Lag om flygpassageraruppgifter i brottsbekÀmpningen
BetÀnkande av
Stockholm 2017
SOU 2017:57
SOU och Ds kan köpas frÄn Wolters Kluwers kundservice. BestÀllningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsÀndningar av SOU och Ds svarar Wolters Kluwer Sverige AB pÄ uppdrag av Regeringskansliets förvaltningsavdelning.
Svara pĂ„ remiss â hur och varför
StatsrÄdsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara pÄ remiss.
HÀftet Àr gratis och kan laddas ner som pdf frÄn eller bestÀllas pÄ regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2017
ISBN
ISSN
Till statsrÄdet Anders Ygeman
Den 17 mars 2016 bemyndigade regeringen statsrÄdet Ygeman att tillkalla en sÀrskild utredare med uppdrag att föreslÄ hur EU:s direk- tiv om anvÀndning av passageraruppgiftssamlingar
Till sÀrskild utredare förordnades frÄn och med den 17 mars 2016 rÄdmannen Anna Tansjö.
Till sakkunniga att bitrÀda utredningen förordnades frÄn och med den 18 mars 2016 ÀmnesrÄdet Gabriela Kalm, Finansdepartementet, och rÀttssakkunniga Ida Salomonsson, Justitiedepartementet. Till experter utsÄgs samma dag den seniora strategiska rÄdgivaren Kurt Alavaara, SÀkerhetspolisen, juristen Johnny Andersson, Transport- styrelsen, den nationella specialisten Mats Pettersson, Tullverket, tf. enhetschefen Karin TollbÀck, SÀkerhets- och integritetsskydds- nÀmnden, och handlÀggaren
HovrÀttsassessorn
Utredningen har antagit namnet
Till betÀnkandet har fogats ett sÀrskilt yttrande av experterna Kurt Alavaara,
Uppdraget Àr hÀrmed slutfört.
HöganÀs i juni 2017
Anna Tansjö
InnehÄll
Förkortningar..................................................................... |
19 |
|
Sammanfattning ................................................................ |
21 |
|
Summary .......................................................................... |
31 |
|
1 |
Författningsförslag..................................................... |
41 |
1.1Förslag till lag (2018:000) om flygpassageraruppgifter
 |
i brottsbekÀmpningen............................................................. |
41 |
1.2 |
Förslag till förordning (2018:000) om |
 |
 |
flygpassageraruppgifter i brottsbekÀmpningen..................... |
58 |
1.3 |
Förslag till lag om Àndring i polislagen (1984:387)............... |
64 |
1.4Förslag till lag om Àndring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot
ett annat land inom Europeiska unionen............................... |
65 |
1.5Förslag till lag om Àndring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra
 |
sÀkerhetstjÀnst......................................................................... |
66 |
1.6 |
Förslag till lag om Àndring i polisdatalagen (2010:361)........ |
67 |
1.7 |
Förslag till lag om Àndring i tullagen (2016:253) .................. |
68 |
1.8Förslag till lag om Àndring i tullbrottsdatalagen
(2017:000)................................................................................ |
69 |
5
InnehÄll |
SOU 2017:57 |
2 |
Inledning .................................................................. |
71 |
|
2.1 |
Uppdraget ............................................................................... |
71 |
|
2.2 |
Arbetets genomförande ......................................................... |
72 |
|
3 |
 |
||
 |
i anledning av direktivet ............................................. |
73 |
|
3.1 |
AllmÀnt om direktivet............................................................ |
73 |
|
3.2 |
Bakgrund................................................................................. |
74 |
|
3.3 |
Direktivets innehÄll i korthet................................................. |
76 |
|
3.4 |
Ăverenskommelser i anledning av direktivet ....................... |
80 |
|
4 |
Transportörsansvaret och |
81 |
|
4.1 |
Inledning ................................................................................. |
81 |
|
4.2 |
Internationella Ätaganden pÄ omrÄdet................................... |
82 |
|
 |
4.2.1 |
Chicagokonventionen............................................. |
82 |
 |
4.2.2 |
FN:s resolution 2178 .............................................. |
83 |
4.3 |
Vissa |
84 |
|
4.3.1Schengenkonventionen och direktivet om
 |
transportörsansvar .................................................. |
84 |
4.3.2 |
Kodex om SchengengrÀnserna ............................... |
85 |
4.4 Svenska regler om transportörsansvar................................... |
85 |
|
4.4.1 |
Bakgrund.................................................................. |
85 |
4.4.2UtlÀnningslagens bestÀmmelser om
 |
transportörsansvar .................................................. |
86 |
4.4.3 |
BefÀlhavares skyldigheter ....................................... |
87 |
4.5 |
87 |
|
4.5.1 |
87 |
|
4.5.2
 |
utlÀnningslagen........................................................ |
88 |
4.5.3 |
Lagen om passagerarregister................................... |
89 |
6
SOU 2017:57 InnehÄll
5 |
Dagens reglering och anvÀndning av |
 |
|
 |
flygpassageraruppgifter i brottsbekÀmpningen .............. |
91 |
|
5.1 |
Inledning.................................................................................. |
91 |
|
5.2 |
TillÀmpliga bestÀmmelser ....................................................... |
92 |
|
 |
5.2.1 |
Polismyndigheten och SĂ€kerhetspolisen................ |
92 |
 |
5.2.2 |
Tullverket................................................................. |
93 |
5.3 |
Dagens anvÀndning av |
95 |
|
 |
5.3.1 |
Polismyndigheten.................................................... |
95 |
 |
5.3.2 |
SĂ€kerhetspolisen ...................................................... |
95 |
 |
5.3.3 |
Tullverket................................................................. |
96 |
6 |
Dataskyddsreglering................................................... |
99 |
|
6.1 |
Internationella konventioner ................................................. |
99 |
|
 |
6.1.1 |
Europakonventionen m.m. ..................................... |
99 |
 |
6.1.2 |
Dataskyddskonventionen ....................................... |
99 |
6.2 |
GĂ€llande |
100 |
|
6.2.1
 |
 |
rÀttigheterna........................................................... |
100 |
 |
6.2.2 |
Dataskyddsdirektivet ............................................ |
101 |
 |
6.2.3 |
Dataskyddsrambeslutet......................................... |
101 |
6.3 Huvuddragen i den svenska regleringen.............................. |
102 |
||
 |
6.3.1 |
Regeringsformen ................................................... |
102 |
 |
6.3.2 |
Personuppgiftslagen .............................................. |
103 |
6.4 |
Aktuella sÀrregleringar.......................................................... |
108 |
|
 |
6.4.1 |
Polisdatalagen ........................................................ |
108 |
 |
6.4.2 |
Tullbrottsdatalag.................................................... |
111 |
 |
6.4.3 |
Lagen om internationellt polisiÀrt samarbete ...... |
113 |
 |
6.4.4 |
Lagen om internationellt tullsamarbete ............... |
114 |
 |
6.4.5 |
2013 Ă„rs lag............................................................. |
114 |
6.5 |
EU:s dataskyddsreform........................................................ |
115 |
|
 |
6.5.1 |
Bakgrund till reformen.......................................... |
115 |
 |
6.5.2 |
En dataskyddsförordning...................................... |
116 |
 |
6.5.3 |
Ett nytt dataskyddsdirektiv .................................. |
117 |
6.5.4Viss personuppgiftsbehandling faller utanför
bÄda instrumenten ................................................. |
118 |
7
InnehÄll |
SOU 2017:57 |
7 |
PÄgÄende arbeten .................................................... |
121 |
|
7.1 |
Internationellt arbete............................................................ |
121 |
|
 |
7.1.1 |
Arbete inom PNRGOV Working Group ........... |
122 |
 |
7.1.2 |
Arbete inom EU.................................................... |
122 |
7.2 |
Arbete i Sverige..................................................................... |
124 |
|
7.2.1Arbete med att upprÀtta en nationell enhet
 |
 |
för passageraruppgifter ......................................... |
124 |
 |
7.2.2 |
Arbetet med direktivets tekniska |
 |
 |
 |
bestÀmmelser......................................................... |
125 |
VĂ RA ĂVERVĂGANDEN OCH FĂRSLAG |
 |
||
8 |
UtgÄngspunkter och inledande stÀllningstaganden ...... |
129 |
|
8.1 |
AllmÀnt om att genomföra |
129 |
|
8.2 |
En samlad ny lag ................................................................... |
130 |
|
8.3 |
NormgivningsnivÄ ................................................................ |
131 |
|
8.4 |
En grundlÀggande allmÀn utgÄngspunkt ............................. |
133 |
|
8.5Den nya lagstiftningens förhÄllande till relevant
 |
dataskyddsreglering.............................................................. |
134 |
|
9 |
Den nya lagens inledande bestÀmmelser .................... |
147 |
|
9.1 |
Den nya lagens namn, innehÄll och syfte............................ |
147 |
|
9.2 |
Definitioner i lagen............................................................... |
151 |
|
9.3 |
Terroristbrott........................................................................ |
152 |
|
 |
9.3.1 |
Bakgrund................................................................ |
153 |
 |
9.3.2 |
VÄra övervÀganden och förslag............................. |
154 |
9.4 |
Grov brottslighet.................................................................. |
156 |
|
 |
9.4.1 |
Bakgrund................................................................ |
157 |
 |
9.4.2 |
VÄra övervÀganden och förslag............................. |
158 |
9.5 |
OtillÄten behandling av |
160 |
|
10 |
En enhet för passagerarinformation ........................... |
163 |
|
10.1 |
Direktivets bestÀmmelser..................................................... |
163 |
|
10.2 |
Den svenska enheten för passagerarinformation................ |
164 |
|
8
SOU 2017:57 InnehÄll
10.3 |
Enhetens organisation och utredningens uppdrag.............. |
166 |
|
10.4 |
TillgÄngen till |
168 |
|
 |
10.4.1 |
DirektÄtkomst ....................................................... |
168 |
 |
10.4.2 |
Sekretess inom Polismyndigheten?...................... |
170 |
10.4.3BegrÀnsningar via dataskyddsbestÀmmelser
 |
 |
m.m......................................................................... |
174 |
10.5 |
Personal anstÀlld vid andra myndigheter............................. |
179 |
|
11 |
Lufttrafikföretagens överföring av |
183 |
|
11.1 |
Om lufttrafikföretag............................................................. |
183 |
|
 |
11.1.1 Olika former av kommersiell luftfart för |
 |
|
 |
 |
befordran av passagerare ....................................... |
183 |
 |
11.1.2 |
TillstÄnd att bedriva passagerarflygtrafik............. |
184 |
 |
11.1.3 Lufttrafikföretagens resor till och frÄn Sverige ... |
187 |
|
11.2 |
Lufttrafikföretagens insamlande av |
187 |
|
11.3 |
Vilka lufttrafikföretag ska ÄlÀggas en skyldighet |
 |
|
 |
att överföra |
189 |
|
11.4 |
Ăverföring av |
 |
|
 |
för passagerarinformation .................................................... |
193 |
|
 |
11.4.1 Omfattningen av vÄrt uppdrag ............................. |
193 |
|
 |
11.4.2 Ăverföring av uppgifter avseende flygresor |
 |
|
 |
 |
bÄde inom och utom EU....................................... |
194 |
 |
11.4.3 |
197 |
|
 |
11.4.4 |
198 |
|
 |
11.4.5 Ăverföringar ska ske vid tvĂ„ tillfĂ€llen .................. |
202 |
|
 |
11.4.6 Ăverföringar vid andra tidpunkter....................... |
203 |
|
 |
11.4.7 Hur överföringarna ska gÄ till............................... |
205 |
|
 |
11.4.8 |
Anlitande av personuppgiftsbitrÀde ..................... |
208 |
12 |
ResebyrÄer och researrangörer .................................. |
209 |
|
12.1 |
Medlemsstaternas överenskommelse och vÄrt uppdrag ..... |
209 |
|
12.2 |
ResebyrÄer och researrangörer............................................. |
210 |
|
12.2.1ResebyrÄers och researrangörers insamling och överföring av
lufttrafikföretag ..................................................... |
213 |
9
InnehÄll |
SOU 2017:57 |
12.2.2Behöriga myndigheter vill kunna fÄ tillgÄng
 |
 |
till samtliga insamlade |
215 |
 |
12.2.3 Insamling av |
 |
|
 |
 |
och researrangörer i dagslÀget .............................. |
215 |
12.3 |
VÄra övervÀganden................................................................ |
216 |
|
13 |
Behandling av |
 |
|
 |
för passagerarinformation ......................................... |
225 |
|
13.1 |
En databas för |
225 |
|
13.2 |
ĂndamĂ„l för behandling av |
226 |
|
 |
13.2.1 |
 |
|
 |
 |
förhandsbedömningar........................................... |
228 |
 |
13.2.2 |
Förfarandet vid förhandsbedömningar................ |
230 |
 |
13.2.3 |
 |
|
 |
 |
överföra |
 |
 |
 |
mottagare och tredjeland ...................................... |
235 |
 |
13.2.4 |
 |
|
 |
 |
utforma kriterier.................................................... |
237 |
 |
13.2.5 |
 |
|
 |
 |
medlemsstaters enheter för |
 |
 |
 |
passagerarinformation........................................... |
238 |
13.3 |
Maskering av |
239 |
|
 |
13.3.1 |
Direktivets bestÀmmelser ..................................... |
240 |
 |
13.3.2 VÄra övervÀganden och förslag............................. |
241 |
|
13.4 |
BegrÀnsad tillgÄng till maskerade uppgifter ........................ |
243 |
|
14 |
 |
||
 |
och dess genomförande i svensk rÀtt.......................... |
245 |
|
14.1 |
PNR- och |
245 |
|
14.2 |
VĂ„rt uppdrag i denna del ...................................................... |
247 |
|
14.3 |
Direktivens olika mÄl och syften......................................... |
248 |
|
 |
14.3.1 Innebörden av den personkontroll som görs |
 |
|
 |
 |
inom ramen för grÀnskontrollen.......................... |
249 |
10
SOU 2017:57 InnehÄll
14.4 |
Ăverföring av |
 |
|
 |
251 |
||
14.5 |
Skillnader mellan PNR- och |
251 |
|
14.6 |
VÄra övervÀganden ................................................................ |
254 |
|
 |
14.6.1 Hur |
 |
|
 |
 |
genomförandet av |
254 |
 |
14.6.2 Ăr en samordnad hantering av PNR- och |
 |
|
 |
 |
255 |
|
15 |
Enhetens överföring och utbyte av |
261 |
|
15.1 |
Inledning................................................................................ |
261 |
|
15.2 |
Ăverföring av |
 |
|
 |
myndigheter .......................................................................... |
262 |
|
 |
15.2.1 |
Behörig myndighet................................................ |
262 |
 |
15.2.2 Ăverföring av |
 |
|
 |
 |
myndigheter........................................................... |
263 |
15.3 |
Utbyte av |
269 |
|
 |
15.3.1 |
Medlemsstat........................................................... |
269 |
15.3.2Utbyte mellan medlemsstaternas enheter för
passagerarinformation........................................... |
270 |
15.3.3Ăverföring pĂ„ direkt begĂ€ran frĂ„n en behörig
myndighet i en annan medlemsstat ...................... |
276 |
15.3.4Enhetens inhÀmtande av
 |
 |
andra medlemsstaters motsvarande enheter ........ |
277 |
 |
15.3.5 |
Former för informationsutbytet .......................... |
278 |
15.4 |
Europols tillgÄng till |
279 |
|
 |
15.4.1 Europol och dess verksamhet ............................... |
279 |
|
 |
15.4.2 |
Europolförordningen ............................................ |
280 |
 |
15.4.3 |
Direktivets bestÀmmelser...................................... |
282 |
 |
15.4.4 VÄra övervÀganden och förslag ............................. |
283 |
|
15.5 |
Ăverföring av avmaskerade |
285 |
|
 |
15.5.1 |
Direktivets bestÀmmelser...................................... |
285 |
15.5.2Vilka överföringar krÀver att sÀrskilda
förutsÀttningar Àr uppfyllda? ................................ |
287 |
15.5.3 Vilken prövning ska enheten göra? ...................... |
288 |
11
InnehÄll |
SOU 2017:57 |
 |
15.5.4 Vem ska lÀmna tillstÄnd till överföring |
 |
|
 |
 |
av fullstÀndiga uppgifter?...................................... |
289 |
16 |
Behöriga myndigheters behandling |
 |
|
 |
av |
307 |
|
16.1 |
Behöriga myndigheters rÀtt att motta och begÀra |
 |
|
 |
tillgÄng till |
307 |
|
 |
16.1.1 Behöriga myndigheters rÀtt att motta |
 |
|
 |
 |
308 |
|
 |
16.1.2 Behöriga myndigheters möjlighet att begÀra |
 |
|
 |
 |
tillgÄng till |
308 |
 |
16.1.3 VÄra övervÀganden och förslag............................. |
309 |
|
16.2 |
Behandling av |
 |
|
 |
myndigheterna...................................................................... |
311 |
|
 |
16.2.1 TillÀmpliga dataskyddsbestÀmmelser hos de |
 |
|
 |
 |
behöriga myndigheterna ....................................... |
311 |
 |
16.2.2 VÄra generella övervÀganden i denna del ............. |
312 |
|
 |
16.2.3 Myndigheternas behandling av den överförda |
 |
|
 |
 |
314 |
|
 |
16.2.4 |
Automatiserade beslut .......................................... |
316 |
17 |
Ăverföring till tredjeland........................................... |
319 |
|
17.1 |
Direktivets bestÀmmelser..................................................... |
319 |
|
17.2 |
Bakgrund............................................................................... |
320 |
|
 |
17.2.1 Dataskyddsrambeslutet och 2013 Ă„rs lag............. |
320 |
|
 |
17.2.2 |
Brottsdatalagen...................................................... |
322 |
17.3 |
VÄra övervÀganden och förslag ............................................ |
324 |
|
 |
17.3.1 |
GrundlÀggande begrepp........................................ |
324 |
 |
17.3.2 FörutsÀttningar för överföring till tredjeland ..... |
325 |
|
 |
17.3.3 |
Ăverföring utan medgivande ............................... |
330 |
 |
17.3.4 SÀkerstÀllande av direktivets bestÀmmelser......... |
332 |
|
18 |
Lagringstid och gallring ............................................ |
335 |
|
18.1 |
Inledning ............................................................................... |
335 |
|
18.2 |
RĂ€ttslig bakgrund ................................................................. |
335 |
|
12
SOU 2017:57 |
 |
InnehÄll |
18.2.1 |
GÀllande rÀtt .......................................................... |
336 |
18.2.2 |
Brottsdatalagen ...................................................... |
340 |
18.3 Inledande radering hos enheten för |
 |
|
passagerarinformation .......................................................... |
341 |
|
18.3.1 |
Direktivets bestÀmmelser...................................... |
341 |
18.3.2 VÄra övervÀganden och förslag ............................. |
341 |
|
18.4 Lagringstiden hos enheten för passagerarinformation för |
 |
|
343 |
||
18.4.1 |
Direktivets bestÀmmelser...................................... |
343 |
18.4.2 VÄra övervÀganden och förslag ............................. |
343 |
|
18.5 Radering av |
 |
|
personuppgifter..................................................................... |
345 |
|
18.5.1 |
Direktivets bestÀmmelser...................................... |
345 |
18.5.2 AllmÀnt om kÀnsliga personuppgifter.................. |
345 |
|
18.5.3
 |
 |
personuppgifter ..................................................... |
346 |
 |
18.5.4 VÄra övervÀganden och förslag ............................. |
347 |
|
18.6 |
Enhetens bevarande och gallring av resultatet |
 |
|
 |
av en förhandsbedömning .................................................... |
349 |
|
 |
18.6.1 |
Direktivets bestÀmmelser...................................... |
349 |
 |
18.6.2 VÄra övervÀganden och förslag ............................. |
350 |
|
18.7 |
Enhetens bevarande och gallring av resultat |
 |
|
 |
av behandling av |
353 |
|
18.8 |
Bevarande och gallring av |
 |
|
 |
hos behöriga myndigheter.................................................... |
354 |
|
 |
18.8.1 |
Direktivets bestÀmmelser...................................... |
354 |
 |
18.8.2 VÄra övervÀganden och förslag ............................. |
355 |
|
19 |
Personuppgiftsansvarigas skyldigheter ....................... |
357 |
|
19.1 |
Personuppgiftsansvar............................................................ |
357 |
|
 |
19.1.1 |
Direktivets bestÀmmelser...................................... |
357 |
 |
19.1.2 Nya dataskyddsdirektivet och brottsdatalagen ... |
358 |
|
 |
19.1.3 VÄra övervÀganden och förslag ............................. |
358 |
|
19.2 |
Generella datasÀkerhetsbestÀmmelser ................................. |
361 |
|
 |
19.2.1 |
Direktivets bestÀmmelser...................................... |
361 |
13
InnehÄll |
SOU 2017:57 |
19.2.2Dataskyddsrambeslutet och dess
 |
 |
genomförande i svensk rÀtt .................................. |
362 |
 |
19.2.3 |
Brottsdatalagen...................................................... |
363 |
 |
19.2.4 VÄra övervÀganden och förslag............................. |
364 |
|
19.3 |
Bevarande av dokumentation och loggning........................ |
365 |
|
 |
19.3.1 |
Direktivets bestÀmmelser ..................................... |
365 |
 |
19.3.2 |
Nuvarande reglering.............................................. |
367 |
 |
19.3.3 |
Brottsdatalagen...................................................... |
368 |
 |
19.3.4 VÄra övervÀganden och förslag............................. |
369 |
|
19.4 |
Personuppgiftsincident ........................................................ |
372 |
|
 |
19.4.1 |
Direktivets bestÀmmelser ..................................... |
372 |
 |
19.4.2 |
Nuvarande reglering.............................................. |
373 |
 |
19.4.3 |
Brottsdatalagen...................................................... |
373 |
 |
19.4.4 |
VÄra övervÀganden ................................................ |
375 |
19.5 |
Dataskyddsombud................................................................ |
377 |
|
 |
19.5.1 |
Direktivets bestÀmmelser ..................................... |
377 |
 |
19.5.2 |
Nuvarande reglering.............................................. |
378 |
 |
19.5.3 |
Brottsdatalagen...................................................... |
378 |
 |
19.5.4 VÄra övervÀganden och förslag............................. |
379 |
|
20 |
Enskildas rÀttigheter ................................................ |
383 |
|
20.1 |
Direktivets bestÀmmelser..................................................... |
383 |
|
20.2 |
RĂ€tten till information ......................................................... |
384 |
|
 |
20.2.1 |
Dataskyddsrambeslutet ........................................ |
384 |
 |
20.2.2 |
Brottsdatalagen...................................................... |
384 |
 |
20.2.3 |
Dataskyddsförordningen...................................... |
387 |
 |
20.2.4 VÄra övervÀganden och förslag............................. |
388 |
|
20.3 |
RÀtt till rÀttelse, radering eller begrÀnsning |
 |
|
 |
av behandlingen av uppgifter ............................................... |
391 |
|
 |
20.3.1 |
Dataskyddsrambeslutet ........................................ |
391 |
 |
20.3.2 |
Brottsdatalagen...................................................... |
392 |
 |
20.3.3 VÄra övervÀganden och förslag............................. |
393 |
|
20.4 |
RÀtt till ersÀttning................................................................. |
395 |
|
 |
20.4.1 |
Dataskyddsrambeslutet ........................................ |
395 |
 |
20.4.2 |
Brottsdatalagen...................................................... |
395 |
14
SOU 2017:57 InnehÄll
 |
20.4.3 VÄra övervÀganden och förslag |
............................. 396 |
|
20.5 |
RÀtt till rÀttsmedel ................................................................ |
396 |
|
 |
20.5.1 |
Dataskyddsrambeslutet ......................................... |
396 |
 |
20.5.2 |
Brottsdatalagen ...................................................... |
397 |
 |
20.5.3 VÄra övervÀganden och förslag ............................. |
398 |
|
21 |
Tillsyn |
.................................................................... |
399 |
21.1 |
Direktivets bestÀmmelser..................................................... |
399 |
|
21.2 |
Bakgrund ............................................................................... |
400 |
|
21.2.1Dagens tillsyn över behandling av
 |
 |
personuppgifter ..................................................... |
400 |
 |
21.2.2 Förslag om förÀndrat tillsynsansvar ..................... |
402 |
|
 |
21.2.3 |
Dataskyddsrambeslutet......................................... |
403 |
 |
21.2.4 |
Brottsdatalagen ...................................................... |
403 |
 |
21.2.5 |
Dataskyddsförordningen ...................................... |
407 |
21.3 |
VÄra övervÀganden och förslag............................................. |
407 |
|
22 |
Sanktioner .............................................................. |
411 |
|
22.1 |
Direktivets bestÀmmelser och vÄrt uppdrag........................ |
411 |
|
22.2 |
Olika typer av sanktioner ..................................................... |
412 |
|
22.3 |
Sanktioner mot lufttrafikföretag.......................................... |
413 |
|
 |
22.3.1 |
Chicagokonventionens bestÀmmelser.................. |
413 |
 |
22.3.2 |
JÀmförbara nationella sanktionsbestÀmmelser .... |
414 |
 |
22.3.3 Sanktioner som tillÀmpas i andra lÀnder............... |
419 |
|
 |
22.3.4 |
Valet av sanktionsform.......................................... |
420 |
 |
22.3.5 NÀr ska sanktionsavgift fÄ anvÀndas?................... |
423 |
|
 |
22.3.6 |
Utformningen av sanktionsavgiftssystemet ........ |
425 |
 |
22.3.7 Förfarandet vid beslut om sanktionsavgift .......... |
429 |
|
22.4 |
Sanktioner vid felaktig behandling av |
433 |
|
22.4.1Dagens sanktionssystem vid felaktig
behandling av personuppgifter ............................. |
433 |
22.4.2Administrativa sanktionsavgifter enligt
brottsdatalagen ...................................................... |
434 |
22.4.3Sanktionsavgiftssystemet i brottsdatalagen
bör anvÀndas .......................................................... |
436 |
15
InnehÄll |
SOU 2017:57 |
23 |
BestÀmmelser i direktivet som inte krÀver |
 |
 |
lagstiftningsÄtgÀrder ................................................ |
441 |
24 |
Sekretess................................................................ |
443 |
24.1 |
VĂ„rt uppdrag i denna del ...................................................... |
443 |
24.2 |
Sekretess i brottsbekÀmpande verksamhet m.m................. |
444 |
24.3 |
VÄra övervÀganden................................................................ |
451 |
 |
24.3.1 Skyddet för |
 |
 |
för passagerarinformation..................................... |
451 |
 |
24.3.2 Skyddet för |
 |
 |
myndigheter........................................................... |
454 |
 |
24.3.3 Behövs nya sekretessbrytande bestÀmmelser? .... |
456 |
25 |
 |
|
 |
regleringen.............................................................. |
459 |
25.1 |
Nuvarande reglering............................................................. |
459 |
25.2 |
VÄra övervÀganden och förslag ............................................ |
461 |
26 |
Konsekvenser .......................................................... |
465 |
26.1 |
Inledning ............................................................................... |
465 |
26.2 |
En effektiv anvÀndning av |
 |
 |
brottsbekÀmpningen ............................................................ |
466 |
26.3 |
Konsekvenser för lufttrafikföretagen.................................. |
467 |
26.4 |
Konsekvenser för staten....................................................... |
471 |
26.5 |
Konsekvenser för enskilda................................................... |
473 |
26.6 |
Konsekvenser i övrigt........................................................... |
475 |
27 |
IkrafttrÀdande ......................................................... |
477 |
28 |
Författningskommentar ............................................ |
479 |
28.1 |
Förslaget till lag om flygpassageraruppgifter |
 |
 |
i brottsbekÀmpningen .......................................................... |
479 |
16
SOU 2017:57 |
InnehÄll |
28.2 Förslaget till lag om Àndring i polislagen (1984:387) ......... |
515 |
28.3Förslaget till lag om Àndring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett
annat land inom Europeiska unionen .................................. |
515 |
28.4Förslaget till lag om Àndring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra
 |
sÀkerhetstjÀnst....................................................................... |
516 |
28.5 |
Förslaget till lag om Àndring i polisdatalagen (2010:361)... |
516 |
28.6 |
Förslaget till lag om Àndring i tullagen (2016:253)............. |
517 |
28.7 |
Förslaget till lag om Àndring i tullbrottsdatalagen |
 |
 |
(2017:000).............................................................................. |
517 |
SĂ€rskilt yttrande .............................................................. |
519 |
|
Bilagor |
 |
 |
Bilaga 1 |
Kommittédirektiv 2016:22 ........................................... |
521 |
Bilaga 2 Europaparlamentets och rÄdets direktiv |
 |
|
 |
(EU) 2016/681.............................................................. |
529 |
Bilaga 3 |
RÀttelse till Europaparlamentets och rÄdets |
 |
 |
direktiv (EU) 2016/681................................................ |
547 |
Bilaga 4 |
Uttalande frÄn Europeiska unionens rÄd..................... |
549 |
17
Förkortningar
BDL |
brottsdatalagen (2018:000), förslag till |
 |
ramlag för genomförande av det nya |
 |
dataskyddsdirektivet, lÀmnat av |
 |
Utredningen om 2016 Ă„rs dataskydds- |
 |
direktiv (SOU 2017:29) |
BDF |
brottsdataförordningen (2018:000), |
 |
den till den föreslagna brottsdatalagen |
 |
tillhörande förordningen |
dataskyddsförordningen |
Europaparlamentets och rÄdets förord- |
 |
ning (EU) 2016/679 av den 27 april |
 |
2016 om skydd för fysiska personer |
 |
med avseende pÄ behandling av person- |
 |
uppgifter och om det fria flödet av |
 |
sÄdana uppgifter och om upphÀvande |
 |
av direktiv 95/46/EG (allmÀn data- |
 |
skyddsförordning) |
dataskyddsrambeslutet |
rÄdets rambeslut 2008/977/RIF av den |
 |
27 november 2008 om skydd av person- |
 |
uppgifter som behandlas inom ramen |
 |
för polissamarbete och straffrÀttsligt |
 |
samarbete |
dir. |
direktiv |
Ds |
Departementsserien |
EU |
Europeiska unionen |
Europeiska unionens stadga om de |
|
 |
grundlÀggande rÀttigheterna |
19
Förkortningar |
SOU 2017:57 |
FN |
Förenta Nationerna |
JK |
Justitiekanslern |
JO |
Justitieombudsmannen |
Ju |
Justitiedepartementet |
kommissionen |
Europeiska kommissionen |
nya dataskyddsdirektivet |
Europaparlamentets och rÄdets direk- |
 |
tiv (EU) 2016/680 av den 27 april 2016 |
 |
om skydd för fysiska personer med |
 |
avseende pÄ behöriga myndigheters |
 |
behandling av personuppgifter för att |
 |
förebygga, förhindra, utreda, avslöja |
 |
eller lagföra brott eller verkstÀlla straff- |
 |
rÀttsliga pÄföljder, och det fria flödet |
 |
av sÄdana uppgifter och om upphÀvan- |
 |
de av rÄdets rambeslut 2008/977/RIF |
OSL |
offentlighets- och sekretesslagen |
 |
(2009:400) |
prop. |
regeringens proposition |
PDL |
polisdatalagen (2010:361) |
polisdataförordningen (2010:1155) |
|
PUF |
personuppgiftsförordningen |
 |
(1998:1191) |
PUL |
personuppgiftslagen (1998:204) |
RF |
regeringsformen |
RB |
rÀttegÄngsbalken |
SOU |
Statens offentliga utredningar |
TBL |
tullbrottsdatalagen (2017:000), |
 |
som trÀder i kraft den 1 juli 2017 |
TF |
tryckfrihetsförordningen |
20
Sammanfattning
Den 27 april 2016 antog Europaparlamentet och rÄdet direktiv (EU) 2016/681 om anvÀndning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat
PNR Àr en förkortning av den engelska benÀmningen Passenger Name Record. Det som Äsyftas Àr uppgifter som passagerare lÀmnar vid bestÀllning och bokning av flygresor samt vid incheckning. Upp- gifterna kan till exempel avse namn, resedatum, resvÀg, bagageinfor- mation och betalningssÀtt. Lufttrafikföretagen samlar redan i dag in och behandlar sÄdana uppgifter om sina passagerare för sina egna operativa och kommersiella syften.
Myndigheter vÀrlden över har i allt större utstrÀckning börjat samla in
21
Sammanfattning |
SOU 2017:57 |
En ny lag om flygpassageraruppgifter i brottsbekÀmpningen
Vi föreslÄr att
Lagen, liksom det bakomliggande
Lagen kompletteras med en förordning, som genomför vissa de- taljbestÀmmelser i direktivet.
OtillÄten behandling av
Lagen innehÄller en portalbestÀmmelse som anger att
22
SOU 2017:57 |
Sammanfattning |
Lagen innehÄller ocksÄ ett generellt förbud mot behandling av
En enhet för passagerarinformation
Det ska enligt lagen finnas en enhet för passagerarinformation inom Polismyndigheten. Denna enhet har till övergripande uppgift att samla in
Lufttrafikföretagens skyldigheter
23
Sammanfattning |
SOU 2017:57 |
Ett lufttrafikföretag som inte har överfört
Lufttrafikföretag ska informera passagerare om överföringen av
Behandling av
De
âąFörhandsbedömning: Uppgifterna fĂ„r behandlas för att enheten ska kunna göra en bedömning av passagerare före deras berĂ€k- nade ankomst till eller avresa frĂ„n Sverige, för att vĂ€lja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol (anvĂ€ndning i realtid). Vid en sĂ„dan förhandsbedömning av passagerare fĂ„r
24
SOU 2017:57 |
Sammanfattning |
i relevanta register eller andra uppgiftssamlingar, dels med pÄ förhand faststÀllda kriterier.
âąBesvara förfrĂ„gningar: Lagrade uppgifter fĂ„r behandlas för att enheten för passagerarinformation ska kunna fullgöra sina upp- gifter enligt lagen om att pĂ„ begĂ€ran överföra
âąUtforma urvalskriterier: Uppgifterna fĂ„r analyseras för att enheten ska kunna uppdatera eller skapa nya kriterier som ska anvĂ€ndas vid förhandsbedömningar av passagerare.
Enheten för passagerarinformation kommer Àven att fÄ del av
Polismyndigheten Àr personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinforma- tion. Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Ombudets uppgifter framgÄr av lagen.
Ăverföring av
Enheten för passagerarinformation ska fungera som en nod vid vilken massan av
25
Sammanfattning |
SOU 2017:57 |
lemsstaters enheter för passagerarinformation till behöriga myndig- heter. En befattningshavare vid enheten ska alltid ha gjort en bedöm- ning av
Enheten för passagerarinformation ska enligt lagen Àven överföra
Lagen innehÄller ocksÄ bestÀmmelser om att enheten för passa- gerarinformation under vissa förutsÀttningar fÄr överföra PNR- information till tredjeland.
Ăverföring av avmaskerade
Behöriga myndigheters behandling av
Det finns i lagen sÀrskilda bestÀmmelser om behandling av PNR- information vid de behöriga myndigheterna. Bland annat anges att ett resultat av enheten för passagerarinformations förhandsbedöm- ning av passagerare genast ska gallras av behöriga myndigheter om det visar sig sakna betydelse för nÄgot av de syften som anges i lagens portalbestÀmmelse. Vidare finns ett undantag frÄn lagens portal- bestÀmmelse om otillÄten behandling av
26
SOU 2017:57 |
Sammanfattning |
Ăvriga bestĂ€mmelser
Direktivets krav pÄ generella dataskyddsbestÀmmelser och rÀttig- heter för enskilda omfattas i stor utstrÀckning av annan tillÀmplig dataskyddsreglering och behöver, med nÄgot undantag, inte sÀrskilt regleras i den nya lagen.
Tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt den föreslagna brottsdatalagen och i enlighet med bestÀmmelserna om tillsyn i den lagen.
Sanktionsavgift fÄr tas ut av personuppgiftsansvariga myndigheter vid övertrÀdelser av vissa grundlÀggande bestÀmmelser i lagen som har till syfte att skydda enskildas integritet. Vid bestÀmmande av sanktionsavgiftens storlek och i handlÀggningsfrÄgor ska sanktions- avgiftssystemet i den föreslagna brottsdatalagen och den tillhörande förordningen tillÀmpas.
Sekretess
Befintlig sekretesslagstiftning bedöms ge ett tillfredsstÀllande skydd för
27
Sammanfattning |
SOU 2017:57 |
Enligt
Enligt vÄr bedömning varken ersÀtter eller pÄverkar PNR- direktivet
Genomförandet av direktivet fÄr ocksÄ en effekt pÄ den nuvarande regleringen. Vi föreslÄr dÀrför att det i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges grÀns mot ett annat land inom Europeiska unionen (inre- grÀnslagen) förs in bestÀmmelser som innebÀr att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polis- myndigheten, SÀkerhetspolisen och Tullverket inte ska gÀlla nÀr lagen om flygpassageraruppgifter i brottsbekÀmpningen Àr tillÀmplig.
ResebyrÄer och researrangörer
Medlemsstaterna har i en deklaration som antogs samtidigt som
28
SOU 2017:57 |
Sammanfattning |
fatta Àven aktörer som inte Àr lufttrafikföretag. Som exempel anges i deklarationen resebyrÄer och researrangörer som tillhandahÄller reserelaterade tjÀnster. NÄgon tidsgrÀns för nÀr detta ska vara genom- fört i nationell lagstiftning anges inte i deklarationen. Enligt vÄr be- dömning omfattas resebyrÄer och researrangörer redan av systemet med insamling av
Konsekvenser
Förslagen innebÀr att fler
Lufttrafikföretagen kommer att belastas arbets- och kostnads- mÀssigt av förslagen. Dock bedömer vi inte att deras konkurrens- förhÄllanden kommer att pÄverkas i nÄgon större omfattning. Vidare medför förslagen ökade kostnader för Polismyndigheten kopplade till inrÀttandet av en enhet för passagerarinformation och till drivan- det av enheten. De ekonomiska konsekvenserna för Polismyndig- heten och övriga berörda myndigheter bedöms dock rymmas inom de befintliga ekonomiska ramarna.
IkrafttrÀdande
Den nya lagen föreslÄs trÀda i kraft den 25 maj 2018.
29
Summary
The PNR Directive
On 27 April 2016, the European Parliament and the Council adopted Directive (EU) 2016/681 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime (referred to below as the PNR Directive).
PNR refers to data provided by passengers when booking flights and during
Authorities all over the world have begun to collect more PNR data from air carriers and to analyse it for the purpose of combating terrorism and serious crime. In Sweden, the Swedish Police Autho- rity, the Swedish Security Service and Swedish Customs are already permitted to request certain PNR data from air carriers and to use it for law enforcement purposes.
The PNR Directive is an
31
Summary |
SOU 2017:57 |
A new Act on air passenger data for law enforcement purposes
We propose that the PNR Directive should mainly be implemented through a new act, the Act on air passenger data for law enforce- ment purposes. This Act will contain provisions on the transfer by air carriers of PNR data to the passenger information unit and the processing of PNR data in activities for the prevention, detection, investigation and prosecution of terrorist offences or serious crime. The purpose of this Act is to meet the need for access to PNR data in such activities and protection of privacy in the processing of such data.
The Act, like the underlying PNR Directive, will contain regula- tions on both operations and data protection. Regarding the latter, we consider it most appropriate to adapt the legislative proposal as far as possible to the data protection reform that will be implemen- ted in the first half of 2018. The provisions in the Act will apply in addition to, or instead of, the general provisions in the General Data Protection Regulation, the new framework law â the Criminal Data Act â which has been proposed to implement the new Data Pro- tection Directive (SOU 2017:29), and other special regulations on data protection that apply or will apply to relevant authorities.
The Act will be accompanied by an ordinance implementing certain detailed provisions of the Directive.
