle röjas. Syftet med bestämmelsen är att göra sekretesskyddet för uppgifter som mottas i samarbetet tydligare och mer heltäckande. Lagändringen föreslås träda i kraft den 1 december 2017.
Sekretess till skydd för enskildas intressen
Sekretess till skydd för enskildas personliga och ekonomiska för- hållanden i sådan verksamhet som syftar till att förebygga eller beivra brott regleras huvudsakligen i 35 kap. OSL. Med begreppet ”enskilda” avses såväl fysiska som juridiska personer.
Sekretessen enligt 35 kap. 1 § OSL skyddar enskilds personliga och ekonomiska förhållanden i bl.a. förundersökningar, brottsföre- byggande verksamhet och vissa polisiära register m.m. Enligt första stycket 4 gäller sekretess för uppgift i annan verksamhet (annan än bl.a. förundersökning som regleras i punkten 1) som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs bl.a. av åklagarmyndighet (t.ex. Ekobrottsmyndigheten, se ovan), Polis- myndigheten, Säkerhetspolisen och Tullverket. Genom bestämmel- sen blir det möjligt att hemlighålla uppgifter som mera allmänt hän- för sig till de i bestämmelsen uppräknade myndigheternas brottsbe- kämpande verksamhet. Bestämmelsen är bl.a. tillämplig på sådana personregister som förs inom myndigheterna och som inte om- fattas av särskilda bestämmelser (bl.a. punkterna 6, 7 och 10 i denna bestämmelse och 3 §). Även behandling av personuppgifter som inte sker i register omfattas av bestämmelsen. Enligt punkten 6 gäller sekretess för uppgifter i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestämmel- serna. De register som avses är register över
Bestämmelser om sekretess för Polismyndighetens register finns vidare i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för uppgifter i belastningsregistret. I 4 § regleras sekretessen för ytterligare några
447
Sekretess |
SOU 2017:57 |
register, bl.a. register över strafföreläggande och föreläggande av ordningsbot. Sekretessen enligt såväl 3 och 4 §§ är absolut, dvs. något skaderekvisit ställs inte upp som villkor för sekretessen.
Minimiskyddsregler till skydd för enskildas personliga integritet finns i 21 kap. OSL. I 21 kap. 5 § regleras sekretess för särskilt käns- liga uppgifter om utlänningar. Bestämmelsen tar sikte på varje slag av uppgifter som rör utlänningar, oavsett i vilket sammanhang upp- gifterna förekommer. För sekretess krävs att det kan antas att röjande av uppgiften skulle medföra att någon utsätts för övergrepp eller annat allvarligt men. Dessutom fordras att risken för skada ska vara föranledd av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar.
Särskilt om gällande sekretessbestämmelser för
Vid genomförandet av
I förarbetena till lagstiftningen om s.k. trängselskatt gjordes vissa uttalanden avseende möjligheten att kartlägga en persons för- flyttningar in och ut ur ett område (prop. 2003/04:145 s. 103). Det anfördes bl.a. att det är angeläget att den enskildes integritet värnas så långt det är möjligt inom ramen för systemet med trängselskatt och att möjligheten att kartlägga en persons förflyttningar in och ut ur ett område som omfattas av trängselskatt därför ska förhindras. Mot denna bakgrund gjorde regeringen den bedömningen att det var nödvändigt att undanta vissa uppgifter i de aktuella beskattnings- besluten från offentlighet. Dessa var uppgift om vilken betalstation bilen har passerat och om tidpunkten för denna passage. För dessa uppgifter råder absolut sekretess.
Vid genomförandet av
448
SOU 2017:57 |
Sekretess |
eller nummer på identitetskort kan användas för att utröna en passa- gerares namn och födelsedatum, omfattar sekretesskyddet även nummer på resehandlingen. (Se prop. 2005/06:129 s. 50 ff.).
Uppgifterna i passagerarregistret betraktades i övrigt typiskt sett som harmlösa. Till detta kom att uppgifterna i det registret ska gallras relativt snabbt om det inte finns särskilda omständigheter. Det ansågs dock kunna finnas uppgifter eller sammanställningar som kan miss- brukas eller som i ett särskilt fall kan användas till skada för den uppgiften rör. Detta ansågs särskilt gälla uppgifter om enskildas, främst transportörernas, ekonomiska förhållanden. Som exempel an- gavs flygplanens beläggning, vilken kan utläsas om uppgifter om det totala antalet passagerare jämförs med antalet platser i det aktuella flygplanet. Eftersom det ansågs kunna finnas risk för att enskilda lider skada om uppgifter om deras ekonomiska förhållanden röjs, infördes en möjlighet att sekretessbelägga uppgifter i passagerar- registret till skydd för enskilds förhållanden av ekonomisk natur. För dessa uppgifter ansågs det tillräckligt med en presumtion för offent- lighet där sekretess endast gäller om det kan antas att den enskilde lider skada om uppgiften röjs. (Se prop. 2005/06:129 s. 50 ff.).
I anlutning till lagen (2006:444) om passagerarregister infördes således en bestämmelse om sekretess för vissa uppgifter i det register som förs enligt lagen. Bestämmelsen, som numera återfinns i 32 kap. 7 § OSL, stadgar att sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen om passagerarregister för upp- gift om enskilds namn och födelsedatum samt nummer på rese- handling. Sekretessen är i denna del absolut. Sekretess gäller också för uppgift om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. I denna del gäller sekretessen således med ett s.k. rakt skaderekvisit.
Sekretessbrytande bestämmelser
I offentlighets- och sekretesslagen finns ett flertal bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter trots den sekretess som annars gäller för uppgifterna. Många av generell räckvidd finns i
10kap.
Av 10 kap. 2 § OSL framgår att sekretessbelagda uppgifter får
lämnas från en myndighet till en annan om det är nödvändigt för att
449
Sekretess |
SOU 2017:57 |
den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myn- digheten behöver uppgifterna i sin verksamhet.
Enligt 10 kap. 28 § första stycket hindrar sekretess inte att upp- gifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Med lag avses även en
Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvud- regel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde fram- för det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Har det i en lag eller förordning föreskrivits att uppgifter ”bör” eller ”får” lämnas från en myndighet till en annan, finns det normalt särskild anledning att anse att generalklausulen är tillämplig.2 En annan bestämmelse av generell innebörd är 12 kap. 1 § OSL enligt vilken sekretess till skydd för enskild inte annat än i undantagsfall gäller i förhållande till den enskilde själv. Samma uppgift om den enskilde kan emellertid skyddas också av sekretess för ett annat intresse, t.ex. brottsbekämpningens enligt 18 kap., vilket då kan medföra att den enskilde inte har någon rätt att få ut uppgiften om sig själv.
I anslutning till offentlighets- och sekretesslagens materiella sekre- tessbestämmelser finns inte sällan ytterligare sekretessbrytande be- stämmelser som gäller just den aktuella sekretessen i fråga. En sådan är 35 kap. 10 § OSL. Av den bestämmelsen följer att sekretessen
2 Lenberg m.fl., Zeteo juli 2016, kommentaren till 10 kap. 27 § OSL.
450
SOU 2017:57 |
Sekretess |
enligt 1 § i samma kapitel inte hindrar att en uppgift lämnas ut bl.a. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister och polisdatalagen eller förordningar som har stöd i dessa lagar. Denna sekretessbrytande bestämmelse har bl.a. införts för att myn- digheterna inte ska behöva förlita sig på en sekretessprövning enligt generalklausulen i 10 kap. 27 § OSL. Bestämmelsen medför också en möjlighet att lämna ut uppgifter till enskilda eller till andra stater enligt vad som föreskrivs i de i bestämmelsen angivna författningarna (jfr 8 kap. 3 § OSL). En ytterligare i förhållande till 35 kap. 1 § sekre- tessbrytande bestämmelse är 35 kap. 10 a § enligt vilken sekretessen i 1 § inte hindrar att uppgift om en enskild lämnas mellan Polismyn- digheten och Säkerhetspolisen, om den mottagande myndigheten behöver uppgiften i sin brottsbekämpande verksamhet.
Även här kan påpekas att redogörelsen ovan är ofullständig.
24.3Våra överväganden
24.3.1Skyddet för
Vår bedömning: Sekretessregleringen i 18 kap. 1 och 2 §§ samt 35 kap. 1 § första stycket 4 OSL ger ett tillfredsställande skydd för
I
451
Sekretess |
SOU 2017:57 |
att skydda passagerarnas personliga integritet. Bland uppgifterna kan också finnas en del skyddsvärda ekonomiska uppgifter såsom bank- eller kontokortsinformation. Likaså kan lufttrafikföretagen, researrangörer och resebyråer ha kommersiella intressen av att
För det allmännas intresse av sekretesskydd för den brottsbe- kämpande verksamheten torde det stora flertalet
Arbetet vid enheten för passagerarinformation går med ett sam- manfattande ord ut på att informationsförsörja den brottsbekämpan- de verksamheten och är därmed en del av Polismyndighetens verk- samhet med att förebygga, förhindra, upptäcka och utreda brott. Som sådan är det vår bedömning att uppgifter som behandlas i
452
SOU 2017:57 |
Sekretess |
sekretess enligt 21 kap. 5 § OSL till skydd för utlänningars säkerhet, men vi kan inte helt utesluta det i särskilda fall.
När det gäller sekretessen enligt 18 kap. 1 eller 2 § OSL kan det inte på ett enkelt sätt anges om den ena eller andra paragrafen är tillämplig i olika fall och mycket talar för att båda bestämmelserna ibland är parallellt tillämpliga. Enligt vår uppfattning kan det bero på den aktuella situationen. Själva lagringen av
Sekretessregleringen inom det brottsbekämpande området, inte minst när det får internationella inslag, är redan i dag relativt kom- plex. Det talar för att inte i onödan föreslå ytterligare bestämmelser om de som redan gäller ger ett tillfredsställande sekretesskydd. Det är vår uppfattning att så är fallet när det gäller såväl det allmännas intresse av att skydda den brottsbekämpande verksamheten som in- tresset av att skydda passagerares integritet och berörda företags kommersiella verksamhet.
Vad gäller integritetsintresset ser vi således inte tillräckliga skäl att, såsom gjorts beträffande vissa andra register, införa någon absolut sekretess för uppgifter i
453
Sekretess |
SOU 2017:57 |
verksamheten enligt 35 kap. 1 §. Sammanfattningsvis menar vi att det inte finns behov av ändrad sekretessreglering för att skydda PNR- uppgifter hos enheten för passagerarinformation eller annan PNR- information som enheten för passagerarinformation genererar i sitt arbete eller mottar från andra medlemsstater.
24.3.2Skyddet för
Vår bedömning:
Brottsbekämpande myndigheter
Vi har ovan relativt ingående redogjort för de sekretessbestämmelser som i huvudsak gäller i aktuell verksamhet vid sådana brottsbe- kämpande myndigheter som utsetts eller kommer att utses till be- höriga myndigheter. Dessa kommer att få
454
SOU 2017:57 |
Sekretess |
Försvarsmakten
Vad gäller Försvarsmakten såsom behörig myndighet är det i verk- samhet inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst (Must) som det kan bli aktuellt att motta och använda
Försvarsmaktens verksamhet inom Must omfattas inte direkt av sekretessregleringen enligt de ovan redovisade bestämmelserna i 18 kap. 1 och 2 §§ eller 35 kap. 1 § OSL. Däremot utgör
Det är vidare vår uppfattning att även sekretessregleringen i 15 kap. 1 § (utrikessekretess) eller 2 § (försvarssekretess) OSL kan omfatta mottagen
För Musts verksamhet finns därutöver en särskild sekretessbestäm- melse, 38 kap. 4 § OSL, till skydd för enskilds intresse. Enligt bestäm- melsen gäller sekretess hos Försvarsmakten i försvarsunderrättelse- verksamheten och den militära säkerhetstjänsten i underrättelse- och säkerhetsverksamheten för uppgift om enskilds personliga eller eko-
455
Sekretess |
SOU 2017:57 |
nomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Skaderekvisitet är, liksom enligt 35 kap. 1 § OSL, omvänt med en presumtion för sekretess. Den bestämmelsen kommer att även vara tillämplig på
Mot bakgrund av ovanstående är det vår uppfattning att PNR- information som överförs till Försvarsmakten såsom behörig myn- dighet enligt artikel 7 i direktivet kommer att åtnjuta ett tillfreds- ställande sekretesskydd hos Försvarsmakten.
24.3.3Behövs nya sekretessbrytande bestämmelser?
Vår bedömning: Det uppgiftsutlämnande av
Det är vår bedömning att skaderekvisiten i bestämmelserna om sekretess till skydd för den brottsbekämpande verksamheten normalt inte kommer att ”slå till” vid uppgiftsutbytet enligt
456
SOU 2017:57 Sekretess
dighet, utan enbart på andra myndigheter. Enhetens uppgifts- lämnande till Polismyndigheten såsom behörig myndighet enligt den nya lagen och vice versa är en intern överföring inom myndigheten som inte korsar någon sekretessgräns eller kräver stöd i sekretess- brytande bestämmelser, se avsnitt 10.4. Beträffande Säkerhetspolisen som mottagande behörig myndighet framgår vidare av 35 kap. 10 a § OSL att sekretessen enligt 35 kap. 1 § inte utgör något hinder för utlämnande, se ovan.