Unlawful processing of PNR information
The Act will contain a preamble stating that PNR data transferred by air carriers or the results of a unit for the processing of such passenger information, i.e. PNR information, may not be processed for any purposes other than the prevention, detection, investigation and pro- secution of terrorist offences or serious crime. Terrorist offences are defined in the Act as the offences referred to under domestic law in Sweden or other Member States in Articles
The Act also contains a general ban on processing PNR data that is sensitive personal data. In the event that the passenger informa-
32
SOU 2017:57 |
Summary |
tion unit or a competent authority receives such data, it must be deleted immediately.
A passenger information unit
Under the Act, there will be a passenger information unit at the Swedish Police Authority. This unit will have responsibility for collec- ting PNR data from air carriers, storing and processing this data, and transferring PNR information to competent Swedish authorities. The unit will also be responsible for the exchange of PNR infor- mation within the EU.
PNR data that is processed by the unit will not be directly available to competent authorities or to others working at the Swedish Police Authority. Direct access to PNR information processed at the unit will therefore not be permitted. In this unit, access to PNR infor- mation will be restricted through special authorisation provisions.
Obligations on air carriers
Under the Act, PNR data should be transferred from air carriers with a valid operating licence or equivalent permitting them to carry out, with compensation, carriage of passengers by air, and that collect and process PNR data in reservation systems in their regular acti- vities. One starting point is that the transfer obligation does not apply to the majority of small air carriers conducting taxi flights from small airfields that do not have departure control systems for pas- sengers.
PNR data is to be transferred electronically to the passenger information unit. An annex to the Act specifies the PNR data to be transferred. âAPIâ data (see below for details about this kind of data) is included in the PNR data to be transferred. However, the data re- ferred to in the annex may only be transferred when air carriers collect it as part of their regular activities. Therefore, the Act does not oblige air carriers to collect additional PNR data about their passengers; it simply states that they must transfer data to which they already have access.
33
Summary |
SOU 2017:57 |
PNR data should normally be transferred on two occasions prior to every flight arriving to or departing from Sweden. The first trans- fer should take place
An air carrier that has not transferred PNR data in accordance with the provisions in the Act or provisions issued in connection with the Act must pay a financial penalty. For every flight con- ducted without the air carrier fulfilling its transfer obligation, the financial penalty is set at a minimum of SEK 20 000 and a maximum of SEK 100 000. The financial penalty may be reduced or waived, in whole or in part, if the infringement is excusable, or if, in view of the circumstances, it would be unreasonable to impose the penalty.
Air carriers must inform passengers about the transfer of PNR data to the passenger information unit and the reasons for this transfer.
Processing of PNR data at the passenger information unit
The PNR data that has been transferred to the passenger informa- tion unit from air carriers must be stored in a special database at the unit for a period of five years. It must then be deleted. After six months, the PNR data in the database must be masked, which means that accessible data directly attributable to a natural person must be made invisible to users without special authorisation to access the data.
PNR data that has been transferred to the passenger information unit from air carriers may be processed for the following purposes only.
âąAdvance assessment: the data may be processed to enable the unit to conduct an assessment of passengers before their estimated arrival to or departure from Sweden so as to select individuals who need to be further investigated by competent authorities or Europol (use in real time). In this kind of advance assessment of passengers, PNR data may be compared with data in relevant data- bases or other data collections, and with
34
SOU 2017:57 |
Summary |
âąResponding to enquiries: stored data may be processed to enable the passenger information unit to fulfil its responsibility under the Act to transfer PNR information to competent recipients upon request (reactive use).
âąDevising selection criteria: data may be analysed to enable the unit to update or create new criteria to be used when conducting advance assessments of passengers.
The passenger information unit will also have access to PNR infor- mation transferred to the unit from corresponding units in other Member States. This data may only be processed for further transfer to competent authorities.
The Swedish Police Authority is the personal data controller for the processing of personal data conducted at the passenger informa- tion unit. The Swedish Police Authority will appoint a data protec- tion officer for the passenger information unit. The officerâs duties are stated in the Act.
Transfer of PNR information from the passenger information unit
The passenger information unit will function as a hub at which the mass of PNR data transferred by air carriers is received, stored and superficially analysed. Only PNR information considered to be of interest for combating terrorist offences or serious crime will sub- sequently be made available to competent domestic authorities for further analysis and action. The Government has appointed the Swedish Police Authority, the Swedish Security Service, Swedish Customs, the Swedish Economic Crime Authority and the Swedish Armed Forces as competent authorities to receive and request PNR data from the passenger information unit. Additional agencies may be appointed in the future. Under the Act, the unit is required, in individual cases, to transfer the results of its advance assessments to one or several competent authorities so that they can conduct an additional examination of the PNR information. The unit should also transfer PNR information to competent authorities in response to special requests from a competent authority. Moreover, the unit should forward PNR information received from other Member Statesâ
35
Summary |
SOU 2017:57 |
passenger information units to competent authorities. An official at the unit is required to have always carried out an assessment of the PNR information before it is disclosed by the unit.
Under the Act, the passenger information unit should also transfer PNR information to corresponding units in other Member States. This is what should be done if, after an advance assessment, the unit considers that certain information is also relevant and necessary for another Member State. Data should also be transferred to other Member States in response to a request from that Member State. Moreover, PNR information should be transferred to Europol.
The Act also contains provisions stating that the passenger in- formation unit may transfer PNR information to a third country under certain conditions.
The transfer of unmasked PNR data, i.e. complete PNR data in which personal data has previously been masked, may only occur if certain more closely defined conditions have been met. If a prelimi- nary investigation is under way, a request from a competent authority on gaining access to unmasked PNR data must have been approved by a public prosecutor. In all other cases, the disclosure must have been approved by the head of the Swedish Police Authority. The National Police Commissioner should be able to delegate the right to decide, subject to certain limitations.
Processing of PNR information by competent authorities
The Act will contain special provisions on the processing of PNR information by the competent authorities. They state, among other things, that the result of an advance assessment of passengers by the passenger information unit must be immediately deleted by compe- tent authorities if it proves to be irrelevant for the purposes stated in the preamble to the Act. In addition, there is an exemption from the Actâs preamble on the unlawful processing of PNR informa- tion. If information has emerged about some form of offence other than a terrorist offence or serious crime â known as âexcess disclosureâ
â in connection with a competent authorityâs actions as a result of having processed PNR information, this information may be used for the prevention, investigation and prosecution of the offence.
36
SOU 2017:57 |
Summary |
Other provisions
The Directiveâs requirements concerning general data protection provisions and the rights of individuals are largely met by other applicable data protection regulations, and need not â with the occa- sional exception â be regulated separately in the new Act.
Supervision of personal data processing under the Act should be carried out by the supervisory authority in accordance with the pro- posed Criminal Data Act and in line with the provisions on super- vision in that Act.
A financial penalty may be charged by authorities acting as per- sonal data controllers in the event of a breach of certain fundamental provisions in the Act intended to protect personal privacy. When determining the size of the financial penalty, and in processing issues, the financial penalty system in the proposed Criminal Data Act and the accompanying ordinance should be applied.
Secrecy
Current secrecy legislation is considered to provide sufficient pro- tection for PNR information at both the passenger information unit and competent authorities. There is no need for any new or amended secrecy regulation. Nor is there any need for special provisions on secrecy exemptions.
How does the PNR Directive relate to the API Directive?
API (advance passenger information) data refers primarily to in- formation contained in the
37
Summary |
SOU 2017:57 |
Aliens Act (2005:716) and through the Passenger Name Record Act (2006:444).
Under the PNR Directive, air carriers should transfer both PNR and API data to the passenger information units. Therefore, the obli- gation to transfer API data is imposed not only by the API Directive, but also by the PNR Directive. Our remit includes analysing whether and how the PNR Directive affects Swedenâs implementation of the API Directive and proposing how the system of flight passenger data can enable processing of both PNR and API data.
In our view, the PNR Directive neither replaces nor affects the API Directive or its implementation in Sweden. The Directives and their implementation will therefore be applicable in parallel. We have also found that the coordinated processing of PNR and API data at the passenger information unit is possible, also with regard to API data processed under the Passenger Name Record Act. However, this requires that API data processed under the Passenger Name Record Act is kept separate from the API data transferred from air carriers under the new Act, that it is always clear which purpose and under which regulatory framework API data is processed, and that it is ensured that the differences in the regulatory frameworks con- cerning access to data, for example, are monitored.
Significance of the PNR Directive for the existing regulations
Implementation of the Directive will also have an effect on the existing regulations. We therefore propose that the Police Act (1984:387), the Customs Act (2016:253) and the Act on the powers of Swedish Customs at Swedenâs borders with other European Union countries (1996:701) (the Internal Borders Act) include pro- visions requiring that obligations on air carriers under these acts to transfer booking data to the Swedish Police Authority, the Swedish Security Service and Swedish Customs should not apply when the Act on air passenger data in law enforcement is applicable.
38
SOU 2017:57 |
Summary |
Travel agencies and tour operators
In a declaration adopted at the same time as the PNR Directive, the Member States stated that they, in accordance with their national legislation and subject to parliamentary processing in certain Member States, undertake to expand the collection of PNR data to also apply to actors that are not air carriers. Examples given in the declaration include travel agencies and tour operators that offer
Impact
The proposals would mean more PNR data concerning individual air passengers being collected for law enforcement purposes, which we consider would have a positive impact on law enforcement efforts. The proposals also mean that protection of personal privacy would be guaranteed in the competent law enforcement authoritiesâ pro- cessing of data.
The proposals will add a burden in terms of work and costs for air carriers. However, we do not consider that their competitiveness will be affected to any great extent. In addition, the proposals would mean increased costs for the Swedish Police Authority linked to the establishment of a passenger information unit and the running of such a unit. However, the economic consequences for the Swedish Police Authority and other relevant authorities are deemed to fall within the existing economic framework.
Entry into force
It is proposed that the new Act enter into force on 25 May 2018.
39
1 Författningsförslag
1.1Förslag till
lag (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen
HÀrigenom föreskrivs följande.
1 kap. AllmÀnna bestÀmmelser
Lagens innehÄll
1 § Denna lag innehÄller bestÀmmelser om lufttrafikföretags över- föring av
Genom denna lag genomförs Europaparlamentets och rÄdets direktiv (EU) 2016/681 av den 27 april 2016 om anvÀndning av passa- geraruppgiftssamlingar
Lagens syfte
2 § Syftet med lagen Àr att tillgodose behovet av tillgÄng till PNR- uppgifter i verksamhet för att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och att skydda mÀnniskor mot att deras personliga integritet krÀnks vid behand- ling av uppgifter om dem.
41
Författningsförslag |
SOU 2017:57 |
Definitioner
3 § I denna lag anvÀnds följande uttryck med nedan angiven betydelse.
Uttryck |
Betydelse |
 |
 |
 |
|
Avmaskerade |
FullstÀndiga |
flygpassagerar- |
|||
 |
uppgifter |
||||
 |
personuppgifter tidigare genom- |
||||
 |
gÄtt en maskering. |
 |
|||
Behörig mottagare |
En behörig myndighet, en en- |
||||
 |
het för |
passagerarinformation i |
|||
 |
en annan medlemsstat, en myn- |
||||
 |
dighet som har utsetts som behö- |
||||
 |
rig i en annan medlemsstat eller |
||||
 |
Europol. |
 |
 |
 |
|
Behörig myndighet |
En sÄdan av regeringen utsedd |
||||
 |
myndighet som har behörighet |
||||
 |
att behandla |
||||
 |
verksamhet |
för |
att |
förebygga, |
|
 |
förhindra, upptÀcka, utreda eller |
||||
 |
lagföra terroristbrottslighet eller |
||||
 |
grov brottslighet. |
 |
 |
||
Flygpassageraruppgifter eller |
En sammanstÀllning av upp- |
||||
gifter om varje enskild passage- |
|||||
 |
rare som gör det möjligt för det |
||||
 |
lufttrafikföretag som sköter bok- |
||||
 |
ningen |
och |
andra |
deltagande |
|
 |
lufttrafikföretag att behandla och |
||||
 |
kontrollera reservationen. |
||||
Grov brottslighet |
De brott som anges i bilaga II |
||||
 |
till |
||||
 |
det i nationell rÀtt i Sverige eller |
||||
 |
andra medlemsstater Àr föreskri- |
||||
 |
vet fÀngelse i tre Är eller mer. |
||||
Lufttrafikföretag |
Ett lufttrafikföretag med giltig |
||||
 |
operativ licens eller motsvarande |
||||
 |
som ger rÀtt att mot vederlag |
||||
 |
utföra lufttransporter av passa- |
||||
 |
gerare, |
och |
som |
i sin normala |
|
42
SOU 2017:57 Författningsförslag
 |
verksamhet samlar och hanterar |
 |
|
 |
system. |
Maskerade |
Personuppgifter som genom- |
 |
gÄtt en maskering. |
Maskering |
à tgÀrd som innebÀr att till- |
 |
gÀngliga uppgifter som direkt kan |
 |
hÀnföras till en fysisk person görs |
 |
osynliga för en anvÀndare av ett |
 |
informationssystem som saknar |
 |
sÀrskild behörighet för tillgÄng |
 |
till uppgifterna. |
Medlemsstat |
En stat som Àr medlem i EU, |
 |
med undantag för Danmark. |
Passagerare |
Alla personer, förutom besÀtt- |
 |
ningsmedlemmar, som transpor- |
 |
teras eller ska transporteras med |
 |
ett flygplan och som finns upp- |
 |
tagna i passagerarförteckningen. |
 |
av en enhet för passagerarinfor- |
 |
mations behandling av sÄdana |
 |
uppgifter. |
Reservationssystem |
System dÀr |
 |
samlas för hantering av reserva- |
 |
tioner. |
Terroristbrottslighet |
De brott enligt nationell rÀtt |
 |
i Sverige eller andra medlems- |
 |
stater som avses i artiklarna |
 |
i rÄdets rambeslut 2002/475/RIF |
 |
av den 13 juni 2002 om bekÀm- |
 |
pande av terrorism. |
Tredjeland |
En stat som inte Àr en med- |
 |
lemsstat. |
43
Författningsförslag |
SOU 2017:57 |
Enhet för passagerarinformation
4 § Det ska hos Polismyndigheten finnas en enhet för passagerar- information. Enheten ska ansvara för att
1.samla in
2.utbyta
OtillÄten behandling av
5 §
Förbud mot behandling av kÀnsliga personuppgifter
6 §
2 kap. Lufttrafikföretagens skyldigheter
Ăverföring av
1 § Lufttrafikföretag ska inför varje flygning ankommande till eller avgÄende frÄn Sverige överföra samtliga de
1 Med hÀnvisningen avses förslaget till ramlag i SOU 2017:29.
44
SOU 2017:57 |
Författningsförslag |
uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen över- föra
2§
1.
2.omedelbart efter det att gatens dörrar har stĂ€ngts. Ăverföringar enligt första stycket 2 fĂ„r begrĂ€nsas till uppdate-
ringar och kompletteringar av de uppgifter som överförts vid den tidpunkt som avses i första stycket 1.
3 § NÀr det i ett enskilt fall Àr nödvÀndigt med tillgÄng till PNR- uppgifter för att avvÀrja en specifik och faktisk fara med anknyt- ning till terroristbrottslighet eller grov brottslighet, ska lufttrafik- företag pÄ begÀran av enheten för passagerarinformation överföra
4 § Lufttrafikföretagen ska överföra
5 § Den som Àr skyldig att överföra uppgifter enligt denna lag fÄr anlita ett personuppgiftsbitrÀde för att utföra överföringen.
Information till passagerare
6 § Lufttrafikföretag ska informera passagerare om överföringen av
Sanktionsavgift för lufttrafikföretag
7 § Ett lufttrafikföretag som inte har överfört
45
Författningsförslag |
SOU 2017:57 |
8 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestÀm- mas till minst 20 000 kronor och högst 100 000 kronor.
Sanktionsavgiften fÄr sÀttas ned helt eller delvis om övertrÀdel- sen Àr ursÀktlig eller om det annars med hÀnsyn till omstÀndigheter- na skulle vara oskÀligt att ta ut avgiften.
9 § Polismyndigheten beslutar om sanktionsavgift för lufttrafik- företag enligt denna lag.
Sanktionsavgiften tillfaller staten.
10 § Sanktionsavgift fÄr endast beslutas om den som avgiften ska tas ut av har fÄtt tillfÀlle att yttra sig inom tvÄ Är frÄn den dag dÄ över- trÀdelsen Àgde rum.
11 § Polismyndighetens beslut om sanktionsavgift överklagas till allmÀn förvaltningsdomstol.
PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
Föreskrifter
12 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om luft- trafikföretagens överföring av
3 kap. Behandling av
1 §
46
SOU 2017:57 |
Författningsförslag |
Personuppgiftsansvar m.m.
2 § Polismyndigheten Àr personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
3 § Enheten för passagerarinformations behandling av
TillÄtna ÀndamÄl
4 § Enheten för passagerarinformation fÄr endast behandla PNR- uppgifter som anges i 1 § för följande ÀndamÄl:
1.Göra en förhandsbedömning av passagerare före deras be- rÀknade ankomst till eller avresa frÄn Sverige, för att vÀlja ut perso- ner som behöver utredas ytterligare av behöriga myndigheter eller Europol, pÄ grund av att dessa personer kan vara inblandade i ter- roristbrottslighet eller grov brottslighet.
2.I enskilda fall fullgöra sina uppgifter enligt 4 kap. att överföra
3.Göra analyser för att uppdatera eller skapa nya kriterier som anges i 5 § 2.
Av 6 kap. framgÄr att
5 § Vid förhandsbedömning enligt 4 § första stycket 1 fÄr PNR- uppgifter
1.jÀmföras med register eller andra uppgiftssamlingar som Àr rele- vanta för ett eller flera av de syften som anges i 1 kap. 5 §, eller
2.behandlas enligt pÄ förhand utformade och faststÀllda kriterier som Àr riktade, proportionella och avgrÀnsade och som inte grun- das pÄ sÄdana personuppgifter som avses i 2 kap. 11 § brottsdata- lagen (2018:000).
6 §
47
Författningsförslag |
SOU 2017:57 |
TillgÄng till
7 § Endast den som tjÀnstgör vid enheten för passagerarinformation fÄr ha tillgÄng till
Förbud mot direktÄtkomst
8 § DirektÄtkomst till
Bevarande och gallring av
9 §
10 §
Maskering av
11 § Följande
1.Alla namn pÄ passagerare.
2.Antal passagerare som reser tillsammans.
3.Adress och kontaktuppgifter.
4.Alla former av betalningsinformation, inklusive fakturerings- adress, om informationen innehÄller uppgifter som kan anvÀndas för att direkt identifiera en person.
5.Uppgifter om bonusprogram.
6.AllmÀnna anmÀrkningar, om dessa innehÄller uppgifter som kan anvÀndas för att direkt identifiera en passagerare.
7.Alla
48
SOU 2017:57 |
Författningsförslag |
Dataskyddsombud
12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgÄng till alla uppgifter som behand- las vid enheten.
13 § Utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000) ska dataskyddsombudet vid enheten för passagerarinfor- mation ansvara för genomförandet av relevanta skyddsÄtgÀrder.
Enskilda ska ha rÀtt att kontakta dataskyddsombudet i egenskap av enda kontaktpunkt i alla frÄgor som gÀller behandling enligt denna lag av
14 § Om dataskyddsombudet anser att enheten för passagerarinfor- mation bryter mot bestÀmmelser för behandling av
Föreskrifter
15 § Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1.utformande av kriterier,
2.tillgÄng till
3.dataskyddsombudets uppgifter,
4.bevarande och gallring,
5.dokumentation och loggning,
6.information till dataskyddsombud, och
7.enheten för passagerarinformations inhÀmtande av PNR- information frÄn andra medlemsstater.
49
Författningsförslag |
SOU 2017:57 |
4 kap. Ăverföring av
Ăverföring till behöriga myndigheter
1 § Enheten för passagerarinformation ska i enskilda fall lÀmna PNR- information till en eller flera behöriga myndigheter för att
1.en vidare granskning ska ske av
2.besvara en motiverad begÀran frÄn en behörig myndighet om att tillhandahÄlla och behandla
3.vidarebefordra
En befattningshavare vid enheten ska ha gjort en bedömning av
Ăverföring till andra medlemsstater
2 § Enheten för passagerarinformation ska till en motsvarande enhet i en annan medlemsstat överföra sÄdan
3 § Enheten för passagerarinformation ska sÄ snart som möjligt be- svara en motiverad begÀran frÄn en motsvarande enhet i en annan medlemsstat och överföra lagrade
4 § Endast nÀr det i ett enskilt brÄdskande fall Àr absolut nödvÀn- digt ska enheten för passagerarinformation besvara en motiverad begÀran frÄn en myndighet som har utsetts som behörig i en annan medlemsstat och överföra
50
SOU 2017:57 |
Författningsförslag |
5 § NÀr det i ett enskilt fall Àr nödvÀndigt med tillgÄng till PNR- uppgifter för att avvÀrja en specifik och faktisk fara med anknyt- ning till terroristbrottslighet eller grov brottslighet, ska enheten för passagerarinformation pÄ begÀran av en motsvarande enhet i en annan medlemsstat inhÀmta
Ăverföring till Europol
6 § Enheten för passagerarinformation ska besvara en motiverad begÀran frÄn Europol och överföra
Ăverföring av avmaskerade
7 § Avmaskerade
8 § Om förundersökning pÄgÄr ska en begÀran frÄn en behörig myn- dighet om att fÄ tillgÄng till avmaskerade
9 § I de fall som inte omfattas av 8 § krÀvs att tillstÄnd till över- föringen har lÀmnats av Polismyndigheten.
Myndighetschefen fÄr delegera rÀtten att besluta om tillstÄnd till en annan anstÀlld vid myndigheten som har den sÀrskilda kompetens, utbildning och erfarenhet som behövs.
Den som har fÄtt rÀtten att fatta beslut fÄr inte arbeta vid en- heten för passagerarinformation eller fatta beslut om överföring till sÄdan verksamhet som han eller hon deltar i.
51
Författningsförslag |
SOU 2017:57 |
5 kap. Behöriga myndigheters behandling av
Gallring av
1 § En behörig myndighet som mottagit
2 § För det fall en behörig myndighet mottar
Annan behandling av
3 § Om det har kommit fram uppgifter om annat brott Àn terrorist- brottslighet eller grov brottslighet i samband med en behörig myn- dighets insats som görs till följd av behandling av
Automatiserade beslut
4 § Ett beslut som har rÀttsliga följder för en fysisk person eller annars i betydande grad pÄverkar honom eller henne fÄr inte enbart grun- das pÄ en automatiserad behandling av
Föreskrifter
5 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela bestÀmmelser om behöriga myndigheters inhÀmtande och behandling av
52
SOU 2017:57 |
Författningsförslag |
6 kap. Ăverföring till tredjeland
1 § Enheten för passagerarinformation fÄr överföra
1.förutsÀttningarna i 8 kap. 1 § första stycket 3 och 2 § första stycket brottsdatalagen (2018:000), 4 kap. 3 och 7 §§ samt 2 § detta kapitel Àr uppfyllda,
2.överföringen Àr nödvÀndig för ett eller flera av de syften som anges i 1 kap. 5 §, och
3.det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det Àr absolut nödvÀndigt för ett eller flera av de syften som anges i 1 kap. 5 § och enheten för passagerar- information har lÀmnat ett uttryckligt medgivande till vidareöver- föringen.
2 § Om medgivande till överföring pÄ grund av tidsbrist inte kan hÀmtas in i förvÀg frÄn en medlemsstat som har lÀmnat
3 § NÀr enheten för passagerarinformation överför
4 § Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela nÀrmare föreskrifter om
1.information till annan medlemsstat nÀr personuppgifter över- förts utan förhandsmedgivande enligt 2 §, och
2.uppstÀllande av villkor om anvÀndningsbegrÀnsning av PNR- information som överförts till ett tredjeland.
53
Författningsförslag |
SOU 2017:57 |
7 kap. Ăvriga bestĂ€mmelser
Enskildas rÀttigheter
1 § Vad som anges i 4 kap. 10 § brottsdatalagen (2018:000) om regi- strerads rÀtt till radering eller begrÀnsning av behandling av person- uppgifter ska tillÀmpas vid behandling i strid mot
1.1 kap. 5 §,
2.1 kap. 6 §, eller
3.3 kap. 9 §.
Det framgÄr av 7 kap. 2 § brottsdatalagen att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas.
2 § BestÀmmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skade- stÄnd ska tillÀmpas pÄ motsvarande sÀtt vid behandling i strid med bestÀmmelser till skydd för personuppgifter i denna lag eller för- ordning som har meddelats i anslutning till den.
Tillsyn
3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska ut- föras av tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestÀmmelserna om tillsyn i den lagen.
Sanktionsavgifter vid övertrÀdelser av enheten för passagerarinformation eller en behörig myndighet
4 § Sanktionsavgift fÄr tas ut av den personuppgiftsansvariga myn- digheten vid övertrÀdelse av bestÀmmelserna i
1.1 kap. 5 eller 6 §,
2.3 kap.
3.4 kap.
4.5 kap. 1, 2 eller 4 §§, eller
5.6 kap. 1 eller 2 §§.
5 § Vad som sÀgs i 6 kap. 3 § tredje stycket och
54
SOU 2017:57 Författningsförslag
Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.
Det framgÄr av 7 kap. 4 § brottsdatalagen att tillsynsmyndig- hetens beslut om sanktionsavgift kan överklagas.
55
Författningsförslag |
SOU 2017:57 |
Bilaga
1.
2.Datum för bokning/utfÀrdande av biljett.
3.Planerat eller planerade resedatum.
4.Namn.
5.Adress och kontaktuppgifter (telefonnummer och
6.All betalningsinformation, inklusive faktureringsadress.
7.FullstÀndig resplan.
8.Uppgifter om bonusprogram.
9.ResebyrÄ/reseagent.
10.Passagerarens resestatus, inklusive resebekrÀftelser, incheck- ningsstatus, upplysningar om passagerare som inte infinner sig (no show) och passagerare utan bokning (go show).
11.Delade
12.AllmÀnna anmÀrkningar, inklusive alla tillgÀngliga uppgifter om ensamresande barn under 18 Är, sÄsom namn, kön, Älder, sprÄk- kunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhÄllande till barnet, namn och kontaktuppgifter för den person som hÀmtar barnet vid ankomsten och denna persons förhÄllande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive an- komsten.
13.Biljettinformation, inklusive biljettnummer, datum för utfÀr- dande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14.Platsnummer och annan platsinformation.
15.Information om gemensam linjebeteckning.
16.All bagageinformation.
17.Antal medresenÀrer i
18.All eventuell förhandsinformation
56
SOU 2017:57 |
Författningsförslag |
19.Alla Àndringar som har gjorts av de
ipunkterna
Denna lag trÀder i kraft den 25 maj 2018.
57
Författningsförslag |
SOU 2017:57 |
1.2Förslag till
förordning (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen
HÀrigenom föreskrivs följande
1 kap. AllmÀnna bestÀmmelser
1 § Denna förordning innehÄller kompletterande bestÀmmelser till lagen (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen.
2 § Uttryck som anvÀnds i denna förordning har samma innebörd och tillÀmpningsomrÄde som i lagen (2018:000) om flygpassagerar- uppgifter i brottsbekÀmpningen.
2 kap. Lufttrafikföretagens skyldigheter
Ăverföring av
1 § Lufttrafikföretagen ska överföra
Vid eventuella tekniska problem fÄr överföringen ske pÄ annat lÀmpligt sÀtt som sÀkerstÀller ett tillfredsstÀllande skydd för upp- gifterna.
2 § Lufttrafikföretag som har samlat in sÄdan förhandsinformation om passagerare
58
SOU 2017:57 |
Författningsförslag |
HandlÀggning av sanktionsavgift för lufttrafikföretag
3 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.
VerkstÀllighet av sanktionsavgift för lufttrafikföretag
4 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar frÄn det att beslutet om att ta ut avgiften har fÄtt laga kraft.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lÀmna den obetalda avgiften för indrivning. BestÀmmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning fÄr verkstÀllighet ske en- ligt utsökningsbalken.
5 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkstÀllts inom fem Är frÄn det att beslutet fick laga kraft.
3 kap. Behandling av
Utformande av kriterier
1 § Enheten för passagerarinformation ska i samarbete med de be- höriga myndigheterna faststÀlla och regelbundet se över de kriterier som avses i 3 kap. 5 § 2 lagen (2018:000) om flygpassagerarupp- gifter i brottsbekÀmpningen.
TillgÄng till
2 § Behörighet för tillgÄng till uppgifter som har maskerats enligt 3 kap. 11 § lagen (2018:000) om flygpassageraruppgifter i brotts- bekÀmpningen fÄr endast ges till dataskyddsombudet eller den som har ett sÀrskilt behov av fullstÀndiga uppgifter för att kunna utföra sina arbetsuppgifter vid enheten för passagerarinformation. Behörig- heten fÄr bara utnyttjas nÀr det i ett enskilt fall Àr absolut nödvÀn- digt med tillgÄng till fullstÀndiga uppgifter.
59
Författningsförslag |
SOU 2017:57 |
3 § Polismyndigheten meddelar nÀrmare föreskrifter om tillgÄng till
Elektroniskt utlÀmnande av personuppgifter
4 § BegrÀnsningen i 2 kap. 20 § första meningen polisdatalagen (2010:361) gÀller inte för enheten för passagerarinformations över- föring av
Efterhandskontroll
5 § Har överföring av avmaskerade
Dataskyddsombudet ska Àven göra en utvÀrdering i efterhand av varje överföring till tredjeland som skett utan förhandssamtycke frÄn den medlemsstat som har lÀmnat uppgifterna till enheten.
Bevarande och gallring
Omedelbar gallring
6 § Om lufttrafikföretagen har sÀnt in andra
Annan gallring
7 § Resultatet av en sÄdan behandling av
60
SOU 2017:57 |
Författningsförslag |
Om ett sÄdant resultat som avses i första stycket utgörs av en trÀff som inte bedöms behöva granskas vidare, fÄr resultatet bevaras om syftet med bevarandet Àr att undvika motsvarande felaktiga trÀf- far i framtiden. Gallring mÄste dock senast ske dÄ de bakomliggande
8 § Resultatet av en sÄdan behandling av
9 §
Dokumentation och loggning
10 § Dokumentation om behandlingen av
1.uppgifter om vilka register eller andra uppgiftssamlingar och pÄ förhand faststÀllda kriterier som anvÀnds inom enheten,
2.namn och kontaktuppgifter för den organisation och personal inom enheten för passagerarinformation som har behörighet att be- handla
3.varje begÀran om att fÄ ta del av
ien annan medlemsstat eller en myndighet som har utsetts som be- hörig i en annan medlemsstat, och
4.varje begÀran om att fÄ ta del av
11 § SÄdan loggning som avses i 3 kap. 4 § brottsdataförordningen (2018:000) ska utföras över enheten för passagerarinformations per- sonuppgiftsbehandling. Loggarna ska bevaras i 5 Är.
61
Författningsförslag |
SOU 2017:57 |
Information till dataskyddsombud
12 § Dataskyddsombudet vid enheten för passagerarinformation ska informeras om
1.varje utlÀmnande av avmaskerade
2.varje överföring av
4 kap. InhÀmtande av
1 § InhÀmtande av
2 § En behörig myndighet som önskar ta del av
3 § Endast om det i ett enskilt brÄdskande fall Àr absolut nödvÀn- digt fÄr en behörig myndighet vÀnda sig direkt till enheten för passa- gerarinformation i en annan medlemsstat med en begÀran om att ta del av
Om en behörig myndighet har framstÀllt en begÀran enligt första stycket, ska en kopia av begÀran skickas till enheten för passagerar- information vid Polismyndigheten.
4 § Endast nÀr det i ett enskilt fall Àr nödvÀndigt för att reagera pÄ en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, fÄr enheten för passagerarinformation hos en motsvarande enhet i en annan medlemsstat begÀra att
62
SOU 2017:57 |
Författningsförslag |
5 kap. Ăverföring till tredjeland
1 § NÀr enheten för passagerarinformation har överfört PNR- information till ett tredjeland utan förhandsmedgivande ska den utan dröjsmÄl informera den medlemsstat som har lÀmnat uppgifterna till enheten om överföringen.
2 § I samband med en överföring av
Denna förordning trÀder i kraft den 25 maj 2018.
63
Författningsförslag |
SOU 2017:57 |
1.3Förslag till
lag om Àndring i polislagen (1984:387)
HÀrigenom föreskrivs att 25 § polislagen (1984:387) ska ha föl- jande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
25 §2
Ett transportföretag som befordrar varor, passagerare eller for- don till eller frÄn Sverige ska pÄ begÀran av Polismyndigheten eller SÀkerhetspolisen skyndsamt lÀmna de aktuella uppgifter om ankom- mande och avgÄende transporter, som företaget har tillgÄng till. Transportföretaget har endast skyldighet att lÀmna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sÀttet för betalning och bokning.
Polismyndigheten fÄr begÀra uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekÀmpande verksamheten.
Vad som anges i första och andra stycket ska inte gÀlla nÀr lagen (2018:000) om flygpassage- raruppgifter i brottsbekÀmpningen Àr tillÀmplig.
Denna lag trÀder i kraft den 25 maj 2018.
2 Senaste lydelse 2014:588.
64
SOU 2017:57 |
Författningsförslag |
1.4Förslag till
lag om Àndring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen
HÀrigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets be- fogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
15 §3
Transportföretag som befordrar varor, passagerare eller fordon till eller frÄn Sverige skall pÄ begÀran av Tullverket skyndsamt lÀmna de aktuella uppgifter om ankommande och avgÄende transporter, som företaget har tillgÄng till. Transportföretag har endast skyldig- het att lÀmna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sÀttet för betalning och bokning.
Tullverket fÄr begÀra uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för verkets brottsbekÀmpande verksamhet.
Vad som anges i första och andra stycket ska inte gÀlla nÀr lagen (2018:000) om flygpassa- geraruppgifter i brottsbekÀmpning- en Àr tillÀmplig.
Denna lag trÀder i kraft den 25 maj 2018.
3 Senaste lydelse 1999:434.
65
Författningsförslag |
SOU 2017:57 |
1.5Förslag till
lag om Àndring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst
HÀrigenom föreskrivs att det i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst ska införas en ny paragraf, 1 kap. 1 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
1 a §
I lagen (2018:000) om flyg- passageraruppgifter i brottsbekÀmp- ningen och i föreskrifter som rege- ringen har meddelat i anslutning till den lagen finns det sÀrskilda bestÀmmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande be- stÀmmelser, ska de tillÀmpas i stÀl- let för bestÀmmelserna i denna lag.
Denna lag trÀder i kraft den 25 maj 2018.
66
SOU 2017:57 |
Författningsförslag |
1.6Förslag till
lag om Àndring i polisdatalagen (2010:361)
HÀrigenom föreskrivs att det i polisdatalagen (2010:361) ska in- föras en ny paragraf, 1 kap. 4 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
4 a §
I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kÀmpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sÀr- skilda bestÀmmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikan- de bestÀmmelser, ska de tillÀmpas i stÀllet för bestÀmmelserna i den- na lag.
Denna lag trÀder i kraft den 25 maj 2018.
67
Författningsförslag |
SOU 2017:57 |
1.7Förslag till
lag om Àndring i tullagen (2016:253)
HÀrigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
4 kap.
6 a §
Vad som anges i 6 § ska inte gÀlla nÀr lagen (2018:000) om flygpassageraruppgifter i brottsbe- kÀmpningen Àr tillÀmplig.
Denna lag trÀder i kraft den 25 maj 2018.
68
SOU 2017:57 |
Författningsförslag |
1.8Förslag till
lag om Àndring i tullbrottsdatalagen (2017:000)
HÀrigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:000) ska ha följande lydelse.
Lydelse enligt prop. 2016/17:91 |
Föreslagen lydelse |
2kap.
8 §
Personuppgifter som har lÀmnats till Tullverket frÄn transport- företag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen fÄr behandlas i den utstrÀck- ning det Àr tillÄtet enligt dessa lagar och enbart i den utstrÀckning det behövs för planering av kontrollverksamheten och urval av kon- trollobjekt.
Om det behövs i ett enskilt fall fÄr sÄdana personuppgifter be- handlas för nÄgot annat ÀndamÄl som anges i 5 § och göras gemen- samt tillgÀngliga.
I lagen (2018:000) om flyg- passageraruppgifter i brottsbe- kÀmpningen och i föreskrifter som regeringen har meddelat i anslut- ning till den lagen finns det sÀr- skilda bestÀmmelser om behand- ling av personuppgifter. Om det i dessa författningar finns avvikan- de bestÀmmelser, ska de tillÀmpas i stÀllet för bestÀmmelserna i den- na lag.
Denna lag trÀder i kraft den 25 maj 2018.
69
2 Inledning
2.1Uppdraget
Utredningens uppdrag Àr att lÀmna förslag till de lagÀndringar som krÀvs för att i svensk rÀtt genomföra Europaparlamentets och rÄdets direktiv (EU) 2016/681 av den 27 april 2016 om anvÀndning av passageraruppgiftssamlingar
I uppdraget ingÄr bl.a. att
âföreslĂ„ ett system för hur flygpassageraruppgifter ska hanteras i Sverige och hur enheten för passagerarinformation ska organiseras,
âföreslĂ„ vilka sanktioner som ska kunna Ă„lĂ€ggas flygbolag som inte uppfyller sina skyldigheter enligt direktivet,
âföreslĂ„ en reglering för personuppgiftsbehandling och sekretess som passar in i den befintliga svenska strukturen och ger en rĂ€tts- sĂ€ker och mer effektiv brottsbekĂ€mpning samtidigt som skyddet för den personliga integriteten sĂ€kerstĂ€lls, och
âanalysera om och i sĂ„ fall hur direktivet pĂ„verkar det svenska genomförandet av rĂ„dets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lĂ€mna uppgifter om passage- rare
71
Inledning |
SOU 2017:57 |
2.2Arbetets genomförande
Utredningens arbete pÄbörjades i mitten av april 2016. Arbetet har bedrivits pÄ sedvanligt sÀtt med regelbundna sammantrÀden med gruppen av sakkunniga och experter. Utredningen har sammantrÀtt vid sammanlagt nio tillfÀllen.
Utredningen har beaktat det arbete som pÄgÄr inom Polismyndig- heten med att bl.a. inrÀtta en enhet för passagerarinformation och i övrigt genomföra direktivets tekniska delar. Den 17 juni 2016 genom- fördes ett besök vid Polismyndigheten.
Det samrÄd som utredningen enligt direktiven ska ha med berör- da myndigheter har huvudsakligen skett genom experterna. DÀrut- över har utredningen i vissa delar samrÄtt med Datainspektionen som har lÀmnat övergripande synpunkter.
Synpunkter har ocksÄ inhÀmtats frÄn berörda ekonomiska aktö- rer. Den 25 oktober 2016 hölls ett dialogmöte med representanter för lufttrafikföretagen. Ett dialogmöte med representanter för rese- byrÄer och researrangörer hölls den 7 november 2016. Ytterligare kontakter med dessa aktörer har förekommit efter mötena.
Enligt utredningens direktiv ska utredaren i den utstrÀckning det Àr möjligt beakta det arbete som genomförs av Utredningen om 2016 Ärs dataskyddsdirektiv (Ju 2016:06). Utredningarna samrÄdde den 16 november 2016. Arbetet med genomförandet av det nya data- skyddsdirektivet har dÀrutöver följts under hand. VÄra författnings- förslag Àr anpassade till den nÀmnda utredningens förslag till ny ram- lagstiftning, brottsdatalagen med anslutande förordning, varigenom det nya dataskyddsdirektivet föreslÄs bli genomfört (SOU 2017:29). SkÀlet för detta nÄgot ovanliga anslag redogör vi för i avsnitt 8.5.
Utredningen har vidare deltagit vid ett flertal möten med andra utredningar som utreder frĂ„gor om anpassning till EU:s dataskydds- reform. Ăven arbetet inom andra relevanta utredningar har beaktats.
72
3
i anledning av direktivet
3.1AllmÀnt om direktivet
Den 27 april 2016 antog Europaparlamentet och rÄdet direktiv (EU) 2016/681 om anvÀndning av passageraruppgiftssamlingar (PNR- uppgifter) för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet
PNR Àr en förkortning av den engelska benÀmningen Passenger Name Record. I den svenska versionen av direktivet har detta be- grepp översatts som passageraruppgiftssamling eller
73
SOU 2017:57 |
3.2Bakgrund
Terroristattentat under senare Ärtionden har lett till nya initiativ för att förbÀttra sÀkerheten. Samtidigt har den internationella organi- serade brottsligheten ökat.1 Organiserad brottslighet och terrorism Àr företeelser som ofta inbegriper internationella resor. Som en följd av detta har myndigheterna i flera lÀnder i allt större utstrÀckning börjat samla in och analysera
1 KOM (2010) 492 slutlig av den 21 september 2010, s. 2.
74
SOU 2017:57 |
Ett antal lÀnder utanför Europeiska unionen har i dag sÀrskilda system för inhÀmtande och analys av
EU ingick i mitten av
De brottsbekÀmpande myndigheterna i
2 A.a. s. 4.
75
SOU 2017:57 |
och lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekÀmpande verksamhet3. NÄgot nationellt system för insamling av uppgifterna finns dock inte. Uppgifterna sparas inte heller i nÄgon central databas.
Ett unionsgemensamt regelverk för insamling och anvÀndning av
RÄdet var tidigt positivt till förslaget. Europaparlamentet dröjde lÀngre med att ta stÀllning bl.a. eftersom det ansÄgs behövas ett star- kare skydd för den personliga integriteten. Efter Är av förhandlingar och sedan ett antal terroristattentat genomförts i Europa, kom rÄdet och parlamentet i december 2015 överens om ett gemensamt förslag till reglering. Förslaget innebar bl.a. att vissa frÄgor lÀmnades utanför direktivet och i stÀllet hanteras i frivilliga överenskommelser mellan medlemsstaterna.
3.3Direktivets innehÄll i korthet
Direktivet Àr indelat i fyra kapitel och innehÄller sammanlagt 22 artik- lar. Artiklarna presenteras starkt förkortat i det följande. Det nÀr- mare innehÄllet i artiklarna och de skÀl som hÀnför sig till dessa kom- mer att redovisas i anslutning till vÄra övervÀganden om artiklarnas implementering.
3 ErsÀtts den 1 juli 2017 av tullbrottsdatalagen (2017:000).
76
SOU 2017:57 |
Av artikel 1 framgÄr att direktivet innehÄller bestÀmmelser om lufttrafikföretags överföring av
Direktivet avser sÄledes endast flygningar utanför EU. I artikel 2 ges dock möjlighet för en medlemsstat att tillÀmpa direktivets be- stÀmmelser Àven för flygningar inom EU.
I artikel 3 definieras centrala begrepp i direktivet. Med lufttrafik- företag avses exempelvis ett sÄdant företag med giltig operativ licens eller motsvarande som ger rÀtt att bedriva passagerarflygtrafik. Med flygningar utanför EU menas varje flygning som utförs av ett sÄdant lufttrafikföretag, med avgÄng frÄn ett tredjeland och planerad land- ning pÄ en medlemsstats territorium eller flygning frÄn en medlems- stats territorium med planerad landning i ett tredjeland, i bÄda fallen inklusive eventuella mellanlandningar pÄ territorier i medlemsstater eller tredjelÀnder. Passagerare Àr alla personer, förutom besÀttnings- medlemmar, som transporteras med eller ska transporteras med ett flygplan med lufttrafikföretagets godkÀnnande. GodkÀnnandet fram- gÄr av att personen stÄr med i passagerarförteckningen.
I artikel 4 anges att varje medlemsstat ska inrÀtta eller utse en myndighet eller del av en myndighet med behörighet att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brotts- lighet som ska fungera som medlemsstatens enhet för passagerar- information. Enheten ska ansvara för att samla in
Av artikel 5 framgÄr att enheten för passagerarinformation ska utse ett dataskyddsombud, som bl.a. ska ansvara för övervakningen av behandlingen av
I artikel 6 anges hur de överförda
77
SOU 2017:57 |
motiverade frÄgor frÄn exempelvis de behöriga myndigheterna. Vidare fÄr uppgifterna behandlas för att uppdatera och skapa nya riskkrite- rier som kan anvÀndas vid förhandsbedömningar av passagerare. I artikel 6 regleras vidare överföring av
Varje medlemsstat ska enligt artikel 7 faststÀlla en förteckning över de myndigheter som har befogenhet att begÀra eller motta PNR- uppgifter eller resultatet av behandlingen av dessa uppgifter frÄn enheten för passagerarinformation. Artikeln innehÄller ocksÄ vissa bestÀmmelser om dessa myndigheters vidare behandling av PNR- uppgifter.
Lufttrafikföretagens skyldigheter vad gĂ€ller överföring av PNR- uppgifter framgĂ„r av artikel 8. Ăverföringen ska ske genom att upp- gifterna skickas frĂ„n lufttrafikföretagen till enheten för passagerar- information i den medlemsstat pĂ„ vars territorium flygningen kommer att ankomma eller frĂ„n det territorium flygningen kommer att avgĂ„. I bilaga I till direktivet anges vilka
Formerna för utbyte av
I artikel 12 behandlas frÄgor om lagringstid för uppgifter och av- identifiering.
78
SOU 2017:57 |
Artikel 13 innehÄller bestÀmmelser om skydd av personuppgifter. Medlemsstaterna ska bl.a. föreskriva att den behandling av person- uppgifter som sker vid den nationella enheten för passagerarinfor- mation och vid behöriga myndigheter ska omfattas av vissa nationella dataskyddsbestÀmmelser som överensstÀmmer med rÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rÀttsligt samarbete (dataskyddsrambeslutet). Med hÀnvisningen till dataskyddsrambeslutet ska förstÄs sÄvÀl nuvarande lagstiftning som de framtida bestÀmmelser som kommer att ersÀtta detta. Vidare finns i artikel 13 dataskyddsbestÀmmelser om bl.a. förbud mot behandling av kÀnsliga personuppgifter, regler om loggning, informationssÀker- het m.m.
Medlemsstaterna ska enligt artikel 14 införa effektiva, propor- tionella och avskrÀckande sanktioner för övertrÀdelser av nationella bestÀmmelser som genomför direktivet. Sanktioner ska sÀrskilt riktas mot lufttrafikföretag som inte överför
Enligt artikel 15 ska den nationella tillsynsmyndighet som anges i artikel 25 i dataskyddsrambeslutet ansvara för att ge riktlinjer för och övervaka tillÀmpningen av de bestÀmmelser som medlemsstater- na antar i enlighet med direktivet. Tillsynsmyndigheten ska vidare hantera klagomÄl frÄn registrerade, kontrollera att uppgiftsbehand- lingen Àr laglig samt pÄ begÀran ge registrerade rÄd om hur de kan utöva sina rÀttigheter pÄ omrÄdet.
I artikel 16 anges att all överföring av
Artiklarna
Danmark deltar inte i antagandet av direktivet, som dÀrför inte Àr bindande för eller tillÀmpligt pÄ Danmark.
79
SOU 2017:57 |
3.4Ăverenskommelser i anledning av direktivet
Genom
I deklarationen har medlemsstaterna Àven förklarat att de, i en- lighet med parlamentets önskemÄl, Ätar sig att i enlighet med sin nationella lagstiftning och med förbehÄll för parlamentsbehandling i vissa medlemsstater, utvidga insamlingen av
80
4Transportörsansvaret och
4.1Inledning
BrottsbekÀmpande myndigheter hanterar redan i dag information frÄn transportföretag, inklusive flygbolag, för brottsbekÀmpande ÀndamÄl. För flygbolagens del innebÀr det en skyldighet att över- lÀmna uppgifter om sina passagerare till vissa brottsbekÀmpande myn- digheter. Ett sÄdant ansvar kan sÀgas vara en vidareutveckling av det s.k. transportörsansvaret i vid mening.
Med transportörsansvar menas att transportörer har vissa skyl- digheter betrÀffande de personer som de transporterar till ett lands grÀns. De kan ocksÄ ÄlÀggas sanktioner om de inte uppfyller sina skyldigheter. Sverige har alltsedan anslutningen till den s.k. Chicago- konventionen pÄ
I detta avsnitt kommer inledningsvis de internationella Ätagan- den som Sverige har pÄ omrÄdet att behandlas. DÀrefter kommer bestÀmmelser om transportörsansvar i
81
Transportörsansvaret och APIâdirektivet |
SOU 2017:57 |
4.2Internationella Ätaganden pÄ omrÄdet
4.2.1Chicagokonventionen
Sverige har anslutit sig till 1944 Ärs konvention angÄende inter- nationell civil luftfart, den sÄ kallade Chicagokonventionen, ocksÄ kallad
I Chicagokonventionen förbinder sig de fördragsslutande sta- terna till samarbete för att, i alla sÄdana hÀnseenden dÀr likformighet kan underlÀtta och befrÀmja luftfarten, sÀkerstÀlla största möjliga likformighet i frÄga om författningar, normer, tillÀmpningsförfaran- den och organisation avseende luftfartyg, besÀttning, luftfartslinjer och markorganisation. I detta syfte antar det permanenta rÄdet av FN:s fackorgan International Civil Aviation Organization (Icao) olika internationella normer och rekommendationer, vilka tas in i s.k. Annex till konventionen.
I det nu gÀllande Annex 9 finns bl.a. internationella normer om transportörsansvar och behandlingen av API- och
Artikel 3.35 i Annex 9 ÄlÀgger flygtrafikföretagen att kontrollera att passagerare vid ombordstigningen innehar pass och tillstÄnd för transit och inresa. Enligt artikel 3.33 ska de fördragsslutande stater- na och transportörerna samarbeta för att faststÀlla att de resedoku- ment som visas upp Àr Àkta och giltiga. Myndigheterna ska enligt artikel 5.3 och 5.4 utan dröjsmÄl informera transportören nÀr en person inte tillÄts inresa och rÄdgöra med transportören angÄende möjligheter till Äterförande. Transportören ska dÀrefter enligt arti- kel 5.11 Äterföra passageraren till den plats dÀr han eller hon pÄbörjade sin resa eller till nÄgon annan plats dÀr han eller hon kan tas emot. Enligt artikel 5.10 fÄr transportören inte hindras frÄn att ta ut trans- portkostnaden frÄn den avvisade personen. à terförandeplikten upp- hör enligt artikel 3.47 nÀr personen tillÄts resa in i landet.
I artikel 3.48 finns bestÀmmelser hÀnförliga till
82
SOU 2017:57 |
Transportörsansvaret och APIâdirektivet |
UN/EDIFACT PAXLST som har utarbetats gemensamt av World Customs Organization (WCO), International Air Transport Association (Iata) och Icao. Det anges vidare att de fördragsslutan- de staterna sÄ lÄngt det Àr möjligt ska försöka minimera de operativa och administrativa bördorna för flygtrafikföretagen. Antalet över- föringar av
Enligt artikel 3.49 bör fördragsslutande stater som krÀver tillgÄng till
4.2.2FN:s resolution 2178
Den 24 september 2014 antog FN:s sÀkerhetsrÄd resolution 2178 (2014). Resolutionen Àr antagen i enlighet med kapitel VII i FN- stadgan och Àr dÀrmed folkrÀttsligt bindande för alla medlemsstater.
I resolutionen anges att terrorism i alla dess former Àr ett hot mot internationell fred och sÀkerhet. Vidare uttrycks en allvarlig oro över det akuta och vÀxande hot som de personer utgör som reser till ett annat land för att delta i terroristhandlingar eller terrorist- trÀning, Àven nÀr detta sker inom ramen för en vÀpnad konflikt. De bidrar enligt resolutionen till intensiteten och varaktigheten i kon- flikter och till att de blir mer svÄrlösta. Personerna uppges Àven kunna utgöra ett allvarligt hot mot bl.a. sina ursprungslÀnder, lÀnderna de reser igenom och lÀnderna de reser till.
I resolutionens paragraf 2 bekrÀftas att alla stater ska begrÀnsa möjligheten för terrorister eller terroristgrupper att röra sig fritt över
83
Transportörsansvaret och APIâdirektivet |
SOU 2017:57 |
grÀnserna bl.a. genom effektiva grÀnskontroller och medlemsstaterna uppmanas att införa vissa sÀkerhetsÄtgÀrder i detta avseende. Med- lemsstaterna uppmuntras sÄledes att anvÀnda sig av evidensbaserad riskbedömning och kontrollförfaranden för resande, inklusive insam- ling och analys av resedata. Det pÄpekas dock att profilering utifrÄn stereotyper grundade pÄ diskriminering Àr förbjudet enligt folkrÀtten.
I resolutionens paragraf 9 uppmanas medlemsstaterna att krÀva att lufttrafikföretag som Àr verksamma inom deras territorier i för- vÀg lÀmnar ut uppgifter om passagerare till behöriga nationella myn- digheter för att upptÀcka avresa frÄn deras territorier eller försök till inresa till eller transitering genom deras territorier med civila luft- fartyg.
4.3Vissa
4.3.1Schengenkonventionen och direktivet om transportörsansvar
Sverige har
Artikel 26 i Schengenkonventionen1 och rĂ„dets direktiv om kom- plettering av bestĂ€mmelserna i den artikeln (direktivet om transpor- törsansvar2) behandlar transportörsansvaret. I artikel 26 i Schengen- konventionen föreskrivs att de avtalsslutande parterna â om inte annat följer av förpliktelser i samband med anslutning till GenĂšve- konventionen angĂ„ende flyktingars rĂ€ttsliga stĂ€llning, Ă€ndrad genom New
1Konventionen om tillÀmpning av Schengenavtalet av den 14 juni 1985.
2RÄdets direktiv 2001/51/EG av den 28 juni 2001 om komplettering av bestÀmmelserna i artikel 26 i konventionen om tillÀmpning av Schengenavtalet av den 14 juni 1985.
84
SOU 2017:57 |
Transportörsansvaret och APIâdirektivet |
Direktivet om transportörsansvar har som syfte att harmonisera medlemsstaternas lagar om ekonomiska sanktioner mot transpor- törer som försummar sin kontrollskyldighet avseende inresehand- lingar.
De förpliktelser som följer av artikel 26 i Schengenkonventionen och direktivet om transportörsansvar har Sverige uppfyllt genom bestÀmmelser i utlÀnningslagen (2005:716), se avsnitt 4.4.2.
4.3.2Kodex om SchengengrÀnserna
I den sÄ kallade kodexen om SchengengrÀnserna3, Àven kallad grÀns- kodexen, behandlas en unionskodex om grÀnspassager för personer. I bilaga VI till kodexen upptas sÀrskilda bestÀmmelser om de olika transportmedel som anvÀnds för passage av de yttre grÀnserna. Bl.a. anges att befÀlhavaren vid privata flygningar frÄn eller till tredjelÀnder före starten ska överlÀmna uppgifter om passagerarnas identitet till grÀnskontrolltjÀnstemÀnnen i destinationsmedlemsstaten och, i före- kommande fall, i den medlemsstat dÀr den första inresan Àger rum.
4.4Svenska regler om transportörsansvar
4.4.1Bakgrund
I svensk rÀtt har det under lÄng tid funnits reglering av transportörs- ansvaret sÄsom nÀra knuten till utlÀnningslagstiftningen. Utan att i detalj gÄ in pÄ detta kan nÀmnas att det redan i lagen den 14 september 1914 (nr 196) angÄende förbud för vissa utlÀnningar att hÀr i riket vistas fanns en bestÀmmelse om att en befÀlhavare pÄ fartyg under vissa förutsÀttningar var skyldig att, utan ersÀttning frÄn statsverkets sida, vid avvisning Äterföra utlÀnningar till det land varifrÄn de hade medtagits. BestÀmmelser med i huvudsak samma innehÄll Äterkom i flera dÀrpÄ följande utlÀnningslagar. Genom en Àndring i 1937 Ärs utlÀnningslag den 1 september 1942 Älades befÀlhavare pÄ luftfartyg samma skyldighet som befÀlhavare pÄ fartyg. I 1954 Ärs utlÀnnings-
3 Europaparlamentets och rÄdets förordning (EU) 2016/399 av den 9 mars 2016 om en unions- kodex om grÀnspassage för personer (kodex om SchengengrÀnserna).
85
Transportörsansvaret och APIâdirektivet |
SOU 2017:57 |
lag lades ansvaret för Äterförandet i stÀllet pÄ innehavaren av far- tyget eller luftfartyget.
Regler om transportörsansvaret har funnits kvar i senare versio- ner av utlÀnningslagen och har skÀrpts bÄde i frÄga om Äterförande- plikten och gÀllande transportörens kostnadsansvar. Den senaste regelskÀrpningen i utlÀnningslagen skedde den 1 juli 2004 sedan Sverige operativt intrÀtt i Schengensamarbetet. Transportörsansvaret i utlÀnningslagen utvidgades dÄ för att uppfylla de Ätaganden som följer av artikel 26 i Schengenkonventionen och direktivet om trans- portörsansvar. Bl.a. lagreglerades transportörers skyldighet att kon- trollera att utlÀnningar har pass och andra tillstÄnd som krÀvs för in- resa i landet.
PÄ senare tid har transportörer ocksÄ Älagts en skyldighet att genomföra identitetskontroller vid transporter som utförs med buss, tÄg eller passagerarfartyg till Sverige frÄn en annan stat bl.a. med stöd av bestÀmmelserna i den tillfÀlliga lagen (2015:1073) om sÀrskilda Ät- gÀrder vid allvarlig fara för den allmÀnna ordningen eller den inre sÀkerheten i landet.
4.4.2UtlÀnningslagens bestÀmmelser om transportörsansvar
De svenska bestÀmmelserna om transportörsansvar Äterfinns alltsÄ frÀmst i utlÀnningslagen. I 9 kap. 3 § regleras transportörers kon- trollskyldighet. Enligt bestÀmmelserna ska en transportör kontrollera att en utlÀnning, som transportören transporterar till Sverige direkt frÄn en stat som inte omfattas av Schengenkonventionen, innehar pass och de tillstÄnd som krÀvs för att resa in i landet. Transportören ska ocksÄ, om det inte Àr obehövligt pÄ grund av resultatet av denna kontroll, kontrollera att utlÀnningen har medel för sin hemresa.
I 12 kap. 5 § regleras transportörers ansvar att ombesörja utlÀn- ningars Äterresa i vissa fall. Med transportör avses hÀr Àgare eller brukare av ett fartyg eller ett luftfartyg. En utlÀnning som har kom- mit till Sverige med ett fartyg eller ett luftfartyg direkt frÄn en stat som inte omfattas av Schengenkonventionen och som har avvisats för att han eller hon saknar pass eller de tillstÄnd som krÀvs för att resa in i landet eller medel för sin hemresa, fÄr som utgÄngspunkt föras tillbaka till fartyget eller luftfartyget eller sÀttas ombord pÄ ett annat sÄdant med samma transportör.
86
SOU 2017:57 |
Transportörsansvaret och APIâdirektivet |
I 19 kap. 2 § regleras transportörers kostnadsansvar om utlÀn- ningar saknar pass eller de tillstÄnd som krÀvs för inresa till Sverige eller medel för hemresan. Transportören Àr enligt denna bestÀmmelse normalt skyldig att ersÀtta staten för kostnader för utlÀnningens resa frÄn Sverige samt resekostnaden för den bevakningspersonal som följer med.
De transportörer som inte har fullgjort sin kontrollskyldighet be- trÀffande pass och de tillstÄnd som krÀvs för inresa till landet kan enligt 19 kap. 5 § bli skyldiga att betala en sÀrskild avgift. Avgiften ska enligt 19 kap. 6 § bestÀmmas till högst 46 000 kr för varje ut- lÀnning.
4.4.3BefÀlhavares skyldigheter
BefÀlhavaren pÄ ett luftfartyg som kommer frÄn en ort utanför Schengenstaterna ska enligt 6 kap. 8 § utlÀnningsförordningen (2006:97) före ankomst underrÀtta flygplatschefen om ankomsten. Flygplatschefen ska i sin tur utan dröjsmÄl underrÀtta Polismyndig- heten om att ett luftfartyg kommer frÄn eller avgÄr till en ort utan- för Schengenstaterna. UnderrÀttelseskyldigheten gÀller inte för befÀl- havaren pÄ ett privatflyg. För en sÄdan befÀlhavare finns bestÀm- melser om underrÀttelseskyldighet i grÀnskodexen, se ovan under avsnitt 4.3.2.
4.5
4.5.1
Den 29 april 2004 antog rÄdet direktiv 2004/82/EG om skyldighet för transportörer att lÀmna uppgifter om passagerare
Uppgiftsskyldigheten enligt direktivet omfattar transportörer som luftvÀgen ska transportera passagerare frÄn lÀnder som inte tillhör
87
Transportörsansvaret och APIâdirektivet |
SOU 2017:57 |
EU och inte heller har slutit avtal om samarbete enligt Schengen- konventionen med konventionsstaterna. Dessa transportörer ska pÄ begÀran av en myndighet som ansvarar för personkontrollen vid de yttre grÀnserna föra över information om de ankommande passa- gerarna. De uppgifter som ska överföras avser bl.a. passagerarnas namn, födelsedatum, medborgarskap, ort för ombordstigning och grÀnsövergÄngsstÀlle för inresa. SÄdana uppgifter av personlig karak- tÀr hÀmtas i normala fall frÄn den maskinlÀsbara delen av passage- rarens pass. Uppgifterna ska vidarebefordras till myndigheterna efter incheckning. Myndigheterna fÄr spara passageraruppgifterna i ett tillfÀlligt register i 24 timmar och ska dÀrefter radera dem om inte uppgifterna behövs för att de myndigheter som ansvarar för genom- förandet av personkontroller vid de yttre grÀnserna ska kunna ut- föra sina lagstadgade uppgifter.
Medlemsstaterna ska införa sanktioner mot de transportörer som genom fel eller försummelse underlÄter att lÀmna uppgifter eller som lÀmnar ofullstÀndiga eller felaktiga uppgifter.
I svensk rÀtt har direktivet genomförts frÀmst genom nya be- stÀmmelser i utlÀnningslagen samt genom lagen (2006:444) om passa- gerarregister.
4.5.2
I 9 kap. 3 a § anges att en transportör, som luftvÀgen ska trans- portera passagerare till Sverige direkt frÄn en stat som inte tillhör EU och inte heller har slutit avtal om samarbete enligt Schengenkon- ventionen med konventionsstaterna, pÄ begÀran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna sÄ snart incheckningen avslutats. De uppgifter som ska överföras Àr
1.nummer pÄ och typ av resehandling som anvÀnds,
2.medborgarskap,
3.fullstÀndigt namn,
4.födelsedatum,
88
SOU 2017:57 |
Transportörsansvaret och APIâdirektivet |
5.grÀnsövergÄngsstÀllet för inresa,
6.transportkod,
7.avgÄngs- och ankomsttid för transporten,
8.det totala antalet passagerare vid transporten, och
9.ursprunglig ort för ombordstigning.
De insamlade uppgifterna ska enligt 3 b § samlas in av transportören och överföras elektroniskt till Polismyndigheten. Om det inte Àr möjligt att föra över uppgifterna elektroniskt ska de överföras pÄ annat lÀmpligt sÀtt. I 3 c § anges att bestÀmmelser om behandlingen av de uppgifter som överförts till Polismyndigheten finns i lagen om passagerarregister.
I 3 d § anges att en transportör som har överfört uppgifter enligt 3 a § inom 24 timmar efter det att transportmedlet har anlÀnt till grÀnsövergÄngsstÀllet ska radera de insamlade och överförda upp- gifterna.
En transportör som samlar in uppgifter som Àr avsedda att över- föras enligt 3 a § ska enligt 3 e § informera passagerarna enligt be- stÀmmelserna i
I 19 kap. 5 a § framgÄr att en transportör som inte har fullgjort sin uppgiftsskyldighet kan bli skyldig betala en sÀrskild avgift. Enligt 19 kap. 6 § ska den sÀrskilda avgiften för varje flygning som har gjorts utan att transportören har fullgjort sin uppgiftsskyldighet bestÀm- mas till högst 46 000 kr.
4.5.3Lagen om passagerarregister
I lagen om passagerarregister finns bestÀmmelser om behandlingen av de
89
Transportörsansvaret och APIâdirektivet |
SOU 2017:57 |
Àr personuppgiftsansvarig för behandlingen av personuppgifter i registret.
Av 2 § framgÄr att personuppgiftslagen Àr tillÀmplig om inget annat följer av lagen eller föreskrifter som har meddelats med stöd av den. Det framgÄr ocksÄ att en registrerad person inte har rÀtt att mot- sÀtta sig sÄdan behandling som Àr tillÄten enligt lagen. I 3 § definieras vissa begrepp.
I 4 § anges passagerarregistrets ÀndamÄl. Registret ska föras för att underlÀtta verkstÀllandet av personkontroller vid Sveriges grÀns mot stater som inte tillhör Europeiska unionen och inte heller har trÀffat avtal om samarbete enligt Schengenkonventionen med kon- ventionsstaterna.
Registret fÄr enligt 5 § endast innehÄlla de uppgifter som har in- kommit i enlighet med 9 kap. 3 a § utlÀnningslagen.
Personuppgifter i passagerarregistret ska pÄ begÀran lÀmnas ut till SÀkerhetspolisen och Tullverket för sÄdan verksamhet som avses i 4 §. Personuppgifterna fÄr dock inte lÀmnas ut pÄ medium för auto- matiserad behandling. SÀkerhetspolisen fÄr dock ha direktÄtkomst till personuppgifterna i registret. Regeringen fÄr meddela föreskrif- ter om utlÀmnande till och direktÄtkomst för fler myndigheter. (Se
I 9 § anges att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, SÀkerhetspolisen eller Tullverket ska kunna verkstÀlla personkontroller enligt 4 §, fÄr upp- gifterna i registret dock stÄ kvar till dess att myndighetens kontroller Àr slutförda.
Vid behandling av personuppgifter enligt lagen eller enligt före- skrifter som har meddelats med stöd av lagen gÀller bestÀmmelserna i personuppgiftslagen om rÀttelse och skadestÄnd (10 §).
Tullverket har nyligen i en framstÀllan till regeringen hemstÀllt om att medges direktÄtkomst till passagerarregistret.
90
5Dagens reglering och anvÀndning av flygpassageraruppgifter
i brottsbekÀmpningen
5.1Inledning
BrottsbekĂ€mpning Ă€r ett samlingsbegrepp för alla Ă„tgĂ€rder som syftar till att motverka brottslighet. I det brottsbekĂ€mpande arbetet inne- fattas sjĂ€lvfallet att utreda begĂ„ngna brott. Men Ă€ven Ă„tgĂ€rder för att förebygga, förhindra och upptĂ€cka brottslig verksamhet innefattas i begreppet. I svensk lagstiftning brukar man skilja mellan sĂ„dan verk- samhet som innebĂ€r att förebygga, förhindra och upptĂ€cka brottslig verksamhet samt utredning och beivrande av konkreta brott. Ă tskill- nad görs alltsĂ„ mellan sĂ„dan informations- och underrĂ€ttelseinhĂ€mt- ning, âspaningâ, som sker innan det finns anledning att anta att ett brott som hör under allmĂ€nt Ă„tal har begĂ„tts och sĂ„dan utredning som sker sedan en förundersökning enligt 23 kap. 1 § RB har inletts.
I polisens arbetsuppgifter ingĂ„r att förebygga och utreda all brottslighet. Ăven Tullverket har till uppgift att bl.a. bekĂ€mpa brott. I den brottsbekĂ€mpande verksamheten har Tullverket till uppgift att övervaka och kontrollera trafiken till och frĂ„n utlandet, sĂ„ att bestĂ€mmelserna om in- och utförsel av varor efterlevs.
Det Ă€r Polismyndigheten som ansvarar för personkontrollen vid vĂ„ra yttre grĂ€nser, medan Tullverket svarar för varukontrollen. Ăven om tullens verksamhet Ă€r inriktad pĂ„ varor fĂ„r den brottsbekĂ€m- pande verksamheten indirekt en viss anknytning till personer, efter- som det Ă€r personer som för varorna med sig över grĂ€nserna och kan dömas för smugglingsbrott. Tullverket och Kustbevakningen Ă€r skyldiga att bistĂ„ Polismyndigheten vid kontrollen av utlĂ€nningars inresa och utresa. Mellan Polismyndigheten och Tullverket har trĂ€f- fats en överenskommelse om samverkan vad gĂ€ller person- och tull-
91
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
SOU 2017:57 |
kontroll vid yttre grÀns. Tullverket ansvarar emellertid för nÀr- varande inte för personkontroll vid nÄgon flygplats.
Sverige intrÀdde i EU den 1 januari 1995. IntrÀdet innebar bl.a. att grÀnsformaliteter mellan Sverige och de övriga
5.2TillÀmpliga bestÀmmelser
5.2.1Polismyndigheten och SĂ€kerhetspolisen
Som angetts ovan har polisen sedan Är 1998 rÀtt att fÄ tillgÄng till uppgifter frÄn transportföretag redan innan misstanke om ett visst konkret brott har uppstÄtt. Detta regleras i 25 och 26 §§ polislagen (1984:387). PÄ begÀran av Polismyndigheten eller SÀkerhetspolisen ska sÄledes ett transportföretag som befordrar varor, passagerare eller fordon till eller frÄn Sverige skyndsamt lÀmna de aktuella upp- gifter om ankommande och avgÄende transporter som företaget har tillgÄng till. Uppgifter om passagerare ska avse namn, resrutt, bagage, medpassagerare samt sÀttet för betalning och bokning. Polisen fÄr begÀra in uppgifterna endast om de kan antas ha betydelse för den brottsbekÀmpande verksamheten. Avsikten Àr dock inte att upp- gifterna ska begÀras in för att bekÀmpa rena bagatellbrott. Detta framgÄr redan av proportionalitetsprincipen i 8 § polislagen (se prop. 1996/97:175 s. 68).
92
SOU 2017:57 |
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
Uppgifterna kan lÀmnas pÄ sÄ sÀtt att de görs lÀsbara genom terminalÄtkomst. HÀrmed avses detsamma som numera normalt be- nÀmns direktÄtkomst. Polismyndigheten och SÀkerhetspolisen fÄr emellertid ta del av uppgifterna pÄ detta sÀtt endast i den omfattning och under den tid som behövs för att kontrollera aktuella trans- porter. De fÄr inte Àndra eller pÄ annat sÀtt bearbeta eller lagra upp- gifter som hÄlls tillgÀngliga pÄ detta sÀtt. Uppgifter om enskilda som har lÀmnats pÄ annat sÀtt Àn genom terminalÄtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning eller lag- föring av brott.
Regleringen Àr inte avsedd att tillÄta nÄgon systematisk kartlÀgg- ning av resandeströmmar eller nÄgot generellt insamlande av upp- gifter. Det Àr inte heller avsett att uppgifter om resande ska registreras, lagras eller bearbetas pÄ ett sÄdant sÀtt att nya personregister med uppgifter om resande skapas. Uppgifter som inhÀmtas genom upp- koppling till databaser via terminal (direktÄtkomst) anses sÄledes fortfarande tillhöra och förvaras hos transportföretaget. (Jfr prop. 1995/96:166 s. 81 ff.)
För det fall uppgifterna anses ha betydelse för utredning eller lagföring fÄr informationen sparas i enskilda brottsutredningar med stöd av bestÀmmelserna i polisdatalagen.
5.2.2Tullverket
Tullverkets befogenhet att inhÀmta vissa passageraruppgifter frÄn transportföretag om uppgifterna kan antas ha betydelse för dess brottsbekÀmpande verksamhet infördes Är 1996. BestÀmmelserna finns numera i 4 kap.
Kompletterande bestÀmmelser finns i 4 kap.
93
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
SOU 2017:57 |
samhet för att klarlÀgga om brott eller brottslig verksamhet har före- kommit, pÄgÄr eller planeras. SÄdan information fÄr ocksÄ lÀmnas till en utlÀndsk myndighet eller mellanfolklig organisation, om ut- lÀmnandet följer av en konvention som Sverige har tilltrÀtt eller en överenskommelse som Sverige har ingÄtt.
Om transportföretag inte lÀmnar bokningsuppgifter pÄ Tullverkets begÀran har Tullverket möjlighet att förelÀgga transportföretaget att vid vite lÀmna uppgifterna. BestÀmmelser hÀrom finns i 4 kap. 24 § och 7 kap. 5 § tullagen samt i 21 § inregrÀnslagen.
AnvÀndningen av passageraruppgifter inom Tullverket regleras i dag i övrigt av lagen (2005:787) om behandling av uppgifter i Tull- verkets brottsbekÀmpande verksamhet, frÀmst 13 §. Den lagen ska dock ersÀttas av en ny lag om behandling av personuppgifter i Tull- verkets brottsbekÀmpande verksamhet, tullbrottsdatalagen. Den nya lagen trÀder i kraft den 1 juli 2017 (se prop. 2016/17:91). I förslaget till tullbrottsdatalag finns bestÀmmelser om personuppgifter frÄn transportföretag intagna i 2 kap. 8 och 9 §§.
Enligt 2 kap. 8 § TBL fÄr personuppgifter som har lÀmnats till Tullverket enligt de aktuella bestÀmmelserna i tullagen eller inre- grÀnslagen behandlas i den utstrÀckning det Àr tillÄtet enligt dessa lagar och enbart i den utstrÀckning det behövs för planering av kon- trollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall fÄr, enligt andra stycket, personuppgifterna behandlas för nÄgot av lagens primÀra ÀndamÄl och göras gemensamt tillgÀngliga. I 2 kap. 9 § finns bestÀmmelser om i vilka fall identitetsbeteckningar sÄsom namn och personnummer fÄr anvÀndas som sökbegrepp vid sökning i sÄdana personuppgifter som lÀmnats till Tullverket enligt 8 § första stycket. SÄdana sökbegrepp fÄr anvÀndas bara om upp- gifterna avser en person som Àr eller har varit misstÀnkt för brott eller kan antas ha samband med brottslig verksamhet eller som över- vakas pÄ grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts allmÀnt tillgÀngliga gÀller lagens bestÀmmelser om sökning bland sÄdana upp- gifter.
94
SOU 2017:57 |
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
5.3Dagens anvÀndning av
5.3.1Polismyndigheten
Polismyndigheten arbetar i dag i en mycket begrÀnsad omfattning med PNR- och
Passageraruppgifterna anvÀnds bÄde för att hitta kÀnda personer och för att leta efter mönster som kan indikera att en person Àr av intresse, s.k. profilering.
Endast ett flygbolag tillhandahÄller terminalÄtkomst till sitt bok- ningssystem. De API- och
Ăven analysen av de uppgifter som inhĂ€mtas sker manuellt dĂ„ Polismyndigheten saknar tekniskt stöd för hantering av uppgifter- na. Varje passagerare hanteras individuellt vilket Ă€r ett tidskrĂ€vande arbete. Arbetet stĂ€ller ocksĂ„ höga krav pĂ„ analytikern dĂ„ antalet parametrar som ska granskas kan vara stort.
Bristen pÄ
5.3.2SĂ€kerhetspolisen
SÀkerhetspolisen arbetar i dag med insamling av API- och PNR- uppgifter i sitt arbete med kontraterrorism, kontraspionage, författ- ningsskydd och personskydd.
95
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
SOU 2017:57 |
Vid de tillfÀllen dÄ
SÀkerhetspolisen saknar direktÄtkomst till system som lagrar
SÀkerhetspolisen saknar tekniskt stöd för hantering av sÄvÀl API- som
5.3.3Tullverket
Tullverket Àr den myndighet som i störst utstrÀckning anvÀnder API- och
Tullverket delar uppgifter med andra lÀnder, frÀmst i Norden. Enbart uppgifter om specifika brottsmisstÀnkta personer delas för att möjliggöra identifiering och matchning av liknande inkomman- de hÀndelser.
Tullverket begÀr in eller hÀmtar sjÀlv in
96
SOU 2017:57 |
Dagens reglering och anvÀndning av flygpassageraruppgifter ⊠|
lÀmpliga kontrollobjekt fÄr uppgifterna formateras om till ett an- vÀndarvÀnligt format och sammanstÀllas elektroniskt. SammanstÀll- ningen sker i ett avgrÀnsat system. Tullverket har sÄledes visst system- stöd till sin hjÀlp vid överföringen av uppgifterna. All inhÀmtning, profilering och analys av uppgifterna hanteras dock manuellt.
Tullverket anvÀnder
Tullverket har dagligen Ätkomst till bokningsuppgifter frÄn 32 flygbolag, antingen via direktÄtkomst eller genom att flygbolagen skickar sina uppgifter till Tullverket. Hur stor del av dessa upp- gifter som tullen faktiskt tar del varierar. Vissa dagar sker inte nÄgon profilering över huvud taget beroende pÄ personalsituationen. Vissa bolag, vars bokningssystem tullen har direktÄtkomst till, anses inte utgöra en risk ur ett tullperspektiv. Dessa bokningsuppgifter granskas dÀrför sÀllan. Av samtliga ankommande resenÀrer till statliga och kommunala flygplatser Är 2015 kontrollerade Tullverket mindre Àn 1 procent.
Alla grova narkotikabeslag pÄ Arlanda Är 2015 i passagerartrafi- ken var baserade pÄ tillgÄng till
97
6 Dataskyddsreglering
6.1Internationella konventioner
6.1.1Europakonventionen m.m.
Enligt artikel 8 i den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna (Europa- konventionen) har var och en rÀtt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet fÄr endast göra inskrÀnkningar i dessa rÀttigheter med stöd av lag och om det Àr nödvÀndigt i ett demokratiskt samhÀlle för vissa i artikeln upprÀknade ÀndamÄl, bl.a. med hÀnsyn till den allmÀnna sÀkerheten och till förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter.
Europakonventionen gÀller som svensk lag. Det framgÄr av 2 kap. 19 § RF att lag eller annan föreskrift inte fÄr meddelas i strid med Sveriges Ätaganden pÄ grund av konventionen.
Ăven i FN:s konvention om medborgerliga och politiska rĂ€ttig- heter finns en bestĂ€mmelse till skydd för godtyckligt eller olagligt ingripande i nĂ„gons privat- och familjeliv (artikel 17).
6.1.2Dataskyddskonventionen
EuroparÄdets ministerkommitté antog Är 1981 en konvention till skydd för enskilda vid automatisk databehandling av personupp- gifter (dataskyddskonventionen). Konventionen trÀdde i kraft den 1 oktober 1985. Sverige har, liksom övriga
Dataskyddskonventionens syfte Àr att sÀkerstÀlla respekten för grundlÀggande fri- och rÀttigheter, sÀrskilt den enskildes rÀtt till per-
99
Dataskyddsreglering |
SOU 2017:57 |
sonlig integritet i samband med automatiserad behandling av person- uppgifter. Konventionens tillÀmpningsomrÄde Àr enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmÀn och enskild verksamhet.
Konventionen innehÄller principer för dataskydd som de konven- tionsanslutna staterna mÄste iaktta i sin nationella lagstiftning. Bl.a. ska personuppgifter som Àr föremÄl för automatiserad behandling samlas in och behandlas pÄ ett korrekt sÀtt för sÀrskilt angivna Ànda- mÄl. Vidare mÄste uppgifterna vara relevanta för ÀndamÄlen med be- handlingen och fÄr inte senare anvÀndas pÄ ett sÀtt som Àr ofören- ligt med dessa. Uppgifterna mÄste ocksÄ vara riktiga och aktuella och de fÄr inte bevaras lÀngre tid Àn vad som Àr nödvÀndigt för Ànda- mÄlen.