Vad beträffar andra behöriga myndigheter än Polismyndigheten är, som tidigare angetts, informationsförsörjning till verksamhet med att bekämpa terroristbrottslighet eller grov brottslighet en helt cen- tral uppgift för enheten. Vi bedömer därför att det finns ett tänkbart
utrymme |
för |
att den sekretessbrytande bestämmelsen i |
10 kap. |
2 § OSL |
om |
nödvändigt uppgiftslämnande kan tillämpas |
vid åt- |
minstone utlämnande till behöriga myndigheter av träffar beträffande passagerare som enheten vid sina förhandsbedömningar finner be- höver granskas närmare av mottagande behörig myndighet eller be- hörig mottagare i annan medlemsstat eller Europol. Även vidare- befordran till behöriga myndigheter av
De bestämmelser vi föreslagit i avsnitt
457
Sekretess |
SOU 2017:57 |
Den bryter sekretess oavsett vilken materiell sekretessbestämmelse som gäller för en uppgift i fråga. Det ska dock påpekas att det ytterst är enhetens sak – dvs. Polismyndighetens i strikt mening utifrån sekretesslagstiftningens systematik – att bedöma vilka uppgifter mot- tagaren behöver för den aktuella bekämpningen avseende terrorist- brottslighet eller grov brottslighet som mottagna uppgifter är tänkta att användas för. Självfallet är det därför inte tillåtet för enheten att med åberopande av uppgiftsskyldighet och 10 kap. 28 § OSL lämna fler eller andra uppgifter som en mottagande myndighet inte alls verkar behöva. Att så inte får ske följer emellertid redan av andra bestämmelser i den föreslagna lagen.
Regleringen i den nya lagen om förutsättningarna för att lämna ut
Det är alltså vår samlade bedömning att sekretess inte utgör hinder för det utbyte av information som kommer att vara en integ- rerad del av verksamheten vid enheten för passagerarinformation. Vi ser heller inte skäl för att tydliggöra detta genom någon upplysande bestämmelse i vare sig den nya lagen eller i offentlighets- och sekretes- slagstiftningen. Den typen av tydliggörande kan nämligen leda till osäkerhet om vad som gäller på andra områden som saknar mot- svarande upplysningsbestämmelser.
Vad särskilt gäller överföring till tredjeland kan avslutningsvis tilläggas att bestämmelserna i
458
25
för den nuvarande regleringen
25.1Nuvarande reglering
Som framgått i avsnitt 5.2 finns det redan i dag bestämmelser som innebär att
459
SOU 2017:57 |
För Tullverkets del finns det kompletterande bestämmelser i 4 kap.
Den kommande tullbrottsdatalagen, som ska träda i kraft den 1 juli 2017, innehåller bestämmelser om den vidare behandlingen av bokningsuppgifter vid Tullverket (se prop. 2016/17:91). Enligt 2 kap. 8 § TBL får personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen eller 15 § inregränslagen behandlas i den utsträckning det är tillåtet enligt de lagarna och enbart i den utsträckning det behövs för planering av kontroll- verksamheten och urval av kontrollobjekt. Endast om det behövs i ett enskilt fall får sådana personuppgifter behandlas även för något av lagens primära ändamål och göras gemensamt tillgängliga. I 2 kap. 9 § TBL finns en bestämmelse som reglerar hur en sökning bland bokningsuppgifterna får gå till.
I detta avsnitt kommer vi att analysera hur bestämmelserna om transportföretags skyldighet att lämna uppgifter om transporter och om de berörda myndigheternas behandling av dessa uppgifter berörs av genomförandet av
Utöver de ovan nämnda bestämmelserna regleras i 9 kap. 3
460
SOU 2017:57 |
25.2Våra överväganden och förslag
Vårt förslag: Det förs i polislagen, tullagen och inregränslagen in bestämmelser som innebär att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polismyn- digheten, Säkerhetspolisen och Tullverket inte ska gälla när lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Författningsförslagen berör inte heller samtliga lufttrafikföre- tag. För att omfattas av överföringsskyldigheten enligt den före- slagna lagen fordras nämligen att lufttrafikföretagen i sin normala verksamhet samlar och hanterar
För de transportörer som inte omfattas av våra författningsför- slag bör bestämmelserna i polislagen, tullagen och inregränslagen om transportörers överföring av bokningsuppgifter gälla även efter det att
461
SOU 2017:57 |
När direktivet är genomfört i svensk rätt ska de lufttrafikföretag som omfattas av överföringsskyldigheten föra över
Som tidigare har angetts har
Den reglering om inhämtande av bokningsuppgifter från trans- portföretag som gäller i dag uppfyller inte direktivets krav. För det fall det framöver skulle vara möjligt för de brottsbekämpande myn- digheterna att, då uppgifterna överförs till enheten för passagerar-
1 Com, Report of the fourth meeting on the implementation of the PNR Directive, 8 March 2017.
462
SOU 2017:57 |
information, även hämta in dem direkt från lufttrafikföretagen, skulle
En fortsatt möjlighet för de brottsbekämpande myndigheterna att, då uppgifterna samlas in av enheten för passagerarinformation, hämta in bokningsuppgifter direkt från lufttrafikföretag skulle alltså inte stå i överensstämmelse med
Med hänsyn härtill föreslår vi att det i bestämmelserna i polislagen, tullagen och inregränslagen om transportföretags skyldigheter att överföra bokningsuppgifter förs in ett tillägg som anger att dessa be- stämmelser inte ska gälla när lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig. Sådana tillägg kan göras i ett nytt tredje stycke i 25 § polislagen och i 15 § inregränslagen samt i en ny paragraf, 4 kap. 6 a §, i tullagen.
Ytterligare författningsändringar bedöms inte nödvändiga
Som framgått i avsnitt 8.5 föreslår vi att det i de behöriga myndig- heternas allmänna registerförfattningar förs in bestämmelser som anger att det i den av oss föreslagna lagen och i föreskrifter som meddelats med stöd av den lagen finns bestämmelser om person- uppgiftsbehandling som ska tillämpas i stället för bestämmelserna i aktuell registerförfattning. För Tullverkets del har vi föreslagit en sådan bestämmelse genom ett tillägg i 2 kap. 8 § TBL. Genom att lägga bestämmelsen i anslutning till den lagens bestämmelser om be- handling av bokningsuppgifter som hämtas in med stöd av tullagen eller inregränslagen tydliggörs att andra bestämmelser ska tillämpas för det fall det är fråga om bokningsuppgifter som överförts till Tull- verket från enheten för passagerarinformation eller från en motsva- rande enhet i en annan medlemsstat.
De bokningsuppgifter som Tullverket och övriga behöriga myn- digheter kommer att få tillgång till via enheten för passagerarinfor- mation kommer att bestå av
463
SOU 2017:57 |
digheten. De bokningsuppgifter som har bedömts sakna intresse för den brottsbekämpande verksamheten har således redan sållats bort. Några ytterligare bestämmelser om behandling av mottagen PNR- information, motsvarande de som gäller för bokningsuppgifter enligt 2 kap. 8 och 9 §§ TBL om ändamåls- och sökbegränsningar, bedöms därför inte behöva föras in i tullbrottsdatalagen.
Den
Med hänsyn till den föreslagna bestämmelsen i tullbrottsdatalagen bedömer vi inte att det behövs föras in några förändringar i tull- förordningen eller inregränsförordningen med anledning av genom- förandet av
464
26 Konsekvenser
26.1Inledning
Förslaget till ny lag om flygpassageraruppgifter i brottsbekämpningen och den tillhörande förordningen syftar till att genomföra PNR- direktivet i svensk rätt och att uppfylla den överenskommelse som medlemsstaterna har ingått om att direktivet även ska tillämpas på flygningar inom EU. Målen för
Medlemsstaterna ska säkerställa att reglerna i direktivet genomförs i nationell rätt. Om så inte sker eller om de till följd av direktivet nödvändiga anpassningarna av gällande rätt inte görs, riskerar Sverige att kommissionen inleder ett förfarande om fördragsbrott. Att avstå från ett genomförande utgör alltså inte något alternativ. De förslag som lämnas i betänkandet är enligt vår mening nödvändiga för att genomföra direktivet och för att uppfylla den nämnda överens- kommelsen.
En allmän utgångspunkt för utredningen har varit att tolka direk- tivets bestämmelser snävt och på det sätt som ger minst utrymme för intrång i den personliga integriteten. I den mån det har bedömts
1 Se skäl 5 i
465
Konsekvenser |
SOU 2017:57 |
finnas val- eller tolkningsmöjligheter har vi valt att i anslutning till lämnade förslag beskriva alternativa lösningar och motivera varför den valda lösningen har föreslagits. I detta kapitel ges en mer över- gripande och sammanfattande beskrivning av de nya reglernas för- väntade konsekvenser.
26.2En effektiv användning av
Vår bedömning: Förslagen förväntas få positiva konsekvenser för arbetet med att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet och grov brottslighet.
Förslagen innebär införandet av ett system för att samla in PNR- uppgifter och behandla dessa för vissa syften.
För de behöriga myndigheter som i dag använder sig av PNR- uppgifter kommer
Förslagen innebär också en stor möjlighet till utbyte av PNR- information mellan medlemsstaterna. Särskilt för Polismyndig-
466
SOU 2017:57 |
Konsekvenser |
heten har olika initiativ till utökat samarbete inom EU och med de andra nordiska länderna visat sig ha en positiv effekt. Det gäller exempelvis det utökade utbytet av
Det nya systemets potential att tidigt hitta passagerare som kan misstänkas för inblandning i allvarlig brottslighet bör kunna med- föra att fler sådana brott kan förhindras. T.ex. kan en analys av
26.3Konsekvenser för lufttrafikföretagen
Vår bedömning: Förslagen kommer att belasta lufttrafikföreta- gen arbets- och kostnadsmässigt.
Lufttrafikföretagens konkurrensförhållanden kommer inte att påverkas i någon större omfattning.
De enskilda aktörer som främst berörs av våra förslag är de lufttra- fikföretag som åläggs att överföra
467
Konsekvenser |
SOU 2017:57 |
eller färre sådana resor.2 Det finns inte några samlade uppgifter om storleken på de aktuella lufttrafikföretagen. Det kan dock sägas att storleken på företagen varierar stort. De minsta charterflygbolagen har endast ett fåtal anställda medan exempelvis konsortiet SAS har mer än 10 000 anställda. Det är främst större bolag som bedriver reguljär flygtrafik och som arbetar globalt.
Lufttrafikföretagen har förklarat att det främst är formen för överföringarna som har betydelse för hur stora kostnader genom- förandet av
Enligt Polismyndighetens beräkningar är cirka 80 flygbolag av den storleken att de kommer att överföra
2 Enligt Transportstyrelsens statistik.
468
SOU 2017:57 |
Konsekvenser |
Dock kommer självklart införandet av ett
Enligt lufttrafikföretagens uppskattningar kommer det att ta upp till sex månader att genomföra den första uppkopplingen från ett lufttrafikföretag till en enhet för passagerarinformation. Senare uppkopplingar kommer att ta avsevärt kortare tid. Själva överför- ingarna av
Lufttrafikföretagen har redan i dag och kommer även enligt data- skyddsförordningen att ha en skyldighet att lämna viss information till sina passagerare. Enligt vår bedömning kan information om över- föringsskyldigheten till enheten för passagerarinformation lämnas tillsammans med denna information, exempelvis på flygbiljetten och/eller via en hemsida. Informationsskyldigheten bör enligt vår bedömning endast i försumbar omfattning leda till ytterligare kost- nader.
De kostnader som överföringsskyldigheten innebär bör lufttrafik- företagen huvudsakligen kunna överföra på sina kunder. Det är så- ledes sannolikt att kostnaderna kommer att läggas till biljettpriset. Enligt kommissionens beräkningar kan överföringsskyldigheten som mest innebära att biljettpriserna höjs med mindre än 0,10 euro per
3 Se SEC (2011) 133 final, s. 7 f.
469
Konsekvenser |
SOU 2017:57 |
biljett,4 vilket får anses vara en försumbar del av kostnaden för en flygbiljett.
Privatresenärer dominerar utrikesmarknaden. Denna marknad är mindre priskänslig än inrikesmarknaden, bland annat beroende på skillnader i tillgång till alternativa färdmedel.5 Det är således osanno- likt att efterfrågan på utrikes flygresor kommer att påverkas av genomförandet av
Vårt förslag omfattar inte sådana mindre lufttrafikföretag som strukturmässigt saknar reservationssystem för behandling av PNR- uppgifter. Det innebär att s.k. taxiflyg som utgångspunkt inte kommer att omfattas av överföringsskyldigheten enligt lagen, se av- snitt 11.3. Någon möjlighet att därutöver, och utöver vad kom- missionen gjort vid antagandet av de gemensamma protokollen och formaten, ta någon särskild hänsyn till mindre lufttrafikföretag före- ligger inte.
En utgångspunkt i
Med undantag av några enstaka linjer är konkurrensen från land- och sjötransporter obetydlig6 och bedöms inte påverkas av våra förslag.
Eftersom vi inte föreslår några skyldigheter för resebyråer och researrangörer kommer förslagen inte att leda till några särskilda konsekvenser för dem såvitt vi kan bedöma.
4Se a.a. s. 8.
5Se SOU 2016:83 s. 182 f.
6Se t.ex. a.a. s. 69.
470
SOU 2017:57 |
Konsekvenser |
26.4Konsekvenser för staten
Vår bedömning: Förslagen innebär kostnader för Polismyndig- heten kopplade till inrättandet av en enhet för passagerarinfor- mation och till drivandet av enheten. Kostnaderna får i nuläget antas kunna rymmas inom befintliga budgetramar.
Förslagen kan även innebära kostnader för behöriga myndig- heter, tillsynsmyndigheten och förvaltningsdomstolarna. Även dessa kostnader bör rymmas inom befintliga anslagsramar.
Genomförandet av direktivet medför att en enhet för passagerar- information ska byggas upp dit lufttrafikföretagen ska överföra sina
Av direktivets skäl 14 framgår att medlemsstaterna ska betala kostnaderna för användning, lagring och utbyte av
Arbetet med att införa en enhet för passagerarinformation och genomföra direktivets tekniska delar pågår parallellt med vår utred- ning. Enligt uppgifter från Polismyndigheten har kostnaderna för projektet fram till och med mars 2017 uppgått till cirka 3 miljo- ner kronor. Under resterande delen av år 2017 beräknas kostnader- na uppgå till omkring 6 miljoner kronor. Från januari 2018 till och
471
Konsekvenser |
SOU 2017:57 |
med december 2020 beräknar projektledningen att kostnaderna kommer att uppgå till
Mycket arbete återstår innan
De behöriga myndigheter som kommer att få del av
Förslagen innebär vidare att Tullverkets arbete med
472
SOU 2017:57 |
Konsekvenser |
komma att leda till minskade kostnader för den myndigheten i denna del. Som angetts ovan kommer dock sannolikt volymen av PNR- uppgifter som ska kontrolleras att öka på ett sådant sätt att det inte kommer att bli fråga om någon generell kostnadsminskning.
En ökad användning av
Vi bedömer att våra förslag i sig inte kommer att medföra så många tillkommande ärenden årligen att det på grund av detta finns behov av några resursförstärkningar för rättsväsendet.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Kostnaderna för utbildning bör rymmas inom befintliga ramar. Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande doku- ment. Det får anses ingå i de normala uppgifterna för myndigheterna.
Den tillsynsmyndighet som ska utses enligt det nya dataskydds- direktivet kommer att få ytterligare arbetsuppgifter och därmed ökade kostnader då den även ska övervaka behandlingen av
26.5Konsekvenser för enskilda
Vår bedömning: Förslagen innebär att fler
473
Konsekvenser |
SOU 2017:57 |
För allmänheten innebär den föreslagna regleringen att
Samtliga inskickade
Ur dataskyddssynpunkt kan det nya systemet även ses som posi- tivt, eftersom det enbart är
Regleringen innehåller stränga krav på hur de överförda PNR- uppgifterna får behandlas hos enheten för passagerarinformation och hos de behöriga myndigheter som senare tar del av uppgifterna.
474
SOU 2017:57 |
Konsekvenser |
digheter, andra medlemsstater, Europol och tredjeländer när vissa förutsättningar är uppfyllda. Regleringen ställer också krav på att
Våra förslag innebär vidare att enskilda kommer att beröras i den utsträckning flygbiljetter blir dyrare. Som vi angett ovan förväntas dock biljettpriserna öka endast i försumbar omfattning.
26.6Konsekvenser i övrigt
Utredningens bedömning: Förslagen förväntas inte få några andra konsekvenser.
Förslagen får inte några konsekvenser för kommuner eller landsting generellt eller för den kommunala självstyrelsen. Förslagen bedöms inte heller innebära några konsekvenser för jämställdheten eller miljön. Enligt utredningens bedömning medför förslagen i betänkandet inte heller några andra konsekvenser av det slag som anges i 15 §§ kommittéförordningen (1998:1474) och som inte kommenteras på andra ställen i detta kapitel.
475
27 Ikraftträdande
Vårt förslag: Författningsförslagen ska träda i kraft den 25 maj 2018.
Medlemsstaterna ska enligt artikel 18 i direktivet sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet senast den 25 maj 2018. Vid samma tidpunkt kommer dataskyddsförordningen att börja tillämpas. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att brottsdatalagen ska börja gälla den 1 maj 2018.
Med hänsyn till att vår reglering har betydelse för aktörer både inom och utom det brottsbekämpande området bör vår reglering lämpligen träda i kraft tidigast när samtliga de nya dataskyddsbestäm- melserna i såväl dataskyddsförordningen som i de författningar som genomför det nya dataskyddsdirektivet har börjat gälla. Våra författ- ningsförslag bör därför träda i kraft den 25 maj 2018.
Något behov av ytterligare ikraftträdandebestämmelser eller över- gångsbestämmelser har vi inte identifierat.
477
28 Författningskommentar
28.1Förslaget till lag om flygpassageraruppgifter i brottsbekämpningen
1 kap. Allmänna bestämmelser
Lagens innehåll
1 §
I paragrafen anges lagens innehåll. Bestämmelsen behandlas i av- snitt 9.1.
Första stycket innehåller en sammanfattande beskrivning av lagens innehåll. Bestämmelsen genomför, tillsammans med 5 §, artikel 1 i
I andra stycket anges att lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar
1 Se förslag till brottsdatalag i SOU 2017:29.
479
Författningskommentar SOU 2017:57
förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.
Lagens syfte
2 §
Paragrafen anger lagens övergripande syfte. Bestämmelsen behand- las i avsnitt 9.1.
Lagens syfte är tudelat. Den syftar till att dels ge behöriga myn- digheter tillgång till
Definitioner
3 §
I paragrafen, som bl.a. genomför artikel 3, definieras vissa uttryck som används i lagen.
Avmaskerade
Avmaskerade
Med avmaskerade
480
SOU 2017:57 |
Författningskommentar |
Behörig mottagare
Behörig mottagare definieras inte i direktivet. Uttrycket behandlas i avsnitt 10.2.
Med behörig mottagare avses samtliga aktörer som är behöriga att motta
Behörig myndighet
Definitionen, som genomför artikel 7.2, behandlas i avsnitt 15.2.1. Bestämmelsen avgränsar vad för slags myndighet som i Sverige
kan utses till en behörig sådan och hur myndigheten utses. Med att en myndighet är behörig avses att den är behörig att ta emot PNR- information från enheten för passagerarinformation, antingen efter enhetens förhandsbedömning eller efter särskild begäran enligt lagens bestämmelser. Även andra kan dock komma att ha rätt att använda
Flygpassageraruppgifter eller
Definitionen motsvarar artikel 3.5 i direktivet och behandlas bl.a. i avsnitt 11.4.3.
481
Författningskommentar SOU 2017:57
Grov brottslighet
Definitionen motsvarar artikel 3.9 i direktivet och behandlas i avsnitt 9.4.
Med grov brottslighet avses sådana brott enligt nationell rätt i Sverige eller andra medlemsstater som har sin motsvarighet i bilaga II till direktivet och för vilka det ingår tre års fängelse i straffskalan. För att ett brott ska ses som grovt i denna lags mening ska det således omfattas av den angivna bilagan och kunna leda till tre års fängelse eller mer. Inom det svenska tillämpningsområdet faller t.ex. män- niskohandel, våldtäkt, rån, grov stöld, narkotikabrott, narkotika- smuggling och grovt vapenbrott.
Definitionen och bilaga II till direktivet har betydelse för att när- mare avgränsa i vilka fall
Det ska observeras att den svenska översättningen av bestämmel- sen har rättats i direktivet genom ett särskilt beslut. Definitionen i 3 § genomför den rättade versionen.
Lufttrafikföretag
Definitionen behandlas i avsnitt 11.3 och motsvarar delvis defini- tionen i artikel 3.1.
Med lufttrafikföretag i lagens mening avses sådana lufttrafik- företag som har en giltig operativ licens utfärdad enligt bestämmel- serna i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahål- lande av lufttrafik i gemenskapen och som ger rätt att mot betalning
482
SOU 2017:57 |
Författningskommentar |
och/eller hyra utföra lufttransporter av passagerare. Även sådana lufttrafikföretag som har en motsvarande licens utfärdad i en stat utanför EU innefattas. För att omfattas av överföringsskyldigheten enligt lagen fordras därutöver att lufttrafikföretagen i sin normala verksamhet samlar och hanterar
Maskerade
Maskerade
Med maskerade
Maskering
Definitionen, som avses i artikel 3.10, behandlas i avsnitt 13.3. Genom en maskering görs sådana
kan hänföras till en fysisk person osynliga, dvs. oåtkomliga, för den användare av
Medlemsstat
Definitionen har ingen motsvarighet i direktivet. Uttrycket behand- las i avsnitt 15.3.1.
Med medlemsstat avses sådana stater som är bundna av direktivet, vilket gäller samtliga EU:s medlemsstater förutom Danmark.
483
Författningskommentar |
SOU 2017:57 |
Passagerare
Definitionen motsvaras av artikel 3.4 i direktivet. Uttrycket behand- las i avsnitt 11.4.3.
Med passagerare avses alla personer, även de i transfer eller transit, som finns upptagna i passagerarförteckningen och därmed trans- porteras eller kommer att transporteras med ett flygplan med luft- trafikföretagets godkännande. Besättningsmedlemmar omfattas dock inte. Sådana operatörsanställda som reser med flygplanet utan att tjänstgöra ombord transporteras med lufttrafikföretagets godkän- nande och ska stå med i passagerarlistan. De omfattas därmed av direktivets definition av passagerare.
Definitionen har ingen motsvarighet i direktivet. Uttrycket behand- las i avsnitt 10.2.
Med
Reservationssystem
Definitionen motsvarar artikel 3.6 i direktivet och behandlas i avsnitt 11.3.
Med reservationssystem avses ett sådant elektroniskt system där lufttrafikföretag systematiskt samlar
484
SOU 2017:57 |
Författningskommentar |
Terroristbrottslighet
Definitionen motsvarar artikel 3.8 i direktivet. Den behandlas i av- snitt 9.3.
Med terroristbrottslighet avses i lagen samtliga brott som har införts i eller har ansetts svara mot befintlig nationell rätt i Sverige eller andra medlemsstater på grund av de aktuella bestämmelserna i rambeslutet och de ändringar som har genomförts i det beslutet.
Precis som definitionen av grov brottslighet har definitionen av terroristbrottslighet betydelse för att närmare avgränsa i vilka fall
Tredjeland
Tredjeland är inte definierat i direktivet. Definitionen täcker alla stater som inte är medlemsstater i lagens mening och utgår alltså från hur en medlemsstat är definierad. Danmark är således i lagens mening ett tredjeland. Uttrycket behandlas i avsnitt 17.3.1.
Enhet för passagerarinformation
4 §
I paragrafen behandlas enheten för passagerarinformation. Bestäm- melsen genomför artikel 4.1 och 4.2 i direktivet. Den behandlas i avsnitt 10.2.
I bestämmelsen slås fast att den nationella enheten för passagerar- information ska vara en enhet inom Polismyndigheten. Den kommer där att ingå i den verksamhetsgren som ägnar sig åt att förebygga, förhindra, upptäcka, utreda eller syftar till att lagföra brottslig verk- samhet. Vidare anges enhetens övergripande uppgifter, som är att samla in, lagra och behandla
485
Författningskommentar |
SOU 2017:57 |
att
Otillåten behandling av
5 §
Paragrafen genomför bl.a. artikel 1.2, 7.4 och
I paragrafen föreskrivs ett förbud mot behandling av PNR- information för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Para- grafen kan ses som en portalbestämmelse som talar om vilken be- handling av
Förbud mot behandling av känsliga personuppgifter
6 §
Paragrafen genomför artikel 13.4 i direktivet. Den behandlas i av- snitt 18.5.
Genom bestämmelsen förbjuds behandling av
486
SOU 2017:57 |
Författningskommentar |
Inte heller en behörig myndighet får behandla
Förbudet mot behandling av
2 kap. Lufttrafikföretagens skyldigheter
Överföring av
1 §
I bestämmelsen behandlas skyldigheten för lufttrafikföretag att överföra
Första stycket innebär att lufttrafikföretagen ska överföra PNR- uppgifter inför varje flygning ankommande till eller avgående från Sverige. Härmed omfattas alla flygningar mellan Sverige och ett annat land, oavsett om det är fråga om ett annat
487
Författningskommentar |
SOU 2017:57 |
förordningen regleras att eventuella
I andra stycket anges att för det fall flera lufttrafikföretag sam- arbetar och har en gemensam linjebeteckning, s.k. code sharing, ska
2 §
Paragrafen genomför delar av artikel 8.3 samt artikel 8.4 i direktivet. Den behandlas i avsnitt 11.4.5.
Av bestämmelsen framgår att
I andra stycket framgår att den senare överföringen får begränsas till uppdateringar och kompletteringar av den information som över- fördes vid det första tillfället. En sådan uppdatering kan avse såväl ändringar i tidigare lämnade
3 §
Bestämmelsen, som genomför artikel 8.5 i direktivet, behandlas i avsnitt 11.4.6.
Av bestämmelsen framgår att lufttrafikföretag, utöver vad som anges i 2 §, är skyldiga att överföra
488
SOU 2017:57 |
Författningskommentar |
tion som, i praktiken normalt efter framställan från en behörig myndighet, ska bedöma huruvida det i ett enskilt fall är nödvändigt med tillgång till
4 §
Bestämmelsen genomför delar av artiklarna 8.1 och 8.3 i direktivet. Den behandlas i avsnitt 11.4.7.
Första meningen i bestämmelsen anger att
5 §
Bestämmelsen motsvaras inte av någon bestämmelse i direktivet. Den behandlas i avsnitt 11.4.8.
Paragrafen erinrar om att ett lufttrafikföretag har möjlighet att låta t.ex. en systemleverantör av ett datoriserat bokningssystem över- föra
489
Författningskommentar |
SOU 2017:57 |
Information till passagerare
6 §
Bestämmelsen genomför direktivets skäl 29 och 37. Den behandlas i avsnitt 20.2.4.