Vissa kategorier av personuppgifter fÄr enligt konventionen be- handlas endast om den nationella lagstiftningen ger ett ÀndamÄls- enligt skydd. Till sÄdana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexual- liv och uppgifter om brott. Vidare föreskrivs att en registrerad bl.a. ska ha möjlighet till insyn i register och till att fÄ uppgifter rÀttade.
Under vissa förutsÀttningar fÄr undantag göras frÄn bestÀmmel- serna i konventionen om bl.a. uppgifternas beskaffenhet. SÄdana in- skrÀnkningar förutsÀtter stöd i den nationella lagstiftningen och att inskrÀnkningen Àr nödvÀndig i ett demokratiskt samhÀlle för vissa angivna ÀndamÄl, t.ex. brottsbekÀmpning.
Konventionen kompletteras med flera av ministerkommittén an- tagna rekommendationer om hur personuppgifter bör behandlas inom olika omrÄden. En sÄdan rekommendation rör polisen.
6.2GĂ€llande
6.2.1
I artikel 7 i Europeiska unionens stadga om de grundlÀggande rÀttig- heterna slÄs fast att var och en har rÀtt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 före- skrivs att var och en har rÀtt till skydd av de personuppgifter som rör honom eller henne. SÄdana uppgifter ska behandlas lagenligt för bestÀmda ÀndamÄl och pÄ grundval av den berörda personens sam- tycke eller nÄgon annan legitim och lagenlig grund. Var och en har
100
SOU 2017:57 |
Dataskyddsreglering |
rÀtt att fÄ tillgÄng till insamlade uppgifter som rör honom eller henne och att fÄ dem rÀttade. En oberoende myndighet ska kontrollera att reglerna efterlevs.
I artikel 52 i stadgan anges i vilken utstrÀckning inskrÀnkningar fÄr göras i de rÀttigheter som erkÀnns i stadgan. UtgÄngspunkten Àr att sÄdana inskrÀnkningar endast fÄr göras i lag och ska vara fören- liga med det vÀsentliga innehÄllet i rÀttigheterna. BegrÀnsningar fÄr endast göras om de Àr nödvÀndiga och svarar mot ett allmÀnt sam- hÀllsintresse som erkÀnns av unionen eller behovet av skydd för andra mÀnniskors rÀttigheter och friheter.
6.2.2Dataskyddsdirektivet
Den allmÀnna regleringen av behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvÀrdig skyddsnivÄ nÀr det gÀller enskilda personers fri- och rÀttigheter med avseende pÄ be- handling av personuppgifter och att frÀmja ett fritt flöde av per- sonuppgifter mellan medlemsstaterna i EU.
Direktivet har genomförts i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se av- snitt 6.3.2). Direktivet gÀller inte för behandling av personuppgifter som faller utanför gemenskapsrÀtten, t.ex. allmÀn sÀkerhet, försvar, statens sÀkerhet och statens verksamhet pÄ straffrÀttens omrÄde.
6.2.3Dataskyddsrambeslutet
RÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrÀttsligt samarbete (dataskyddsrambeslutet) reglerar data- skyddet inom angivna omrÄden. Rambeslutet Àr föranlett av ett antal
101
Dataskyddsreglering |
SOU 2017:57 |
rambeslutet gÀller dÀremot inte för rent nationell personuppgifts- behandling. FrÄn tillÀmpningsomrÄdet undantas ocksÄ personupp- giftsbehandling inom omrÄdet nationell sÀkerhet.
Dataskyddsrambeslutet uppfylls redan till stora delar av befint- lig lagstiftning. De ÄterstÄende delarna har genomförts i svensk rÀtt genom lagen (2013:329) med vissa bestÀmmelser om skydd för per- sonuppgifter vid polissamarbete och straffrÀttsligt samarbete inom Europeiska unionen (2013 Ärs lag) med tillhörande förordning (se avsnitt 6.4.5).
6.3Huvuddragen i den svenska regleringen
6.3.1Regeringsformen
GrundlÀggande bestÀmmelser till skydd för den personliga integri- teten finns i regeringsformen. I 1 kap. 2 § första stycket slÄs det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda mÀnniskans frihet och i fjÀrde stycket anges bl.a. att det allmÀnna ska vÀrna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket Àr var och en gentemot det allmÀnna skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden. InskrÀnkningar i det grundlagsfÀsta skyd- det kan endast göras genom lag och bara under de förutsÀttningar som anges i 2 kap.
Andra stycket i 2 kap. 6 § infördes vid 2010 Ă„rs grundlags- reform. BestĂ€mmelsen omfattar enbart betydande intrĂ„ng i den enskildes privata sfĂ€r. I förarbetena anges att det Ă€r naturligt att det lĂ€ggs stor vikt vid uppgifternas karaktĂ€r vid bedömningen av hur ingripande intrĂ„nget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlĂ€mnande av uppgifter om enskildas personliga förhĂ„llanden. Ju kĂ€nsligare upp- gifterna Ă€r, desto mer ingripande mĂ„ste det allmĂ€nnas hantering av uppgifterna normalt anses vara. Ăven hantering av ett litet fĂ„tal upp- gifter kan innebĂ€ra ett betydande intrĂ„ng i den personliga inte- griteten om uppgifterna Ă€r av mycket kĂ€nslig karaktĂ€r. Vid bedöm- ningen av intrĂ„ngets karaktĂ€r Ă€r det ocksĂ„ naturligt att stor vikt lĂ€ggs vid Ă€ndamĂ„let med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer kĂ€nslig
102
SOU 2017:57 |
Dataskyddsreglering |
Àn t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbÀttringar av kvaliteten i handlÀggningen. MÀngden uppgifter kan ocksÄ vara en betydelsefull faktor i sammanhanget. (Se prop. 2009/10:80 s. 183.)
6.3.2Personuppgiftslagen
Lagens syfte och tillÀmpningsomrÄde
Personuppgiftslagen, genom vilket det nu gÀllande dataskyddsdirek- tivet genomfördes i svensk rÀtt, syftar till att skydda mÀnniskor mot att deras personliga integritet krÀnks genom behandling av person- uppgifter. Kompletterande bestÀmmelser till lagen finns i person- uppgiftsförordningen (1998:1191).
Med personuppgifter avses all slags information som direkt eller indirekt kan hÀnföras till en fysisk person som Àr i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sÄdana uppgifter, t.ex. att samla in, söka, bevara eller sprida upp- gifterna.
Lagen innehÄller generella regler för all behandling av person- uppgifter och behandlar Àven sÄdan verksamhet som faller utanför unionsrÀtten. Enligt 2 § gÀller sÀrreglering i lag eller förordning fram- för bestÀmmelserna i personuppgiftslagen. SÄdan sÀrreglering finns framför allt i olika registerförfattningar.
Enligt 5 § ska lagen tillÀmpas pÄ all helt eller delvis automatise- rad behandling av personuppgifter. Dessutom Àr den tillÀmplig pÄ manuell behandling av personuppgifter som ingÄr, eller Àr avsedda att ingÄ, i en strukturerad samling av personuppgifter vilka Àr till- gÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
Behandling av uppgifter om juridiska personer, som definitions- mÀssigt inte utgör personuppgifter, omfattas inte av personuppgifts- lagen. SÄdan behandling som en fysisk person utför i verksamhet av rent privat natur undantas ocksÄ enligt 6 §.
103
Dataskyddsreglering |
SOU 2017:57 |
GrundlÀggande krav pÄ behandlingen
Vissa grundlÀggande krav för all behandling av personuppgifter slÄs fast i 9 § PUL. DÀr anges att personuppgifter alltid ska behandlas lagligt, pÄ ett korrekt sÀtt och i enlighet med god sed. Personupp- gifter ska samlas in och behandlas bara för sÀrskilda, uttryckligt an- givna ÀndamÄl. Efter insamlingen fÄr uppgifterna inte behandlas för nÄgot annat ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personupp- gifter som behandlas ska vidare vara riktiga och relevanta i förhÄl- lande till ÀndamÄlen med behandlingen och fÄr inte vara fler Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen. Om det Àr nödvÀndigt ska uppgifterna vara aktuella. För det fall per- sonuppgifterna inte uppfyller dessa krav, ska alla rimliga ÄtgÀrder vidtas för att rÀtta, blockera eller utplÄna uppgifterna.
Personuppgifter fÄr inte bevaras lÀngre tid Àn nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen. DÀrefter ska de avidenti- fieras eller förstöras. Eftersom personuppgiftslagen Àr subsidiÀr till annan lagstiftning fÄr uppgifter inte avidentifieras eller förstöras om det strider mot annan lagstiftning, t.ex. tryckfrihetsförordningens bestÀmmelser om allmÀnna handlingar eller arkivlagstiftningen.
TillÄten och otillÄten behandling
I
I vissa fall fÄr personuppgifter behandlas Àven om den registre- rade inte har gett sitt samtycke. En förutsÀttning i dessa fall Àr att behandlingen Àr nödvÀndig för ÀndamÄlen.
Personuppgifter fÄr behandlas i samband med ett avtal med den registrerade, nÀr det behövs för att fullgöra avtalet eller nÀr det be- hövs för att pÄ den registrerades begÀran vidta ÄtgÀrder innan av- talet trÀffas. Som exempel pÄ behandling som kan vara nödvÀndig för att fullgöra ett avtal kan nÀmnas fakturering och förande av kundregister. Vidare fÄr behandling utföras om den Àr nödvÀndig för att den personuppgiftsansvarige ska kunna fullgöra en rÀttslig
104
SOU 2017:57 |
Dataskyddsreglering |
skyldighet. Dessutom fÄr personuppgifter behandlas för att skydda vitala intressen för den registrerade. LikasÄ fÄr personuppgifter be- handlas om det Àr nödvÀndigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lÀmnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slut- ligen fÄr personuppgifter behandlas om en avvÀgning ger vid handen att den personuppgiftsansvariges berÀttigade intresse av behandling vÀger tyngre Àn den registrerades intresse av skydd.
Behandling av kÀnsliga personuppgifter
I 13 § PUL förbjuds behandling av kÀnsliga personuppgifter. Med detta avses uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hÀlsa eller sexualliv.
FrÄn förbudet mot behandling av kÀnsliga uppgifter gÀller ett flertal undantag som nÀrmare regleras i
Regeringen, eller den myndighet regeringen bestÀmmer, fÄr en- ligt 20 § föreskriva ytterligare undantag frÄn förbudet i 13 §, om det behövs med hÀnsyn till ett viktigt allmÀnt intresse.
Information till den registrerade
Personuppgiftslagen innehÄller ett flertal bestÀmmelser som syftar till att genom information trygga den enskildes rÀtt att kontrollera om behandling av personuppgifter om honom eller henne pÄgÄr. Om uppgifter om en person samlas in frÄn personen sjÀlv, ska den per- sonuppgiftsansvarige enligt 23 § sjÀlvmant lÀmna den registrerade information om behandlingen av uppgifterna. Har uppgifterna samlats in frÄn en annan kÀlla, ska den personuppgiftsansvarige enligt 24 § sjÀlvmant informera den registrerade nÀr uppgifterna noteras, eller om avsikten med behandlingen Àr att lÀmna ut dem till tredje man, nÀr uppgifterna lÀmnas ut första gÄngen. Informationen behöver dock inte lÀmnas om det finns bestÀmmelser om registrerandet eller ut- lÀmnandet av personuppgifterna i lag eller annan författning. Infor- mation behöver heller inte lÀmnas om det skulle vara omöjligt eller krÀva en oproportionerligt stor arbetsinsats.
105
Dataskyddsreglering |
SOU 2017:57 |
Informationen ska enligt 25 § omfatta uppgift om vem som Àr personuppgiftsansvarig, ÀndamÄlen med behandlingen och all övrig information som den registrerade behöver för att kunna ta till vara sina rÀttigheter i samband med behandlingen. Information behöver inte lÀmnas om sÄdant som den registrerade redan kÀnner till.
Enligt 26 § Ă€r den personuppgiftsansvarige vidare skyldig att pĂ„ ansökan, en gĂ„ng per Ă„r, gratis informera om uppgifter om sökan- den behandlas eller inte, Ă€ndamĂ„len med behandlingen, vilka upp- gifter som behandlas, varifrĂ„n dessa kommer och till vem de lĂ€mnas ut. NĂ„gon information behöver dock inte lĂ€mnas om personupp- gifter som endast behandlas i löpande text som Ă€nnu inte fĂ„tt sin slutliga utformning eller utgör minnesanteckning, utom i de fall dĂ€r uppgifterna har lĂ€mnats till tredje man eller â i frĂ„ga om behandling i löpande text â har behandlats under lĂ€ngre tid Ă€n ett Ă„r.
Informationsskyldigheten gÀller enligt 27 § inte om uppgifterna omfattas av sekretess eller tystnadsplikt.
RĂ€ttelse
Personuppgifter som Àr felaktiga eller ofullstÀndiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska enligt 28 § pÄ begÀran av den registrerade rÀttas, blockeras eller utplÄnas av den personuppgiftsansvarige. Om felaktiga personuppgifter har lÀmnats till tredje man, ska denne i vissa fall informeras om korri- geringen.
SĂ€kerhet vid behandlingen
I 30 och 31 §§ PUL finns allmÀnna bestÀmmelser om sÀkerheten vid behandling av personuppgifter. BestÀmmelserna avser att trygga bÄde den tekniska sÀkerheten och att de personer som behandlar upp- gifterna har tillrÀckliga instruktioner för att behandla uppgifterna pÄ ett korrekt sÀtt. Den personuppgiftsansvarige ansvarar för sÀker- heten.
106
SOU 2017:57 |
Dataskyddsreglering |
Ăverföring av personuppgifter till tredjeland
Enligt 33 § PUL Àr det förbjudet att till tredjeland föra över per- sonuppgifter under behandling om landet i frÄga inte har en adekvat nivÄ för skydd av personuppgifter. Förbudet gÀller ocksÄ överföring av personuppgifter för behandling i tredjeland. FrÄgan om skydds- nivÄn Àr adekvat ska bedömas med hÀnsyn till samtliga omstÀndig- heter som har samband med överföringen. SÀrskild vikt ska lÀggas vid uppgifternas art, ÀndamÄlet med behandlingen, hur lÀnge behand- lingen ska pÄgÄ, ursprungslandet, det slutliga bestÀmmelselandet och de regler som finns för behandlingen i det tredjelandet.
I 34 § anges vissa undantag frÄn förbudet i 33 §. Ett viktigt undantag Àr att det Àr tillÄtet att föra över personuppgifter för an- vÀndning enbart i en stat som har anslutit sig till dataskyddskon- ventionen. I 35 § PUL finns vissa bemyndiganden som ger möjlig- het att besluta om ytterligare undantag i förbudet i 33 §. I bilagor till personuppgiftsförordningen anges vilka stater som enligt sÀrskilda beslut av kommissionen anses ha en adekvat skyddsnivÄ för behand- lingen av personuppgifter vid överföring till vissa i besluten speci- ficerade mottagare.
I 13 a § PUF finns en specialbestÀmmelse som reglerar transpor- törers överföring av flygpassageraruppgifter till tredjeland. Enligt bestÀmmelsen fÄr en transportör som luftvÀgen transporterar passa- gerare till eller frÄn ett tredjeland, till det landet föra över person- uppgifter som finns i transportörens passagerarförteckning, om det sker enligt villkor som framgÄr av en överenskommelse mellan tredje- landet och EU avseende behandling och överföring av uppgifter rörande flygpassagerare. I en bilaga till förordningen anges att sÄdana överenskommelser gÀller mellan EU och USA respektive Australien.
Tillsyn
Datainspektionen Àr enligt 2 § PUF tillsynsmyndighet enligt person- uppgiftslagen. Inspektionen Àr som regel ocksÄ tillsynsmyndighet för sÄdan behandling av personuppgifter som regleras i sÀrskilda re- gisterförfattningar. Datainspektionen har till uppgift att bl.a. verka för att mÀnniskor skyddas mot att den personliga integriteten krÀnks genom behandling av personuppgifter. Inspektionen informerar bl.a. om gÀllande regler, utövar tillsyn över att reglerna efterlevs och ger
107
Dataskyddsreglering |
SOU 2017:57 |
rÄd och hjÀlp Ät personuppgiftsombud. I
Sanktioner
I 48 § PUL regleras den registrerades rÀtt till skadestÄnd för den krÀnkning som en behandling av personuppgifter i strid med lagen har orsakat. Lagen innehÄller ocksÄ en straffbestÀmmelse. Enligt 49 § kan den som uppsÄtligen eller av grov oaktsamhet övertrÀder vissa bestÀmmelser i lagen dömas för brott mot personuppgiftslagen.
6.4Aktuella sÀrregleringar
6.4.1Polisdatalagen
Syfte och tillÀmpningsomrÄde
Polisdatalagen (2010:361) Àr tillÀmplig vid behandling av personupp- gifter i brottsbekÀmpande verksamhet vid Polismyndigheten och SÀkerhetspolisen. Lagen gÀller Àven för den polisiÀra verksamheten vid Ekobrottsmyndigheten. Kompletterande bestÀmmelser finns i polisdataförordningen (2010:1155).
Syftet med lagen Àr att ge polisen möjlighet att behandla person- uppgifter pÄ ett ÀndamÄlsenligt sÀtt i sin brottsbekÀmpande verk- samhet och att skydda enskilda mot att deras personliga integritet krÀnks vid sÄdan behandling.
Lagen Àr tillÀmplig endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter. Enligt 1 kap. 6 § tillÀmpas lagen Àven i viss utstrÀckning pÄ behandling av uppgifter om juridiska personer.
Lagen Àr generellt utformad. Det finns dock Àven andra författ- ningar som reglerar personuppgiftsbehandling i polisens brottsbekÀm- pande verksamhet, framför allt lagstiftning som reglerar behandling i sÀrskilda register. I 1 kap. 3 § undantas frÄn lagens tillÀmpnings- omrÄde behandling av personuppgifter enligt bl.a. lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen
108
SOU 2017:57 |
Dataskyddsreglering |
(2000:344) om Schengens informationssystem och lagen (2006:444) om passagerarregister.
FörhÄllande till personuppgiftslagen
Polisdatalagen gÀller enligt 2 kap. 1 § i stÀllet för personuppgifts- lagen. I 2 kap. 2 § hÀnvisas dock till ett betydande antal bestÀm- melser i personuppgiftslagen som gÀller vid behandling av person- uppgifter i polisens brottsbekÀmpande verksamhet. Det gÀller bl.a. personuppgiftslagens definitioner, vissa grundlÀggande bestÀmmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och sanktioner.
ĂndamĂ„l för behandling och utlĂ€mnande av uppgifter
I 2 kap. PDL anges för vilka ÀndamÄl personuppgifter fÄr behandlas i polisens brottsbekÀmpande verksamhet. Enligt 2 kap. 7 § fÄr per- sonuppgifter behandlas om det behövs för att förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella Ätaganden. BestÀm- melsen innehÄller de primÀra ÀndamÄl för vilka personuppgifter en- ligt lagen fÄr behandlas.
I 2 kap. 8 § anges de sekundÀra ÀndamÄlen för vilka personupp- gifter fÄr behandlas enligt lagen. De ÀndamÄlen aktualiseras nÀr per- sonuppgifter som behandlas i polisens brottsbekÀmpande verksam- het lÀmnas ut till andra myndigheter eller organisationer för deras behov. Enligt bestÀmmelsen fÄr personuppgifter behandlas genom sÄdant utlÀmnande nÀr det Àr nödvÀndigt för att tillhandahÄlla infor- mation som behövs i brottsbekÀmpande verksamhet hos SÀkerhets- polisen, Ekobrottsmyndigheten, à klagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utlÀndsk myndighet eller mellanfolklig organisation. Personuppgifter fÄr ocksÄ behandlas för att lÀmnas ut för vissa andra i paragrafen specificerade ÀndamÄl eller för nÄgot annat ÀndamÄl, under förutsÀttning att ÀndamÄlet inte Àr oförenligt med det ÀndamÄl för vilket uppgifterna samlades in (finalitetsprincipen).
Enligt 2 kap. 9 § fÄr personuppgifter ocksÄ behandlas om det Àr nödvÀndigt för diarieföring eller om uppgifterna har lÀmnats till
109
Dataskyddsreglering |
SOU 2017:57 |
Polismyndigheten eller Ekobrottsmyndigheten i en anmÀlan eller lik- nande och behandlingen Àr nödvÀndig för handlÀggningen.
I 2 kap. 15 § finns sekretessbrytande bestÀmmelser som anger i vilken utstrÀckning personuppgifter fÄr lÀmnas ut till bl.a. Interpol och Europol, utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst och annan utlÀndsk myndighet eller mellanfolklig organisation. Sekretessbry- tande bestÀmmelser som gÀller i förhÄllande till vissa andra myndig- heter finns i 2 kap.
Behandling av kÀnsliga personuppgifter
För behandling av kÀnsliga personuppgifter finns sÀrskilda begrÀns- ningar i 2 kap. 10 § PDL. Enligt bestÀmmelsen fÄr uppgifter om en person inte behandlas enbart pÄ grund av vad som Àr kÀnt om per- sonens ras eller etniska ursprung, politiska Äsikter, religiösa eller filo- sofiska övertygelse, medlemskap i fackförening, hÀlsa eller sexualliv. Om uppgifter om en person behandlas pÄ annan grund fÄr de kompletteras med sÄdana uppgifter om det Àr absolut nödvÀndigt för syftet med behandlingen.
Register som regleras sÀrskilt i polisdatalagen
NÄgra register regleras sÀrskilt i 4 kap. PDL. Dessa Àr register över
Behandling av personuppgifter i SÀkerhetspolisens brottsbekÀmpande verksamhet
I 6 kap. PDL finns bestÀmmelser om behandling av personuppgifter i SÀkerhetspolisens brottsbekÀmpande verksamhet. BestÀmmelser- na reglerar framför allt ÀndamÄlen för SÀkerhetspolisens personupp- giftsbehandling, som delvis avviker frÄn regleringen för Polismyn- digheten. Det finns Àven sÀrskilda bestÀmmelser om bevarande och gallring. NÀr det gÀller utlÀmnande av personuppgifter och uppgifts-
110
SOU 2017:57 |
Dataskyddsreglering |
skyldighet gÀller i huvudsak samma bestÀmmelser som för Polis- myndigheten.
6.4.2Tullbrottsdatalag
En ny lag för Tullverkets personuppgiftsbehandling
Lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekÀmpande verksamhet gÀller för nÀrvarande för Tullverkets person- uppgiftsbehandling i denna verksamhet. Lagen kommer att ersÀttas av en ny lag, tullbrottsdatalagen (prop. 2016/17:91) den 1 juli 2017. Mot den bakgrunden redovisas hÀr enbart förslaget till tullbrotts- datalag.
Lagens tillÀmpningsomrÄde
Tullbrottsdatalagen har utformats i nÀra anslutning till andra data- skyddslagar pÄ det brottsbekÀmpande omrÄdet, t.ex. polisdatalagen. Lagen ska reglera all behandling av personuppgifter i Tullverkets brottsbekÀmpande verksamhet. Enligt 1 kap. 2 § ska lagen endast gÀlla om behandlingen Àr helt eller delvis automatiserad eller om person- uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utstrÀckning Àven tillÀmpas pÄ behandling av uppgifter om juridiska personer.
FörhÄllandet till personuppgiftslagen
Tullbrottsdatalagen ska gÀlla i stÀllet för personuppgiftslagen, men hÀnvisningar görs i 2 kap. 2 § till vissa bestÀmmelser i personuppgifts- lagen som ÀndÄ ska tillÀmpas. Det gÀller bl.a. personuppgiftslagens definitioner, vissa grundlÀggande bestÀmmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skade- stÄnd.
111
Dataskyddsreglering |
SOU 2017:57 |
ĂndamĂ„l för behandling och utlĂ€mnande av uppgifter
De ÀndamÄl för vilka personuppgifter ska fÄ behandlas i Tullverkets brottsbekÀmpande verksamhet Àr uppdelade i primÀra och sekundÀra ÀndamÄl. Personuppgifter ska enligt 2 kap. 5 § TBL fÄ behandlas om det behövs för att förebygga, förhindra eller upptÀcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra för- pliktelser som följer av internationella Ätaganden. Personuppgifter som behandlas enligt den paragrafen ska ocksÄ fÄ behandlas nÀr det Àr nödvÀndigt för att tillhandahÄlla information som behövs i brotts- bekÀmpande verksamhet hos Polismyndigheten, SÀkerhetspolisen, Ekobrottsmyndigheten, à klagarmyndigheten, Kustbevakningen och Skatteverket eller en utlÀndsk myndighet eller mellanfolklig organi- sation. Personuppgiftsbehandling genom utlÀmnande ska ocksÄ en- ligt 2 kap. 6 § vara tillÄten om den Àr nödvÀndig för att tillhanda- hÄlla information som behövs i verksamhet hos KriminalvÄrden för att förebygga brott och upprÀtthÄlla sÀkerheten och i annan verk- samhet som Tullverket ansvarar för, om det finns sÀrskilda skÀl för att tillhandahÄlla informationen. LikasÄ fÄr personuppgifter i ett enskilt fall behandlas för nÄgot annat ÀndamÄl, under förutsÀttning att ÀndamÄlet inte Àr oförenligt med det ÀndamÄl för vilket uppgift- erna samlades in (finalitetsprincipen). SÀrskilda regler föreslÄs gÀlla för behandling av vissa personuppgifter frÄn transportföretag, se avsnitt 5.2.2.
Personuppgifter ska enligt 2 kap. 7 § ocksÄ fÄ behandlas om det Àr nödvÀndigt för diarieföring, eller om uppgifterna har lÀmnats till Tullverket i en anmÀlan eller liknande och behandlingen Àr nödvÀn- dig för handlÀggningen.
I 2 kap. 12 § finns en sekretessbrytande bestÀmmelse som anger i vilken utstrÀckning personuppgifter fÄr lÀmnas ut till bl.a. Interpol och Europol, utlÀndsk polismyndighet eller Äklagarmyndighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska sam- arbetsomrÄdet (EES). En sekretessbrytande bestÀmmelse som gÀller i förhÄllande till vissa myndigheter finns i 2 kap. 13 §.
112
SOU 2017:57 |
Dataskyddsreglering |
Behandling av kÀnsliga personuppgifter
KÀnsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska Äsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hÀlsa eller sexualliv, ska enligt 2 kap. 10 § TBL inte fÄ behandlas enbart pÄ grund av vad som Àr kÀnt om en persons sÄdana förhÄllanden. Om uppgifter om en person behandlas pÄ annan grund ska de dock fÄ kompletteras med kÀnsliga personuppgifter nÀr det Àr absolut nöd- vÀndigt för syftet med behandlingen.
6.4.3Lagen om internationellt polisiÀrt samarbete
Lagen (2000:343) om internationellt polisiÀrt samarbete tillÀmpas pÄ polisiÀrt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den utstrÀckning som följer av internationella överenskommelser. Enligt 1 a § gÀller polisdatalagen för polisens behandling av person- uppgifter vid sÄdant internationellt polisiÀrt samarbete som regleras i lagen, om den inte innehÄller sÀrskilda regler.
Lagen innehĂ„ller bestĂ€mmelser om informationsutbyte enligt PrĂŒmrĂ„dsbeslutet1,
Den nuvarande lagen om internationellt polisiÀrt samarbete kom- mer att upphÀvas den 2 juli 2017 och ersÀttas av en ny lag i samma Àmne. Lagen kommer att delas in i kapitel. Det införs ocksÄ fem kapitel som reglerar olika former av personuppgiftsbehandling vid polisiÀrt samarbete med andra stater inom och utanför EU. NÄgra Àndringar i sak ska dock inte ske nÀr det gÀller regleringen av behand- ling av personuppgifter. (Se prop. 2016/17:139.)
1RÄdets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat grÀnsöverskridande sam- arbete, sÀrskilt för bekÀmpning av terrorism och grÀnsöverskridande brottslighet.
2Europaparlamentets och rÄdets direktiv (EU) 2015/413 av den 11 mars 2015 om under- lÀttande av grÀnsöverskridande informationsutbyte om trafiksÀkerhetsrelaterade brott.
3RÄdets beslut 2008/633/RIF av den 23 juni 2008 om Ätkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptÀcka och utreda terroristbrott och andra grova brott.
113
Dataskyddsreglering |
SOU 2017:57 |
6.4.4Lagen om internationellt tullsamarbete
Lagen (2000:1219) om internationellt tullsamarbete tillÀmpas bl.a. pÄ internationellt tullsamarbete som följer av vissa internationella Ätaganden och har till syfte att förhindra, upptÀcka, utreda eller beivra övertrÀdelser av tullbestÀmmelser. I 2 kap.
6.4.52013 Ă„rs lag
Lagen (2013:329) med vissa bestÀmmelser om skydd för personupp- gifter vid polissamarbete och straffrÀttsligt samarbete inom Euro- peiska unionen (2013 Ärs lag) genomför dataskyddsrambeslutet. Kompletterande bestÀmmelser finns i förordningen (2013:343) med i övrigt samma namn. Lagen gÀller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller beivra brott eller verkstÀlla straff- rÀttsliga pÄföljder, om uppgifterna inom ramen för polissamarbete eller straffrÀttsligt samarbete görs eller har gjorts tillgÀngliga eller överförs eller har överförts mellan en svensk myndighet och en med- lemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz eller Liechtenstein eller mellan en svensk myndighet och ett
FrÄn lagens tillÀmpningsomrÄde undantas i 4 § dels behandling av personuppgifter som rör nationell sÀkerhet, dels personuppgifter som görs eller har gjorts tillgÀngliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i bestÀmmelsen.
Personuppgifter som en svensk myndighet har erhÄllit fÄr enligt 5 § endast behandlas för andra ÀndamÄl Àn det som uppgifterna först överfördes eller gjordes tillgÀngliga för, om syftet med behandlingen Àr att förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda
114
SOU 2017:57 |
Dataskyddsreglering |
eller beivra brott, verkstÀlla straffrÀttsliga pÄföljder eller att vidta rÀttsliga eller administrativa ÄtgÀrder med direkt anknytning till nÄgot av dessa ÀndamÄl eller att avvÀrja en omedelbar och allvarlig fara för allmÀn sÀkerhet.
Personuppgifter fÄr Àven behandlas för andra ÀndamÄl om den som överfört eller gjort uppgifterna tillgÀngliga har lÀmnat sitt med- givande eller den som uppgifterna avser har samtyckt till det.
SÀrskilda begrÀnsningar gÀller för överföring av personuppgifter som en svensk myndighet har erhÄllit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internatio- nella organ.
Lagen reglerar ocksÄ villkor för anvÀndningen av personuppgifter. Utredningen om 2016 Ärs dataskyddsdirektiv (Ju 2016:06) har föreslagit att lagen upphÀvs i samband med genomförandet av det
nya dataskyddsdirektivet.
6.5EU:s dataskyddsreform
6.5.1Bakgrund till reformen
I januari 2012 presenterade kommissionen ett förslag till en genom- gripande reform av EU:s regler om skydd för personuppgifter. Paket- et omfattade en förordning med en generell reglering som skulle ersÀtta det nu gÀllande dataskyddsdirektivet samt ett nytt direktiv med sÀrregler för frÀmst den brottsbekÀmpande sektorn som skulle ersÀtta dataskyddsrambeslutet men ha ett bredare tillÀmpningsomrÄde.
Det huvudsakliga syftet med kommissionens förslag var att ytter- ligare harmonisera och effektivisera skyddet av personuppgifter inom EU för att förbÀttra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Efter flera Ärs förhandlingar enades Europaparlamentet och rÄdet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den bestÄr av tvÄ rÀttsliga instrument, en förordning och ett direktiv. Regleringen antogs tillsammans med
115
Dataskyddsreglering |
SOU 2017:57 |
6.5.2En dataskyddsförordning
Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ be- handling av personuppgifter och om det fria flödet av sÄdana upp- gifter och om upphÀvande av direktiv 95/46/EG (dataskyddsför- ordningen) börjar tillÀmpas den 25 maj 2018.
Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersÀtta dataskyddsdirek- tivet frÄn Är 1995. Förordningen, som Àr direkt tillÀmplig, kommer att utgöra ett ramregelverk för skyddet av personuppgifter inom EU. Den kommer dÀrigenom att gÀlla t.ex. för lufttrafikföretags behand- ling av
Förordningen reglerar bl.a. grundlÀggande principer för behand- ling av personuppgifter, den registrerades rÀttigheter, personupp- giftsansvar, tillsyn över personuppgiftsbehandling och rÀtten för en- skilda att fÄ tillgÄng till rÀttsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
FrÄn förordningens tillÀmpningsomrÄde undantas bl.a. person- uppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptÀcka eller lagföra brott eller verkstÀlla straff, inkluderande skydd mot samt förebyggande av hot mot den allmÀnna sÀkerheten. Personuppgiftsbehandling för dessa syften faller i stÀllet under det nya dataskyddsdirektivets tillÀmpningsomrÄde.
Dataskyddsutredningen har haft i uppdrag att föreslÄ de anpass- ningar och kompletterande författningsbestÀmmelser pÄ generell nivÄ som dataskyddsförordningen ger anledning till. Utredningen har av- gett betÀnkandet Ny dataskyddslag. Kompletterande bestÀmmelser till EU:s dataskyddsförordning (SOU 2017:39). I betÀnkandet före- slÄs att kompletterande bestÀmmelser till dataskyddsförordningen av generell karaktÀr ska samlas i en ny lag, dataskyddslagen.
116
SOU 2017:57 |
Dataskyddsreglering |
6.5.3Ett nytt dataskyddsdirektiv
Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ be- höriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀtts- liga pÄföljder, och om det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF (det nya dataskydds- direktivet) ska vara genomfört i nationell rÀtt senast den 6 maj 2018.
Direktivet ska dels skydda fysiska personers grundlÀggande fri- heter och rÀttigheter, sÀrskilt deras rÀtt till skydd av personuppgifter, dels underlÀtta det informationsutbyte mellan behöriga myndigheter som Àr nödvÀndigt enligt unionsrÀtt eller nationell rÀtt. Direktivet ersÀtter dataskyddsrambeslutet.
I förhÄllande till nuvarande svensk reglering innehÄller det nya dataskyddsdirektivet en delvis ny eller mer detaljerad reglering om rÀttigheter för enskilda och om skyldigheter för personuppgifts- ansvariga eller bitrÀden nÀr det gÀller bl.a. datasÀkerhet, dokumen- tation och loggning, konsekvensanalyser och förhandssamrÄd med tillsynsmyndighet och regler om underrÀttelser vid s.k. personupp- giftsincidenter.
Direktivet innehĂ„ller ocksĂ„ regler som anpassats för rĂ€ttsaktens tillĂ€mpningsomrĂ„de om överföring av personuppgifter till tredjeland och internationella organisationer. Ăven nĂ€r det gĂ€ller uppgifter och befogenheter för en tillsynsmyndighet innehĂ„ller direktivet sĂ€rskilt anpassade bestĂ€mmelser.
Enligt direktivet har enskilda vissa rÀttigheter, bl.a. att fÄ vÀnda sig till en tillsynsmyndighet med klagomÄl, att fÄ tillgÄng till rÀtts- medel bÄde mot tillsynsmyndighetens beslut och mot ÄtgÀrder av en personuppgiftsansvarig eller bitrÀde samt att fÄ ersÀttning av ansva- riga som inte lever upp till direktivets krav. Direktivet förpliktar Àven medlemsstater att föreskriva regler om pÄföljder eller sank- tioner vid övertrÀdelser av bestÀmmelser som genomför direktivet.
Utredningen om 2016 Ärs dataskyddsdirektiv har haft i uppdrag att föreslÄ hur det nya dataskyddsdirektivet ska genomföras i svensk rÀtt. Utredningen har i delbetÀnkandet Brottsdatalagen (SOU 2017:29) föreslagit att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med den föreslagna lagen Àr bÄde att skydda fysiska personers grundlÀggande fri- och rÀttigheter och att sÀker-
117
Dataskyddsreglering |
SOU 2017:57 |
stĂ€lla att behöriga myndigheter kan behandla och utbyta personupp- gifter med varandra pĂ„ ett Ă€ndamĂ„lsenligt sĂ€tt. Enligt förslaget ska lagen â i likhet med personuppgiftslagen â vara generellt tillĂ€mplig inom det omrĂ„de som direktivet reglerar. Lagen ska Ă€ven vara sub- sidiĂ€r. Den föreslagna lagen ska tillĂ€mpas av myndigheter som har till uppgift att förebygga, förhindra eller upptĂ€cka brottslig verksam- het, utreda eller lagföra brott eller verkstĂ€lla straffrĂ€ttsliga pĂ„följder vid behandling av personuppgifter. Lagen ska ocksĂ„ gĂ€lla för person- uppgiftsbehandling vid upprĂ€tthĂ„llande av allmĂ€n ordning och sĂ€ker- het. De som har sĂ„dana arbetsuppgifter betecknas behöriga myn- digheter. Lagen ska Ă€ven tillĂ€mpas av andra aktörer som har fĂ„tt i uppgift att utöva myndighet för nĂ„got av de nĂ€mnda syftena. De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen nĂ€r de behandlar personuppgifter i syfte att förebygga, förhindra eller upptĂ€cka brottslig verksamhet, utreda eller lagföra brott, verkstĂ€lla straffrĂ€ttsliga pĂ„följder eller upprĂ€tt- hĂ„lla allmĂ€n ordning och sĂ€kerhet. Dataskyddsförordningen kom- mer att bli tillĂ€mplig i övrigt, t.ex. nĂ€r Polismyndigheten behandlar personuppgifter i tillstĂ„ndsĂ€renden eller nĂ€r en allmĂ€n domstol hand- lĂ€gger ett tvistemĂ„l. Det som blir avgörande för om lagen Ă€r tillĂ€mp- lig Ă€r dels om det Ă€r en behörig myndighet som behandlar person- uppgifterna, dels syftet med behandlingen.
De nÀrmare bestÀmmelserna i förslaget till brottsdatalag kommer, i den mÄn de Àr av intresse för vÄr utredning, att behandlas i kom- mande avsnitt.
De myndigheter som bedriver verksamhet inom den föreslagna lagens tillÀmpningsomrÄde har i allmÀnhet sÀrskilda registerförfatt- ningar som reglerar personuppgiftsbehandlingen. Utredningen om 2016 Ärs dataskyddsdirektiv kommer att i slutbetÀnkandet, som ska redovisas den 30 september 2017, föreslÄ de anpassningar som krÀvs i berörda registerförfattningar.
6.5.4Viss personuppgiftsbehandling faller utanför bÄda instrumenten
Viss behandling av personuppgifter undantas frÄn bÄde dataskydds- förordningens och dataskyddsdirektivets tillÀmpningsomrÄden. Det gÀller bl.a. personuppgiftsbehandling i verksamhet som inte om- fattas av unionsrÀtten, dÀribland omrÄdet nationell sÀkerhet. Till
118
SOU 2017:57 |
Dataskyddsreglering |
SÀkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptÀcka brottslig verksamhet som innefattar brott mot rikets sÀker- het och terrorbrott och att utreda och beivra sÄdana brott. SÀker- hetspolisen ansvarar vidare för personskyddet av den centrala stats- ledningen. Nu nÀmnda uppgifter hör till nationell sÀkerhet.
Utredningen om 2016 Ärs dataskyddsdirektiv har föreslagit att brottsdatalagen inte ska vara tillÀmplig för SÀkerhetspolisens behand- ling av personuppgifter som rör nationell sÀkerhet. Inte heller ska lagen vara tillÀmplig nÀr Polismyndigheten övertagit en uppgift som rör nationell sÀkerhet frÄn SÀkerhetspolisen. Förslaget innebÀr dock inte att SÀkerhetspolisens personuppgiftsbehandling kommer att lÀm- nas oreglerad inom omrÄdet nationell sÀkerhet. PÄ samma sÀtt som SÀkerhetspolisen i dag tillÀmpar polisdatalagen och vissa bestÀmmel- ser i personuppgiftslagen i verksamhet som rör nationell sÀkerhet bör, enligt utredningen, myndigheten i framtiden tillÀmpa vissa be- stÀmmelser i brottsdatalagen. Vilka bestÀmmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör reg- leras kommer utredningen att behandla i slutbetÀnkandet. (Se SOU 2017:29 s. 175 ff.)