Paragrafen innebär att lufttrafikföretag vars passagerare berörs av överföringen av
Sanktionsavgift för lufttrafikföretag
7 §
Paragrafen reglerar för vilka överträdelser administrativ sanktions- avgift ska tas ut av ett lufttrafikföretag. Den genomför artikel 14 i direktivet. Paragrafen behandlas i avsnitt 22.3.5.
I paragrafen anges uttömmande vilka överträdelser som kan för- anleda sanktionsavgift. Både överträdelser av bestämmelser i lagen och bestämmelser som har utfärdats i anslutning till lagen kan leda till sanktionsavgift. Sanktionsavgift kan t.ex. utgå om överföringar inte sker vid de tidpunkter som anges i lagen eller om de görs i ett annat format än de som godkänts av kommissionen. Polismyndig- heten avgör dock i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, se 8 § andra stycket.
490
SOU 2017:57 |
Författningskommentar |
Ansvaret för överträdelser är strikt. Det krävs alltså varken uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum.
8 §
Paragrafen behandlar sanktionsavgiftens storlek. Övervägandena finns i avsnitt 22.3.6.
I första stycket fastställs minimi- och maximibelopp för sanktions- avgift. Avgifter som motsvarar eller ligger i närheten av maximi- beloppet är avsedda för de allvarligare fallen. Det kan röra sig om upprepade överträdelser eller fall som rör ett stort antal passagerare och där ingen rimlig förklaring finns till att de aktuella uppgifterna inte har lämnats. I andra fall bör en lägre avgift kunna fastställas. Direktivets föreskrift om att sanktionerna ska vara effektiva, pro- portionella och avskräckande ska dock alltid beaktas.
I andra stycket föreskrivs att sanktionsavgiften kan sättas ned helt eller delvis. Lufttrafikföretagen kommer normalt sett ha möjlighet att lämna uppgifter i enlighet med direktivets bestämmelser. Det kan emellertid finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin överföringsskyldighet. Det kan t.ex. vara så att det har skett ett tekniskt fel vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tänkt att anlända till Sverige oväntat ha om- dirigerats hit. Paragrafen ger möjlighet att sätta ned sanktions- avgiften, helt eller delvis, om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
9 §
Paragrafen behandlas i avsnitt 22.3.7. I första stycket föreskrivs att Polismyndigheten beslutar om sanktionsavgift. Av andra stycket fram- går att sanktionsavgiften tillfaller staten.
491
Författningskommentar |
SOU 2017:57 |
10 §
Av paragrafen följer att den som avgiften ska tas ut av ska ges tillfälle att yttra sig innan Polismyndigheten beslutar om sanktionsavgift. Paragrafen behandlas i avsnitt 22.3.7. Möjligheten att besluta om sanktionsavgift bortfaller om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år efter överträdelsen.
11 §
Av bestämmelsen, som behandlas i avsnitt 22.3.7, framgår att Polis- myndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten krävs pröv- ningstillstånd.
Föreskrifter
12 §
I bestämmelsen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om lufttrafikföre- tagens överföring av
3 kap. Behandling av
1 §
Paragrafen behandlas i avsnitt 13.1. Den genomför bl.a. artikel 12.1 i direktivet.
Genom bestämmelsen föreskrivs att det ska finnas en databas för
492
SOU 2017:57 |
Författningskommentar |
avgränsad uppgiftssamling med
Personuppgiftsansvar m.m.
2 §
Bestämmelsen, som inte motsvaras av någon artikel i direktivet, be- handlas i avsnitt 19.1.3.
Bestämmelsen är av upplysande karaktär och anger att det är Polis- myndigheten som är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation. Det är således Polismyndigheten som ska ansvara för att sådana skyl- digheter som följer av bl.a. denna lag följs i den verksamhet som sker vid enheten för passagerarinformation.
3 §
Paragrafen genomför artikel 6.8 i direktivet. Den behandlas i av- snitt 19.2.4.
Bestämmelsen innebär ett förbud mot att enhetens lagring och annan behandling av
Tillåtna ändamål
4 §
Paragrafen innehåller de grundläggande ändamålen för vilka de
Bestämmelsen ersätter de ändamålsbestämmelser som anges i 2 kap. 7 och 8 §§ PDL. Den exkluderar även en tillämpning av be- stämmelsen om behandling av personuppgifter för nya ändamål i
493
Författningskommentar |
SOU 2017:57 |
2 kap. 4 § BDL. Uppräkningen i bestämmelsen är alltså uttömman- de och innebär att endast sådan personuppgiftsbehandling som inryms i något av de i paragrafen angivna ändamålen får äga rum. Dock är behandling alltid tillåten för att uppfylla de syften som anges i 2 kap. TF. Vidare får
Enligt första stycket punkten 1 får
Av andra punkten följer att enheten för passagerarinformation får behandla
494
SOU 2017:57 |
Författningskommentar |
nätverk. Behöriga mottagare kan därför ha ett intresse av att få del av sådana äldre
Enligt tredje punkten får
I andra stycket upplyses om att det i 6 kap. finns bestämmelser som anger att
5 §
Paragrafen anger hur en förhandsbedömning av
Enligt andra punkten får
495
Författningskommentar |
SOU 2017:57 |
av förordningen att kriterierna ska fastställas och fortlöpande ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter. Härigenom kan kriterierna kontinuerligt förbättras och träffsäkerheten öka.
6 §
Paragrafen reglerar enheten för passagerarinformations behandling av
Enheten för passagerarinformation kommer inte bara att behandla
Tillgång till
7 §
Paragrafen behandlas i avsnitt 10.4.3. Den begränsar antalet personer vid Polismyndigheten som är behöriga att ta del av uppgifterna i
496
SOU 2017:57 |
Författningskommentar |
Vissa tjänstemän kan ha sin grundanställning på en annan behörig myndighet än Polismyndigheten men ha avdelats för att arbeta vid enheten för passagerarinformation. När de gör det anses de delta i Polismyndighetens verksamhet i den mening som avses i bl.a. 2 kap. 1 § OSL.
Förbud mot direktåtkomst
8 §
Paragrafen behandlas i avsnitt 10.4.1. Den innebär att andra myndig- heter än Polismyndigheten inte får tillåtas ha direkt tillgång till upp- gifterna i
Bevarande och gallring av
9 §
Paragrafen behandlas i avsnitt 18.4. Den genomför delvis artikel 12.1 och 12.4 i direktivet.
I bestämmelsen föreskrivs att
För det fall
497
Författningskommentar |
SOU 2017:57 |
10 §
Bestämmelsen behandlar radering av
Lufttrafikföretagen bör inte skicka in andra uppgifter än de som omfattas av deras uppgiftsskyldighet, därmed inte heller känsliga personuppgifter. Dock kan detta komma att ske av misstag, t.ex. därför att uppgiven kontaktadress röjer en svensk partitillhörighet som är obekant för det asiatiska lufttrafikföretaget i fråga. Enligt bestämmelsen ska enheten för passagerarinformation omedelbart gallra
En motsvarande bestämmelse för behöriga myndigheter finns i 5 kap. 2.§.
Maskering av
11 §
Av bestämmelsen framgår vilka
De
498
SOU 2017:57 |
Författningskommentar |
Dataskyddsombud
12 §
Paragrafen genomför artikel 5.1 första ledet och artikel 6.7 första meningen i direktivet. Den behandlas i avsnitt 19.5.4.
Av första stycket följer att Polismyndigheten ska utse ett eget dataskyddsombud för enheten för passagerarinformation. Av andra stycket följer att detta ombud för sitt arbete ska ha tillgång till samt- liga uppgifter som behandlas vid enheten för passagerarinformation. Genom en sådan tillgång kan lagligheten i behandlingen fortlöpande kontrolleras.
13 §
Paragrafen reglerar dataskyddsombudets uppgifter. Bestämmelsen genomför andra ledet av artikel 5.1 i direktivet. Den behandlas i avsnitt 19.5.4.
Dataskyddsombudets generella uppgifter regleras i brottsdata- lagen. Av första stycket framgår att dataskyddsombudet, utöver vad som anges i 3 kap. 14 § BDL, även ska ansvara för genomförandet av relevanta skyddsåtgärder. Detta innebär att det ankommer på om- budet, vid sidan av Polismyndigheten, att ta initiativ till och lämna riktlinjer och förslag på lämpliga skyddsåtgärder samt att också se till att dessa genomförs i praktiken vid enheten för passagerarinfor- mation.
Av andra stycket följer att enskilda ska ha rätt att vända sig till dataskyddsombudet i egenskap av enda kontaktpunkt i alla frågor som gäller behandlingen enligt lagen av
499
Författningskommentar |
SOU 2017:57 |
enhetens dataskyddsombud i sådana fall kunna lotsa en missnöjd eller undrande enskild vidare till rätt kontaktpunkt.
14 §
Paragrafen, som behandlas i avsnitt 19.5.4, reglerar dataskyddsom- budets skyldighet att anmäla brister till tillsynsmyndigheten. Be- stämmelsen genomför artikel 6.7 andra meningen.
Om den personuppgiftsansvarige inte följer regelverket för be- handling av personuppgifter inom enheten för passagerarinformation ska dataskyddsombudet agera och anmäla detta till tillsynsmyndig- heten. Någon rätt för den personuppgiftsansvarige att först vidta rättelse föreligger alltså inte. Däremot får det givetvis förutsättas att rättelse ändå sker snarast möjligt. Det är upp till dataskyddsom- budet att bedöma om en anmälan ska ske. Att ett anställt dataskydds- ombud med stöd av paragrafen gör en anmälan får inte leda till några konsekvenser för ombudet i arbetsrättsligt hänseende, eftersom det är fråga om en lagreglerad skyldighet.
Föreskrifter
15 §
I bestämmelsen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om utformande av kriterier, tillgång till
500
SOU 2017:57 |
Författningskommentar |
4 kap. Överföring av
Överföring till behöriga myndigheter
1 §
Paragrafen föreskriver i vilka situationer
Överföring till en behörig myndighet ska enligt första stycket första punkten ske för att vidarebefordra
Överföring från enheten för passagerarinformation till behöriga myndigheter ska endast ske i enskilda fall.
501
Författningskommentar |
SOU 2017:57 |
höriga myndigheter. Även då
Överföring till andra medlemsstater
2 §
Bestämmelsen reglerar överföring till enheter för passagerarinfor- mation i andra medlemsstater av sådan
Resultatet av en förhandsbedömning av passagerare kan vara av intresse inte bara för behöriga nationella myndigheter utan även för en eller flera andra medlemsstater. Enligt bestämmelsen ska enheten för passagerarinformation därför självmant överföra resultatet av en förhandsbedömning till en motsvarande enhet i en annan medlems- stat. Bestämmelsen är formulerad som en uppgiftsskyldighet men en överföring ska dock endast ske om enheten bedömer att PNR- informationen är relevant och nödvändig för vidare granskning i den andra medlemsstaten för att där förebygga, förhindra, upptäcka, ut- reda eller lagföra terroristbrottslighet eller grov brottslighet. Det är först då det uppkommer en skyldighet att lämna
502
SOU 2017:57 |
Författningskommentar |
3 §
Paragrafen behandlar enheten för passagerarinformations behandling av förfrågningar från motsvarande enheter i andra medlemsstater om att få del av
Bestämmelsen innebär att enheten för passagerarinformation är skyldig att så snart som möjligt besvara en motiverad förfrågan från en enhet för passagerarinformation i en annan medlemsstat om att få del av
I att förfrågan ska vara motiverad ligger ett krav på att den ska innehålla tillräckliga uppgifter för att det ska gå att bedöma om
Om den begärda
4 §
Paragrafen reglerar översändande från enheten för passagerarinfor- mation direkt till en myndighet som har utsetts som behörig i en annan medlemsstat. Den genomför artikel 9.3 i direktivet och be- handlas i avsnitt 15.3.3.
503
Författningskommentar |
SOU 2017:57 |
myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om överföring av
Överföring av
5 §
Paragrafen behandlar inhämtande av
Av 2 kap. 3 § framgår att enheten för passagerarinformation kan begära att lufttrafikföretag ska överföra
504
SOU 2017:57 |
Författningskommentar |
annan medlemsstat, för att därefter översända uppgifterna till den efterfrågande enheten.
Överföring till Europol
6 §
Paragrafen genomför artikel 10 och behandlas i avsnitt 15.4.
Av bestämmelsen framgår att enheten för passagerarinformation på begäran ska överföra efterfrågad
Om de begärda
Överföring av avmaskerade
7 §
Paragrafen behandlar förutsättningarna för överföring av avmaske- rade
Avmaskerade
505
Författningskommentar |
SOU 2017:57 |
ligen summariskt och inskränka sig till en kontroll av att det av be- gäran framgår att framställningen även omfattar utfående av avmaske- rade, fullständiga uppgifter om en person. Därutöver ska, som vid samtliga överföringar från enheten, kontrolleras att mottagarens be- gäran sker i syfte att använda mottagna uppgifter för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottlighet. Som en ytterligare förutsättning för överföring av av- maskerade uppgifter krävs ett beslut eller tillstånd enligt 8 eller 9 §.
Enligt bestämmelsen får avmaskerade
8 §
Bestämmelsen behandlas i avsnitt 15.5.4.
För det fall en förundersökning har inletts ska en begäran från behöriga svenska myndigheter om att få tillgång till fullständiga, avmaskerade,
9 §
Bestämmelsen behandlas i avsnitt 15.5.4.
I de fall begäran om utfående av avmaskerade
506
SOU 2017:57 |
Författningskommentar |
att fatta beslut om tillstånd får delegeras till en annan anställd vid myndigheten som har rätt kompetens, utbildning och erfarenhet. Delegation får dock inte ske till någon som själv deltar i den verk- samhet som har begärt ut informationen. Inte heller får delegation ges till någon som arbetar vid enheten för passagerarinformation. Den som fattar beslutet ska avgöra om tillgång till fullständiga avmaske- rade
Av den till lagen hörande förordningen framgår att dataskydds- ombudet vid enheten för passagerarinformation ska informeras och göra en efterhandsutvärdering av varje överföring av avmaskerade uppgifter enligt denna bestämmelse.
5 kap. Behöriga myndigheters behandling av
Gallring av
1 §
Bestämmelsen behandlar frågan om gallring av resultatet av för- handsbedömningar hos de behöriga myndigheterna. Den motsvaras inte av någon bestämmelse i direktivet och behandlas i avsnitt 18.8.
För det fall en behörig myndighet, som har mottagit PNR- information från enheten för passagerarinformation med resultat från enhetens förhandsbedömning av passagerare, vid sin granskning finner att informationen saknar betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet, ska denna information gallras av den behöriga myndigheten. Resultatet av sådana förhandsbedömningar av passagerare som visar sig sakna betydelse för den brottsbekämpande verksamheten ska således inte bevaras hos de behöriga myndigheterna. Motsvarande bestämmelser finns för bokningsuppgifter från transportörer i 26 § tredje stycket polislagen (1984:387), 4 kap. 8 § tredje stycket tullagen (2016:253 och 16 § tredje stycket lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.
Det kan från fall till fall ta olika lång tid innan det går att kon- statera om en uppgift saknar betydelse för den angivna brottslig-
507
Författningskommentar |
SOU 2017:57 |
heten. Så snart detta har konstaterats ska dock
2 §
Paragrafen behandlar frågan om gallring av känsliga personuppgifter hos de behöriga myndigheterna. Bestämmelsen genomför artikel 13.4 i direktivet och behandlas i avsnitt 18.5.
Eftersom enheten för passagerarinformation inte får behandla
Annan behandling av
3 §
Paragrafen innehåller ett undantag från bestämmelsen om otillåten behandling av
Bestämmelsen innebär en möjlighet för de behöriga myndig- heterna att förhindra, utreda och lagföra mindre allvarlig eller annat slags brottslighet som upptäcks i samband med en brottsbekämpan- de insats som görs till följd av sådan
508
SOU 2017:57 |
Författningskommentar |
Med en brottsbekämpande insats avses olika möjliga åtgärder som kan ske till följd av sådan misstänkt brottslighet som omfattas av direktivet. Det kan t.ex. röra sig om ett förhör, en husrannsakan, en brottsplatsundersökning, ett beslag eller en spaningsoperation. Huruvida en förundersökning har inletts är inte avgörande.
Automatiserade beslut
4 §
Paragrafen behandlar automatiserade beslut hos de behöriga myndig- heterna. Den genomför artikel 7.6 och behandlas i avsnitt 16.2.4.
Av bestämmelsen framgår att de behöriga myndigheterna inte får fatta några beslut som har rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar denne endast på grund av den automatiska behandlingen av
Föreskrifter
5 §
I bestämmelsen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om behöriga myn- digheters inhämtande och behandling av
6 kap. Överföring till tredjeland
1 §
Bestämmelsen reglerar överföringen av
Av bestämmelsen framgår att enheten för passagerarinformation får överföra
509
Författningskommentar |
SOU 2017:57 |
får
Samtliga villkor i bestämmelsen ska vara uppfyllda för att en- heten ska få överföra
Enligt första punkten får uppgifterna endast överföras om förut- sättningarna för överföring av
Av andra punkten framgår att en överföring ska vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra brott som motsvarar terroristbrottslighet eller grov brottslighet. Med att över- föringen ska vara nödvändig menas att det är fråga om något som behövs. De
Enligt tredje punkten ska det tredjelandet också godta att endast vidareöverföra uppgifterna till ett annat tredjeland om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lag- föra brott motsvarande terroristbrottslighet eller grov brottslighet och enheten för passagerarinformation har lämnat ett uttryckligt med- givande till vidareöverföringen. Medgivandet kan ske såväl muntligt
510
SOU 2017:57 |
Författningskommentar |
som skriftligt. För att det i efterhand ska gå att kontrollera bör dock medgivandet dokumenteras av enheten för passagerarinformation.
I den anslutande förordningen regleras att enheten för passagerar- information i samband med en överföring av
2 §
Paragrafen behandlar frågan om överföring till tredjeland utan för- handsmedgivande. Den genomför artikel 11.2 i direktivet och be- handlas i avsnitt 17.3.3.
Bestämmelsen innebär att för det fall den
I den anslutande förordningen anges att om
511
Författningskommentar |
SOU 2017:57 |
3 §
Bestämmelsen, som reglerar förhållandet till brottsdatalagen, behand- las i avsnitt 17.3.4. Den motsvaras inte av någon artikel i direktivet.
8 kap. 8 § BDL föreskriver en möjlighet att i enskilda fall överföra personuppgifter till andra organ i ett tredjeland än behöriga myn- digheter. Denna möjlighet är inte tillämplig vid överföring av PNR- information, som endast får överföras till en myndighet i ett tredje- land som där är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott motsvarande terrorist- brottslighet eller grov brottslighet (se 1 §).
4 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om information till en annan medlemsstat när personuppgifter, som enheten för passage- rarinformation har fått från den andra medlemsstaten, har överförts till ett tredjeland utan förhandsmedgivande samt om uppställande av villkor om användningsbegränsning av
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 §
Paragrafen reglerar rätten till radering eller begränsning av behand- ling av personuppgifter. Den behandlas i avsnitt 20.3.3. Bestämmel- sen genomför till viss del artikel 13.1 i direktivet.
4 kap. 10 § BDL innehåller bestämmelser om en registrerads rätt till radering eller begränsning av behandling av personuppgifter. Av första stycket följer att de aktuella bestämmelserna även ska gälla för det fall personuppgifter behandlas i strid med vissa centrala bestäm- melser i denna lag. Bestämmelserna avser lagens portalbestämmelse om otillåten behandling av personuppgifter, förbudet mot behand- ling av känsliga personuppgifter samt förpliktelsen att gallra PNR- uppgifter som har överförts från lufttrafikföretag efter fem år.
512
SOU 2017:57 |
Författningskommentar |
Av andra stycket följer att sådana beslut om radering eller begräns- ning av uppgifter som anges i bestämmelsen kan överklagas till allmän förvaltningsdomstol.
2 §
Paragrafen behandlar skadestånd vid otillåten behandling av person- uppgifter. Den genomför till viss del artikel 13.1 i direktivet och behandlas i avsnitt 20.4.3.
Av bestämmelsen följer att brottsdatalagens bestämmelser om skadestånd ska gälla även när personuppgifter behandlas i strid med denna lag eller föreskrifter som meddelats med stöd av den. Bestäm- melsen är bara tillämplig för överträdelser av lagens bestämmelser som avser att ge skydd för personuppgifter. Om ett lufttrafikföretag bryter mot bestämmelserna i 2 kap. genom att inte överföra PNR- uppgifter till enheten för passagerarinformation eller när enheten för passagerarinformation bryter mot sin skyldighet att besvara för- frågningar från behöriga myndigheter eller fullgöra sina förpliktel- ser om informationsutbyte med andra medlemsstater enligt 4 kap. ska skadeståndsbestämmelsen inte tillämpas.
Tillsyn
3 §
Paragrafen behandlas i avsnitt 21.3. Den genomför artikel 15 i direktivet.
Bestämmelsen föreskriver att den tillsynsmyndighet som avses i brottsdatalagen ska ha tillsyn över all personuppgiftsbehandling en- ligt lagen. Det har således ingen betydelse om personuppgiftsbe- handlingen har utförts av enheten för passagerarinformation, ett lufttrafikföretag eller en behörig myndighet. Tillsynsmyndighetens uppgifter och befogenheter regleras i brottsdatalagen.
513
Författningskommentar |
SOU 2017:57 |
Sanktionsavgifter vid överträdelser av enheten för passagerarinformation eller en behörig myndighet
4 §
Paragrafen reglerar vid vilka överträdelser av lagens bestämmelser som administrativ sanktionsavgift får tas ut av en personuppgifts- ansvarig myndighet. Den genomför artikel 14.1 och innebär att sank- tioner kan tillgripas vid överträdelser av de bestämmelser i lagen som har till syfte att skydda enskildas integritet. Bestämmelsen behandlas i avsnitt 22.4.3.
Tillsynsmyndigheten avgör i det enskilda fallet om sanktionsav- gift bör tas ut, vilket framgår av formuleringen att avgift får tas ut. Paragrafen föreskriver att sanktionsavgift får tas ut av den person- uppgiftsansvariga myndigheten, oavsett om en överträdelse har skett vid enheten för passagerarinformation eller vid en behörig myndighet.
I paragrafen anges uttömmande vilka överträdelser som kan för- anleda sanktionsavgift. Enligt punkten 1 kan sanktionsavgift tas ut vid överträdelser av bestämmelsen om att
514
SOU 2017:57 |
Författningskommentar |
5 §
Bestämmelsen behandlas i avsnitt 22.4.3. I första stycket föreskrivs att sanktionsavgiftssystemet i brottsdatalagen och den tillhörande förordningen ska tillämpas även vid överträdelser enligt denna lag.
Av andra stycket framgår att de i brottsdatalagen föreslagna minimi- och maximibeloppen för allvarligare överträdelser ska tilläm- pas när sanktionsavgiften ska bestämmas. Utgångspunkten vid be- stämmandet av sanktionsavgift är den behandling som skett av per- sonuppgifterna.
I tredje stycket upplyses om att beslut om sanktionsavgift kan överklagas till allmän förvaltningsdomstol enligt 7 kap. 4 § BDL
28.2Förslaget till lag om ändring i polislagen (1984:387)
25 §
Paragrafen, som behandlas bl.a. i avsnitt 25, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Polismyndigheten eller Säkerhetspolisen.
Första och andra stycket är oförändrade.
I tredje stycket anges att första och andra stycket inte ska gälla för det fall lagen (2018:000) om flygpassageraruppgifter i brottsbe- kämpningen är tillämplig.
28.3Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen
15 §
Paragrafen, som behandlas bl.a. i avsnitt 25, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tullverket.
Första och andra stycket är oförändrade.
515
Författningskommentar |
SOU 2017:57 |
I tredje stycket anges att första och andra stycket inte ska gälla för det fall lagen (2018:000) om flygpassageraruppgifter i brottsbe- kämpningen är tillämplig.
28.4Förslaget till lag om ändring i lagen (2007:258) om behandling av personuppgifter
i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst
1 kap.
1 a §
Paragrafen, som behandlas i avsnitt 8.5, reglerar förhållandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen. Be- stämmelsen är ny.
Genom paragrafen föreskrivs att för det fall det i lagen om flyg- passageraruppgifter i brottsbekämpningen finns avvikande bestäm- melser, ska dessa tillämpas i stället för bestämmelserna i denna lag.
28.5Förslaget till lag om ändring i polisdatalagen (2010:361)
1 kap.
4 a §
Paragrafen, som behandlas i avsnitt 8.5, reglerar förhållandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen. Be- stämmelsen är ny.
Genom paragrafen föreskrivs att för det fall det i lagen om flyg- passageraruppgifter i brottsbekämpningen finns avvikande bestäm- melser, ska dessa tillämpas i stället för bestämmelserna i polisdatalag- en. Det gäller oavsett om det handlar om personuppgiftsbehandling vid enheten för passagerarinformation eller en behörig myndighet som omfattas av polisdatalagens tillämpningsområde.
516
SOU 2017:57 |
Författningskommentar |
28.6Förslaget till lag om ändring i tullagen (2016:253)
4 kap.
6 a §
Paragrafen, som behandlas i avsnitt 25, reglerar förhållandet mellan lagens bestämmelser om Tullverkets tillgång till transportörers bok- ningsuppgifter och lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen. Bestämmelsen är ny.
Av bestämmelsen framgår att skyldigheten enligt 4 kap. 6 § tullagen för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tull- verket inte ska gälla för det fall lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
28.7Förslaget till lag om ändring i tullbrottsdatalagen (2017:000)
2 kap.
8 §
Paragrafen, som behandlas bl.a. i avsnitt 8.5, reglerar behandling av personuppgifter som har lämnats till Tullverket från transportföre- tag. I ett nytt tredje stycke föreskrivs att för det fall det i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen finns avvikande bestämmelser ska dessa tillämpas i stället. Paragrafen är i övrigt oförändrad.
517
Särskilt yttrande
av experterna Kurt Alavaara,
Av utredningen framgår att cirka 60 procent av alla bokningar av flygbiljetter inom EU och internationellt utförs av resebyråer. San- nolikt kommer denna typ av bokningar att öka i framtiden i takt med att användandet av internet ökar globalt. I samband med att
Vi anser att det redan nu finns mycket goda skäl att införa en ut- ökad skyldighet för dessa aktörer att överföra
519
Bilaga 1
Kommittédirektiv 2016:22
Genomförande av direktiv om användning av passageraruppgiftssamlingar
Beslut vid regeringssammanträde den 17 mars 2016
Sammanfattning
En särskild utredare ska föreslå hur direktivet om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
Uppdraget ska redovisas senast den 31 maj 2017.