119
7 PÄgÄende arbeten
7.1Internationellt arbete
Intresset för att anvÀnda sig av
Som angetts i avsnitt 3.2 ingick EU i mitten av
Fem lĂ€nder, Storbritannien, USA, Kanada, Australien och Nya Zeeland, har ett underrĂ€ttelsesamarbete kallat âThe Five Eyesâ som Ă€ven behandlar PNR- och
121
PÄgÄende arbeten |
SOU 2017:57 |
7.1.1Arbete inom PNRGOV Working Group
Som framgÄtt i avsnitt 4.2.1 rekommenderas i annex 9 till Chicago- konventionen att de fördragsslutande staterna anvÀnder sig av stan- dardformatet PNRGOV för överföringen av
PNRGOV har utarbetats gemensamt av stater, lufttrafikföretag och tjÀnsteleverantörer. Formatet uppdateras stÀndigt och instruk- tionerna för dess implementering finns för nÀrvarande i version 16.1. Arbetet relaterat till PNRGOV utförs av en arbetsgrupp bestÄende av företrÀdare för sÄvÀl industrin som olika stater och leds av Iata. Arbetsgruppen, med namnet PNRGOV Working Group, hÄller Är- ligen tvÄ möten dÀr standardformatet diskuteras och förslag till för- Àndringar tas fram. Vid mötena deltar Iata, Icao, WCO samt före- trÀdare för olika lÀnder, flygbolag och systemleverantörer.
7.1.2Arbete inom EU
Samtliga berörda medlemsstater arbetar nu med att genomföra
Enligt artikel 4 i
Under tiden
122
SOU 2017:57 |
PÄgÄende arbeten |
ibland Sverige, har ansökt och erhÄllit bidrag frÄn den s.k. ISEC- fonden1. Sedan
Enligt artikel 8.3 i
Inom EU finns Àven en operativ arbetsgrupp som har till uppgift att sÀkerstÀlla ett harmoniserat genomförande av
Inom kommissonens Generaldirektorat för skatter och tullar (Taxud) pÄgÄr ett arbete som syftar till att sÄ mÄnga tullmyndig-
1Program âPrevention of and Fight against Crimeâ (ISEC).
2Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska anvÀndas av lufttrafikföretag nÀr
123
PÄgÄende arbeten |
SOU 2017:57 |
heter som möjligt ska bli delaktiga i medlemsstaternas enheter för passagerarinformation.
7.2Arbete i Sverige
7.2.1Arbete med att upprÀtta en nationell enhet för passageraruppgifter
Polismyndigheten har till uppgift att förebygga, upptÀcka och ut- reda de flesta av de brott som omfattas av
Polismyndigheten har tillsammans med Tullverket, som fram- gÄtt ovan, ansökt och erhÄllit bidrag frÄn en
Polismyndigheten, Tullverket och SÀkerhetspolisen har genom- fört en förstudie gÀllande införandet av en systematiserad hantering av sÄvÀl PNR- som
I förstudierapporten lÀmnas vissa förslag pÄ hur den nationella enheten för passagerarinformation bör organiseras. Enheten föreslÄs vara bemannad dygnet runt och bestÄ av personal som har sin grund- anstÀllning inom Polismyndigheten, SÀkerhetspolisen eller Tullverket. TillgÄng till passageraruppgifterna ska ske via ett
124
SOU 2017:57 |
PÄgÄende arbeten |
om de olika roller och kompetenser som kommer att krÀvas vid en- heten, uppgifter om processer och arbetssÀtt samt ett tekniskt lös- ningsförslag.
Det bedrivs för nÀrvarande ett projekt vid Polismyndigheten som har till uppgift att etablera en nationell enhet för passagerarinforma- tion med relevant
Vid Polismyndighetens fortsatta arbete med att inrÀtta en enhet för passagerarinformation har de i förstudien angivna organisations- förslagen vidhÄllits.
7.2.2Arbetet med direktivets tekniska bestÀmmelser
Inom Polismyndigheten pÄgÄr sÄledes ett arbete med att införa ett automatiserat och strukturerat system för hantering av
Analyssystemet för
125
PÄgÄende arbeten |
SOU 2017:57 |
kommer systemet att ge möjlighet att jÀmföra
De behöriga myndigheterna kommer att fÄ möjlighet att via sÀr- skilda sökmallar i ett gemensamt
Med tanke pÄ de risker som Àr förknippade med behandlingen och arten av
126
VĂ RA ĂVERVĂGANDEN
OCH FĂRSLAG
8UtgÄngspunkter och inledande stÀllningstaganden
8.1AllmÀnt om att genomföra
VÄrt övergripande uppdrag Àr att föreslÄ de författningsÀndringar och andra ÄtgÀrder som krÀvs för att genomföra
Det avgörande Àr sÄledes att det i nationell rÀtt lÀggs fast en rÀtts- lig ram som garanterar att direktivet tillÀmpas fullt ut pÄ ett tillrÀck- ligt klart och precist sÀtt och som gör det möjligt för enskilda indi- vider att pÄ ett tydligt sÀtt urskilja vilka rÀttigheter och skyldigheter de har enligt unionsrÀtten.
129
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
8.2En samlad ny lag
VÄrt förslag:
130
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
personuppgiftsbehandling som systemet med anvÀndning av PNR- uppgifter inom brottsbekÀmpningen för med sig. BestÀmmelsernas utformning Àr dock ibland sÄdan att de olika karaktÀrerna av reg- lering Àr sammanvÀvda och svÄra att sÀrskilja. Direktivet Àr vidare omfattande och komplext, bl.a. i det att det berör helt olika slags aktörer; sÄsom kommersiellt verksamma flygbolag och brottsbekÀm- pande myndigheter.
Rent lagtekniskt finns det olika tÀnkbara sÀtt att helt eller delvis inarbeta
VĂ„r bedömning Ă€r dock att en sĂ„dan uppsplittrad lagteknisk lös- ning skulle vara komplicerad, oöverskĂ„dlig och krĂ€va korshĂ€nvis- ningar som skulle göra tillĂ€mpningen besvĂ€rlig. ĂvervĂ€gande skĂ€l talar i stĂ€llet, enligt vĂ„r mening, för att direktivet i huvudsak bör in- föras i svensk rĂ€tt genom en samlad ny lag. Genom en sĂ„dan lösning kommer en överskĂ„dlig reglering av omrĂ„det för
8.3NormgivningsnivÄ
VÄrt förslag: Till den nya lagen ska det införas en anslutande för- ordning. Centrala bestÀmmelser i direktivet ska finnas i lagen. BestÀmmelser i frÄgor av mindre vikt för enskilda intressen och nÀrmare bestÀmmelser rörande hanteringen av
131
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
Införandet av
Enligt 2 kap. 6 § RF Àr enskilda skyddade gentemot det allmÀnna mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr kartlÀggning eller övervakning av per- sonliga förhÄllanden. InskrÀnkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ÀndamÄl som Àr godtagbara i ett demo- kratiskt samhÀlle (2 kap. 20 och 21 §§ RF). Det har i flera lagstift- ningsÀrenden som rört myndigheters personuppgiftsbehandling fram- hÄllits att mÄlsÀttningen bör vara att myndighetsregister med ett stort antal registrerade och sÀrskilt kÀnsligt innehÄll ska regleras sÀrskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
1 Enligt Transportstyrelsens statistikuppgifter. Observera dock att alla resande inom EU inte nödvÀndigtvis har ett
132
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
Det kan diskuteras hur pass integritetskÀnsliga
De delar av direktivet som bör införas i svensk rÀtt genom lag avser bl.a. de grundlÀggande bestÀmmelserna om lufttrafikföretagens skyldigheter, tillÄten behandling och vidaresÀndande av
8.4En grundlÀggande allmÀn utgÄngspunkt
VÄr utgÄngspunkt: Utformningen av vÄra förslag ska ske med beaktande av att det nya systemet för insamling och utbyte av
Som vi redan framhÄllit ovan innebÀr
133
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
nationella flygresande. HÀrigenom företer systemet i viss mÄn lik- heter med skyldigheten för teleoperatörerna att utföra en generell datalagring för brottsbekÀmpande syften, vilket har underkÀnts av
Verksamhetens kÀnsliga karaktÀr talar, tillsammans med bristan- de erfarenhet av hur man ska arbeta med
Av bl.a. detta skÀl vore det lÀmpligt med en utvÀrdering och en rÀttslig översyn efter det att
8.5Den nya lagstiftningens förhÄllande till relevant dataskyddsreglering
VÄra bedömningar: Eftersom
ĂvervĂ€gande skĂ€l talar för att i lagen inte nĂ€rmare reglera dess förhĂ„llande till mer generell dataskyddsreglering pĂ„ omrĂ„det. BestĂ€mmelserna i lagen kommer dock att i olika avseenden gĂ€lla utöver eller i stĂ€llet för de generella bestĂ€mmelserna i dataskydds- förordningen, den nya ramlag som genomför det nya dataskydds-
2 Dom den 21 december 2016 i de förenade mÄlen
134
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
direktivet och annan sÀrreglering för dataskydd som gÀller eller kommer att gÀlla för berörda myndigheter.
VÄrt förslag: Det tas i de behöriga myndigheternas allmÀnna registerförfattningar in bestÀmmelser om att det i den av oss före- slagna lagen och i föreskrifter som meddelats med stöd av den lagen finns bestÀmmelser om personuppgiftsbehandling som ska tillÀmpas i stÀllet för bestÀmmelserna i aktuell registerförfattning.
Den nya lagen kommer att innehĂ„lla bestĂ€mmelser som berör flera olika aktörer; frĂ€mst lufttrafikföretag och olika myndigheter med uppgifter inom det slags brottsbekĂ€mpning som avses i PNR- direktivet. Verksamheterna hos dessa aktörer Ă€r redan föremĂ„l för mer eller mindre ingĂ„ende författningsreglering. Detta gĂ€ller Ă€ven den personuppgiftsbehandling som sker i verksamheterna. NĂ„gra grundlĂ€ggande relationer till annan lagstiftning mĂ„ste dĂ€rför redas ut. Det gĂ€ller framför allt förhĂ„llandena till de nya generella regle- ringarna pĂ„ dataskyddsomrĂ„det, nĂ€mligen dataskyddsförordningen och det förslag till ramlag som genomför det nya dataskyddsdirek- tivet. Ăven nĂ„gra andra regleringar kommer att beröras nedan.
EU:s dataskyddsreform
EU:s nya dataskyddsförordning antogs den 27 april 2016. Förord- ningen, som ska börja tillÀmpas den 25 maj 2018, utgör en ny generell reglering för personuppgiftsbehandling och kommer att ersÀtta data- skyddsdirektivet frÄn Är 1995. Samtidigt antogs ett nytt dataskydds- direktiv som ska tillÀmpas pÄ behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, ut- reda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄföljder. I detta ingÄr Àven att skydda mot samt förebygga och förhindra hot mot den allmÀnna sÀkerheten. Personuppgiftsbehandling som ligger inom direktivets tillÀmpningsomrÄde Àr undantagen frÄn dataskydds- förordningens tillÀmpningsomrÄde. Det nya dataskyddsdirektivet ska vara genomfört i nationell rÀtt senast den 6 maj 2018. Se en nÄgot mera utförlig beskrivning av reformen i avsnitt 6.5.
135
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
Förslag till anpassning och genomförandet i Sverige
TvÄ olika utredningar har analyserat den nya förordningen och det nya direktivet.
Dataskyddsutredningen har i betÀnkandet Ny dataskyddslag. Kompletterande bestÀmmelser till EU:s dataskyddsförordning (SOU 2017:39) bl.a. lÀmnat förslag till en ny lag, dataskyddslagen, med kompletterande bestÀmmelser till dataskyddsförordningen. Till lagen har Àven föreslagits en anslutande förordning. Enligt förslaget till kompletterande lag ska dataskyddsförordningen, i den ursprung- liga lydelsen, i tillÀmpliga delar gÀlla Àven vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrÀtten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Alla bestÀmmelser i förord- ningen gÀller dock inte, t.ex. inte de som reglerar skyldigheter för medlemsstaters nationella tillsynsmyndigheter att samarbeta med den svenska tillsynsmyndigheten eller den europeiska tillsynsmyndig- hetens befogenheter (a. SOU s. 354).
Den till dataskyddsförordningen kompletterande lagen föreslÄs vara subsidiÀr till annan lagstiftning (1 kap. 3 §). Avvikande bestÀm- melser i annan lag eller förordning gÀller alltsÄ i stÀllet för lagen.
Utredningen om 2016 Ärs dataskyddsdirektiv har i delbetÀnkandet Brottsdatalag (SOU 2017:29) lÀmnat förslag till en ny ramlagstift- ning med bestÀmmelser om skydd av personuppgifter inom direk- tivets tillÀmpningsomrÄde. I delbetÀnkandet föreslÄs en ny ramlag, brottsdatalagen, som ska vara generellt tillÀmplig vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att före- bygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller lag- föra brott eller verkstÀlla straffrÀttsliga pÄföljder. Ramlagen föreslÄs ocksÄ gÀlla vid behöriga myndigheters personuppgiftsbehandling som utförs i syfte att upprÀtthÄlla allmÀn ordning och sÀkerhet (1 kap. 2 § förslaget till brottsdatalag). Med behörig myndighet avses en myn- dighet som har till uppgift att utföra sÄdan brottsbekÀmpning m.m. som nyss sagts (1 kap. 6 §). Genom en sÀrskild bestÀmmelse föreslÄs dock att SÀkerhetspolisens behandling av personuppgifter som rör nationell sÀkerhet inte ska omfattas av lagens tillÀmpningsomrÄde (1 kap. 4 §). Detsamma ska gÀlla om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀkerhetspolisen. Enligt vad utredningen anger i delbetÀnkandet som sin uppskatt-
136
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
ning ligger SÀkerhetspolisens verksamhet i allt vÀsentligt utanför det nya dataskyddsdirektivets tillÀmpningsomrÄde, bl.a. dess verksamhet för att förebygga, förhindra och upptÀcka brottslig verksamhet som innefattar brott mot rikets sÀkerhet och terrorbrott samt att utreda och beivra sÄdana brott (a. SOU s. 175).
I förslaget föreslÄs att ramlagen ska vara subsidiÀr till annan lagstiftning. I 1 kap. 5 § föreskrivs sÄledes att om det i en annan lag eller en förordning finns bestÀmmelser som avviker frÄn ramlagen, ska de bestÀmmelserna gÀlla. Om det i en viss myndighets register- författning, t.ex. polisdatalagen, finns avvikande bestÀmmelser gÀller alltsÄ de i stÀllet för ramlagen.
I det ÄterstÄende uppdraget för Utredningen om 2016 Ärs data- skyddsdirektiv innefattas bl.a. att lÀmna de förslag till författnings- Àndringar som krÀvs för att anpassa vissa centrala författningar om rÀttsvÀsendets behandling av personuppgifter till de nya förutsÀtt- ningarna. De centrala författningarna avser bl.a. polisdatalagen och lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekÀmpande verksamhet3. Vidare ska utredningen övervÀga om det finns anledning att reglera SÀkerhetspolisens personuppgiftsbehand- ling separat frÄn den lagstiftning som gÀller för Polismyndigheten och vid behov lÀmna författningsförslag. Uppdraget ska slutredo- visas senast den 30 september 2017.
Olika regleringsmodeller för registerförfattningar
I nuvarande dataskyddsreglering finns, sÄsom beskrivits i avsnitt 6.3, personuppgiftslagen varigenom 1995 Ärs dataskyddsdirektiv genom- förts. Personuppgiftslagen Àr generellt tillÀmplig och gÀller Àven för personuppgiftsbehandling vid brottsbekÀmpande verksamhet trots att det bakomliggande dataskyddsdirektivet undantar sÄdan verksam- het frÄn dess tillÀmpningsomrÄde. Personuppgiftslagen Àr dock sub- sidiÀr till avvikande reglering i annan lag eller förordning (2 § PUL). Inom frÀmst myndighetsomrÄdet finns en mycket stor mÀngd sÀr- regleringar i förhÄllande till personuppgiftslagen som innehÄller just frÄn personuppgiftslagen avvikande regleringar. Det kan handla om författningar som reglerar viss registerföring eller författningar som
3 ErsÀtts av tullbrottsdatalagen (2017:000) den 1 juli 2017.
137
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
mer övergripande reglerar dataskyddsfrÄgor vid personuppgiftsbe- handling vid en viss myndighet eller viss verksamhet. Det gemen- samma begreppet för sÄdan sÀrreglering Àr registerförfattning.
I dagens registerförfattningar förekommer vanligen bestÀmmelser som pÄ ett eller annat sÀtt klargör lagens förhÄllande till personupp- giftslagen. Olika regleringsmodeller har kommit till anvÀndning, huvudsakligen enligt antingen den kompletterande modellen eller den hÀnvisande modellen men det finns Àven en heltÀckande variant.
De flesta registerförfattningar Àr i dag utformade i enlighet med den kompletterande modellen. Den tekniken kÀnnetecknas av att sÀrregleringen endast kompletterar eller ersÀtter huvudregleringen, dvs. personuppgiftslagen, i frÄgor som Àr specifika för de verksam- heter som omfattas av sÀrlagstiftningen. Den myndighet som berörs mÄste dÀrmed tillÀmpa sÄvÀl den sÀrskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Person- uppgiftslagen ska tillÀmpas om inte annat följer av registerförfatt- ningen eller av föreskrifter som meddelats med stöd av registerför- fattningen. Detta gÀller oavsett om registerförfattningen i frÄga innehÄller eller inte innehÄller nÄgon bestÀmmelse som anger vilket förhÄllande som gÀller mellan författningen och personuppgiftslagen. FrÄgan om en viss bestÀmmelse innefattar en avvikelse frÄn vad som ska gÀlla enligt personuppgiftslagen fÄr göras med tillÀmpning av sed- vanliga metoder för tolkning av författningar (se prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltsÄ inte mÄste regleras att registerförfattningen och personuppgiftslagen kompletterar varan- dra pÄ detta sÀtt, innehÄller registerförfattningar ofta bestÀmmelser som ger uttryck för förhÄllandet till personuppgiftslagen, dvs. det anges pÄ ett eller annat sÀtt att personuppgiftslagen gÀller utöver re- gisterförfattningen. Ofta anges detta i en paragraf under en sÀrskild rubrik, exempelvis FörhÄllandet till personuppgiftslagen.
Vid anvĂ€ndning av den hĂ€nvisande modellen anges i registerför- fattningen att den gĂ€ller i stĂ€llet för personuppgiftslagen, om inte annat anges i bestĂ€mmelser i registerförfattningen som hĂ€nvisar till sĂ€rskilt utpekade bestĂ€mmelser i personuppgiftslagen som ska vara tillĂ€mpliga Ă€ven vid behandling av personuppgifter enligt register- författningen i frĂ„ga. Ăven vid den hĂ€nvisande modellen mĂ„ste alltsĂ„ myndigheten tillĂ€mpa sĂ„vĂ€l den sĂ€rskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. DĂ€remot behöver man inte jĂ€mföra bestĂ€mmelserna i de bĂ„da författningarna
138
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
för att komma fram till vad som gÀller. Den hÀnvisande modellen anvÀnds i flertalet registerförfattningar som gÀller för behandling av personuppgifter inom den brottsbekÀmpande sektorn, exempelvis polisdatalagen och den nya tullbrottsdatalagen som trÀder i kraft den 1 juli 2017.
För de registerförfattningar som Àr konstruerade enligt den hel- tÀckande modellen Àr personuppgiftslagen över huvud taget inte tillÀmplig betrÀffande den behandling av personuppgifter som regle- ras genom författningen. De bestÀmmelser i personuppgiftslagen som trots detta ska tillÀmpas i den aktuella verksamheten upprepas i stÀllet i registerförfattningen, vilket i praktiken innebÀr ett slags dubbel- reglering. Fördelen Àr att tillÀmparen inte behöver lÀsa i tvÄ olika lagar
â registerförfattningen respektive personuppgiftslagen â för att kon- statera vilka bestĂ€mmelser som reglerar den aktuella personuppgifts- behandlingen. Registerförfattningen Ă€r sĂ„ledes heltĂ€ckande pĂ„ sĂ„ sĂ€tt att den helt ersĂ€tter personuppgiftslagen. Den heltĂ€ckande modellen Ă€r ovanlig men anvĂ€nds t.ex. i kameraövervakningslagen (2013:460).
VÄra bedömningar och förslag
VÄrt förslag till lagstiftning för genomförande av
Redan hÀr vill vi emellertid framhÄlla att det mot bakgrund av dataskyddsreformen, som ska genomföras ungefÀr samtidigt med
139
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
FörhÄllandet till dataskyddsförordningen
Vissa bestÀmmelser i den nya lag som vi föreslÄr kommer att ha lufttrafikföretagen som adressat. Dessa bestÀmmelser handlar i allt vÀsentligt om skyldigheter för företagen att leverera
FörhÄllandet till den föreslagna ramlagen, brottsdatalagen
Vi kommer i vÄrt arbete att i stor utstrÀckning förhÄlla oss till det förslag till ramlag som lÀmnats av Utredningen om 2016 Ärs data- skyddsdirektiv sÄsom om den vore genomförd i enlighet med utred- ningsförslaget. Av framstÀllningstekniska skÀl har vi valt att kon- sekvent kalla förslaget för brottsdatalagen och Àven anvÀnda förkortningen BDL i anslutning till hÀnvisningar till föreslagna be- stÀmmelser. Det kan förvisso te sig ovanligt att i sÄ stor utstrÀckning förhÄlla sig till ett författningsförslag som Ànnu inte Àr antaget av riksdagen och inte heller har föreslagits av regeringen eller ens remiss- behandlats. Det Àr dock frÄga om en ovanlig situation dÀr vÄra för-
140
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
fattningsförslag, sÄsom anförts ovan, bör anpassas till genomförandet av det nya dataskyddsdirektivet som ska genomföras ungefÀrligen vid samma tidpunkt. I sammanhanget kan nÀmnas att flera artiklar i
Vi bedömer att den personuppgiftsbehandling som kommer att ske hos den nationella enheten för passagerarinformation som en följd av
Det Àr vidare vÄr uppfattning att brottsdatalagen, som förslaget nu Àr utformat, kommer att i och för sig vara tillÀmplig pÄ behand- lingen av
FrÄgan Àr om brottsdatalagens tillÀmplighet bör framgÄ i lagen genom nÄgon bestÀmmelse pÄ sÀtt som i dag vanligen sker nÀr det
141
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
gÀller befintliga registerförfattningars förhÄllande till personuppgifts- lagen.
Som framgÄtt kommer avvikande bestÀmmelser i annan lag eller förordning att gÀlla framför brottsdatalagens bestÀmmelser alldeles oavsett om detta anges i registerförfattningar eller inte. OmvÀnt gÀller vidare att brottsdatalagens bestÀmmelser kommer att vara tillÀmpliga Àven pÄ en registerförfattnings tillÀmpningsomrÄde, i den utstrÀckning som den sistnÀmnda inte innehÄller avvikande bestÀm- melser och givetvis i övrigt faller under brottsdatalagens tillÀmp- ningsomrÄde.
Utredningen om 2016 Ärs dataskyddsdirektiv har aviserat att det kommer att lÀmnas förslag om en delvis ny regleringsmodell för registerförfattningarna pÄ omrÄdet. Enligt förslaget ska registerför- fattningarna anpassas till brottsdatalagen pÄ sÄ sÀtt att de ska gÀlla utöver ramlagen och bara innehÄlla de bestÀmmelser som innebÀr undantag eller avvikelser frÄn bestÀmmelserna i ramlagen (se SOU 2017:29 s. 141). Utredningen kommer dock, i enlighet med direkti- ven för arbetet, först i slutbetÀnkandet lÀmna förslag till de förÀnd- ringar som behöver göras i myndigheternas registerförfattningar som en följd av brottsdatalagen.
De redovisade modeller som förekommer bland gÀllande register- författningar Àr alla förenade med bÄde för- och nackdelar. VÄr ambition Àr att anpassa vÄr lagkonstruktion till hur de centrala för- fattningarna om personuppgiftsbehandling pÄ det brottsbekÀmpande omrÄdet kommer att se ut framöver.
Utredningen om 2016 Ärs dataskyddsdirektiv har alltsÄ redan an- gett att sÀrförfattningarna ska utformas i enlighet med den komplet- terande modellen. Hur detta kommer att nÀrmare utformas Àr dock pÄ nuvarande stadium inte klart, dvs. om det kommer att föras in bestÀmmelser i respektive registerförfattning som klargör dess för- hÄllande till brottsdatalagen eller inte.
Vi ser inte skĂ€l att föreslĂ„ en annan lagteknisk lösning för vĂ„r lag, i den utstrĂ€ckning den riktar sig till myndigheter som Ă€r behöriga myndigheter enligt den nya brottsdatalagen. Ăven den lagstiftning vi föreslĂ„r bör alltsĂ„ vara kompletterande och gĂ€lla utöver brotts- datalagen. FrĂ„gan Ă€r om det behöver anges pĂ„ annat sĂ€tt Ă€n genom den bestĂ€mmelse i brottsdatalagen som anger att avvikande bestĂ€m- melser i lag eller förordning gĂ€ller före den lagen.
142
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
Brottsdatalagen Àr utformad för och kommer att, med visst undantag, att gÀlla generellt för brottsbekÀmpande verksamhet vid myndigheter som har till uppgift att bedriva sÄdan verksamhet. Detta kommer att bli vÀl inarbetat hos dessa myndigheter. Vi ser dÀrför inte att det finns ett behov av att i en allmÀn bestÀmmelse i den lag vi föreslÄr upplysa om förhÄllandet till brottsdatalagen, vare sig att brottsdatalagen gÀller utöver de regler som finns i den föreslagna lagen eller, motsatsvis, att den föreslagna lagens bestÀmmelser ersÀtter eller gÀller utöver brottsdatalagens bestÀmmelser. Det sagda menar vi bör gÀlla för sÄvÀl den reglering som avser personuppgiftsbehand- ling vid enheten för passagerarinformation vid Polismyndigheten som de bestÀmmelser som berör den behandling som kommer att ske hos behöriga myndigheter nÀr de mottar
Sammantaget Àr det alltsÄ vÄr bedömning att övervÀgande skÀl talar för att det Àr mest ÀndamÄlsenligt att inte ta in nÄgon bestÀmmelse i den av oss föreslagna lagen som upplyser om det som redan gÀller vare sig det uttrycks sÀrskilt i lagen eller inte. Med detta Äsyftas att brottsdatalagen ocksÄ gÀller vid behandlingen av
Det Àr möjligt att de lagtekniska lösningarna för registerför- fattningars förhÄllande till brottsdatalagen som Utredningen om
143
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
2016 Ärs dataskyddsdirektiv kommer att föreslÄ blir andra och att det dÀrför, för att uppnÄ konsekvensens och ÀndamÄlsenlighet pÄ omrÄdet, finns anledning att i det fortsatta arbetet med genomföran- det av
Registerförfattningar
En ytterligare frÄga Àr hur den av oss föreslagna lagstiftningen ska förhÄlla sig till sÄdana registerförfattningar som i dag gÀller och som framöver kommer att anpassas till brottsdatalagen.
UtgÄngspunkten för vÄrt uppdrag Àr, enligt vÄra kommittédirek- tiv, att den nationella enheten för passagerarinformation ska inrÀttas vid Polismyndigheten. Vi kommer att behandla detta mer ingÄende i avsnitt 10. Redan hÀr och i linje med det ovan sagda kan sÀgas att enhetens arbete kommer att omfattas av tillÀmpningsomrÄdet för polisdatalagen i dess nuvarande lydelse (1 kap. 2 § första stycket 1 PDL). Det Àr oklart hur polisdatalagens tillÀmpningsomrÄde kom- mer att anges i det anpassade förslag som Utredningen om 2016 Ärs dataskyddsdirektiv ska föreslÄ. Vi har dÀrför att utgÄ frÄn den ut- formning som finns i dag.
MÄnga bestÀmmelser i den lag vi föreslÄr kommer att avvika frÄn regleringen i polisdatalagen. Det gÀller t.ex. bestÀmmelser om tillÄtna ÀndamÄl, behandling av kÀnsliga personuppgifter, gallring, Ätkomst m.m. Det skulle tala för att den av oss föreslagna lagen helt skulle ersÀtta polisdatalagen. Samtidigt kommer emellertid enhetens arbete med
I den tÀmligen omfattande bearbetningen och i det analysarbete som ska ske vid enheten bör enligt vÄr mening polisdatalagen gÀlla i den utstrÀckning som den av oss föreslagna lagen inte innehÄller avvikande bestÀmmelser. Vi föreslÄr dÀrför detta. Rent lagtekniskt bör detta Ästadkommas genom en bestÀmmelse som utformas med 1 kap. 4 § PDL som modell. Det bör alltsÄ föras in en bestÀmmelse i polisdatalagen, 1 kap. 4 a §, av vilken framgÄr att det finns av- vikande bestÀmmelser i den av oss föreslagna lagen som ska tillÀmpas
144
SOU 2017:57 |
UtgÄngspunkter och inledande stÀllningstaganden |
i stÀllet för bestÀmmelserna i polisdatalagen nÀr det gÀller person- uppgiftsbehandling vid enheten för passagerarinformation.
De behöriga myndigheterna kommer ocksĂ„ att behandla PNR- uppgifter nĂ€r de vĂ€l mottagit denna information frĂ„n enheten för passagerarinformation. Ăven för den behandlingen kommer det i vĂ„ra författningsförslag finnas vissa begrĂ€nsningar som gĂ„r utöver vad som i dag gĂ€ller enligt polisdatalagen och motsvarande regle- ringar för andra behöriga myndigheter som utsetts eller senare kan komma att utses av regeringen till behöriga myndigheter enligt
I och med att Polismyndigheten och Ekobrottsmyndighetens ut- setts som behöriga myndigheter kan den av oss nyss föreslagna be- stÀmmelsen i polisdatalagen göras mer generell sÄ att den omfattar all behandling enligt den av oss föreslagna lagen för dessa myndig- heter. Enligt vad vi upplysts om Àr tanken att det endast Àr inom Ekobrottsmyndighetens polisiÀra del som det kommer att bli aktuellt att behandla
För Tullverkets del bör en motsvarande bestÀmmelse tas in i den nya tullbrottsdatalagen, Vi föreslÄr dÀrför det. BestÀmmelsen kan tas in som en nytt tredje stycke i 2 kap. 8 § TBL.
Med tanke pÄ den osÀkerhet som rÄder angÄende den kommande regleringen för SÀkerhetspolisen har vi inte sett det som möjligt att lÀmna nÄgot förslag för den myndigheten. I den mÄn SÀkerhets- polisen Àven framgent ska omfattas av polisdatalagens tillÀmpnings- omrÄde, kommer emellertid den bestÀmmelse vi ovan föreslagit i polisdatalagen att Àven omfatta SÀkerhetspolisens personuppgifts- behandling.
SÀrskilt om Försvarsmakten
Som nÀmnts ovan utsÄg regeringen den 4 maj 2017 Polismyndig- heten, SÀkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten sÄsom behöriga myndigheter enligt artikel 7 i direk-
145
UtgÄngspunkter och inledande stÀllningstaganden |
SOU 2017:57 |
tivet. Vi har av tidsskÀl inte haft möjlighet att nÀrmare behandla frÄgor som gÀller Försvarsmakten.
SÄvitt vi erfarit Àr tanken att
146
9Den nya lagens inledande bestÀmmelser
9.1Den nya lagens namn, innehÄll och syfte
VÄra förslag: Den nya lagen ska heta lagen om flygpassagerar- uppgifter i brottsbekÀmpningen. Lagen ska inledas med bestÀm- melser som i korthet anger lagens innehÄll och att lagen innebÀr ett genomförande av
Syftet med lagen ska vara att dels tillgodose behovet av till- gÄng till
Lagens namn
Som framgÄtt i avsnitt 8.2 kommer den nya lagen som genomför
147
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
Den nya lagen Àr komplex och riktar sig i större eller mindre utstrÀckning till flera aktörer. För att i nÄgon mÄn leva upp till kravet pÄ korta lagrubriker anser vi att benÀmningen lagen om flygpassa- geraruppgifter i brottsbekÀmpningen Àr ÀndamÄlsenlig dÄ den fÄngar kÀrnan i regleringen, nÀmligen att sÄdana uppgifter ska bli tillgÀng- liga för anvÀndning inom brottsbekÀmpande verksamhet.
Lagens innehÄll
De
148
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
innebörd i
BestÀmmelsen i artikel 1 utgör en bra sammanfattning av direk- tivet. En ny lag om
Upplysning om
I författningar som genomför direktiv förekommer ibland och ibland inte en upplysning om att författningen i frÄga genomför ett EU- direktiv. En sÄdan bestÀmmelse har ingen materiell betydelse som sÄdan utan innebÀr enbart just en upplysning. Vi ser ett vÀrde i att upplysa om att lagen genomför
149
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
Lagens syfte
Direktivets syfte fÄr anses framgÄ av dess ingress. I skÀl 5 anges att mÄlen för direktivet bland annat Àr att trygga sÀkerheten, skydda personers liv och sÀkerhet och att inrÀtta en rÀttslig ram till skydd för
Enligt skÀl 10 Àr det av största vikt att alla medlemsstater inför bestÀmmelser om skyldigheter för lufttrafikföretag som tillhanda- hÄller flygförbindelser utanför EU att överföra de
PÄ grund av rÀttsliga och tekniska skillnader mellan olika natio- nella bestÀmmelser om behandling av personuppgifter, dÀribland
150
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
direktivet att det Àr nödvÀndigt att pÄ unionsnivÄ inrÀtta en gemen- sam rÀttslig ram för överföring och behandling av
Det bör i lagens inledande del finnas en bestÀmmelse som be- skriver lagens syfte. En sÄdan bestÀmmelse mÄste dock utformas pÄ ett mycket övergripande och förenklat sÀtt men ÀndÄ fÄnga regle- ringens syfte. Detta Àr tudelat. Lagen syftar dels till att ge behöriga myndigheter tillgÄng till information för anvÀndning i viss brotts- bekÀmpande verksamhet, dels till att vÀrna de enskildas integritet vid insamlingen och den vidare anvÀndningen samt utbytet av upp- gifter om dem.
9.2Definitioner i lagen
VÄrt förslag: Vissa uttryck som anvÀnds i lagen ska definieras. Definitionerna ska ligga sÄ nÀra
Vi har i tidigare avsnitt angett att dataskyddsförordningen, brotts- datalagen, polisdatalagen och viss annan dataskyddsreglering för behöriga myndigheter kommer att gÀlla i mer eller mindre stor utstrÀckning utöver de bestÀmmelser som vi föreslÄr i den nya lagen. DÀrmed kommer en hel rad dataskyddsrÀttsliga begrepp att ocksÄ bli tillÀmpliga vid behandling av personuppgifter enligt vÄr lag. Exempel pÄ detta Àr just orden behandling och personuppgifter, men Àven begreppen personuppgiftsansvarig, personuppgiftsbitrÀde, dataskyddsombud, registrerad m.m.
I artikel 3 i
151
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
direktivet och för att ringa in dess nÀrmare tillÀmpningsomrÄde. Vi menar att huvuddelen av dessa definitioner bör tas in i den nya lagen som genomför direktivet och föreslÄr dÀrför detta. Vi kommer dÀr- vid att förhÄlla oss nÀra lydelsen i direktivet. Vilka begreppen Àr kommer att nÀrmare behandlas eller annars framgÄ i andra avsnitt i detta betÀnkande.
Ett par definitioner i direktivet kommer det dock att saknas be- hov av i vÄrt förslag enligt vÄr bedömning. Detta gÀller till en början begreppen flygning utanför EU och flygning inom EU, eftersom det inte kommer att finnas nÄgon sÀrreglering för det ena eller andra slaget av flygningar. Inte heller finns det behov av att definiera be- greppet sÀndmetoden. Detta kommer vi att nÀrmare behandla i av- snitt 11.4.7.
Vidare kommer vi att föreslÄ definitioner av en del ytterligare begrepp Àn de som anges i artikel 3 i direktivet. SkÀlet till detta Àr nÀrmast att förenkla utformningen av de materiella bestÀmmelserna i lagen. Inte i nÄgot avseende kommer dessa extra definitioner att strida mot direktivet. Vilka dessa definitioner Àr kommer att framgÄ i senare avsnitt.
Av avgörande betydelse för
9.3Terroristbrott
I artikel 3.8 i
152
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
9.3.1Bakgrund
Vad som utgör ett terroristbrott definieras i artikel 1 i terrorism- rambeslutet. Med ett sÄdant brott avses i korthet vissa uppsÄtliga handlingar som genom sin art eller sitt sammanhang allvarligt kan skada ett land eller en internationell organisation och som begÄs i syfte att
âinjaga allvarlig fruktan hos en befolkning,
âotillbörligen tvinga offentliga organ eller en internationell orga- nisation att utföra eller att avstĂ„ frĂ„n att utföra en handling, eller
âallvarligt destabilisera eller förstöra de grundlĂ€ggande politiska, konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation.
Artiklarna
Den 15 mars 2017 antog Europaparlamentet och rÄdet ett direktiv om bekÀmpande av terrorism2 (terrorismdirektivet). Direktivet har trÀtt i kraft. Avsikten med direktivet Àr att faststÀlla minimiregler rörande definitionen av straffbara gÀrningar samt pÄföljder och sank- tioner pÄ omrÄdet för terroristbrott, brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet.
1RÄdets rambeslut 2008/919/RIF av den 28 november 2008 om Àndring av rambeslut 2002/475/RIF om bekÀmpande av terrorism.
2Europaparlamentets och rÄdets direktiv (EU) 2017/541 av den 15 mars 2017 om bekÀmpande av terrorism, om ersÀttande av rÄdets rambeslut 2002/475/RIF och om Àndring av rÄdets beslut 2005/671/RIF.
153
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
Avsikten Àr vidare att faststÀlla minimiregler om ÄtgÀrder för skydd av och hjÀlp till offer för terrorism. Direktivet innehÄller flera nyheter i förhÄllande till rambeslutet. Bl.a. föreslÄs terroristbrottet utökas till att Àven omfatta vissa angrepp mot informationssystem (i svensk rÀtt t.ex. grovt dataintrÄng). Kriminaliseringen av terrorismfinansi- ering utvidgas ocksÄ. Artiklarna
Utredningen om genomförande av vissa straffrÀttsliga Ätaganden för att förhindra och bekÀmpa terrorism (Ju 2014:26) har fÄtt i upp- drag att analysera behovet av och lÀmna förslag till de författnings- Àndringar som behövs för att genomföra det nya terrorismdirektivet. Utredningen ska redovisa detta uppdrag senast den 29 september 2017.
Vidare har en sÀrskild utredare fÄtt i uppdrag att genomföra en översyn av den nationella straffrÀttsliga lagstiftningen för att bekÀmpa terrorism. Syftet med översynen Àr att Ästadkomma en ÀndamÄls- enlig, effektiv och överskÄdlig reglering som samtidigt Àr förenlig med ett vÀl fungerande skydd för grundlÀggande fri- och rÀttigheter. Den föreslagna regleringen bör enligt utredningsdirektivet samlas i ett regelverk (dir. 2017:14). Uppdraget ska redovisas senast den 31 januari 2019.