Passageraruppgiftssamlingar består av uppgifter som lämnats av passagerare (Passenger Name Records – PNR) och samlats in av lufttrafikföretag (härefter benämnda flygbolag) i samband med be- ställning och bokning av biljetter samt vid incheckning, t.ex. namn, betalningssätt, bagageinformation, destination och resebolag. Flyg-
521
Bilaga 1 |
SOU 2017:57 |
bolag samlar redan i dag in och behandlar sådana uppgifter om sina passagerare för kommersiella syften.
Ett direktiv om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
Direktivet reglerar skyldigheten för flygbolag att överföra passa- geraruppgiftssamlingar till enheter för passagerarinformation i med- lemsstaterna, för vilka ändamål uppgifterna får behandlas, hur länge uppgifterna får lagras och under vilka förutsättningar de får lämnas ut. Flygpassageraruppgifterna får endast behandlas för att förebyg- ga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Terroristbrott definieras som de brott enligt nationell rätt som avses i artiklarna
Direktivet innehåller även andra bestämmelser om dataskydd.
Utredningsuppdraget
Allmänna utgångspunkter
Utredarens övergripande uppdrag är att analysera direktivet och föreslå de författningsändringar och andra åtgärder som krävs för att
522
SOU 2017:57 |
Bilaga 1 |
Direktivet kräver endast att flygbolagen lämnar passagerarupp- giftssamlingar för flygtransporter som anländer från eller avgår till ett land utanför Europeiska unionen (EU). Medlemsstaterna har också möjlighet att tillämpa det på flygningar inom EU. Medlems- staterna kommer i en deklaration som ska antas samtidigt som direk- tivet åta sig att utnyttja denna möjlighet. Genom deklarationen har medlemsstaterna även uttalat att man ska eftersträva att, med hänsyn till nationellt parlamentariskt förfarande, införa nationella bestäm- melser som innebär skyldighet att överföra flygpassageraruppgifter även för ekonomiska aktörer som inte är transportörer, t.ex. de rese- byråer och researrangörer som erbjuder bokningsförmedling vid vilken sådana uppgifter samlas in och behandlas. Utgångspunkten för uppdraget är därför att direktivet även ska tillämpas på flygningar inom EU och att skyldigheten att föra över flygpassageraruppgifter till de nationella enheterna i medlemsstaterna även ska omfatta rese- byråer och researrangörer.
Utredaren ska föreslå ett system för hanteringen av flygpassa- geraruppgifter och den reglering för personuppgiftsbehandling och sekretess som detta kräver. Utredaren ska även analysera om och i så fall hur
Ett system för hantering av flygpassageraruppgifter
523
Bilaga 1 |
SOU 2017:57 |
i dag, dvs. att en myndighets beslut om sanktioner kan överklagas till allmän förvaltningsdomstol.
Varje medlemsstat ska inrätta eller utse en myndighet eller del av myndighet med behörighet att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet som ska fungera som med- lemsstatens enhet för passagerarinformation. Enheten ska ansvara för att samla in flygpassageraruppgifter från flygbolagen, lagra, be- handla och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga brottsbekämpande myndigheter. Enheten ska också ansvara för att utbyta flygpassageraruppgifter och resultatet av behandlingen av sådana uppgifter med andra medlemsstaters en- heter för passagerarinformation och med Europol. Enheten ska lagra uppgifterna i fem år. Efter sex månader ska uppgifterna maskeras på ett sådant sätt att passageraren inte kan identifieras. De insamlade uppgifterna får endast behandlas för vissa angivna ändamål och läm- nas ut under vissa förutsättningar. Polismyndigheten har till uppgift att förebygga, upptäcka och utreda de flesta av de brott som om- fattas av direktivet. Utgångspunkten för uppdraget är därför att den nationella enheten ska placeras vid Polismyndigheten. Myndigheten ska även ansvara för genomförandet av direktivets tekniska bestäm- melser.
Medlemsstaterna ska utse de myndigheter som ska vara behöriga att begära eller ta emot flygpassageraruppgifter och underrätta Euro- peiska kommissionen om dessa senast ett år efter det att direktivet trätt i kraft. Regeringen kommer inom kort att utse dessa myndig- heter och det ingår därför inte i uppdraget att föreslå vilka myndig- heter som ska anses behöriga enligt direktivet.
Utredaren ska föreslå
•ett system för hur flygpassageraruppgifter ska hanteras i Sverige,
•hur enheten för passagerarinformation ska organiseras,
•vilka sanktioner som ska kunna åläggas flygbolag som inte upp- fyller sina skyldigheter enligt direktivet, och
•de författningsändringar som behövs.
524
SOU 2017:57 |
Bilaga 1 |
Behandling av personuppgifter och sekretess
Ett effektivt system för hantering av flygpassageraruppgifter förut- sätter att uppgifter kan överföras inom systemet. Samtidigt måste skyddet för enskildas personliga integritet säkerställas.
För att myndigheter ska kunna utbyta information krävs att in- formationen inte omfattas av sekretess eller att sekretessen kan brytas. Vidare krävs att det finns stöd för att uppgifterna får lämnas ut. Regler om utlämnande av uppgifter från en myndighet till en annan finns, vad gäller den behandling som direktivet föreskriver, dels i offentlighets- och sekretesslagen (2009:400), dels i de författningar som reglerar myndigheternas personuppgiftsbehandling. Dessa är polisdatalagen (2010:361) och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.
Enligt direktivet ska medlemsstaterna säkerställa att den behand- ling av personuppgifter som sker vid den nationella enheten och vid behöriga brottsbekämpande myndigheter omfattas av nationella dataskyddsbestämmelser som överensstämmer med rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete (dataskyddsrambeslutet) och de dataskyddsbe- stämmelser som finns angivna i
Utredaren ska därför
•analysera vilken personuppgiftsbehandling som aktualiseras vid tillämpningen av direktivet,
•ta ställning till om reglerna i offentlighets- och sekretesslagen innebär ett tillräckligt skydd för de uppgifter som ska utbytas en- ligt direktivet eller om nuvarande lagstiftning behöver ändras för att Sverige ska leva upp till bestämmelserna i direktivet,
•föreslå en reglering för personuppgiftsbehandling och sekretess som passar in i den befintliga svenska strukturen och ger en rätts-
525
Bilaga 1 |
SOU 2017:57 |
säker och mer effektiv brottsbekämpning samtidigt som skyddet för den personliga integriteten säkerställs, och
•i den utsträckning det är möjligt, beakta det arbete som genom- förs av den utredning som kommer att få i uppdrag att genomföra det nya dataskyddsdirektivet.
Påverkar
Enligt bilaga I till direktivet omfattar flygpassageraruppgifter bl.a. förhandsuppgifter om passagerare (Advance Passenger Information, API). Inhämtandet av sådana uppgifter regleras i direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare
I regeringens skrivelse Förebygga, förhindra, försvåra – den svenska strategin mot terrorism (skr. 2014/15:146) anges att syste- met för hantering av flygpassageraruppgifter bör samordnas med systemet för
Utredaren ska därför
•analysera hur
•föreslå hur systemet för flygpassageraruppgifter ska möjliggöra hantering av både
526
SOU 2017:57 |
Bilaga 1 |
• föreslå de författningsändringar som bedöms nödvändiga.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för de behöriga brottsbekämpande myndigheterna och konsekven- serna i övrigt av förslagen. Om förslagen kan förväntas leda till kost- nadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska även bedöma vilka konsekvenser förslagen får för enskilda.
Samråd och redovisning av uppdraget
Utredaren ska inhämta synpunkter från berörda myndigheter, sär- skilt Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrotts- myndigheten, Transportstyrelsen, Säkerhets- och integritetsskydds- nämnden och Datainspektionen. I lämplig omfattning ska utredaren även inhämta synpunkter från berörda flygbolag, andra ekonomiska aktörer och branschorganisationer. Utredaren ska vidare hålla sig informerad om arbetet med att genomföra det nya dataskyddsdirek- tivet och Polismyndighetens arbete med att genomföra
Uppdraget ska redovisas senast den 31 maj 2017.
(Justitiedepartementet)
527
Bilaga 2
529
Bilaga 2 |
SOU 2017:57 |
530
SOU 2017:57 |
Bilaga 2 |
531
Bilaga 2 |
SOU 2017:57 |
532
SOU 2017:57 |
Bilaga 2 |
533
Bilaga 2 |
SOU 2017:57 |
534
SOU 2017:57 |
Bilaga 2 |
535
Bilaga 2 |
SOU 2017:57 |
536
SOU 2017:57 |
Bilaga 2 |
537
Bilaga 2 |
SOU 2017:57 |
538
SOU 2017:57 |
Bilaga 2 |
539
Bilaga 2 |
SOU 2017:57 |
540
SOU 2017:57 |
Bilaga 2 |
541
Bilaga 2 |
SOU 2017:57 |
542
SOU 2017:57 |
Bilaga 2 |
543
Bilaga 2 |
SOU 2017:57 |
544
SOU 2017:57 |
Bilaga 2 |
545
Bilaga 2 |
SOU 2017:57 |
546
Bilaga 3
547
Bilaga 4
549
L 119/132 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/681
av den 27 april 2016
om användning av passageraruppgiftssamlingar
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 82.1 d och 87.2 a,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
efter att ha hört Regionkommittén,
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1)Den 6 november 2007 antog kommissionen ett förslag till rådets rambeslut om användning av passagerarupp giftssamlingar
(2)I Stockholmsprogrammet – ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd (3) uppmanades kommissionen att lägga fram ett förslag om användning av
(3)I sitt meddelande av den 21 september 2010 om en övergripande strategi när det gäller överföring av passagera ruppgiftssamlingar
(4)I rådets direktiv 2004/82/EG (4) regleras transportörers översändande av förhandsinformation om passagerare
(5)Målen för detta direktiv är bland annat att trygga säkerheten, skydda personers liv och säkerhet och att inrätta en rättslig ram för skydd av
(6)En effektiv användning av
(7)Bedömningen av
delaktighet i terroristbrott eller grov brottslighet innan en sådan bedömning görs och som bör undersökas
(1) EUT C 218, 23.7.2011, s. 107.
(2) Europaparlamentets ståndpunkt av den 14 april 2016 (ännu ej offentliggjord i EUT) och rådets beslut av den 21 april 2016. (3) EUT C 115, 4.5.2010, s. 1.
(4) Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EUT L 261, 6.8.2004, s. 24).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/133 |
|
|
|
|
närmare av de behöriga myndigheterna. Genom att använda
(8)Redan nu samlar lufttrafikföretagen in och behandlar
(9)Vissa lufttrafikföretag lagrar insamlade
(10)För att det ska gå att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är det av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhandahåller
f lygförbindelser utanför EU att överföra de
(11)Behandlingen av personuppgifter bör stå i proportion till de särskilda säkerhetsmål som detta direktiv syftar till att uppfylla.
(12)Den definition av terroristbrott som tillämpas i detta direktiv bör vara densamma som i rådets rambeslut 2002/475/RIF (1). Definitionen av allvarlig brottslighet bör omfatta de brottskategorier som förtecknas i bilaga II till detta direktiv.
(13)
(14)Medlemsstaterna bör betala kostnaderna för användning, lagring och utbyte av
(15)En förteckning över
(16)Det finns för närvarande två möjliga metoder för överföring av uppgifter: direktåtkomstmetoden
(1) Rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (EGT L 164, 22.6.2002, s. 3).
L 119/134 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
(17)Kommissionen stöder Internationella civila luftfartsorganisationens (Icao) riktlinjer om PNR. Dessa riktlinjer bör därför fungera som underlag vid antagandet av understödda dataformat för överföring av
(18)Medlemsstaterna bör vidta alla nödvändiga åtgärder för att göra det möjligt för lufttrafikföretagen att uppfylla sina skyldigheter enligt detta direktiv. Medlemsstaterna bör fastställa effektiva, proportionella och avskräckande sanktioner, även ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende på överföring av
(19)Varje medlemsstat bör ansvara för att bedöma potentiella hot från terroristbrott och grov brottslighet.
(20)Med fullt beaktande av rätten till skydd av personuppgifter och rätten till
(21)Medlemsstaterna bör under inga omständigheter använda resultatet av behandlingen av
(22)Med fullt beaktande av principerna i aktuell relevant rättspraxis från Europeiska unionens domstol bör tillämpningen av detta direktiv säkerställa full respekt för de grundläggande rättigheterna, rätten till skydd av privatlivet och proportionalitetsprincipen. Den bör även till fullo vara förenlig med vad som är nödvändigt och proportionellt för att de mål av allmänt intresse som erkänts av unionen ska uppnås och med behovet att skydda andras rättigheter och friheter i kampen mot terroristbrott och grov brottslighet. Tillämpningen av detta direktiv bör vara vederbörligen motiverad och nödvändiga skyddsåtgärder bör vidtas för att säkerställa att all lagring, analys, överföring eller användning av
(23)Medlemsstaterna bör utbyta
(24)Ett säkert informationsutbyte om
(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(2) Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) (EUT L 121, 15.5.2009, s. 37). (3) Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbe
kämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/135 |
|
|
|
|
(25)Lagringstiden för
(26)Om specifika
(27)Den behandling av
(28)Med hänsyn till rätten till skydd för personuppgifter är det viktigt att de registrerades rättigheter vid behandling av
(29)Med hänsyn till passagerares rätt att bli informerade om behandlingen av personuppgifter bör medlemsstaterna se till att passagerare förses med korrekt, lättåtkomlig och lättbegriplig information om insamlingen av
(30)Detta direktiv påverkar inte tillämpningen av unionsrätt och nationell rätt om principen om allmänhetens tillgång till officiella handlingar.
(31)Överföring av
(32)Den nationella tillsynsmyndighet som har inrättats enligt rådets rambeslut 2008/977/RIF bör även ansvara för att meddela riktlinjer för och utöva tillsyn över tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med detta direktiv.
(33)Detta direktiv påverkar inte medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av
(34)Detta direktiv påverkar inte gällande unionsbestämmelser om formerna för utförande av gränskontroller eller unionsbestämmelser om in- och utresa från unionens territorium.
(35)På grund av rättsliga och tekniska skillnader mellan olika nationella bestämmelser om behandling av personuppgifter, däribland
(1) Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).
L 119/136 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
myndigheterna. Dessa skillnader kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Det är därför nödvändigt att på unionsnivå inrätta en gemensam rättslig ram för överföring och behandling av
(36)Detta direktiv står i överensstämmelse med de grundläggande rättigheterna och principerna i stadgan, särskilt rätten till skydd av personuppgifter, rätten till respekt för privatlivet och rätten till
(37)Tillämpningsområdet för detta direktiv är så begränsat som möjligt eftersom det föreskriver att
(38)Eftersom målen för detta direktiv, nämligen lufttrafikföretags överföring av
(39)I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, har Förenade kungariket och Irland meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv.
(40)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.
(41)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (1) och avgav ett yttrande den 25 mars 2011.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
Allmänna bestämmelser
Artikel 1
Syfte och tillämpningsområde
1.Detta direktiv innehåller bestämmelser om
a)lufttrafikföretags överföring av passageraruppgiftssamlingar
b)behandlingen av de uppgifter som avses i led a, inbegripet medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter.
(1) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/137 |
|
|
|
|
2.
Artikel 2
Detta direktivs tillämpning på f lygningar inom EU
1.Om en medlemsstat beslutar att tillämpa detta direktiv på f lygningar inom EU, ska denna medlemsstat skriftligen meddela kommissionen detta. En medlemsstat får när som helst lämna eller återkalla ett sådant meddelande. Kommissionen ska offentliggöra detta meddelande, och en eventuell återkallelse av det, i Europeiska unionens officiella tidning.
2.När ett meddelande som avses i punkt 1 lämnas, ska alla bestämmelser i detta direktiv gälla för flygningar inom EU som om de vore f lygningar utanför EU och för
3.En medlemsstat får besluta att endast tillämpa detta direktiv på valda f lygningar inom EU. När medlemsstaten fattar ett sådant beslut, ska den välja de flygningar som den anser vara nödvändiga för att efterfölja målen för detta direktiv. Medlemsstaten får när som helst besluta att ändra urvalet av f lygningar inom EU.
Artikel 3
Definitioner
I detta direktiv avses med
1.lufttrafikföretag: ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerar f lygtrafik,
2.flygning utanför EU: varje reguljär eller
3.flygning inom EU: varje reguljär eller
4.passagerare: alla personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett f lygplan med lufttrafikföretagets godkännande, vilket godkännande framgår av att denna person står med på passagerarförteckningen,
5.passageraruppgiftssamling eller
6.reservationssystem: lufttrafikföretagets interna system, där
7.sändmetod: den metod varigenom lufttrafikföretagen överför de
L 119/138 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
8.terroristbrott: de brott enligt nationell rätt som avses i artiklarna
9.grov brottslighet: brott som förtecknas i bilaga II vilka bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt,
10.avidentifiering genom maskering av uppgifter: att göra de uppgifter som kan användas för att omedelbart identifiera den registrerade osynliga för en användare.
KAPITEL II
Medlemsstaternas skyldigheter
Artikel 4
Enhet för passagerarinformation
1.Varje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation.
2.Enheten för passagerarinformation ska ansvara för att
a)samla in
b)utbyta både
3.Personal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter. Medlemsstaterna ska ge enheterna för passagerarinformation tillräckliga resurser för att de ska kunna utföra sina uppgifter.
4.Två eller f lera medlemsstater (nedan kallade de deltagande medlemsstaterna) får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. En sådan enhet för passagerarinformation ska inrättas i en av de deltagande medlemsstaterna och fungera som nationell enhet för passagerarinformation för alla deltagande medlemsstater. De deltagande medlemsstaterna ska tillsammans enas om närmare bestämmelser för driften av enheten för passagerarinformation utan att avvika från kraven i detta direktiv.
5.Varje medlemsstat ska inom en månad från inrättandet eller utseendet av sin enhet för passagerarinformation meddela kommissionen detta och får när som helst ändra detta meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.
Artikel 5
Dataskyddsombud vid enheten för passagerarinformation
1.Enheten för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av
2.Medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter i enlighet med denna artikel på ett effektivt och oberoende sätt.
3.Medlemsstaterna ska se till att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frågor som rör behandlingen av den registrerades
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/139 |
|
|
|
|
Artikel 6
Behandling av
1.
2.Enheten för passagerarinformation ska enbart behandla
a)Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
b)I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla
c)Analysera
3.När enheten för passagerarinformation utför den bedömning som avses i punkt 2 a får den:
a)Jämföra
b)behandla
4.En bedömning av passagerare före planerad ankomst till eller avresa från medlemsstaten som görs enligt punkt 3 b i enlighet med på förhand fastställda kriterier ska utföras på ett
5.Medlemsstaterna ska se till att eventuella träffar i samband med automatisk behandling av
6.Enheten för passagerarinformation i en medlemsstat ska översända
7.Medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarin formation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndigheten.
8.Lagring, behandling och analys av
L 119/140 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
9. Konsekvenserna av de bedömningar av passagerare som avses i punkt 2 a i denna artikel får inte äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG (1). När bedömningarna sker i samband med f lygningar inom EU mellan medlemsstater för vilka Europaparlamentets och rådets förordning (EG) nr 562/2006 (2) är tillämplig, ska konsekvenserna av sådana bedömningar vara förenliga med den förordningen.
Artikel 7
Behöriga myndigheter
1.Varje medlemsstat ska fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta
2.De myndigheter som avses i punkt 1 ska vara myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
3.Med avseende på tillämpningen av artikel 9.3 ska varje medlemsstat senast den 25 maj 2017 meddela kommissionen förteckningen över sina behöriga myndigheter och får när som helst ändra sitt meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.
4.
5.Punkt 4 ska inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av
6.De behöriga myndigheterna får inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av
Artikel 8
Lufttrafikföretagens skyldigheter vad gäller överföring av uppgifter
1. Medlemsstaterna ska anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag genom sändmetoden överför de
(1) Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 30.4.2004, s. 77).
(2) Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 105, 13.4.2006, s. 1).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/141 |
|
|
|
|
2.Om lufttrafikföretagen har samlat in sådan förhandsinformation om passagerare
3.Lufttrafikföretagen ska överföra
a)
b)omedelbart efter det att gatens dörrar stängts, det vill säga när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller stiga av.
4.Medlemsstaterna ska tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 3 b till uppdateringar av sådana överföringar som avses i punkt 3 a.
5.I situationer där åtkomst till
Artikel 9
Utbyte av information mellan medlemsstaterna
1.När personer identifieras av en enhet för passagerarinformation i enlighet med artikel 6.2, ska medlemsstaterna se till att enheten översänder alla relevanta och nödvändiga
2.Enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarin formation i en annan medlemsstat tillhandahåller
3.Endast i nödfall och enligt de villkor som fastställts i punkt 2 får en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av
4.Om åtkomst till
5.Informationsutbyte enligt denna artikel får göras via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det språk som används i samband med begäran och informationsutbytet ska vara det som gäller
L 119/142 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
för den kanal som används. Medlemsstaterna ska i samband med att de lämnar meddelanden i enlighet med artikel 4.5 även meddela kommissionen uppgifter om de kontaktpunkter till vilka framställningar kan sändas i nödfall. Kommissionen ska underrätta medlemsstaterna om dessa uppgifter.
Artikel 10
Villkor för Europols åtkomst till
1.Europol ska inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rätt att begära
2.Europol får från fall till fall via Europols nationella enhet lämna in en elektronisk, vederbörligen motiverad begäran till enheten för passagerarinformation i en medlemsstat om översändande av specifika
3.Europol ska informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den här artikeln.
4.Informationsutbyte enligt denna artikel ska äga rum via Siena och i enlighet med beslut 2009/371/RIF. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena.
Artikel 11
Överföring av uppgifter till tredjeländer
1. En medlemsstat får överföra
a)de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF är uppfyllda,
b)överföringen är nödvändig för detta direktivs syften enligt artikel 1.2,
c)det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för detta direktivs ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och
d)samma villkor som de som fastställs i artikel 9.2 är uppfyllda.
2. Trots vad som sägs i artikel 13.2 i rambeslut 2008/977/RIF ska överföring av
a)överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och
b)förhandssamtycke inte kan erhållas i tid.
Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll.
3.Medlemsstaterna ska överföra
4.Dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/143 |
|
|
|
|
Artikel 12
Lagringstid för uppgifter och avidentifiering
1.Medlemsstaterna ska se till att
2.Vid utgången av en period på sex månader efter överföringen av de
a)Namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans.
b)Adress och kontaktuppgifter.
c)Alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer.
d)Uppgifter om bonusprogram.
e)Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser.
f)Alla
3. Vid utgången av den sexmånadersperiod som avses i punkt 2 ska utlämnande av de fullständiga
a)om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b, och
b)efter tillstånd från
i)en rättslig myndighet, eller
ii)en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.
4.Medlemsstaterna ska se till att
5.Resultaten av den behandling som avses i artikel 6.2 a ska bevaras endast av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell
Artikel 13
Skydd av personuppgifter
1. Medlemsstaterna ska föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med detta direktiv har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i rambeslut 2008/977/RIF. Dessa artiklar ska därför tillämpas.
L 119/144 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
2.Medlemsstaterna ska föreskriva att de nationella bestämmelser om konfidentiell behandling och datasäkerhet som har antagits för genomförande av artiklarna 21 och 22 i rambeslut 2008/977/RIF även är tillämpliga på all behandling av personuppgifter i enlighet med detta direktiv.
3.Detta direktiv påverkar inte tillämpligheten av Europaparlamentets och rådets direktiv 95/46/EG (1) på lufttrafik företags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet.
4.Medlemsstaterna ska förbjuda behandling av
5.Medlemsstaterna ska se till att enheten för passagerarinformation bevarar dokumentation om alla system och förfaranden för uppgiftsbehandling inom deras ansvarsområde. Dokumentationen ska minst innehålla
a)namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av
b)begäran från behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater,
c)begäran om och överföring av
Enheten för passagerarinformation ska på begäran göra all dokumentation tillgänglig för den nationella tillsynsmyndighe ten.
6. Medlemsstaterna ska se till att enheten för passagerarinformation för loggar över åtminstone följande typer av behandling: insamling, läsning, utlämning och radering. Loggarna över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identitetsuppgifter för den person som har läst eller lämnat ut
Loggarna ska bevaras i fem år.
7.Medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är förknippade med behandlingen och arten av
8.Om ett en personuppgiftsincident kan antas medföra ett avsevärt hot mot skyddet av den registrerades personuppgifter eller negativt påverka dennes integritet, ska medlemsstaterna se till att enheten för passagerarinformation utan onödigt dröjsmål informerar den registrerade och den nationella tillsynsmyndigheten för dataskydd om incidenten.
Artikel 14
Sanktioner
Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella bestämmelser som antagits enligt detta direktiv och vidta alla nödvändiga åtgärder för att se till att de genomförs.
Medlemsstaterna ska särskilt fastställa bestämmelser om sanktioner, inklusive ekonomiska sanktioner, mot lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte översänder uppgifterna i det fastställda formatet.
Sanktionerna ska vara effektiva, proportionella och avskräckande.
(1) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria f lödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/145 |
|
|
|
|
Artikel 15
Nationell tillsynsmyndighet
1.Varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som avses i artikel 25 i rambeslut 2008/977/RIF ska ansvara för att inom sitt territorium ge riktlinjer för och övervaka tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med detta direktiv. Artikel 25 i rambeslut 2008/977/RIF ska tillämpas.
2.De nationella tillsynsmyndigheterna ska utföra sina uppgifter enligt punkt 1 i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter.
3.Varje nationell tillsynsmyndighet ska
a)hantera klagomål från en registrerad, undersöka ärendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomål,
b)kontrollera att uppgiftsbehandlingen är laglig, genomföra utredningar, inspektioner och revision i enlighet med nationell rätt, antingen på eget initiativ eller på grundval av ett klagomål som avses i led a.
4. Varje nationell tillsynsmyndighet ska på begäran ge registrerade råd om hur de kan utöva de rättigheter som fastställs i de bestämmelser som antas i enlighet med detta direktiv.
KAPITEL III
Genomförandeåtgärder
Artikel 16
Gemensamma protokoll och understödda dataformat
1.All överföring av
2.Ett år från den dag då kommissionen för första gången antar gemensamma protokoll och understödda dataformat i enlighet med punkt 3, ska all överföring av
3.En förteckning över gemensamma protokoll och understödda dataformat ska upprättas och vid behov anpassas av kommissionen genom genomförandeakter. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2.
4.Punkt 1 ska tillämpas så länge som de gemensamma protokoll och understödda dataformat som avses i punkterna 2 och 3 inte finns tillgängliga.
5.Inom ett år från den dag då de gemensamma protokoll och understödda dataformat som avses i punkt 2 antas, ska medlemsstaterna vidta de tekniska åtgärder som krävs för att dessa gemensamma protokoll och dataformat ska kunna börja användas.