9.3.2VÄra övervÀganden och förslag
VÄrt förslag: I stÀllet för direktivets benÀmning terroristbrott ska benÀmningen terroristbrottslighet anvÀndas i lagen. Terrorist- brottslighet ska i den nya lagen definieras som de brott enligt nationell rÀtt i Sverige eller andra medlemsstater som avses i artik- larna
154
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
Behovet och nyttan av en upprÀkning av olika brottsbenÀmning- ar som avser terroristbrottslighet kan ifrÄgasÀttas, bl.a. med hÀnsyn till att det frÀmst Àr enheten för passagerarinformation som ska tillÀmpa regleringen. Till detta kommer att terrorismdirektivet har trÀtt i kraft. Detta direktiv, som ersÀtter terrorismrambeslutet, inne- hÄller flera förÀndringar avseende aktuell brottslighet. En möjlig upprÀkning av svenska brott i vÄrt författningsförslag skulle dÀrmed bli inaktuell efter genomförandet av terrorismdirektivet.
Det frÀmsta skÀlet mot en upprÀkning av svenska brottsbenÀm- ningar Àr emellertid att Àven terroristbrottslighet i andra medlems- staters nationella rÀtt, vari 2002 Ärs rambeslut genomförts eller det nya terrorismdirektivet kommer att genomföras, Àr av betydelse för tillÀmpningen av den nya lag vi föreslÄr. SÄ blir fallet vid utlÀmnande av
I redan befintlig nÀraliggande lagstiftning rörande brottsbekÀm- pande myndigheters Ätkomst till informationssystemet för viseringar (VIS) förekommer en lagteknisk lösning som innebÀr att begreppet terroristbrott definieras genom en direkt hÀnvisning till definitionen i artikeln i rÄdets beslut 2008/633/RIF, se 24 § lagen (2000:343) om internationellt polisiÀrt samarbete och prop. 2014/15:82 s. 34 f. I artikeln i frÄga hÀnvisas vidare till artiklar i 2002 Ärs rambeslut. Vi har övervÀgt en motsvarande lösning eftersom det finns uppenbara
155
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
fördelar med enhetliga lagtekniska lösningar pÄ nÀraliggande omrÄden. Enligt vÄr mening skulle det emellertid innebÀra en enklare och tyd- ligare reglering att i vÄr lag föra in en direkt hÀnvisning till de brott enligt nationell rÀtt som avses i rambeslutet. Med nationell rÀtt skulle dÄ kunna avses sÄvÀl svensk som annat
Som nyss angetts har terrorismdirektivet förvisso trÀtt i kraft. Den av oss föreslagna definitionen kan dÀrför troligen behöva Àndras i samband med att terrorismdirektivet genomförs i svensk rÀtt. Det Àr Ànnu inte klart hur detta kommer att genomföras i Sverige och vilka analyser som kommer att göras angÄende förhÄllandet mellan befintliga och nya definitioner av aktuell brottslighet. Dessa analy- ser och stÀllningstaganden bör lÀmpligen göras av den utredning som genomför terrorismdirektivet.
9.4Grov brottslighet
Med grov brottslighet avses enligt
Förteckningen över brott i bilaga II omfattar 26 punkter. Upp- rÀkningen innefattar flera brottsbalksbrott (t.ex. mord, grov miss- handel, rÄn och bedrÀgeri) liksom brott och gÀrningstyper i special- straffrÀtten (t.ex. narkotikabrott och miljöbrott). En del punkter avser brott som inte har nÄgon direkt svensk motsvarighet, dock kan det indirekt, helt eller delvis, finnas motsvarigheter.
156
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
9.4.1Bakgrund
De brott som anges i bilaga II till
Tanken med urvalet av brotten i den s.k. listan enligt artikel 2.2 i rambeslutet Àr att listan ska omfatta typiskt sett grov, grÀnsöver- skridande brottslighet som kan förekomma mellan medlemsstater- na (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 58.). Vare sig i arresteringsorderlagen eller i dess förarbeten finns angivet vilka svenska brott som motsvarar listbrotten. Detta fÄr anses naturligt eftersom lagen endast gÀller överlÀmnande frÄn Sverige enligt en euro- peisk arresteringsorder och en uppgift frÄn den utfÀrdande myn- digheten om att en gÀrning omfattas av listan innebÀr att nÄgon prövning inte ska göras. FrÄgan om överlÀmnande till Sverige enligt en europeisk arresteringsorder regleras i förordningen (2003:1178)
3RÄdets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlÀmnande mellan staterna (2002/584/RIF).
4En motsvarande lösning har införts i lagen (2015:650) om erkÀnnande och verkstÀllighet av frivÄrdspÄföljder inom Europeiska unionen.
157
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
om överlÀmnande till Sverige enligt en europeisk arresteringsorder. Enligt förordningen fÄr en arresteringsorder för lagföring utfÀrdas för brott, för vilket den eftersökte Àr hÀktad pÄ sannolika skÀl miss- tÀnkt för brottet och för vilket Àr föreskrivet fÀngelse i ett Är eller mer. Inte heller nÀr det gÀller överlÀmnande till Sverige enligt en euro- peisk arresteringsorder finns det sÄledes angivet vilka svenska brott som motsvarar listbrotten. De brott som anges i listan motsvarar dock inte nödvÀndigtvis brott som i den svenska lagen har samma beteckning (se prop. 2001/02:118 s. 8 och prop. 2003/04:7 s. 57 f.).
För att de brott som anges i bilaga II till
För Sveriges del innebÀr kravet pÄ att det ska finnas tre Ärs fÀngel- se i straffskalan för ett brott att det i flera fall krÀvs att brott be- döms som grova för att de ska omfattas av direktivets anvÀndnings- omrÄde Àven om de i och för sig omfattas av listan. Som exempel kan nÀmnas stöld, bedrÀgeri, barnpornografibrott och vapenbrott. Narkotikabrott och narkotikasmuggling av normalgraden omfattas dock. Inom tillÀmpningsomrÄdet faller ocksÄ t.ex. mord och drÄp, grov och synnerligen grov misshandel, mÀnniskorov, mÀnniskohandel, olaga frihetsberövande, vÄldtÀkt, och rÄn.
9.4.2VÄra övervÀganden och förslag
VÄrt förslag: Begreppet grov brottslighet ska i lagen definieras genom en hÀnvisning till de brott som anges i bilaga II till PNR- direktivet och för vilka det i nationell rÀtt i Sverige eller andra medlemsstater Àr föreskrivet fÀngelse i tre Är eller mer.
158
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
Vid genomförandet av EU:s direktiv om underlÀttande av ett grÀns- överskridande informationsutbyte om trafiksÀkerhetsrelaterade brott, det s.k.
PÄ samma sÀtt ansÄg regeringen vid genomförandet av
Den hÀnvisningslösning som har valts vid genomförandet av bl.a.
159
Den nya lagens inledande bestÀmmelser |
SOU 2017:57 |
svensk lagstiftning Àr av intresse för tillÀmpningen av den nya lagen. Vid utlÀmnande av
Det som talar mot en hÀnvisning till direktivets definition av grov brottslighet Àr att en viss otydlighet kan komma att uppstÄ för tillÀmparna. Som angivits ovan kommer det dock att vara den natio- nella enheten för passageraruppgifter som i första hand kommer att behandla
Enligt vÄr mening framstÄr lösningen med en direkt hÀnvisning till direktivets bilaga sammantaget som den bÄde enklaste och lÀmp- ligaste lösningen för den nya lagen. Eftersom direktivets definition har rÀttats bör det av tydlighetsskÀl dÀrutöver av lagens definition framgÄ att brottsligheten ska vara sÄdan för vilken det i nationell rÀtt i Sverige eller andra medlemsstater Àr föreskrivet fÀngelse i tre Är eller mer.
9.5OtillÄten behandling av
VÄrt förslag: Det ska i lagen föras in en inledande allmÀn portal- bestÀmmelse som tydliggör att det inte Àr tillÄtet att behandla
Vi har redan nĂ€mnt att det i artikel 1.2 i direktivet föreskrivs â under artikelns rubrik âSyfte och tillĂ€mpningsomrĂ„deâ â att
160
SOU 2017:57 |
Den nya lagens inledande bestÀmmelser |
Artikeln kan enligt vÄr mening ses som en portalbestÀmmelse som talar om vilken behandling av
Av direktivets olika bestÀmmelser följer vidare att inte heller resul- tatet av en enhet för passagerarinformations behandling av PNR- uppgifter fÄr anvÀndas för andra syften Àn att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet.
Vi menar att det Àr lÀmpligt att i en allmÀn portalparagraf slÄ fast den begrÀnsning för anvÀndningen av
I avsnitt 18.5 kommer vi att föreslÄ ett mer allmÀngiltigt förbud som enligt vÄr mening bör tas in redan i lagens inledande kapitel, nÀmligen förbudet mot behandling av kÀnsliga personuppgifter. Av framstÀllningstekniska skÀl behandlas frÄgan först i det nÀmnda senare avsnittet.
161
10En enhet för passagerarinformation
10.1Direktivets bestÀmmelser
Enligt artikel 4.1 i direktivet ska varje medlemsstat inrÀtta eller utse en myndighet med behörighet att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet eller en av- delning inom en sÄdan myndighet vilken ska fungera som medlems- statens enhet för passagerarinformation. Av skÀl 13 framgÄr att ett syfte med att
a)samla in
b)utbyta bÄde
Personal vid enheten för passagerarinformation kan, enligt artikel 4.3, utgöras av tjÀnstemÀn som har avdelats frÄn behöriga myndigheter. Vidare anges att medlemsstaterna ska ge enheterna för passagerar- information tillrÀckliga resurser för att de ska kunna utföra sina upp- gifter. Av artikel 4.4 framgÄr att tvÄ eller flera medlemsstater fÄr in- rÀtta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. Slutligen anges i artikel 4.5 att varje med- lemsstat inom en mÄnad frÄn inrÀttandet eller utseendet av sin enhet för passagerarinformation ska informera kommissionen om detta och fÄr nÀr som helst Àndra detta meddelande. Kommissionen ska
163
En enhet för passagerarinformation |
SOU 2017:57 |
offentliggöra meddelandet och eventuella Àndringar dÀrav i Euro- peiska unionens officiella tidning.
10.2Den svenska enheten för passagerarinformation
VÄra förslag: Det ska i lagens inledande bestÀmmelser tas in en paragraf om att det hos Polismyndigheten ska finnas en enhet för passagerarinformation. I bestÀmmelsen ska enhetens övergripan- de uppgifter beskrivas. Dessa Àr att samla in
I lagens definitionsparagraf tas in ett samlingsbegrepp för
Det förs Àven i lagen in en definition av behörig mottagare. Med en behörig mottagare avses en behörig myndighet i Sverige, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.
Artikel 4 slÄr alltsÄ fast att varje medlemsstat ska inrÀtta en egen eller med andra medlemsstater gemensam enhet. Enligt direktivet ska enheten utgöra en egen myndighet med brottsbekÀmpande uppgifter eller utgöra en avdelning inom en sÄdan myndighet, Direktivet ger sÄledes inte utrymme för att enheten utformas som ett myndighets- gemensamt organ för samverkan mellan flera nationella myndigheter med brottsbekÀmpande uppgifter. Direktivet slÄr ocksÄ fast vad en- heten för passagerarinformation ska ha för grundlÀggande uppgifter.
Enligt vÄra kommittédirektiv Àr utgÄngspunkten för vÄrt upp- drag att den nationella enheten för passagerarinformation ska pla- ceras vid Polismyndigheten. Det Àr sÄledes inte aktuellt för vÄr del att övervÀga en placering hos nÄgon annan myndighet, att en med annan medlemsstat gemensam enhet för passagerarinformation skulle finnas eller att den svenska enheten ska inrÀttas som en egen myn- dighet.
164
SOU 2017:57 |
En enhet för passagerarinformation |
InrÀttandet och placeringen av den svenska nationella enheten för passagerarinformation bör enligt vÄr mening komma till klart uttryck genom en bestÀmmelse som placeras bland den nya lagens inledande bestÀmmelser. I och med att det redan i lagen framgÄr att enheten ska finnas och vara placerad vid Polismyndigheten, saknas behov av föreskrifter om enheten i Polismyndighetens instruktion.
Ăven enhetens övergripande uppgifter bör komma till klart ut- tryck i bestĂ€mmelsen. Dessa uppgifter kan uttryckas pĂ„ motsvarande sĂ€tt som i artikel 4.2 i direktivet. Dock anges i den nĂ€mnda artikeln endast att utbyte av
Som framgÄr redan i artikel 4.2 avser enhetens uppgifter inte bara att lagra, analysera och utbyta
165
En enhet för passagerarinformation |
SOU 2017:57 |
10.3Enhetens organisation och utredningens uppdrag
VÄr bedömning: VÄra författningsförslag ger ett rÀttsligt ramverk för verksamheten enligt den nya lagen vid enheten för passagerar- information. Hur enheten nÀrmare ska organiseras, bemannas och administreras m.m. bör överlÄtas till Polismyndigheten att bestÀmma, lÀmpligen i samrÄd med behöriga myndigheter.
Enligt vÄra kommittédirektiv ska Polismyndigheten ansvara för genomförandet av direktivets tekniska bestÀmmelser. I vÄrt utred- ningsuppdrag ingÄr dock att föreslÄ hur enheten för passagerar- information ska organiseras.
Inom Polismyndigheten pÄgÄr redan ett arbete med att införa en enhet för passagerarinformation. En förstudie gÀllande införandet av en systematiserad hantering av PNR- och
Vi har tolkat utredningsuppdraget sÄ att vi i frÄgan om hur en- heten för passagerarinformation ska vara organiserad bör arbeta i linje med det planeringsarbete som redan pÄgÄr. Vi ser det sÄledes som vÄrt uppdrag att se till att det finns ett rÀttsligt ramverk inom vilket inrÀttandet och organiseringen kan utvecklas vidare. VÄr mÄl- sÀttning Àr sÄledes att ge Polismyndigheten möjlighet att genomföra direktivets tekniska bestÀmmelser och utarbeta hur enheten för passa- gerarinformation rent operativt och administrativt ska organiseras. De mer praktiska frÄgorna kring hur enheten för passagerarinforma- tion rent faktiskt ska arrangeras och bemannas tas lÀmpligen och bÀst om hand av involverade myndigheter sjÀlva. UtgÄngspunkten för vÄrt arbete Àr alltsÄ att Polismyndigheten i stor utstrÀckning ska fÄ bestÀmma sin egen organisation (jfr 38 § förordning [2014:1102] med instruktion för Polismyndigheten). Med tanke pÄ enhetens uppgifter att bidra till arbetet att bekÀmpa terroristbrottslighet och
166
SOU 2017:57 |
En enhet för passagerarinformation |
grov brottslighet Àven vid andra behöriga myndigheter, ter det sig dock lÀmpligt att det i relevant omfattning sker ett samrÄd med dessa andra myndigheter nÀr det gÀller utformningen av enhetens organi- sation och arbetssÀtt m.m. Det Àr dock inget som vi anser behöver regleras nÀrmare. Endast i den mÄn det anses nödvÀndigt kommer vi dÀrför att föreslÄ att enheten för passagerarinformations organi- sation ska författningsregleras (jfr prop. 2013/14:110 s. 395 f.).
Organisatoriska frÄgor för utredningen
Vi ser det sÄledes som vÄrt uppdrag att utarbeta ett rÀttsligt ramverk inom vilket Polismyndigheten kan organisera enheten för passa- gerarinformation. Den övergripande rÀttsliga frÄgan av organisato- risk karaktÀr som enligt vÄr mening bör behandlas av utredningen, avser att övervÀga vilken reglering som krÀvs för att sÀkerstÀlla att behandlingen av
167
En enhet för passagerarinformation |
SOU 2017:57 |
10.4TillgÄngen till
10.4.1DirektÄtkomst
VÄrt förslag: DirektÄtkomst till
Om direktÄtkomst
Det finns inte nÄgon legaldefinition av begreppet direktÄtkomst. Begreppet har dock anvÀnts i lagstiftningssammanhang sedan 1990- talet. Dessförinnan anvÀndes begreppet terminalÄtkomst. Begreppet direktÄtkomst har i senare Ärs dataskyddsreglering frÀmst anvÀnts sÄsom en specialform av elektroniskt utlÀmnande genom passerande av rÀttsliga grÀnser mellan myndigheter eller mellan sjÀlvstÀndiga verk- samhetsgrenar inom myndigheter, s.k. sekretessgrÀnser. Med direkt- Ätkomst avses vanligtvis att nÄgon myndighet har en sÄdan teknisk tillgÄng till en annan myndighets upptagningar som avses i 2 kap. 3 § andra stycket TF. En myndighet med direktÄtkomst har alltsÄ getts direkt tillgÄng till nÄgon annan myndighets register eller data- bas och kan pÄ egen hand söka efter information, normalt utan att kunna pÄverka innehÄllet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger ocksÄ att den som Àr person- uppgiftsansvarig för registret eller databasen inte har nÄgon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfÀlle tar del av. Den myndighet som lÀmnar ut uppgifter genom direktÄtkomst fattar sÄledes inte nÄgot beslut om utlÀmnande av de uppgifter som den som har direktÄtkomst tar del av i varje enskilt fall (se bl.a. SOU 2015:39 s. 121). Beslutet att lÀmna ut uppgifterna tas lÄngt tidi- gare. Uppgifterna i registret eller databasen Àr nÀmligen att betrakta som utlÀmnade i tryckfrihetsförordningen och sekretesslagstift- ningens mening redan dÄ direktÄtkomsten tekniskt etableras.
Varken nuvarande personuppgiftslag eller det nya dataskydds- direktivet reglerar nÀrmare olika sÀtt att elektroniskt lÀmna ut person- uppgifter. Inte heller brottsdatalagen innehÄller bestÀmmelser av det slaget. DÀremot förekommer sÄdana bestÀmmelser i polisdatalagen,
168
SOU 2017:57 |
En enhet för passagerarinformation |
tullbrottsdatalagen och flertalet andra registerförfattningar pĂ„ om- rĂ„det. Enligt 2 kap. 21 § PDL Ă€r direktĂ„tkomst tillĂ„ten bara i den utstrĂ€ckning som följer av polisdatalagen. Av 3 kap. 8 § PDL följer att bl.a. SĂ€kerhetspolisen, Ekobrottsmyndigheten och Tullverket fĂ„r medges direktĂ„tkomst till personuppgifter som har gjorts gemen- samt tillgĂ€ngliga i Polismyndighetens brottsbekĂ€mpande verksamhet. Med gemensamt tillgĂ€ngliga avses att fler Ă€n ett fĂ„tal personer har rĂ€tt att ta del av uppgifterna (3 kap. 1 § PDL). Enligt en förekom- mande uppfattning innebĂ€r tillgĂ„ng bland en grupp pĂ„ fler Ă€n tio personer att rekvisitet gemensamt tillgĂ€ngliga Ă€r uppfyllt. Inte bara antalet personer med tillgĂ„ng rĂ€knas emellertid. Ăven sĂ„dana fak- torer som hur lĂ€nge uppgifter behandlas kan ha betydelse för att ta bara ett exempel. I 3 kap. 2 § PDL anges vilka personuppgifter som fĂ„r göras gemensamt tillgĂ€ngliga.
Det kan ocksÄ nÀmnas att lagen (2006:444) om passagerarregister, som tillkommit för att genomföra
VÄra övervÀganden
Av
Som vi redovisat i avsnitt 8.5 kommer polisdatalagen att vara tillÀmplig vid enhetens behandling av
169
En enhet för passagerarinformation |
SOU 2017:57 |
fÄr medges till vissa av de myndigheter som Àr behöriga myndig- heter enligt
Vi förutsÀtter att informationsutbytet enligt direktivet ska kunna ske med anvÀndning av modern informationsteknik. DÀrmed anser vi att det i vÄr reglering finns behov av ett undantag frÄn den nu- varande bestÀmmelsen i 2 kap. 20 § första meningen PDL som anger att endast enstaka personuppgifter fÄr lÀmnas ut pÄ medium för automatiserad behandling. FrÄgan kan regleras i förordning.
10.4.2Sekretess inom Polismyndigheten?
VÄr bedömning: Det kommer inte att finnas nÄgon sekretess- grÀns mellan enheten för passagerarinformation och Polismyn- dighetens övriga brottsbekÀmpande verksamhet. Det finns inte heller tillrÀcklig anledning att föreslÄ en reglering som skulle kunna skapa en sÄdan sekretessgrÀns.
Uppgifter inom Polismyndighetens verksamhet omfattas av bestÀm- melserna om tystnadsplikt och handlingssekretess i offentlighets- och sekretesslagen. Uppgifter som skyddas av sekretess fÄr inte lÀmnas ut till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen. Sekretess gÀller sÄledes Àven mellan myndigheter (8 kap. 1 § OSL). Mellan myndigheter, Àven med nÀraliggande upp- gifter, finns alltsÄ sekretessgrÀnser.
Enligt 8 kap. 2 § OSL kan det Àven finnas en sekretessgrÀns inom en myndighet, nÀmligen mellan olika verksamhetsgrenar om de Àr att betrakta som sjÀlvstÀndiga i förhÄllande till varandra. Mellan sÄ-
170
SOU 2017:57 |
En enhet för passagerarinformation |
dana verksamhetsgrÀnser fÄr sekretessbelagda uppgifter inte röjas utan stöd i offentlighet- och sekretesslagen. BestÀmmelsen har sin motsvarighet i 2 kap. 8 § TF om nÀr en handling blir allmÀn nÀr den överlÀmnats mellan organ inom samma myndighetsorganisation. Det avgörande Àr Àven i detta fall att organen upptrÀder som sjÀlv- stÀndiga i förhÄllande till varandra. DÀremot behöver det inte vara frÄga om olika verksamhetsgrenar.
FrÄgan om nÀr organ eller verksamhetsgrenar inom samma myn- dighetsorganisation Àr att betrakta som sjÀlvstÀndiga i förhÄllande till varandra kan vara svÄrbedömd. FrÄgan har behandlats i ett antal propositioner pÄ senare Är, se t.ex. En Kronofogdemyndighet i tiden (prop. 2005/06:200 s. 146 f.) och Patientdatalag m.m. (prop. 2007/08:126 s. 162 f. och 202). I dessa propositioner har, mot bak- grund av uttalandena i förarbetena till den tidigare gÀllande sekre- tesslagen, slagits fast att om olika delar av en myndighets verksamhet har att tillÀmpa olika sekretessbestÀmmelser, fÄr de anses utgöra olika verksamhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagstiftning- ens mening finns det skÀl att Àven ta stÀllning till om de ocksÄ Àr att betrakta som sjÀlvstÀndiga i förhÄllande till varandra.
I motiven till offentlighets- och sekretesslagen anges att det för- hÄllandet att en myndighet har att tillÀmpa olika sekretessbestÀm- melser inte med automatik innebÀr att det ocksÄ finns olika verk- samhetsgrenar inom myndigheten i lagens mening. Att myndigheten har att tillÀmpa flera olika sekretessbestÀmmelser kan t.ex. bero pÄ att bestÀmmelserna visserligen gÀller pÄ samma verksamhetsomrÄde men att de finns i olika kapitel dÀrför att de gÀller till skydd för olika intressen, t.ex. sekretess till skydd för allmÀnna intressen i 18 kap. OSL och sekretess till skydd för enskildas intressen i 35 kap. OSL. Sekretessregleringen inom ett verksamhetsomrÄde kan vidare vara uppdelad pÄ flera paragrafer av redaktionella skÀl. Först om det finns olika delar av en myndighets verksamhet som har att tillÀmpa sinsemellan helt olika set av sekretessbestÀmmelser Àr det frÄga om olika verksamhetsgrenar i sekretesslagstiftningens mening. Om sÄ Àr fallet behövs det dÀrutöver göras en bedömning av om de olika verksamhetsgrenarna ocksÄ har organiserats pÄ ett sÄdant sÀtt att de förhÄller sig sjÀlvstÀndiga till varandra. Det Àr bara om bÄda dessa kriterier Àr uppfyllda som det uppstÄr en sekretessgrÀns inom en myndighet. (Se prop. 2008/09:150 s. 358 ff.).
171
En enhet för passagerarinformation |
SOU 2017:57 |
De tidigare 21 polismyndigheterna, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium slogs den 1 januari 2015 ihop i en ny myndighet, Polismyndigheten. SÀkerhetspolisen utgör sedan samma datum en egen myndighet. I propositionen En ny organisation för polisen (prop. 2013/14:110) analyserades om det kommer att finnas enheter inom den nya Polismyndigheten som intar en sÄdan stÀllning att de kan anses utgöra sjÀlvstÀndiga organ i tryckfrihetsförord- ningens mening. Det ansÄgs dÄ Ànnu inte gÄ att bedöma vilka delar av verksamheten som skulle komma att anses som sjÀlvstÀndiga organ. Den omstÀndigheten att handlÀggningen av vissa Àrenden koncentre- ras till en viss enhet inom myndigheten ansÄgs dock inte innebÀra att enheten kan anses som ett sjÀlvstÀndigt organ i den mening som avses i 2 kap. 8 § TF (se a. prop. s. 507 ff.).
I propositionen analyserades vidare om det kommer att finnas sekretessgrĂ€nser inom Polismyndigheten. Ă
tta olika verksamhets- grenar identifierades: den brottsförebyggande och brottsutredande verksamheten (18 kap.
172
SOU 2017:57 |
En enhet för passagerarinformation |
att âförsta stycket har anpassats till att sekretess inte gĂ€ller inom Polismyndigheten i dess brottsbekĂ€mpande verksamhet, varför polismyndigheter har tagits bortâ (a. prop. s. 649).
En nÀrliggande frÄga Àr hur en befattningshavare ska tillÀmpa sekretessreglerna i förhÄllande till sina kollegor. Den frÄgan berörs i viss utstrÀckning i förarbetena till Àndringar i sekretesslagen. DÀr uttalas att sekretessreglerna inte anses utgöra hinder mot att lÀmna uppgifter mellan befattningshavare hos en myndighet i den utstrÀck- ning som Àr normal för och behövlig för ett Àrendes handlÀggning eller verksamhetens bedrivande i övrigt (prop. 1990/91:111 s. 24.) Det framhÄlls dock att det av grunderna för sekretesslagen torde följa att en befattningshavare inte bör anses ha en obegrÀnsad frihet att lÀmna uppgifter som omfattas av sekretess till andra anstÀllda inom myndigheten. JO har ocksÄ uttalat att det torde stÄ klart att en befattningshavare inte har nÄgon obegrÀnsad frihet att lÀmna upp- gifter som omfattas av sekretess till sina arbetskamrater (JO 1983/84 s. 262). JO konstaterar dock att sekretesslagstiftningen inte kan anses utgöra ett hinder mot att en handlÀggare rÄdfrÄgar andra befatt- ningshavare om ett Àrende, Ätminstone inte om det framstÄr som objektivt försvarbart. Uppgifter mÄste ocksÄ fritt kunna lÀmnas till den som pÄ ett eller annat sÀtt deltar i beredningen och avgörande av ett Àrende. (Se prop. 2013/14:110 s. 517.)
VÄr bedömning
Enheten för passagerarinformation kommer att vara en egen enhet men som sÄdan utgöra en del av Polismyndighetens brottsbekÀm- pande verksamhet. NÀr det gÀller informationsöverföring inom Polis- myndigheten synes den rÄdande uppfattningen vara den att det inte förekommer sekretessgrÀnser (eller sekretessvÀggar) inom Polismyn- dighetens brottsförebyggande och brottsutredande verksamhet (se t.ex. a. prop. s. 508 f.). Vi delar den uppfattningen. De sekretessbe- stÀmmelser som i första hand blir tillÀmpliga för
173
En enhet för passagerarinformation |
SOU 2017:57 |
Ăven för det fall sĂ€rskilda sekretessbestĂ€mmelser dĂ€rutöver skulle införas avseende
BegrÀnsningar i tillgÄngen till
10.4.3BegrÀnsningar via dataskyddsbestÀmmelser m.m.
VÄra förslag: Det ska föras in en bestÀmmelse i lagen om att bara den som tjÀnstgör vid enheten för passagerarinformation fÄr ha tillgÄng till
174
SOU 2017:57 |
En enhet för passagerarinformation |
Nuvarande reglering i polisdatalagstiftningen m.m.
I 2 kap. 11 § PDL slÄs fast att tillgÄngen till personuppgifter inom Polismyndigheten ska begrÀnsas till vad varje tjÀnsteman behöver för att kunna fullgöra sina arbetsuppgifter. BestÀmmelsen omfattar sÄvÀl direkt tillgÄng till automatiserade uppgiftssamlingar som till- gÄng i allmÀnhet. Polismyndigheten ska sÄledes organisera sin verk- samhet pÄ ett sÄdant sÀtt att obefogad spridning av personuppgifter motverkas. BestÀmmelsen riktar sig inte bara till dem som Àr enga- gerade i den dagliga verksamheten. Den mÄste ocksÄ beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgÄng till personuppgifter respektive tjÀnsteman behöver för att kunna fullgöra sina uppgifter. (Se prop. 2009/10:85 s. 94 och 326.) I bestÀmmelsens andra stycke finns en upplysning om att regeringen eller den myndighet som regeringen bestÀmmer har möjlighet att meddela nÀrmare föreskrifter om förutsÀttning- arna för tillgÄngen till personuppgifter. DetaljbestÀmmelser kan sÄ- ledes utformas sÄ att tillgÄngen till personuppgifter begrÀnsas till vad som Àr nödvÀndigt för verksamhetens bedrivande. I lagens för- arbeten har angetts att det inte Àr lÀmpligt att i lagform ange detalje- rade riktlinjer för hur tillgÄngen till personuppgifter bör avgrÀnsas. Det har i stÀllet angetts vara Polismyndighetens och övriga berörda myndigheters uppgift att, utifrÄn respektive myndighets organisation och struktur, sÀkerstÀlla att Ätkomsten till personuppgifter begrÀnsas i enlighet med bestÀmmelsen (a. prop. s. 95.) Regeringen har i 3 § PDF föreskrivit att Polismyndigheten och SÀkerhetspolisen fÄr med- dela nÀrmare föreskrifter om tillgÄngen till personuppgifter för sina respektive verksamhetsomrÄden. Vidare anges att för tilldelning av behörigheter för Ätkomst till personuppgifter ska det sÀrskilt beaktas att det, utöver behovet av uppgifterna, stÀlls krav pÄ utbildning och erfarenhet. Enligt 4 § ska de nu nÀmnda myndigheterna ansvara för att det inom respektive myndighet finns rutiner för tilldelning, för- Àndring, borttagning och regelbunden uppföljning av behörigheter för Ätkomst till personuppgifter. Av 4 a § framgÄr vidare att betrÀf- fande penningtvÀttsregistret som regleras i 4 kap. 18 § PDL och det internationella registret som regleras i 4 kap. 21 § PDL fÄr bara tjÀnstemÀn vid sÀrskilda enheter ges tillgÄng till uppgifter i de re- gistren. I paragrafen anges sÄledes att endast tjÀnstemÀn vid finans- underrÀttelseenheten vid Polismyndigheten fÄr ha tillgÄng till upp-
175
En enhet för passagerarinformation |
SOU 2017:57 |
gifter i penningtvÀttsregister och att endast tjÀnstemÀn vid den nationella funktionen för internationella uppgifter vid Polismyndig- heten fÄr ha tillgÄng till uppgifter i det internationella registret. Av bestÀmmelsen framgÄr vidare att det vid Polismyndigheten löpande ska föras en förteckning över de tjÀnstemÀn vid myndigheten som behandlar dessa uppgifter.
I förarbetena till polisdatalagen framgÄr dÀrtill att underrÀttelse- verksamhet bedrivs vid sÀrskilda enheter med sÀrskilt utbildade tjÀnstemÀn och att det Àr en naturlig del av underrÀttelsearbete att begrÀnsa antalet tjÀnstemÀn som tar del av viss information (a. prop. s. 107). I propositionen En ny organisation för polisen (prop. 2013/14:110) anges att det fÄr förutsÀttas att underrÀttelsearbetet kommer att bedrivas pÄ samma sÀtt i den nya polisorganisationen. Polismyndigheten och SÀkerhetspolisen ska se till att anstÀllda som arbetar med underrÀttelseverksamhet inte ges tillgÄng till fler upp- gifter Àn de har behov av i sitt arbete (a. prop. s. 517).
I de för Tullverket nu gÀllande bestÀmmelserna om tillgÄng till passageraruppgifter finns bestÀmmelser som reglerar vilka anstÀllda som ska ha behörighet att ta del av bokningsuppgifterna. SÄledes anges i 4 kap. 6 § tullförordningen (2016:287) och i 5 § förordningen (1996:702) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen att chefen för Tullverket, eller en chefstjÀnsteman som förordnats för uppgiften av chefen, beslutar om vilka anstÀllda som ska ha behörighet att ta del av bokningsupp- gifter som lÀmnats av transportföretag, eller genom terminalÄtkomst. Behörighet ska endast ges till den som har nödvÀndig utbildning och som behöver informationen för sina arbetsuppgifter inom Tull- verkets brottsbekÀmpande verksamhet.
VÄra övervÀganden
Inom en myndighet utan inre sekretessgrÀnser stÀller det allmÀnna dataskyddsrÀttsliga regelverket krav pÄ att personuppgifter ska skyd- das genom att tillgÄngen till uppgifterna avgrÀnsas och begrÀnsas sÄ lÄngt möjligt Àr för verksamheten. Som framgÄtt ovan finns redan tydliga regler om detta för Polismyndighetens del i polisdatalagstift- ningen. Det Àr snarare regel Àn undantag att sÄdana bestÀmmelser tas in i registerförfattningar som sÀtter ramar för myndigheternas
176
SOU 2017:57 |
En enhet för passagerarinformation |
informationshantering. Denna dataskyddsreglering sker utifrÄn in- tresset att tillgodose enskilda registrerades intresse av att person- uppgifter om dem hanteras pÄ ett sÀtt som ger dem ett tillbörligt skydd för deras personliga integritet.
I stor utstrÀckning överlappande och likartade krav pÄ att be- grÀnsa tillgÄng till myndigheternas information, sÀrskilt kÀnslig sÄdan, följer Àven av annan reglering som motiverats av helt andra intressen Àn det integritetsintresse som ligger bakom den dataskyddsrÀttsliga regleringen. BegrÀnsningar av tillgÄngen till en myndighets elektro- niska informationssamlingar behövs för att skydda t.ex. verksam- hetens effektivitet, samhÀllsfunktioner och liknande. Det sÀger sig sjÀlvt att Polismyndighetens verksamhet Àr sÄdan att ett otal begrÀns- ningar i polisanstÀlldas tillgÄng till information mÄste finnas för att skydda informationen frÄn risken att spridas till nackdel för polis- verksamheten som sÄdan.
Inom enheten för passagerarinformation kommer det att finnas personuppgifter om enskilda som inte bör kunna vara allmÀnt till- gÀngliga inom Polismyndigheten för att
Det Àr ocksÄ av vikt, menar vi, att det inom enheten inte ska fÄ lov att vara full Ätkomst till
177
En enhet för passagerarinformation |
SOU 2017:57 |
begrĂ€nsas till vad varje tjĂ€nsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten. DĂ€rmed framgĂ„r motsatsvis att onödigt bred Ă„tkomst bland tjĂ€nstemĂ€nnen pĂ„ enheten inte fĂ„r före- komma. NĂ€rmare bestĂ€mmelser om tillgĂ„ngen â inom denna ram â bör dock kunna meddelas i förordningen eller genom föreskrifter av Polismyndigheten. Dessa bestĂ€mmelser kommer att gĂ€lla i stĂ€llet för polisdatalagstiftningens reglering. Vi kommer att i senare avsnitt föreslĂ„ en bestĂ€mmelse i förordningen om att tillgĂ„ngen till vissa slags uppgifter ska begrĂ€nsas, se avsnitt 13.4.
DÀrutöver fÄr tillgÄngen till uppgifterna vid enheten för passa- gerarinformation regleras internt med hjÀlp av bestÀmmelser om be- hörighetstilldelning. Med en sÄdan ordning kan de uppgifter som behandlas inom enheten pÄ ett enkelt sÀtt avgrÀnsas och omges av extra integritets- och sÀkerhetsskydd. DÀrmed kan tillgÄngen till den information som finns tillgÀnglig inom enheten för passagerarinfor- mation begrÀnsas till vad varje tjÀnsteman behöver för att utföra sina arbetsuppgifter. Behörighetsstyrning och principer som avgör tillgÄngen till uppgifter kan utarbetas pÄ förhand. Behörigheterna kan vidare anpassas till olika befattningshavares behov med hÀnsyn till tjÀnstenivÄ och arbetsuppgifter.
Inom enheten kommer emellertid att behandlas inte bara PNR- information som vÄrt förslag tar sikte pÄ. Enheten kommer exempel- vis att kunna göra slagningar i andra databaser som finns tillgÀng- liga i den brottsbekÀmpande verksamheten. TillgÄng och övriga förutsÀttningar för detta bör, menar vi, lÀmpligen bedömas och han- teras utifrÄn polisdatalagstiftningen eller annan tillÀmplig reglering för detta. Vi föreslÄr alltsÄ ingen tillkommande dataskyddsrÀttslig reglering för detta.
Vidare kommer enheten att motta framstÀllningar med förfrÄgan frÄn behöriga svenska myndigheter, andra lÀnders enheter för pas- sagerarinformation eller Europol. Dessa förfrÄgningar ska vara moti- verade och det kan förmodas att de innehÄller information som Àr kÀnslig bÄde för enskilda personer och för underrÀttelse- eller ut- redningsverksamheten vid den begÀrande myndigheten. Hur dessa ska skyddas frÄn alltför stor tillgÀnglighet inom enheten eller frÄn spridning ut till övrig verksamhet inom Polismyndigheten bör myn- digheten lÀmpligen sjÀlv tillse, pÄ motsvarande sÀtt som i dag sker betrÀffande annan information som av andra hÀnsyn Àn integritets- intresset inte kan fÄ bli fritt tillgÀnglig bland myndighetens tiotusen-
178
SOU 2017:57 |
En enhet för passagerarinformation |
tals anstÀllda. Vi föreslÄr dÀrför ingen reglering av detta. DÀremot kommer vi i nÀstföljande avsnitt att behandla nÄgra sÀrskilda frÄgor som uppkommer med anledning av att personal frÄn andra myndig- heter, dvs. andra behöriga myndigheter Àn Polismyndigheten, kom- mer att tjÀnstgöra vid enheten.
Slutligen hÀnvisar vi till avsnitt 24 dÀr vi allmÀnt kommer att be- handla frÄgor om det behövs nya eller förÀndrade sekretessbestÀm- melser för att skydda
10.5Personal anstÀlld vid andra myndigheter
VÄr bedömning: Det behövs inga sÀrskilda bestÀmmelser med anledning av att personal med grundanstÀllning vid andra be- höriga myndigheter Àn Polismyndigheten kommer att tjÀnstgöra vid enheten för passagerarinformation.
Som tidigare angetts kan enligt direktivet personalen vid enheten för passagerarinformation komma att utgöras av tjÀnstemÀn som har avdelats frÄn behöriga myndigheter. SÄledes kan personalen vid enheten komma att ha sin grundanstÀllning inte bara vid Polismyn- digheten utan Àven vid exempelvis Tullverket och SÀkerhetspolisen. En sÄdan bemanning ger större möjligheter att ta tillvara den sam- lade kompetensen som finns inom de behöriga myndigheterna och underlÀttar för enheten att bedriva sin verksamhet pÄ ett sÀtt som Àr till sÄ stor nytta som möjligt för de behöriga myndigheternas be- kÀmpning av terroristbrottslighet och grov brottslighet. SÄvitt vi förstÄtt det parallella projektarbetet med att praktiskt och tekniskt organisera enheten för passagerarinformation Àr tanken att tjÀnste- mÀnnen i sitt arbete vid enheten för passagerarinformation ska rep- resentera enheten och inte sina respektive myndigheter. Det Àr en tanke som Àr i linje med vad vi angett tidigare om att enheten ska ingÄ i Polismyndigheten, dvs. inte vara ett samverkansorgan för flera myndigheter.