L 119/146 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
Artikel 17
Kommittéförfarande
1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i Europaparlamentets och rådets förordning (EU) nr 182/2011.
2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.
KAPITEL IV
Slutbestämmelser
Artikel 18
Införlivande
1. Medlemsstaterna ska sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den 25 maj 2018. De ska genast underrätta kommissionen om detta.
När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
2. Medlemsstaterna ska till kommissionen överlämna texterna till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.
Artikel 19
Översyn
1.På grundval av information som medlemsstaterna tillhandahållit, inbegripet de statistiska uppgifter som avses i artikel 20.2, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av detta direktiv och överlämna till och lägga fram en rapport för Europaparlamentet och rådet.
2.Kommissionen ska, när den utför sin översyn, lägga särskild vikt vid
a)efterlevnaden av de tillämpliga standarderna för skydd av personuppgifter,
b)nödvändigheten och proportionaliteten i insamlingen och behandlingen av
c)längden på den period som uppgifterna lagras,
d)ändamålsenligheten i informationsutbytet mellan medlemsstaterna, och
e)kvaliteten på bedömningarna, även med hänsyn till den statistik som samlats in i enlighet med artikel 20.
3. Den rapport som avses i punkt 1 ska också innefatta en översyn av nödvändigheten, proportionaliteten och ändamålsenligheten i att i detta direktivs tillämpningsområde inbegripa obligatorisk insamling och överföring av
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/147 |
|
|
|
|
4. Mot bakgrund av den översyn som genomförs i enlighet med denna artikel, ska kommissionen om lämpligt lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra detta direktiv.
Artikel 20
Statistik
1.Medlemsstaterna ska årligen tillhandahålla kommissionen statistik om
2.Statistiken ska åtminstone omfatta följande:
a)Det totala antalet passagerare vars
b)Antalet passagerare som identifierats för ytterligare undersökning.
Artikel 21
Förhållande till andra instrument
1.Medlemsstaterna får fortsätta att sinsemellan tillämpa de bilaterala eller multilaterala avtal eller ordningar som är i kraft den 24 maj 2016 på utbyte av uppgifter mellan behöriga myndigheter, förutsatt att dessa avtal eller ordningar är förenliga med detta direktiv.
2.Detta direktiv påverkar inte tillämpligheten av direktiv 95/46/EG på lufttrafikföretags behandling av personuppgifter.
3.Detta direktiv påverkar inte medlemsstaternas eller unionens eventuella skyldigheter och åtaganden enligt bilaterala eller multilaterala avtal med tredjeländer.
Artikel 22
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning. Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.
Utfärdat i Bryssel den 27 april 2016. |
|
|
På Europaparlamentets vägnar |
|
På rådets vägnar |
M. SCHULZ |
|
J.A. |
Ordförande |
|
Ordförande |
|
|
|
L 119/148 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
|
|
|
|
BILAGA I
1.
2.Datum för bokning/utfärdande av biljett.
3.Planerat/planerade resdatum.
4.Namn.
5.Adress och kontaktuppgifter (telefonnummer och
6.Alla former av betalningsinformation, inbegripet faktureringsadress.
7.Hela resrutten för aktuell passageraruppgiftssamling.
8.Uppgifter om bonusprogram.
9.Resebyrå/resebyråtjänsteman.
10.Passagerarens resestatus, inbegripet resebekräftelser, incheckningsstatus, no show (passagerare som inte infinner sig) eller go show (passagerare utan bokning).
11.Delade
12.Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, f lygplatsanställd som ledsagar barnet vid avresan respektive ankomsten).
13.Biljettinformation, inbegripet biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14.Platsnummer och annan platsinformation.
15.Information om gemensam linjebeteckning.
16.All bagageinformation.
17.Antal medresenärer i
18.Eventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens
nummer, utfärdandeland och sista giltighetsdag, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, f lygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid).
19. Alla ändringar som gjorts av de
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/149 |
|
|
|
|
BILAGA II
Förteckning över brott enligt artikel 3.9
1.Deltagande i en kriminell organisation.
2.Människohandel.
3.Sexuellt utnyttjande av barn samt barnpornografi.
4.Olaglig handel med narkotika och psykotropa ämnen.
5.Olaglig handel med vapen, ammunition och sprängämnen.
6.Korruption.
7.Bedrägeri, inbegripet riktat mot unionens finansiella intressen.
8.Penningtvätt och penningförfalskning, inklusive förfalskning av euron.
9.
10.Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade växtarter och växtsorter.
11.Hjälp till olovlig inresa och olovlig vistelse.
12.Mord, grov misshandel.
13.Olaglig handel med mänskliga organ och vävnader.
14.Människorov, olaga frihetsberövande och tagande av gisslan.
15.Organiserad stöld och väpnat rån.
16.Olaglig handel med kulturföremål, inbegripet antikviteter och konstverk.
17.Varumärkesförfalskning och piratkopiering.
18.Förfalskning av administrativa dokument och handel med sådana förfalskningar.
19.Olaglig handel med hormonsubstanser och andra tillväxtsubstanser.
20.Olaglig handel med nukleära och radioaktiva ämnen.
21.Våldtäkt.
22.Brott som omfattas av den internationella brottmålsdomstolens behörighet.
23.Kapning av f lygplan eller fartyg.
24.Sabotage.
25.Handel med stulna fordon.
26.Industrispionage.
19.11.2016 |
SV |
Europeiska unionens officiella tidning |
L 313/59 |
|
|
|
|
RÄTTELSER
Rättelse till Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar
(Europeiska unionens officiella tidning L 119 av den 4 maj 2016)
1.Sidan 138, artikel 3.9
I stället för: ”9. grov brottslighet: brott som förtecknas i bilaga II vilka bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt,”
ska det stå: ”9. grov brottslighet: brott som förtecknas i bilaga II som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt,”.
2.Sidan 148, bilaga I, punkt 18
I stället för: ”18. … (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, efternamn, förnamn, …”
ska det stå: ”18. … (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, …”.
Europeiska unionens råd
Interinstitutionellt ärende: 2011/0023 (COD)
Bryssel den 18 april 2016 (OR. en)
7829/16 ADD 1
CODEC 422
GENVAL 47
AVIATION 63
DATAPROTECT 29
ENFOPOL 104
från: |
Rådets generalsekretariat |
till: |
Ständiga representanternas kommitté (Coreper)/rådet |
Ärende: |
Utkast till Europaparlamentets och rådets direktiv om användning av |
|
passageraruppgiftssamlingar (PNR) för att förebygga, förhindra, upptäcka, |
|
utreda och lagföra terroristbrott och grov brottslighet (första |
|
behandlingen) |
|
- Antagande av lagstiftningsakten (L + U) |
|
= Uttalande |
|
Uttalande från rådet |
Enligt artikel 2 i
Mot bakgrund av det aktuella säkerhetsläget i Europa förklarar medlemsstaterna att de senast det datum för införlivande som anges i artikel 18 fullt ut kommer att utnyttja den möjlighet som föreskrivs i artikel 2, enligt de villkor som anges i direktivet.
Medlemsstaterna förklarar att de i enlighet med parlamentets önskemål åtar sig1 att i enlighet med sin nationella lagstiftning utvidga insamlingen av
1 |
Med förbehåll för parlamentsbehandling i vissa medlemsstater. |
|
|
|
|
|
|
|
|
|
|
7829/16 ADD 1 |
ek/EHE/np |
1 |
|
|
DRI |
|
SV |
Statens offentliga utredningar 2017
Kronologisk förteckning
1.För Sveriges landsbygder
–en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.
2.Kraftsamling för framtidens energi. M.
3.Karens för statsråd och statssekreterare. Fi.
4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.
5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.
6.Se barnet! Ju.
7.Straffprocessens ramar och domstolens beslutsunderlag
i brottmål – en bättre hantering av stora mål. Ju.
8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.
9.Det handlar om oss.
–unga som varken arbetar eller studerar. U.
10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.
11.Vägskatt. Volym 1 och 2. Fi.
12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.
13.Finansiering av infrastruktur med privat kapital? Fi.
14.Migrationsärenden
vid utlandsmyndigheterna. Ju.
15.Kvalitet och säkerhet
på apoteksmarknaden. S.
16.Sverige i Afghanistan
17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.
18.En nationell strategi för validering. U.
19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan
för unga arbetslösa. A.
20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.
21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.
22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.
23.digitalforvaltning.nu. Fi.
24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.
25.Samlad kunskap – stärkt handläggning. S.
26.Delningsekonomi. På användarnas villkor. Fi.
27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.
28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.
29.Brottsdatalag. Ju
30.En omreglerad spelmarknad. Del 1 och 2. Fi.
31.Stärkt konsumentskydd
på bostadsrättsmarknaden. Ju.
32.Substitution i Centrum
–stärkt konkurrenskraft med kemikaliesmarta lösningar. M.
33.Stärkt ställning för hyresgäster. Ju.
34.Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystem- tjänster, samtidigt som behovet av markexploatering tillgodoses. M.
35.Samling för skolan. Nationell strategi för kunskap och likvärdighet. U.
36.Informationssäkerhet för samhälls viktiga och digitala tjänster. Ju.
37.Kvalificerad välfärdsbrottslighet
–förebygga, förhindra, upptäcka och beivra. Ju.
38.Kvalitet i välfärden – bättre upphandling och uppföljning. Fi.
39.Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. Ju.
40.För dig och för alla. S.
41.Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. Ju.
42.Vem har ansvaret? M.
43.På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörj- ningen. S.
44.Entreprenad, fjärrundervisning och distansundervisning. U.
45.Ny lag om företagshemligheter. Ju.
46.Stärkt ordning och säkerhet i domstol. Ju.
47.Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. S.
48.Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. S.
49.EU:s dataskyddsförordning och utbildningsområdet. U.
50.Personuppgiftsbehandling för forskningsändamål. U.
51.Utbildning, undervisning och ledning
– reformvård till stöd för en bättre skola. U.
52.Så stärker vi den personliga integriteten. Ju.
53.God och nära vård. En gemensam färdplan och målbild. S.
54.Fler nyanlända elever ska uppnå behörighet till gymnasiet. U.
55.En ny kamerabevakningslag. Ju.
56.Jakten på den perfekta ersättnings modellen. Vad händer med med arbetarnas handlingsutrymme? Fi.
57.Lag om flygpassageraruppgifter i brottsbekämpningen. Ju.
Statens offentliga utredningar 2017
Systematisk förteckning
Arbetsmarknadsdepartementet
Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]
Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]
Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]
Finansdepartementet
Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]
Finansiering av infrastruktur med privat kapital? [13]
digitalforvaltning.nu. [23]
Delningsekonomi. På användarnas villkor. [26]
Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]
En omreglerad spelmarknad. Del 1 och 2. [30]
Kvalitet i välfärden – bättre upphandling och uppföljning. [38]
Jakten på den perfekta ersättningsmodel- len. Vad händer med medarbetarnas handlingsutrymme? [56]
Justitiedepartementet
Se barnet! [6]
Straffprocessens ramar och domstolens beslutsunderlag i brottmål
– en bättre hantering av stora mål. [7]
Att ta emot människor på flykt. Sverige hösten 2015. [12]
Migrationsärenden
vid utlandsmyndigheterna.[14]
Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]
Brottsdatalag. [29]
Stärkt konsumentskydd
på bostadsrättsmarknaden. [31] Stärkt ställning för hyresgäster. [33]
Informationssäkerhet för samhällsviktiga och digitala tjänster. [36]
Kvalificerad välfärdsbrottslighet
– förebygga, förhindra, upptäcka och beivra. [37]
Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. [39]
Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. [41]
Ny lag om företagshemligheter. [45] Stärkt ordning och säkerhet i domstol. [46] Så stärker vi den personliga integriteten. [52] En ny kamerabevakningslag. [55]
Lag om flygpassageraruppgifter i brotts- bekämpningen. [57]
Miljö- och energidepartementet
Kraftsamling för framtidens energi. [2]
Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]
Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]
Substitution i Centrum
– stärkt konkurrenskraft med kemikaliesmarta lösningar. [32]
Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystemtjänster, sam- tidigt som behovet av markexploatering tillgodoses. [34]
Vem har ansvaret? [42]
Näringsdepartementet
För Sveriges landsbygder
– en sammanhållen politik för
arbete, hållbar tillväxt och välfärd. [1]
Socialdepartementet
För en god och jämlik hälsa. En utveckling av det
folkhälsopolitiska ramverket. [4]
Svensk social trygghet i en globaliserad värld. Del 1 och 2.[5]
Kvalitet och säkerhet
på apoteksmarknaden. [15]
Läs mig! Nationell kvalitetsplan
för vård och omsorg om äldre personer. Del 1 och 2. [21]
Samlad kunskap – stärkt handläggning. [25] För dig och för alla. [40]
På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörjningen. [43]
Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. [47]
Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. [48]
God och nära vård. En gemensam färdplan och målbild. [53]
Utbildningsdepartementet
Det handlar om oss.
– unga som varken arbetar eller studerar. [9]
Ny ordning för att främja god sed
och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]
Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög skoleutbildning. [20]
Samling för skolan.
Nationell strategi för kunskap och likvärdighet. [35]
Entreprenad, fjärrundervisning och distansundervisning. [44]
EU:s dataskyddsförordning och utbildningsområdet. [49]
Personuppgiftsbehandling
för forskningsändamål.[50]
Utbildning, undervisning och ledning
– reformvård till stöd för en bättre skola. [51]
Fler nyanlända elever ska uppnå behörighet till gymnasiet. [54]
Utrikesdepartementet
Sverige i Afghanistan