En följd av detta Àr att tjÀnstemÀn vid enheten som har avdelats frÄn t.ex. SÀkerhetspolisen eller Tullverket anses delta i arbetet vid enheten för passagerarinformation och dÀrmed vid Polismyndigheten.
179
En enhet för passagerarinformation |
SOU 2017:57 |
De kommer dĂ€rmed att i enlighet med 2 kap. 1 § OSL bli bundna av sekretess som gĂ€ller för Polismyndighetens arbete vid denna enhet. Det gĂ€ller Ă€ven i förhĂ„llande till deras âhemmamyndigheterâ. NĂ€r personal frĂ„n Tullverket eller SĂ€kerhetspolisen arbetar inom enheten uppkommer alltsĂ„ en sekretessgrĂ€ns mellan dem och dessa myndigheter. Inom enheten kommer det, Ă„ andra sidan, inte att finnas sekretessgrĂ€nser mellan anstĂ€llda frĂ„n Polismyndigheten, SĂ€kerhets- polisen eller Tullverket.
En jÀmförelse kan i detta sammanhang göras med det arbete som sker vid Nationellt centrum för terrorhotbedömning (NCT), som Àr en permanent myndighetsgemensam arbetsgrupp med per- sonal frÄn SÀkerhetspolisen, Försvarets radioanstalt (FRA) och MilitÀra underrÀttelse- och sÀkerhetstjÀnsten vid Försvarsmakten (Must) och som nyligen setts över och analyserats frÄn rÀttslig syn- vinkel, se Ds 2016:31. Vid NCT arbetar analytiker frÄn de tre NCT- myndigheterna, i gemensamma lokaler hos SÀkerhetspolisen. Under sin tid pÄ NCT behÄller personalen sin anstÀllning hos den ordinarie myndigheten. Analytikerna vid NCT Àr, vid sin placering dÀr, alltsÄ fortfarande anstÀllda vid respektive myndighet och företrÀder ocksÄ den myndigheten i arbetet vid NCT. Den behandling av person- uppgifter som respektive analytiker utför inom ramen för NCT- samarbetet, utför denne som företrÀdare för den egna myndigheten. I samarbetet finns myndighetsspecifika mappar med information och handlÀggares personliga mappar, men det finns ocksÄ en gemensam mapp. Utbytet inom samarbetet av personuppgifter sker med stöd av respektive myndighets registerförfattning. Den information som ligger till grund för NCT:s analyser och bedömningar hÀmtas in av tjÀnstemÀnnen frÀmst frÄn deras respektive hemmamyndigheter. Informationen hÀmtas frÄn bl.a. olika register och databaser. Analy- tikerna anvÀnder sina egna myndigheters
180
SOU 2017:57 |
En enhet för passagerarinformation |
Av redogörelsen för NCT framgÄr motsatsvis att förutsÀttning- arna kommer att vara helt andra vid enheten för passagerarinfor- mation i och med att avdelade tjÀnstemÀn frÄn t.ex. Tullverket kommer att delta i Polismyndighetens arbete nÀr de tjÀnstgör vid enheten. Den information som hanteras inom enheten, inte bara personuppgifter, kommer vidare att ingÄ i Polismyndighetens infor- mationsmassa.
Det innebÀr att en anstÀlld frÄn Tullverket inte kommer att kunna göra slagningar i Tullverkets informationssamlingar med stöd av sin behörighet för tillgÄng enligt 2 kap. 11 § TBL med anknytande föreskrifter. I stÀllet kommer det att fÄ ske med stöd av den direkt- Ätkomst för Polismyndigheten som kan medges enligt 3 kap. 8 § TBL. NÀr tjÀnstemannen i frÄga t.ex. gör en sökning i informationssam- lingar som hör till Polismyndigheten sker det följaktligen inte heller med stöd av direktÄtkomst för Tullverket (2 kap.
Som vi tidigare pÄpekat kommer det av allt att döma att före- komma information av olika slag som Àr mycket kÀnslig, t.ex. om underrÀttelseoperationer eller som rör rikets sÀkerhet och liknande, som bara ett fÄtal bör kÀnna till och arbeta med. Av den anledningen, samt Àven ur effektivitetssynpunkt, torde det t.ex. vara lÀmpligt att bara den som avdelats frÄn SÀkerhetspolisen ges rÀtt att arbeta med att besvara SÀkerhetspolisens framstÀllningar om att fÄ ut
181
En enhet för passagerarinformation |
SOU 2017:57 |
hÀnsyn till sÄvÀl dataskydd och integritet som helt andra skydds- hÀnsyn.
Redan i detta sammanhang vill vi pÄpeka att det i vÄrt arbete inte funnits förutsÀttningar att klarlÀgga vilka informationssamlingar utöver
182
11Lufttrafikföretagens överföring av
11.1Om lufttrafikföretag
Gemensamma bestÀmmelser för tillhandahÄllande av lufttrafik i gemenskapen finns i EU:s lufttrafikförordning1. Med lufttrafik avses enligt förordningen en flygning eller serie flygningar för befordran av passagerare, gods, och/eller post som utförs mot ersÀttning och/eller hyra. Ett företag definieras i förordningen som en fysisk eller juri- disk person, oavsett om verksamheten bedrivs i vinstsyfte eller inte. Med företag kan enligt förordningen Àven avses ett officiellt organ, oavsett om det har sjÀlvstÀndig status som juridisk person eller inte.
11.1.1Olika former av kommersiell luftfart för befordran av passagerare
Den kommersiella luftfarten för transport av passagerare brukar delas in i reguljÀrflyg och charterflyg. Med reguljÀrflygning avses luftfart som regelbundet trafikerar vissa flyglinjer. Vid en reguljÀrflygning köper passagerarna en plats, flygstol, pÄ ett flygplan i linjetrafik. Med charterflygning avses i stÀllet oregelbunden luftfart. Charterflyg- ningarna gÄr sÄledes endast under en viss sÀsong, beroende pÄ res-
1 Europaparlamentets och rÄdets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahÄllande av lufttrafik i gemenskapen, vanligen benÀmnd EU:s lufttrafikförordning.
183
Lufttrafikföretagens överföring av |
SOU 2017:57 |
mÄlets karaktÀr. En charterflygning innebÀr dessutom vanligtvis att ett helt flygplan hyrs och anvÀnds som en del av en paketresa, i vilken resa, boende och eventuellt mat m.m. sÀljs i ett paket. Ett flygplan kan dock chartras Àven för att utföra en enstaka flygresa.
Traditionellt har researrangörer hyrt flygplan och besÀttning frÄn ett flygbolag för att utföra en eller flera charterflygningar. Numera Àger ofta de stora researrangörerna Àven flygbolagen som utför charterflygningar. Skillnaden mellan charterflyg och reguljÀrflyg har ocksÄ blivit mindre, dÄ researrangörerna sedan ett antal Är ofta sÀljer flygstolar i charterflygningarna. Skillnaden Àr dock att charterflyg- ningar inte ingÄr i systemet för flygbokningar direkt hos lufttrafik- företagen utan att biljetter sÀljs via arrangörer och resebyrÄer.
Det finns Àven sÄ kallad taxiflygning, som innebÀr att hela flyg- plan eller helikoptrar hyrs ut tillfÀlligtvis för transport av passagerare eller gods pÄ uppdrag av företagsledningar, artister osv. Med taxi- flygning avses i detta sammanhang icke regelbunden luftfart med ett mindre luftfartyg, som Àr typgodkÀnt för befordran av högst tio passagerare. Vid taxiflygning med passagerare vÀljs destinations- orten av den som har bestÀllt transporten.
11.1.2TillstÄnd att bedriva passagerarflygtrafik
För att fĂ„ utföra lufttransporter mot betalning Ă„t allmĂ€nheten krĂ€vs som huvudregel ett drifttillstĂ„nd (AOC â air operator certificate). Detta regleras i svensk rĂ€tt i 7 kap. 1 § luftfartslagen (2010:500). Grundkravet pĂ„ drifttillstĂ„nd finns Ă€ven reglerat i den s.k. Easa- förordningen2 samt i den tillhörande tillĂ€mpningsförordningen, van- ligen benĂ€mnd
2Europaparlamentets och rÄdets förordning (EG) nr 216/2008 av den 20 februari 2008 om faststÀllande av gemensamma bestÀmmelser pÄ det civila luftfartsomrÄdet och inrÀttande av en europeisk byrÄ för luftfartssÀkerhet, och om upphÀvande av rÄdets direktiv 91/670/EEG, förordning (EG) nr 1592/2002 och direktiv 2004/36/EG.
3Kommissionens förordning (EU) nr 965/2012 av den 5 oktober 2012 om tekniska krav och administrativa förfaranden i samband med flygdrift enligt Europaparlamentets och rÄdets förordning (EG) nr 216/2008.
184
SOU 2017:57 |
Lufttrafikföretagens överföring av |
Kravet pÄ drifttillstÄnd gÀller Àven för utlÀndska rÀttssubjekt vid luftfart inom svenskt omrÄde och för svenska rÀttssubjekt vid luft- fart utanför Sverige. DrifttillstÄnd utfÀrdas i Sverige av Transport- styrelsen och kan erhÄllas av staten, kommuner och landsting, privat- personer samt olika former av bolag, föreningar, stiftelser och sam- fund. I frÄga om ett utlÀndskt rÀttssubjekt som Àr hemmahörande i ett annat land som Àr medlem i Internationella civila luftfartsorga- nisationen (Icao) eller i ett land som Sverige trÀffat avtal med om rÀtt till luftfart inom svenskt omrÄde, godtas ett drifttillstÄnd eller en likvÀrdig handling som har utfÀrdats av det landet i enlighet med Icao:s normer.
DrifttillstÄnd krÀvs sÄledes för att fÄ utföra lufttransporter mot betalning Ät allmÀnheten oavsett om det handlar om reguljÀrflyg, charterflyg eller taxiflyg. Begreppet allmÀnheten ska tolkas vitt, vilket innebÀr att i stort sett alla som inte ingÄr i utövarens nÀrmaste be- kantskapskrets innefattas. Vidare Àr det tillrÀckligt att det har avtalats om att nÄgon form av betalning ska utgÄ för att en lufttransport ska vara tillstÄndspliktig. Det föreligger sÄledes inget krav pÄ vinst eller vinstsyfte. Det finns inte heller nÄgot krav pÄ att en verksamhet ska ha en viss omfattning för att den ska vara tillstÄndspliktig, utan en enda flygning kan medföra tillstÄndsplikt. (Se prop. 2009/10:95 s. 342.)
BetrÀffande luftfart inom EU krÀvs det utöver drifttillstÄnd Àven en operativ licens enligt EU:s lufttrafikförordning. I förordningen anges vilka krav som ska uppfyllas av lufttrafikföretag som bedriver vissa slag av kommersiell flygtrafik inom gemenskapen. Bl.a. krÀvs att företaget har ett drifttillstÄnd. Det görs Àven en prövning av om företaget uppfyller vissa finansiella villkor och försÀkringskrav. Ett företag som uppfyller förordningens krav har rÀtt att fÄ en operativ licens, vilket Àr ett tillstÄnd för företaget att mot betalning utföra lufttransport av passagerare, post eller gods som anges i licensen. Inget företag som Àr etablerat i gemenskapen, dvs. har sitt sÀte i ett land inom EU, fÄr mot ersÀttning eller hyra utföra lufttransporter av bl.a. passagerare om de inte har beviljats den nödvÀndiga opera- tiva licensen. FrÄn kravet pÄ innehav av giltig operativ licens undan- tas lufttrafik som utförs med
185
Lufttrafikföretagens överföring av |
SOU 2017:57 |
En operativ licens enligt EU:s lufttrafikförordning utfÀrdas av nationella tillstÄndsmyndigheter för företag som Àr etablerade i gemenskapen. I Sverige Àr Transportstyrelsen tillstÄndsmyndighet. För nÀrvarande har totalt 31 operativa licenser utfÀrdats i Sverige för bÄde svenska och utlÀndska företag. Vissa av dessa Àr tÀmligen stora aktörer som flyger i internationell trafik frÄn de stora flygplatserna, t.ex. SAS Sverige AB, genom konsortiet SAS, eller TUIfly Nordic AB. Andra innehavare av svenska operativa licenser Àr avsevÀrt mindre. Roslagens Helikopterflyg AB Àr ett exempel pÄ en mindre aktör och kommunalförbundet Svensk luftambulans ett annat.
NÀr det gÀller flygföretag som Àr etablerade i EU och som enbart flyger pÄ destinationer utanför EU framgÄr inte uttryckligen av för- ordningen om dessa behöver ha en operativ licens. Eftersom den operativa licensen inte ger tilltrÀde till marknaden utan Àr ett grund- lÀggande villkor för verksamheten som flygbolag, synes dock alla medlemsstater acceptera att en operativ licens Àven Àr ett krav för att bedriva transporter mellan EU och tredjeland. (Se prop. 2009/10:95 s. 232.) Operativa licenser, eller motsvarande, utfÀrdas dock Àven av lÀnder utanför EU.
FrÄgan om tilltrÀde till flyglinjer inom unionen, för sÄvÀl regel- bunden som icke regelbunden lufttrafik, regleras i kap. II i lufttrafik- förordningen. Enligt förordningen ska berörda medlemsstater tillÄta lufttrafikföretag med giltig operativ licens utfÀrdad av en behörig tillstÄndsmyndighet inom unionen att utöva trafikrÀttigheter, dÀr- ibland befordran av passagerare, pÄ flyglinjer inom EU. SÄledes krÀvs inte nÄgot sÀrskilt trafiktillstÄnd för tilltrÀde till flyglinjer inom unionen för de lufttrafikföretag som har en giltig operativ licens ut- fÀrdad inom EU. NÀr det gÀller luftfart som inte omfattas av EU:s lufttrafikförordning, eftersom den avser inrikestrafik, trafik till tredje- lÀnder eller utförs av sÄdana lufttrafikföretag som inte har en giltig operativ licens utfÀrdad i ett land inom EU, kan det dock utöver ett drifttillstÄnd Àven krÀvas ett trafiktillstÄnd enligt 7 kap. 10 § luft- fartslagen för att mot betalning fÄ utföra lufttransporter Ät allmÀn- heten. Ett trafiktillstÄnd Àr trafikpolitiskt motiverat och ger till- trÀde till linjer eller marknader. TrafiktillstÄndet kan ges till sÄvÀl svenska som utlÀndska operatörer och kan avse sÄvÀl regelbunden som icke regelbunden trafik. TrafiktillstÄnd lÀmnas av regeringen eller Transportstyrelsen. I TSFS 2010:168 finns Transportstyrel-
186
SOU 2017:57 |
Lufttrafikföretagens överföring av |
sens föreskrifter om bl.a. trafiktillstÄnd. NÀr det gÀller charter- och taxiflygning finns sÀrskilda föreskrifter i TSFS 2011:104.
11.1.3Lufttrafikföretagens resor till och frÄn Sverige
à r 2016 utförde sammanlagt 240 lufttrafikföretag flygningar för be- fordran av passagerare till eller frÄn Sverige antingen i linjefart eller som charterflyg. Av dessa flygbolag utförde 100 stycken fem eller fÀrre sÄdana resor. DÀrtill utfördes sÄdana utlandsresor av upp till 87 olika taxiflygbolag.4 Den senare uppgiften Àr osÀker eftersom det inte finns nÄgot system som registrerar persontransporter med taxiflyg.5
Resorna gick till nÄgon av landets mÄnga flygplatser. Det finns i dag 38 flygplatser i landet med reguljÀr trafik i form av linjefart eller charterflyg. Vid sidan av dessa finns ett betydande antal flygplatser av varierande standard. Taxiflygen behöver inte nödvÀndigtvis an- vÀnda sig av flygplatser som Àr öppna och bemannade.6
11.2Lufttrafikföretagens insamlande av
Det finns i dag inte nÄgon uttrycklig författningsreglering om att lufttrafikföretag ska inhÀmta
4Enligt Transportstyrelsens statistikuppgifter.
5Se t.ex. SOU 2016:83 s.143.
6Se a.a. s. 65 f. och 143.
187
Lufttrafikföretagens överföring av |
SOU 2017:57 |
pÄ marken. I förordning (EU) nr 996/20107 behandlas frÄgor om utredning och förebyggande av flygolyckor. I förordningens arti- kel 20 anges att unionens flygbolag som ankommer till eller avgÄr frÄn, och flygbolag frÄn tredjelÀnder som avgÄr frÄn, en flygplats be- lÀgen pÄ territorierna i de medlemsstater som omfattas av fördragen, ska införa rutiner som gör det möjligt att sÄ snart som möjligt och senast inom tvÄ timmar frÄn underrÀttelsen om att ett luftfartyg har rÄkat ut för en olycka, ta fram en validerad förteckning, baserad pÄ bÀsta tillgÀngliga uppgifter, över alla personer ombord. För att kunna göra en sÄdan förteckning torde fordras att uppgifter om resenÀ- rerna pÄ nÄgot sÀtt finns sparade pÄ marken.
Enligt 15 § TSFS 2011:104 ska vid charterflygningar en förteck- ning över passagerare förvaras av det företag som utför flygningen och lÀmnas till Transportstyrelsen pÄ begÀran. För taxiflygningarna finns inte nÄgon motsvarande bestÀmmelse i föreskrifterna om att det ska finnas en förteckning över passagerare.
De lufttrafikföretag som utför reguljÀrflygningar samlar i dag in
De lufttrafikföretag som Àr specialiserade pÄ charterflygningar samlar oftast inte in egna
7 Europaparlamentets och rÄdets förordning (EU) nr 996/2010 av den 20 oktober 2010 om utredning och förebyggande av olyckor och tillbud inom civil luftfart och om upphÀvande av direktiv 94/56/EG.
188
SOU 2017:57 |
Lufttrafikföretagens överföring av |
sĂ„dant fall till dem frĂ„n researrangören inför flygresan. Ăvriga PNR- uppgifter, som passagerarna lĂ€mnat i samband med resebokningen, finns kvar hos researrangören. Vid flygningar till tredjeland skickas dock ett
De mindre lufttrafikföretag som utför taxiflygningar samlar i de flesta fall inte in uppgifter om sina passagerare pÄ ett systematiserat sÀtt. De insamlande uppgifterna kan i vissa fall bestÄ av endast en namnuppgift som noteras för hand eller i ett excelformulÀr.
11.3Vilka lufttrafikföretag ska ÄlÀggas en skyldighet att överföra
VÄra förslag:
Reservationssystem ska i lagen definieras som system dÀr
Direktivets definition av ett lufttrafikföretag, innebÀrandes ett sÄ- dant företag med operativ licens eller motsvarande som ger rÀtt att bedriva passagerarflygtrafik, innefattar alla företag som utför luft- transport av passagerare mot betalning eller hyra sÄ lÀnge de har den angivna licensen. I begreppet företag innefattas enligt vÄr bedöm- ning, pÄ samma sÀtt som enligt lufttrafikförordningen, bÄde fysiska och juridiska personer samt officiella organ. Enligt lufttrafikförord- ningen undantas frÄn kravet pÄ operativ licens endast lufttrafik som utförs med
189
Lufttrafikföretagens överföring av |
SOU 2017:57 |
definitionsmĂ€ssigt av direktivets överföringsskyldighet nĂ€r de mot ersĂ€ttning eller hyra utför lufttransporter med hjĂ€lp av mindre flyg eller helikopter över ett lands grĂ€nser. Med tillĂ€gget âeller motsva- randeâ innefattas i definitionen Ă€ven de lufttrafikföretag som inte har en operativ licens utfĂ€rdad i ett land inom EU men som har en motsvarande licens frĂ„n ett tredjeland.
Begreppet lufttrafikföretag har definierats pĂ„ olika sĂ€tt i olika svenska författningar. Exempelvis definieras begreppet i TSFS 2010:68 som ett flygföretag med ett giltigt drifttillstĂ„nd (AOC). I TSFS 2011:104 definieras dĂ€remot ett lufttrafikföretag som ett flyg- företag med giltigt drifttillstĂ„nd och i förekommande fall operativ licens eller motsvarande. Ăven i de
Det saknas sĂ„ledes enhetlighet i definitionerna av begreppet lufttrafikföretag. Med hĂ€nsyn hĂ€rtill bör, enligt vĂ„r mening, PNR- direktivets definition av begreppet införas i den nya lag som vi före- slĂ„r. En sĂ„dan lösning synes Ă€ven lĂ€mplig eftersom direktivets defi- nition innehĂ„ller en upplysning om kravet pĂ„ en operativ licens. I detta ligger Ă€ven ett krav pĂ„ att lufttrafikföretaget har ett giltigt drift- tillstĂ„nd. Definitionen omfattar sĂ„ledes sĂ„vĂ€l ett giltigt operativt tillstĂ„nd som ett drifttillstĂ„nd. Genom tillĂ€gget âeller motsvarandeâ innefattas Ă€ven sĂ„dana utlĂ€ndska lufttrafikföretag som inte har en operativ licens utfĂ€rdad i ett land inom EU men som har en mot- svarande licens frĂ„n ett tredjeland. Av lagens definition bör ocksĂ„ framgĂ„ att licensen ska ge rĂ€tt att bedriva passagerarflygtrafik, dvs. ge rĂ€tt att mot betalning eller hyra, dvs. vederlag, utföra lufttrans- porter av passagerare.
För att direktivets bestÀmmelser om överföring av
8 Europaparlamentets och rÄdets förordning (EG) nr 261/2004 av den 11 februari 2004 om faststÀllande av gemensamma regler om kompensation och assistans till passagerare vid nekad ombordstigning och instÀllda eller kraftigt försenade flygningar och om upphÀvande av förordning (EEG) nr 295/91.
190
SOU 2017:57 |
Lufttrafikföretagens överföring av |
samlar in
Definitionen av
De lufttrafikföretag som utför charterflygningar innehar i mÄnga fall endast en mindre mÀngd
191
Lufttrafikföretagens överföring av |
SOU 2017:57 |
del i dessa företags verksamhet. Ombordstigningen pÄ flygplanen sker, i de flesta fall, genom en gate och hanteras elektroniskt pÄ samma sÀtt som för reguljÀrflygningarna. NÄgra problem med hÀnsyn till direktivets överföringstidpunkter föreligger dÀrför i normalfallet inte. Enligt vÄr bedömning omfattas sÄledes, som utgÄngspunkt, de lufttrafikföretag som utför charterflygningar av direktivets över- föringsskyldighet.
De lufttrafikföretag som utför taxiflygningar saknar emellertid i mÄnga fall strukturmÀssigt system för behandling av
Enligt vÄr bedömning behandlar inte dessa mindre taxiflygföre- tag
För att nÀrmare ringa in de lufttrafikföretag som ska ÄlÀggas en grundlÀggande skyldighet att överföra
192
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4Ăverföring av
11.4.1Omfattningen av vÄrt uppdrag
VÄrt förslag: Den nationella regleringen ska innehÄlla bestÀmmel- ser om lufttrafikföretagens överföring av
Av
Vad gÀller flygtrafiken inom EU, som ocksÄ ska omfattas av den nya lagen (se avsnitt 11.4.2), kan man ocksÄ frÄga sig vad den svenska regleringen bör ta sikte pÄ. Enligt direktivet ska ett lufttrafikföretag som ska företa en flygresa frÄn Sverige till exempelvis Frankrike överföra sina
193
Lufttrafikföretagens överföring av |
SOU 2017:57 |
dighet att överföra uppgifterna till den franska enheten för passa- gerarinformation fĂ„r regleras genom Frankrikes genomförande av direktivet. Ăven hĂ€r ser vi detta som en nödvĂ€ndig begrĂ€nsning för att undvika framtida tillĂ€mpningssvĂ„righeter för lufttrafikföretagen. VĂ„ra förslag till lag och förordning kommer sĂ„ledes att innehĂ„lla bestĂ€mmelser om lufttrafikföretagens överföring till den svenska enheten för passagerarinformation.
11.4.2Ăverföring av uppgifter avseende flygresor bĂ„de inom och utom EU
VÄra förslag: Lufttrafikföretag ska inför varje flygning ankom- mande till eller avgÄende frÄn Sverige överföra
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra
Ăverföring inför flygningar till och frĂ„n EU
Enligt artikel 8.1 ska medlemsstaterna anta de ÄtgÀrder som Àr nöd- vÀndiga för att se till att lufttrafikföretag överför vissa i direktivet angivna
Gemensam linjebeteckning, s.k. code sharing, Àr en form av sam- arbete mellan flygbolag. Det innebÀr att ett flygbolag sÀtter sin egen bolagskod pÄ en flygning som genomförs av ett annat flygbolag. Detta Àr ett sÀtt för flygbolagen att genom samarbete med andra flygbolag utvidga sitt linjenÀt och marknadsföra sig pÄ linjer de inte sjÀlva
194
SOU 2017:57 |
Lufttrafikföretagens överföring av |
flyger. Enligt direktivet vilar i sÄdant fall ansvaret för att PNR- uppgifterna överförs pÄ det lufttrafikföretag som utför flygningen.
I artikel 8.1 anges vidare att för det fall en flygning utanför EU omfattar en eller flera mellanlandningar pÄ medlemsstaternas flyg- platser, ska lufttrafikföretagen överföra
Ăverföring Ă€ven inför flygningar inom EU
Direktivet ÄlÀgger sÄledes lufttrafikföretagen att överföra PNR- uppgifter om passagerare pÄ flygningar som anlÀnder frÄn eller avgÄr till ett land utanför EU. Av artikel 2.1 framgÄr att medlemsstaterna dÀrutöver pÄ frivillig grund kan tillÀmpa direktivet Àven pÄ flygningar inom EU. Sverige och övriga medlemsstater som Àr bundna av direktivet har förklarat att de har för avsikt att tillÀmpa direktivet Àven för flygresor inom EU. Sverige kommer att skriftligen meddela kommissionen detta. Kommissionen ska dÀrefter offentliggöra detta meddelande i Europeiska unionens officiella tidning (EUT). NÀr ett sÄdant meddelande har lÀmnats, ska, enligt artikel 2.2, alla be- stÀmmelser i direktivet gÀlla för flygningar inom EU som om de vore flygningar utanför EU och för
Direktivet ska genomföras i medlemsstaterna senast den 25 maj 2018. Kommissionen har angett att den endast kommer att offent- liggöra meddelanden om att en medlemsstat ska tillÀmpa direktivet Àven för flygresor inom EU, om staten Àven har underrÀttat kom- missionen om att den har genomfört direktivets övriga bestÀmmelser i enlighet med artikel 18.1. Enligt kommissionen kommer sÄledes ett
195
Lufttrafikföretagens överföring av |
SOU 2017:57 |
meddelande frÄn en medlemsstat om att den ska tillÀmpa direktivet Àven för flygresor inom EU att fÄ rÀttslig verkan först nÀr hela direktivet Àr genomfört i medlemsstaten. Vidare har kommissionen angett att det Àr tillrÀckligt att direktivet Àr genomfört i den med- lemsstat som
För Sveriges del innebÀr det ovanstÄende att lufttrafikföretagen, nÀr direktivet Àr genomfört hÀr och kommissionen Àr informerad om detta och om att Sverige ska tillÀmpa direktivet Àven pÄ flygningar inom EU, ska överföra
VÄra övervÀganden
En utgÄngspunkt för vÄrt uppdrag Àr att direktivet ska tillÀmpas Àven för flygningar inom EU och att detta ska genomföras vid samma tidpunkt som direktivet i övrigt ska vara införlivat i svensk rÀtt. Det bör dÀrför av vÄr reglering framgÄ att överföringar av PNR- uppgifter till enheten för passagerarinformation ska ske sÄvÀl inför resor till och frÄn lÀnder utanför EU som inför resor inom EU. Detta kan uttryckas som att överföringar ska ske inför varje flyg- ning ankommande till eller avgÄende frÄn Sverige. Vidare bör det av regleringen framgÄ att om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra
9 Se Ref. Ares (2017) 68233 â 06/01/2017.
196
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4.3
VÄra förslag:
Passagerare ska definieras som alla personer, förutom besÀtt- ningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
Med
Definitioner av begreppen
197
Lufttrafikföretagens överföring av |
SOU 2017:57 |
11.4.4
VÄra förslag: Samtliga de
En förteckning över de
Förteckningen i bilaga I har enligt skÀl 15 till syfte att Äterspegla de offentliga myndigheternas legitima krav pÄ att kunna förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brotts- lighet och dÀrigenom förbÀttra den inre sÀkerheten i EU, samtidigt som grundlÀggande rÀttigheter skyddas, sÀrskilt rÀtten till privatlivet och rÀtten till skydd av personuppgifter. Vid framtagandet av för- teckningen har
10EuroparÄdets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.
11Europeiska konventionen den 4 november 1950 angÄende skydd för de mÀnskliga rÀttig- heterna och de grundlÀggande friheterna.
198
SOU 2017:57 |
Lufttrafikföretagens överföring av |
förening, hÀlsotillstÄnd, sexualliv eller sexuella lÀggning. De i för- teckningen angivna
Förteckningen över
I punkten 12 i bilagan anges âAllmĂ€nna anmĂ€rkningar (inklusive alla tillgĂ€ngliga uppgifter om ensamkommande barn under 18 Ă„r, sĂ„som namn och kön, Ă„lder, sprĂ„kkunskaper, namn och kontakt- uppgifter för den person som följer barnet till incheckning för av- resan och denna persons förhĂ„llande till barnet, namn och kontakt- uppgifter för den person som hĂ€mtar barnet vid ankomsten och denna persons förhĂ„llande till barnet samt flygplatsanstĂ€lld som led- sagar barnet vid avresan respektive ankomsten)â. Uppgifterna om barn som reser utan vuxet sĂ€llskap Ă€r hĂ€r sĂ€rskilt angivna eftersom de kan ha betydelse vid utredningar om mĂ€nniskosmuggling. All- mĂ€nna anmĂ€rkningar utgör ett fritextsfĂ€lt för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Bland de allmĂ€nna anmĂ€rk- ningarna kan finnas uppgifter om exempelvis cykel med ombord, specialkost, funktionshinder m.m. AnvĂ€ndningen av fritextfĂ€ltet för allmĂ€nna anmĂ€rkningar kan innebĂ€ra att kĂ€nsliga personuppgifter behandlas. Denna frĂ„ga kommer vi att Ă„terkomma till i avsnitt 18.5.
199
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Ăven
I punkten 18 i bilagan anges eventuell förhandsinformation (API), som samlats in. Som exempel pÄ
Vissa lufttrafikföretag lagrar insamlade
VÄra övervÀganden
Det bör av lagen framgÄ vilka
En förteckning över de
200
SOU 2017:57 |
Lufttrafikföretagens överföring av |
I punkten 7 har vi valt att byta ut uttrycket hela resrutten för aktuell passageraruppgiftssamling som anvÀnds i direktivets bilaga mot det kortare uttrycket fullstÀndig resplan.
Enligt punkten 9 i direktivets bilaga ska uppgifter om resebyrÄ eller resebyrÄtjÀnsteman ingÄ bland de uppgifter som ska överföras frÄn lufttrafikföretagen. ResebyrÄtjÀnsteman synes dock vara en fel- översÀttning av det engelska ordet travelagent, som bÀttre bör över- sÀttas med reseagent eller researrangör. Med hÀnsyn hÀrtill föreslÄr vi att ordet reseagent anvÀnds i stÀllet.
I punkten 12 i direktivets bilaga anges att sÄ kallade allmÀnna anmÀrkningar ska ingÄ bland de uppgifter som ska överföras frÄn lufttrafikföretagen. De allmÀnna anmÀrkningarna exemplifieras med tillgÀngliga uppgifter om ensamkommande barn. En bÀttre översÀtt- ning Àr ensamresande barn, vilket Àr den gÀngse terminologin inom luftfartssektorn. Enligt utredningens mening Àr ocksÄ flygplatsper- sonal en bÀttre översÀttning Àn flygplatsanstÀlld enligt samma punkt, eftersom det inte torde krÀvas att en person Àr anstÀlld av flygplatsen för att omfattas av bestÀmmelsen. Vi har dÀrför valt att anvÀnda dessa uttryck.
Vidare fÄr med eventuella
I förteckningen över vilka
201
Lufttrafikföretagens överföring av |
SOU 2017:57 |
11.4.5Ăverföringar ska ske vid tvĂ„ tillfĂ€llen
VÄra förslag:
Den andra överföringen fÄr begrÀnsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfÀllet.
Av artikel 8.3 framgÄr att lufttrafikföretagen ska överföra sina
Direktivets bestÀmmelser om överföringstidpunkter bör föras in i vÄr lag. BestÀmmelsen om att den första överföringen ska ske
202
SOU 2017:57 |
Lufttrafikföretagens överföring av |
fram
Enligt vÄr bedömning bör den tidsram om
Den andra överföringstidspunkten kan i lagen avgrÀnsas till nÀr gatens dörrar har stÀngts. Tidpunkten för överföringen torde hÀr- igenom vara tillrÀckligt definierad. Att gatens dörrar har stÀngts innebÀr att passagerare inte lÀngre tillÄts stiga ombord eller stiga av planet. Vidare bör det av lagen framgÄ att den andra överföringen fÄr begrÀnsas till sÄvÀl uppdateringar som kompletteringar av de upp- gifter som överfördes vid det första tillfÀllet. SÄledes ska en andra överföring alltid omfatta Àven nytillkomna
11.4.6Ăverföringar vid andra tidpunkter
VÄrt förslag: NÀr det i ett enskilt fall Àr nödvÀndigt med tillgÄng till
I vissa situationer kan lufttrafikföretagen behöva överföra PNR- uppgifter Àven vid andra tidpunkter Àn de som angetts ovan. I arti- kel 8.5 anges nÀmligen att i situationer dÀr Ätkomst till
12 Air Transport & Travel Industry, Functional and Business Principles, PNRGOV, Version 16.1, s. 6, punkterna 8 och 11.
203
Lufttrafikföretagens överföring av |
SOU 2017:57 |
med anknytning till terroristbrott eller grov brottslighet, ska luft- trafikföretag efter en bedömning i det enskilda fallet pÄ begÀran av en enhet för passagerarinformation överföra
Enligt direktivet ska en sĂ„dan âextraâ överföring ske efter en bedömning i det enskilda fallet. En bedömning huruvida det i ett en- skilt fall Ă€r nödvĂ€ndigt med tillgĂ„ng till
BestÀmmelsen bör i övrigt genomföras i lag i enlighet med dess ordalydelse. I svensk lagstiftning brukar dock ordet fara anvÀndas i stÀllet för hot. Ordet anvÀnds bland annat i brottsdatalagen. Med hÀnsyn hÀrtill föreslÄr vi att ordet fara anvÀnds i stÀllet för hot Àven i genomförandet av vÄr lag. Av samma anledning bör ordet avvÀrja anvÀndas i vÄr lag i stÀllet för begreppet reagera pÄ, som anvÀnds i
204
SOU 2017:57 |
Lufttrafikföretagens överföring av |
11.4.7Hur överföringarna ska gÄ till
VÄra förslag: Enheten för passagerarinformation fÄr inte med- ges direktÄtkomst till lufttrafikföretagens uppgiftssamlingar med
Lufttrafikföretagen ska överföra
DirektÄtkomst Àr inte tillÄten
Det finns enligt
Det bör av lagen framgÄ vilken metod som ska anvÀndas för över- föringarna. Enligt vÄr mening görs detta lÀmpligast genom en bestÀm- melse som anger att enheten för passagerarinformation inte fÄr med- ges direktÄtkomst till lufttrafikföretagens uppgiftssamlingar för
205
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Former för överföringarna
All överföring av
I artikel 16.2 finns nÀrmare bestÀmmelser om formen för över- föringarna. HÀr framgÄr att kommissionen ska anta en förteckning över godkÀnda gemensamma protokoll och understödda dataformat som ska anvÀndas vid överföring av
Kommissionen har i ett genomförandebeslut13 antagit en sÄdan förteckning över gemensamma protokoll och understödda format. Förteckningen kan senare komma att Àndras (artikel 16.3). I genom- förandebeslutet anges att mindre lufttrafikföretag, som inte tillhanda- hÄller flygförbindelser i enlighet med en sÀrskild och offentlig tidtabell och som inte har den nödvÀndiga infrastrukturen för att anvÀnda de gemensamma protokollen och understödda formaten, ska undantas frÄn skyldigheten att anvÀnda dessa format och protokoll. Ett sÄdant lufttrafikföretag ska i stÀllet överföra sina uppgifter pÄ nÄgot annat elektroniskt sÀtt som tillhandahÄller tillrÀckliga garantier med avse- ende pÄ de tekniska sÀkerhetsÄtgÀrderna, och som ska överenskom- mas mellan lufttrafikföretaget och den berörda medlemsstaten.
Ett Är frÄn den dag dÄ kommissionen för första gÄngen har an- tagit gemensamma protokoll och understödda dataformat ska all överföring av
13 Kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensam- ma protokoll och dataformat som ska anvÀndas av lufttrafikföretag nÀr
206
SOU 2017:57 |
Lufttrafikföretagens överföring av |
samma protokollen och understödda dataformaten (artikel 16.2). Inom samma tid ska medlemsstaterna vidta de tekniska ÄtgÀrder som krÀvs för att dessa gemensamma protokoll och dataformat ska kunna börja anvÀndas (artikel 16.5).
Till dess gemensamma protokoll och understödda dataformat finns tillgÀngliga ska överföringarna göras med elektroniska medel som tillhandahÄller tillrÀckliga garantier med avseende pÄ de tekniska sÀkerhetsÄtgÀrder och de organisatoriska ÄtgÀrder som styr den be- handling som ska utföras. I hÀndelse av tekniska problem fÄr PNR- uppgifterna överföras pÄ annat lÀmpligt sÀtt under förutsÀttning att samma sÀkerhetsnivÄ upprÀtthÄlls och att unionsrÀtten om data- skydd respekteras fullt ut. (Artikel 16.1 och 16.4.)
Reglering av överföringsformerna
Kommissionen har sÄledes antagit en lista över gemensamma proto- koll och understödda dataformat. Dessa ska anvÀndas sÄvÀl av luft- trafikföretagen som av medlemsstaterna redan nÀr direktivet ska vara genomfört i nationell rÀtt. Det saknas dÀrför anledning att reglera vad som skulle ha gÀllt för det fall sÄdana gemensamma protokoll och format inte hade antagits.
Gemensamt för alla överföringar till enheten för passagerarinfor- mation kommer att vara att de ska ske i elektronisk form. Detta bör framgÄ av vÄr lag. De nÀrmare formerna för överföringarna kommer dock att skifta mellan lufttrafikföretagen och bero pÄ vilket format och protokoll de kommer att vÀlja för överföringarna och huruvida företagen Àr sÄdana att de enligt kommissionens beslut kan anvÀnda sig av nÄgon annan form för överföringen.
Enligt direktivets artikel 14 ska sanktioner trÀffa de lufttrafik- företag som inte överför
207
Lufttrafikföretagens överföring av |
SOU 2017:57 |
Vid eventuella tekniska problem ska överföringarna enligt arti- kel 8.3 ske pĂ„ nĂ„got annat sĂ€tt som sĂ€kerstĂ€ller ett lĂ€mpligt dataskydd, se Ă€ven artikel 16.1. Ăven denna frĂ„ga kan regleras i förordning.
11.4.8Anlitande av personuppgiftsbitrÀde
VÄrt förslag: Den som Àr skyldig att överföra
Den grundlÀggande skyldigheten att överföra
14 Se t.ex. Europarlamentets och rÄdets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphÀvande av rÄdets förord- ning (EEG) nr 2299/89.
208
12 ResebyrÄer och researrangörer
12.1Medlemsstaternas överenskommelse och vÄrt uppdrag
I samband med att
I vÄra kommittédirektiv anges att deklarationen innebÀr att med- lemsstaterna ska efterstrÀva att införa nationella bestÀmmelser som innebÀr skyldigheter att överföra flygpassageraruppgifter Àven för ekonomiska aktörer som inte Àr transportörer, t.ex. de resebyrÄer och researrangörer som erbjuder bokningsförmedling vid vilken sÄ- dana uppgifter samlas in och behandlas. En utgÄngspunkt för vÄrt uppdrag Àr dÀrför att skyldigheten att föra över flygpassagerarupp- gifter till de nationella enheterna i medlemsstaterna Àven ska om- fatta resebyrÄer och researrangörer.
209
ResebyrÄer och researrangörer |
SOU 2017:57 |
12.2ResebyrÄer och researrangörer
Det Àr vanligt att dela in de aktörer som förmedlar resetjÀnster i rese- byrÄer och researrangörer, dÀr en resebyrÄ vanligen Àr att betrakta som en ÄterförsÀljare av andras resor och turisttjÀnster, medan en researrangör Àr ett företag som producerar och sÀljer egna resor. Denna uppdelning Àr emellertid inte helt skarp. En aktör kan vara resebyrÄ i ett sammanhang och researrangör i ett annat.
NÄgon definition av begreppet resebyrÄ finns inte i lagstiftningen. En resebyrÄ utmÀrks dock typiskt sett av att den förmedlar ett avtal för annan. Avtalet ingÄs mellan, Ä ena sidan, en resenÀr och, Ä andra sidan, en transportör, en researrangör eller ett hotell etc. Det finns emellertid situationer dÄ en resebyrÄ kan fÄ stÀllning som part i rese- avtalet. Om resebyrÄn agerar sjÀlvstÀndigt i förhÄllande till trans- portörens avtalsvillkor, t.ex. genom att ge en egen rabatt eller göra egna utfÀstelser, talar det för att den agerar för egen rÀkning som part i reseavtalet. FrÄgan om resebyrÄn i övrigt intar partsstÀllning fÄr bedömas utifrÄn allmÀnna avtalsrÀttsliga grundsatser (se NJA 2014 s. 978). Det Àr inte helt ovanligt att en resebyrÄ Àven arrangerar egna paketresor, företrÀdesvis grupp- och konferensresor för affÀrsrese- kunder.
Antalet svenska företag som kan betraktas som resebyrÄer upp- gick vid utgÄngen av Är 2015 till drygt 2901. BerÀkningen inkluderar dock inte resebyrÄer som endast sÀljer resor via internet. Av resebyrÄ- erna Àr nÄgot mer Àn hÀlften huvudsakligen inriktade pÄ privatrese- försÀljning, ett sextiotal Àr renodlade affÀrsresebyrÄer och resterande sÀljer bÄde privat- och affÀrsresor. Ca 60 procent av alla bokningar av flygbiljetter, inom EU och internationellt, utförs av resebyrÄer2.
En researrangör sÀljer resepaket, dvs. erbjuder en paketlösning med t.ex. flyg och boende. De som sÀljer och arrangerar paketresor kan vara allt frÄn mindre familjeföretag till större företag och orga- nisationer. Bland researrangörer finns traditionella charteroperatö- rer som t.ex. Tui, Ving och Apollo med dotterbolag. Dessa tre rese- arrangörer Àgs alla av olika internationella resekoncerner och har egna flygbolag. Andra researrangörer anvÀnder sig av reguljÀrflyg eller andra transportmedel.
1Enligt Svenska ResebyrÄföreningens marknadsuppgifter för Är 2015.
2Enligt uppgift frÄn Svenska ResebyrÄföreningen.
210
SOU 2017:57 |
ResebyrÄer och researrangörer |
I lagen (1992:1672) om paketresor (paketreselagen) regleras bl.a. arrangörers ansvar för sĂ„dana paketresor som de sĂ€ljer eller marknads- för. Paketreselagen genomför det s.k. paketresedirektivet3. I lagens 3 § definieras en arrangör som den som annat Ă€n tillfĂ€lligtvis orga- niserar paketresor och sĂ€ljer eller marknadsför dem direkt eller genom en Ă„terförsĂ€ljare. I lagens förarbeten anges att vid bedömningen av vad som Ă€r âannat Ă€n tillfĂ€lligtvisâ torde man fĂ„ beakta dels hur ofta vederbörande ordnar paketresor men dels ocksĂ„ hur regelbundet eller sporadiskt resorna Ă„terkommer. Den som varje Ă„r ordnar resor till en viss Ă„terkommande kongress eller nĂ„got annat evenemang torde sĂ„lunda fĂ„ anses vara arrangör i lagens mening. Men den som ordnar tvĂ„ eller tre paketresor tĂ€tt efter varandra till ett visst evene- mang omfattas knappast av lagen, om han eller hon i övrigt inte alls organiserar resor. Detsamma torde gĂ€lla den som oregelbundet och relativt sĂ€llan ordnar resor (se prop. 1992/93:95 s. 67). En Ă„terför- sĂ€ljare Ă€r enligt lagen den som sĂ€ljer eller marknadsför arrangörens resor.
Ett nytt
3RĂ„dets direktiv (90/314/EEG) av den 13 juni 1990 om paketresor, semesterpaket och andra paketarrangemang.
4Europaparlamentets och rÄdets direktiv (EU) 2015/2302 av den 25 november 2015 om paket- resor och sammanlÀnkade researrangemang, om Àndring av förordning (EG) nr 2006/2004 och Europaparlamentets och rÄdets direktiv 2011/83/EU samt om upphÀvande av rÄdets direktiv 90/314/EEG.
211
ResebyrÄer och researrangörer |
SOU 2017:57 |
Paketreseutredningen överlÀmnade den 30 augusti 2016 sina för- slag pÄ hur det nya direktivet ska genomföras i svensk rÀtt. I betÀn- kandet föreslÄs att den nu gÀllande paketreselagen byts ut mot en ny lag med samma namn. Direktivets definitioner av begreppen arrangör och ÄterförsÀljare föreslÄs oförÀndrade föras in i den nya lagen (se SOU 2016:56 s. 124 ff.). Förslaget bereds nu inom regeringskansliet.
Det finns nÀrmare 600 researrangörsföretag i Sverige, bussrese- företagen inte inrÀknade.5 De flesta arrangerar och sÀljer paketresor för konsumenter. Ett fÄtal Àr helt inriktade pÄ arrangemang för andra företag. HÀrutöver finns ett antal företag i form av enskilda firmor och ideella föreningar som organiserar nÄgon eller nÄgra enstaka resor om Äret.
Cirka hĂ€lften av de svenska researrangörernas och resebyrĂ„ernas totala försĂ€ljning sker i dag över internet. Vissa resor sĂ€ljs av s.k. OTA:er. OTA Ă€r en förkortning för âonline travel agencyâ och be- greppet anvĂ€nds för att beskriva aktörer som Ă€r helt inriktade pĂ„ att sĂ€lja resor via internet. Det Ă€r vanligt att företag som sĂ€ljer resor via internet gör det under flera olika varumĂ€rken. Det företag som har de flesta varumĂ€rkena Ă€r
Antalet resebyrÄer och researrangörer inom Europa uppgick Är 2014 till omkring 50 000.6 Den internationella konkurrensen pÄ mark- naden har ökat i takt med att konsumenterna i högre utstrÀckning vant sig vid att köpa resor via internet. Det gÀller bÄde svenska före- tag som vÀnder sig till utlÀndska resenÀrer och utlÀndska företag som vÀnder sig till svenska resenÀrer. Exempel pÄ det senare Àr företagen Expedia och Booking.com.
5Enligt Svenska resebyrÄföreningens marknadsuppgifter för Är 2015.
6The european travel agents and tour operator association (ACTAA), Table of Statistics.
212
SOU 2017:57 |
ResebyrÄer och researrangörer |
12.2.1ResebyrÄers och researrangörers insamling och överföring av
NÀr en resenÀr vÀljer att boka en resa via en resebyrÄ eller researran- gör skapas
De reservationssystem som vanligtvis anvĂ€nds brukar kallas Global Distribution System (GDS) eller Computer Reservation System (CRS). Reservationssystemen möjliggör direktkommunikation mellan Ă„ ena sidan den som utför bokningen och Ă„ andra sidan lufttrafik- företaget. Systemen innehĂ„ller information om bland annat flyg- bolagens tidtabeller, platstillgĂ„ng, biljettpriser och tjĂ€nster i samband med flygbefordran. Genom reservationssystemen fĂ„r en ansluten resebyrĂ„ eller researrangör tillgĂ„ng till anslutna flygbolags âlagerâ av t.ex. flygstolar. ResebyrĂ„n eller researrangören kan dĂ€rmed gĂ„ rakt in i âlagretâ och sĂ€lja en flygstol till en kund för flygbolagets rĂ€kning.
Reservationssystemen byggdes ursprungligen upp och Àgdes av flygbolagen. PÄ grund av Àndrade regler Àr det numera inte lika för- delaktigt för flygbolagen att sjÀlva Àga systemen och flera flygbolag har dÀrför helt eller delvis sÄlt sina Àgarandelar. Det finns i dagslÀget tre dominerande reservationssystem; Amadeus, Sabre och Travelport. Företaget bakom Amadeus Àr det enda som Àr lokaliserat i Europa och systemet Àr det som frÀmst anvÀnds i Skandinavien. Det har inom EU antagits en förordning som innehÄller en uppförandekod för reservationssystemen.7
NÀr en resebyrÄ eller researrangör tar emot en bokningsförfrÄgan frÄn en resenÀr skapar företaget normalt en bokningsfil i det datori- serade reservationssystemet. Den bokningsfil som skapas innehÄller sÄledes uppgifter om resenÀren och dennes bokning, dvs. PNR- uppgifter. De
7 Europaparlamentets och rÄdets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphÀvande av rÄdets förordning (EEG) nr 2299/89.
213
ResebyrÄer och researrangörer |
SOU 2017:57 |
endast förmedlar en flygbiljett. DÀrför har resebyrÄn och researrangö- ren olika behov av personuppgifter frÄn kunden och de uppgifter som hÀmtas in och överförs kan variera. Hur mÄnga uppgifter som förs över kan ocksÄ variera beroende pÄ vilka krav som stÀlls av flyg- bolagen. ResebyrÄerna överför dock normalt pÄ detta sÀtt samtliga insamlade
De
I vissa fall görs Àndringar i
Det finns resebyrÄer och researrangörer som inte sjÀlva har till- gÄng till reservationssystem och som i stÀllet köper in den tjÀnsten frÄn andra resebyrÄer eller researrangörer.
För de researrangörer som arrangerar charterresor rÄder nÄgot andra förutsÀttningar. ResenÀrernas
214
SOU 2017:57 |
ResebyrÄer och researrangörer |
12.2.2Behöriga myndigheter vill kunna fÄ tillgÄng till samtliga insamlade
För att
Flygtrafiken till vissa lÀnder, exempelvis USA, utgörs frÀmst av reguljÀrflygningar. Om en reguljÀr flygresa har bokats via en resebyrÄ, överför resebyrÄn normalt de
12.2.3Insamling av
Insamling av
8 Article
215
ResebyrÄer och researrangörer |
SOU 2017:57 |
inte haft möjlighet att nÀrmare granska. Under alla förhÄllanden baseras lagbestÀmmelsen dock inte pÄ en implementering av PNR- direktivet eller den dÀrtill hörande överenskommelsen.
Det Àr i skrivande stund inte klart hur medlemsstaterna kommer att hantera den aktuella överenskommelsen. Det har i ett sent skede i vÄr utredning kommit till vÄr kÀnnedom att det i Tyskland finns ett förslag som innebÀr att andra aktörer involverade i reservation eller bokning av flygbiljetter i god tid ska överföra
12.3VÄra övervÀganden
VÄr bedömning: ResebyrÄer och researrangörer omfattas redan av systemet med insamling av
Innebörden av medlemsstaternas överenskommelse och vÄrt uppdrag
Medlemsstaterna inklusive Sverige har alltsÄ i ett gemensamt ut- talande frÄn rÄdet, en deklaration, Ätagit sig att utvidga insamlingen av
PÄ motsvarande sÀtt som vi tolkat vÄrt uppdrag nÀr det gÀller lufttrafikföretagens skyldigheter kan vi inte förstÄ denna del av vÄrt
216
SOU 2017:57 |
ResebyrÄer och researrangörer |
uppdrag pÄ annat sÀtt Àn att det handlar om att övervÀga en utvidg- ning som innebÀr att den svenska enheten för passagerarinformations insamling av
Möjliga alternativa modeller
Det kan konstateras att resebyrÄerna och researrangörerna utgör en stor och brokig skara, som innehÄller sÄvÀl stora internationella bolag som smÄ enmansbolag, enskilda firmor och ideella föreningar. Vissa aktörer sÀljer endast resor via internet och andra sÄvÀl pÄ traditio- nellt vis som via sina hemsidor. MÄnga aktörer anvÀnder sig av de stora internationella reservationssystemen, medan andra köper in sÄdana tjÀnster frÄn större bolag. Vidare har anvÀndandet av internet medfört att resebranschen blivit alltmer internationell. Det Àr sÄledes inte alls Àr sÀkert att en svensk resenÀr köper sin resa via en svensk resebyrÄ eller arrangör. Vad gÀller utlÀndska resenÀrer till Sverige torde bilden bli Ànnu mera brokig.
Det framgÄr inte av överenskommelsen om insamlingen ska be- grÀnsas till sÄdana resebyrÄer och researrangörer som har sitt sÀte inom en medlemsstat eller inom unionen. För det fall insamlingen Àr tÀnkt att omfatta samtliga resebyrÄer och researrangörer som bokar de flygresor som direktivet trÀffar, skulle det innebÀra att alla rese- byrÄer och researrangörer i hela vÀrlden som ordnar eller förmedlar flygresor till eller frÄn EU trÀffas av överföringsskyldigheten. SÄledes skulle alla resebyrÄer och researrangörer vÀrlden över som bokar en flygresa till eller frÄn Sverige ÄlÀggas en skyldighet att överföra PNR- uppgifter till den svenska enheten för passagerarinformation. An- talet resebyrÄer och researrangörer i hela vÀrlden uppgÄr till ett okÀnt och otaligt antal. Bara i Europa fanns det Är 2014 ca 50 000 sÄdana
217
ResebyrÄer och researrangörer |
SOU 2017:57 |
företag. Redan hÀr kan sÀgas att ett upplÀgg som innebÀr att över- föringar ska ske frÄn företag som inte har nÄgon annan koppling till Sverige Àn att de förmedlar flygresor hit, fÄr antas vara mycket svÄrt att anordna. De tekniska och administrativa hindren för att genom- föra ett sÄdant system synes oÀndliga. Möjligheten att anvÀnda sank- tioner mot de utlÀndska företag som inte uppfyller en sÄdan över- föringsskyldighet fÄr ocksÄ antas möta stora praktiska bekymmer.
Alldeles bortsett frÄn dessa generella svÄrigheter ser vi i huvud- sak tre tÀnkbara modeller för hur en utvidgning av insamlingen av
Modell 1) â En direkt utvidgning av direktivet
Ett sÀtt att genomföra medlemsstaternas överenskommelse vore att direkt utvidga tillÀmpningen av
Flygbiljetter bokas mÄnga gÄnger lÄngt i förvÀg. Efter det att en resebyrÄ har stÀllt ut önskade flygbiljetter har resebyrÄn normalt fullgjort sin del av avtalet. Det finns i dag inget givet system som ger resebyrÄer eller researrangörer möjlighet att söka fram de passagerare som ska resa ett antal dagar och timmar senare. Rent tekniskt skulle i vart fall de stora researrangörerna kunna bygga om sina system för att kunna uppfylla denna skyldighet. Det skulle dock fÄ ske till rela- tivt omfattande kostnader. För mindre resebyrÄer och researrangörer skulle det vara mycket svÄrt att bÀra en sÄdan kostnad.
En resebyrÄ eller researrangör kommer dock aldrig att kunna veta om alla passagerare som Àr bokade pÄ en flygning ocksÄ infinner sig till denna. Det Àr flygbolagens personal som har hand om incheck- ningen pÄ flygplatsen, som stÄr uppe vid flyget och som assisterar
218
SOU 2017:57 |
ResebyrÄer och researrangörer |
sÄ att flyget kan avgÄ. Ibland kan charterpersonal finnas pÄ flyg- platserna, men i sÄdana fall Àr den personalen inhyrd av flygbolagen. Det Àr sÄledes normalt endast det lufttrafikföretag som utför flyg- ningen som har kontroll över inchecknings- och ombordstignings- processen. Komplett och uppdaterad information om vilka resenÀrer som faktiskt gÄr ombord pÄ flygplanet har dÀrmed endast luft- trafikföretaget.
En flygning kan bli försenad av mÄnga anledningar. En flygresa kan stÀllas in och ersÀttningsflyg kan behöva anvÀndas. ResebyrÄerna och researrangörerna har ingen del i denna process. Dessa aktörer kan dÀrför omöjligen veta nÀr gatens dörrar har stÀngts. För att kunna uppfylla överföringsskyldigheten enligt direktivet skulle samt- liga resebyrÄer och researrangörer behöva ha personal pÄ plats pÄ samtliga flygplatser vid gaterna, vilket förefaller vara en omöjlighet. Vi kan sÄledes inte se att resebyrÄer och researrangörer har möjlighet att överföra
Modell 2) â Ytterligare överföring via lufttrafikföretagen
En utvidgning av insamlandet av
219
ResebyrÄer och researrangörer |
SOU 2017:57 |
Det Àr emellertid en grundlÀggande tanke bakom
Vi vill framhÄlla att en lösning enligt modell 2 torde kunna Ästad- kommas pÄ frivillig vÀg. Beroende pÄ hur en sÄdan lösning riggas skulle den dock av allt att döma innebÀra utvecklingskostnader för charterarrangörerna och eventuellt ytterligare kostnader för mot- tagandet hos lufttrafikföretagen. Dessutom skulle ett antal frÄgor rörande integritet och dataskydd behöva analyseras nÀrmare, sÄsom om överföringarna till lufttrafikföretagen skulle krÀva samtycke
220
SOU 2017:57 |
ResebyrÄer och researrangörer |
frÄn resenÀrerna eller om nÄgon annan rÀttslig grund i dataskydds- förordningen kan tillÀmpas, vem som skulle ha personuppgifts- ansvaret för uppgifterna och dÀrmed ansvara för sÀkerhetsfrÄgor osv.
Modell 3) â Ăverföring frĂ„n resebyrĂ„er och researrangörer direkt till enheten för passagerarinformation
Den tredje modellen tar sin utgÄngspunkt i skÀl 33 i
Ett system med direktöverföring frÄn resebyrÄer och researrangö- rer till enheten för passagerarinformation reser ett flertal frÄgor.
En första frÄga Àr givetvis hur systemet lÀmpligen skulle utformas i frÄga om nÀr och hur resebyrÄer och researrangörer skulle över- föra
En ytterligare frÄga Àr vilka möjligheter enheten för passagerar- information har att inom en nÀra överskÄdlig tid ta emot PNR- uppgifter direkt frÄn smÄ och stora resebyrÄer och researrangörer i Sverige och i andra lÀnder vid sidan av dem som kommer frÄn luft- trafikföretagen. Enligt vad vi inhÀmtat Àr de tekniska och perso-
221
ResebyrÄer och researrangörer |
SOU 2017:57 |
nella förberedelserna för att kunna ta emot
Det mÄste ocksÄ beaktas att ett ÄlÀggande för resebyrÄer och researrangörer att sjÀlva överföra
Som tidigare konstaterats bestÄr branschen av ett stort antal aktö- rer av skiftande slag och storlek. Att finna ett överföringssystem som kan tillgodose alla aktörers möjligheter och tekniska lösningar Àr en grannlaga uppgift. Att pÄ egen hand finna ett system som reg- lerar överföring frÄn all vÀrldens eller unionens resebyrÄer och rese- arrangörer fÄr ses som en nÀst intill omöjlig uppgift inom ramen för detta uppdrag. En begrÀnsning av överföringsskyldigheten till att endast omfatta svenska företag kan inte heller anses lÀmpligt. Rese- byrÄerna och researrangörerna agerar pÄ en internationell och kom- mersiell marknad. För det fall Sverige skulle införa en lösning som endast eller till största del trÀffade svenska företag, skulle företag frÄn andra lÀnder fÄ konkurrensfördelar. Vi kan inte förorda en lösning som innebÀr att svenska resebyrÄer och researrangörer drabbas hÄrdare Àn andra. Sammantaget Àr det vÄr uppfattning att övervÀgan- den angÄende införandet av ett system med direktöverföring av
222
SOU 2017:57 |
ResebyrÄer och researrangörer |
VÄr sammanfattande bedömning
ResebyrÄerna och researrangörerna kommer att bli en del av PNR- systemet, eftersom de redan i dag överför
Vi Àr medvetna om att det möjligen har gjorts andra tolkningar av direktivet i Tyskland Àn de som vi har kommit fram till ovan. Det förÀndrar inte vÄra bedömningar i detta lÀge. Vi ser det dock som tro- ligt att en utvidgning av systemet med insamling av
Kommissionen ska senast den 25 maj 2020 utföra en översyn av
Som tidigare har angetts finns det inte nÄgon tidsangivelse för nÀr medlemsstaternas överenskommelse ska vara genomförd i natio-
223
ResebyrÄer och researrangörer |
SOU 2017:57 |
nell rÀtt. Enligt vÄr mening finns det dÀrför all anledning att avvakta den översyn som kommer att ske av kommissionen, innan överens- kommelsen genomförs i svensk rÀtt genom en utvidgad insamling av
En skyldighet för resebyrÄer och researrangörer att överföra
224
13Behandling av
13.1En databas för
VÄrt förslag: En bestÀmmelse förs in i lagen som anger att de
De
Det bör av lagen framgÄ att det vid enheten för passagerarinforma- tion ska finnas en datoriserad uppgiftssamling dÀr de
225
Behandling av |
SOU 2017:57 |
uppgiftssamlingar. Visserligen kommer uppgiftssamlingen att inne- hÄlla vissa fritextfÀlt. Den kommer dock troligen inte att innehÄlla löpande texter eller elektroniska dokument av olika slag. Detta talar för att det snarare Àr frÄga om ett register i begreppets traditionella bemÀrkelse Àn en databas. Dock Àr de tekniska lösningarna Ànnu inte uppbyggda och det Àr dÀrför inte helt klart hur dessa nÀrmare kom- mer att vara utformade. Vi har dÀrför valt att i implementeringen hÄlla oss sÄ nÀra direktivets ordalydelse som möjligt. I lagförslaget anvÀnds dÀrför ordet databas för att beskriva den datoriserade upp- giftssamlingen.
13.2ĂndamĂ„l för behandling av
VÄrt förslag: Enheten för passagerarinformation fÄr endast be- handla
Direktivets bestÀmmelser
De
a)Göra en bedömning av passagerare före deras berÀknade ankomst till eller avresa frÄn den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna och i förekommande fall Europol behöver utreda ytterligare, pÄ grund av att dessa per- soner kan vara inblandade i terroristbrott eller grov brottslighet.
b)I enskilda fall, besvara en vederbörligen motiverad förfrÄgan som bygger pÄ tillrÀckliga skÀl frÄn de behöriga myndigheterna om att tillhandahÄlla och behandla
226
SOU 2017:57 |
Behandling av |
syfte att förebygga, förhindra, upptÀcka, utreda och lagföra ter- roristbrott eller grov brottslighet och tillhandahÄlla de behöriga myndigheterna eller, nÀr sÄ Àr lÀmpligt, Europol resultaten av sÄdan behandling.
c)Analysera
VÄra övervÀganden
Artikel 6.2 utgör en verksamhetsreglering som anger hur de insam- lade
ĂndamĂ„lsbestĂ€mning Ă€r central i dataskyddsreglering. I 2 kap. 3 § BDL anges att personuppgifter bara fĂ„r behandlas för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l. I 2 kap. 4 § framgĂ„r under vilka förutsĂ€ttningar personuppgifter fĂ„r behandlas för ett nytt Ă€ndamĂ„l. Normalt Ă€r det den personuppgiftsansvarige sjĂ€lv som be- stĂ€mmer Ă€ndamĂ„len med en behandling. I registerförfattningar kan det emellertid finnas bestĂ€mmelser om Ă€ndamĂ„lsbestĂ€mmelser som kan vara mer eller mindre preciserade. I polisdatalagen finns sĂ„dana allmĂ€nt formulerade Ă€ndamĂ„lsbestĂ€mmelser för Polismyndighetens del frĂ€mst i 2 kap.
Genom
227
Behandling av |
SOU 2017:57 |
enklare sÀtt beskriver enhetens olika uppgifter och som dessutom inkluderar behandling för sÄdana ÀndamÄl som anges i artiklarna 9 och 11, dvs. behandling för översÀndande till andra medlemsstater och till tredjelÀnder.
BestÀmmelsen om ÀndamÄl kommer att ersÀtta de ÀndamÄlsbe- stÀmmelser som anges i 2 kap. 7 och 8 §§ PDL. Den exkluderar Àven en tillÀmpning av bestÀmmelsen om nya ÀndamÄl i 2 kap. 4 § BDL. UpprÀkningen i bestÀmmelsen Àr uttömmande och innebÀr att en- dast sÄdan personuppgiftsbehandling som inryms i nÄgot av de i para- grafen angivna ÀndamÄlen fÄr Àga rum. Dock Àr behandling alltid tillÄten för att uppfylla de syften som anges i 2 kap. TF. Vidare fÄr
Hur de nÀrmare ÀndamÄlen ska regleras i lagen diskuteras nedan.
13.2.1
VÄra förslag: FrÄn lufttrafikföretag insamlade
AnvÀndning av
228
SOU 2017:57 |
Behandling av |
Vidare kan kontroll av
Genom artikel 6.2 a ges enheten för passagerarinformation en möjlighet att anvÀnda de insamlade
VÄra övervÀganden och förslag
BestÀmmelsen i artikel 6.2 a bör föras in i lagen i stort sett i enlig- het med sin ordalydelse. SÄledes bör det av bestÀmmelsen framgÄ att
1 KOM (2011) 32 slutlig av den 2 februari 2011, s. 6.
229
Behandling av |
SOU 2017:57 |
uppgifter kan endast erhÄllas för det fall enheten för passagerar- information ocksÄ fÄr tillgÄng till
Syftet med behandlingen Àr att
BestÀmmelsen som genomför artikel 6.2 a kommer att behandlas Äterkommande i betÀnkandet och i lagförslaget. Av denna anled- ning och för att förenkla lagtexten föreslÄr vi att den bedömning som ska göras enligt bestÀmmelsen benÀmns som förhandsbedöm- ning. BenÀmningen bör föras in i lagtexten.
13.2.2Förfarandet vid förhandsbedömningar
VÄrt förslag: Vid förhandsbedömningar fÄr
1.jÀmföras med register eller andra uppgiftssamlingar som Àr relevanta för ett eller flera av syftena att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, eller
2.behandlas enligt pÄ förhand utformade och faststÀllda krite- rier som Àr riktade, proportionella och avgrÀnsade och som inte grundas pÄ kÀnsliga personuppgifter.
Som tidigare framgÄtt kommer enheten för passagerarinformation att fÄ del av
230
SOU 2017:57 |
Behandling av |
intressanta för vidare utredning bör den ha tillgÄng till vissa hjÀlp- medel. SÄledes anges i artikel 6.3 att enheten vid förhandsbedöm- ningarna fÄr jÀmföra
JÀmförelser med relevanta databaser
Direktivet anger inte vilka databaser eller register som fÄr anvÀndas vid förhandsbedömningarna. I artikel 6.3 a anges i stÀllet att data- baserna ska vara relevanta för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet och att det inkluderar databaser över personer eller föremÄl som Àr eftersökta eller finns uppförda pÄ en spÀrrlista. Vidare anges att jÀmförelserna ska göras i enlighet med unionsbestÀmmelser eller internationella eller nationella bestÀmmelser som Àr tillÀmpliga pÄ sÄdana databaser.
Direktivet innehÄller sÄledes en generell begrÀnsning av vilka typer av uppgiftssamlingar
VÄra övervÀganden
Artikel 6.3 a Àr av sÄdan vikt för
Det Àr i nulÀget inte klart vilka register eller uppgiftssamlingar som
231
Behandling av |
SOU 2017:57 |
internationella brottslingar kan registreras. Ett nationellt register man kan tÀnka sig Àr misstankeregistret. Som angetts i avsnitt 10.5 Àr det vÄr utgÄngspunkt att enheten, nÀr den startar det operativa arbetet, kommer att anvÀnda sig av de system som den nuvarande registerförfattningsregleringen ger förutsÀttningar för och som reg- leras i annan författning. BestÀmmelser hÀrom behöver dÀrför inte föras in i denna reglering. Dock krÀvs, som angetts ovan, att registren eller uppgiftssamlingarna Àr relevanta för
Det bör i sammanhanget noteras att vissa uppgiftssamlingar som kan bli aktuella för jÀmförelser kan innehÄlla uppgifter om personer som inte faller inom direktivets tillÀmpningsomrÄde eftersom de t.ex. Àr misstÀnkta för annat slags eller lindrigare brottslighet. En auto- matisk sökning i dessa uppgiftssamlingar skulle kunna innebÀra att
JÀmförelser med pÄ förhand faststÀllda kriterier
Vid förhandsbedömningarna fÄr enheten för passagerarinformation enligt artikel 6.3 b Àven behandla
En analys av
232
SOU 2017:57 |
Behandling av |
mÀnniskohandlare som alltid reste samma vÀg. De anvÀnde falska handlingar för att checka in till en flygning inom EU samtidigt som de anvÀnde Àkta handlingar för att checka in till en annan flygning med destination i ett tredjeland. SÄ snart de befann sig i flygplatsens
I artikel 6.4 anges att förhandsbedömningen av passagerare i en- lighet med pÄ förhand faststÀllda kriterier ska utföras pÄ ett icke- diskriminerande sÀtt. De pÄ förhand faststÀllda kriterier mÄste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna faststÀlls och regelbundet ses över av enheterna för pas- sagerarinformation i samarbete med behöriga myndigheter. Dessa pÄ förhand faststÀllda kriterier fÄr dessutom under inga omstÀndig- heter vara baserade pÄ kÀnsliga personuppgifter.
Inte heller direktivets bestÀmmelse om de pÄ förhand faststÀllda kriterierna i artikel 6.3 b Àr tvingande. Det utgör sÄledes en frivillig möjlighet för medlemsstaterna att anvÀnda sig av profilering. Om en profilering sker ska dock bestÀmmelserna i artikel 6.4 vara upp- fyllda.
VÄra övervÀganden
Ăven artikel 6.3 b och 6.4 bör genomföras i lagen. Det bör hĂ€r framgĂ„ att
Förbudet mot behandling av kÀnsliga personuppgifter bör föras in i lagen genom en hÀnvisning till den bestÀmmelse i brottsdatalagen dÀr dessa uppgifter behandlas. Dock följer det redan av 1 kap. 9 § RF att en myndighet inte ska utföra sitt arbete pÄ ett diskriminerande sÀtt. Enlig vÄr mening saknas det dÀrför anledning att i lagen sÀrskilt ange detta kriterium.
2 A.a. s. 5.
233
Behandling av |
SOU 2017:57 |
Det kan i förordning regleras att kriterierna ska faststÀllas och regelbundet ses över av enheten för passagerarinformation i sam- arbete med behöriga myndigheter.
Konsekvenser av förhandsbedömningarna
I artikel 6.9 anges att konsekvenserna av förhandsbedömningarna inte fÄr Àventyra rÀtten för personer som Ätnjuter fri rörlighet enligt unionsrÀtten att resa in pÄ den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rÄdets direktiv 2004/38/EG3. NÀr bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka kodexen om SchengengrÀnserna4 Àr tillÀmp- lig, ska vidare konsekvenserna av sÄdana bedömningar vara förenliga med den förordningen.
I rÄdets direktiv 2004/38/EG slÄs unionsmedborgares och deras familjemedlemmars rÀtt att fritt röra sig och uppehÄlla sig inom med- lemsstaternas territorium fast. Direktivet har genomförts i Sverige frÀmst genom Àndrade bestÀmmelser i utlÀnningslagen.
Kodexen om SchengengrÀnserna syftar till att precisera unionens bestÀmmelser om grÀnskontroller vid personers passage av EU:s yttre grÀnser och tillfÀlliga inre grÀnser. Kodexen gÀller som lag i Sverige. Enligt grÀnskodexen fÄr alla personer, oavsett nationalitet, passera de inre grÀnserna vid vilket övergÄngsstÀlle som helst, utan att nÄgon in- eller utresekontroll genomförs. Detta utesluter inte möjligheten att den nationella polismyndigheten utövar sina befogenheter, pÄ villkor att det inte har samma verkan som grÀnskontroller. DÀrut- över finns det i grÀnskodexen bestÀmmelser om att de
3Europaparlamentets och rÄdets direktiv 2004/38/EG av den 29 april 2004 om unionsmed- borgares och deras familjemedlemmars rÀtt att fritt röra sig och uppehÄlla sig inom medlems- staternas territorier och om Àndring av förordning (EEG) nr 1612/68 och om upphÀvande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG.
4Direktivet hÀnvisar till Europarlamentets och rÄdets förordning (EG) nr 562/2006 av den
15mars 2006 om en gemenskapskodex om grÀnspassage för personer (kodex om Schengen- grÀnserna). Den har emellertid ersatts av Europaparlamentets och rÄdets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om grÀnspassage för personer (kodex om SchengengrÀnserna).
234
SOU 2017:57 |
Behandling av |
13.2.3
VÄra förslag: FrÄn lufttrafikföretag insamlade
Reaktiv behandling av
235
Behandling av |
SOU 2017:57 |
den till EU. Personerna identifierades genom att det pÄ grundval av
Lagrade
Behöriga myndigheter som tror sig kunna ha nytta av Àldre PNR- uppgifter kan vÀnda sig till enheten för passagerarinformation och begÀra att fÄ ut Àldre
Av andra bestÀmmelser i direktivet framgÄr att enheten för passa- gerarinformation under vissa förutsÀttningar Àven ska besvara för- frÄgningar frÄn andra Àn behöriga myndigheter om att fÄ ta del av sÄdana
VÄra övervÀganden
BestÀmmelsen i artikel 6.2 b bör genomföras pÄ sÄ sÀtt att det av bestÀmmelsen framgÄr att
5 KOM (2011) 32 slutlig av den 2 februari 2011, s. 5 f.
236
SOU 2017:57 |
Behandling av |
uppgifter frÄn enheten för passagerarinformation och för att tillhandahÄlla dessa mottagare resultatet av sÄdan behandling. Detta kan lösas genom att det i lagen hÀnvisas till behöriga mottagare i stÀllet för endast behöriga myndigheter och Europol. Vidare bör framgÄ att
Enligt artikel 11 i direktivet fÄr i vissa fall
13.2.4
VÄrt förslag: FrÄn lufttrafikföretag insamlade
Som tidigare har angetts ska de pÄ förhand faststÀllda kriterierna regel- bundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. De
Enligt vÄr mening bör Àven denna ÀndamÄlsbestÀmmelse föras in i lagen. Det bör hÀr framgÄ att
237
Behandling av |
SOU 2017:57 |
13.2.5
VÄrt förslag:
En enhet för passagerarinformation som vid sin förhandsbedömning av passagerare har identifierat en person kan i vissa fall överföra
Vidare kommer enheten för passagerarinformation att motta
238
SOU 2017:57 |
Behandling av |
sina kriterier etc. Den
Den behandling som ska ske av
13.3Maskering av
VÄra förslag: En bestÀmmelse förs in i lagen som anger att vissa
Vidare ska det föras in definitioner i lagen som anger att
âmed maskering ska förstĂ„s en Ă„tgĂ€rd som innebĂ€r att tillgĂ€ng- liga uppgifter som direkt kan hĂ€nföras till en fysisk person görs osynliga för en anvĂ€ndare av ett informationssystem som sak- nar sĂ€rskild behörighet för Ă„tkomst till uppgifterna,
239
Behandling av |
SOU 2017:57 |
âmed maskerade
âmed avmaskerade
13.3.1Direktivets bestÀmmelser
Enligt direktivets artikel 12.2 ska
Av artikel 12.2 framgÄr sÄledes att vid utgÄngen av en period pÄ sex mÄnader efter överföringen frÄn lufttrafikföretagen ska PNR- uppgifterna avidentifieras genom maskering av vissa sÀrskilt upprÀk- nade uppgifter som kan anvÀndas för att omedelbart identifiera de passagerare som PNR uppgifterna avser.
I artikelns upprÀkning ingÄr
a)namn, inklusive namn pÄ andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans,
b)adress och kontaktuppgifter,
c)alla former av betalningsinformation, inbegripet faktureringsadress om denna innehÄller uppgift som kan anvÀndas för att omedelbart identifiera den passagerare som personuppgiftssamlingar avser eller andra personer,
d)uppgifter om bonusprogram,
e)allmÀnna anmÀrkningar, om dessa innehÄller uppgifter som kan anvÀndas för att omedelbart identifiera den passagerare som per- sonuppgiftssamlingar avser, samt
f)alla
240
SOU 2017:57 |
Behandling av |
13.3.2VÄra övervÀganden och förslag
Av direktivets skÀl 25 framgÄr att syftet med maskering av PNR- uppgifter som direkt identifierar en person Àr att en oproportioner- lig anvÀndning av uppgifterna ska undvikas. Tanken torde vara att efter hand som tiden gÄr efter det att det inte lÀngre Àr aktuellt att göra en förhandsbedömning av passagerare, minskar behovet av till- gÄng till direkt utpekande personuppgifter om passagerare. Efter sÄ lÄng tid som sex mÄnader torde det i huvudsak endast vara vid undersökningar pÄ sÀrskild förfrÄgan som tillgÄng till sÄdana uppgifter om passagerare kan vara av intresse.
Artikel 12.2 Àr en bestÀmmelse som enligt vÄr uppfattning mÄste genomföras genom författningsreglering. Den har en central stÀllning och bör dÀrför genomföras i den nya lagen.
I den svenska översÀttningen av direktivet anvÀnds begreppet av- identifiering genom maskering för att beskriva denna ordning. Med avidentifierade data avses dock i andra lagstiftningar och i andra sammanhang att kopplingen mellan uppgifterna och en fysisk per- son har eliminerats. I
Ordet maskering Ă€r ett tĂ€mligen ovanligt begrepp i lagstiftnings- sammanhang. I artikel 4 i dataskyddsförordningen definieras det till synes nĂ€raliggande begreppet pseudonymisering. Vi har övervĂ€gt om det vore ett ord som lĂ€mpligen borde anvĂ€ndas i stĂ€llet för maskering. Begreppet pseudonymisering definieras emellertid i förordningen med att det avser âbehandling av personuppgifter pĂ„ ett sĂ€tt som innebĂ€r att personuppgifterna inte lĂ€ngre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter anvĂ€nds, under för- utsĂ€ttning att dessa kompletterande uppgifter förvaras separat och Ă€r föremĂ„l för tekniska och organisatoriska Ă„tgĂ€rder som sĂ€kerstĂ€ller att personuppgifterna inte tillskrivs en identifierad eller identifier- bar fysisk personâ. Enligt vĂ„r mening kommer det betrĂ€ffande det som kallas maskerade
241
Behandling av |
SOU 2017:57 |
att behörigheten för Ätkomst eller tillgÄng till de direkt identi- fierande uppgifterna ska snÀvas in sÄ att en vanlig befattningshavare vid enheten för passagerarinformation som dittills haft tillgÄng till fullstÀndiga uppgifter, inte lÀngre kommer att ha det. Begreppet pseudonymiserade
Vi bedömer det i stÀllet som lÀmpligast att anvÀnda samma be- grepp som i direktivet, dvs. maskering. Ordet förekommer redan i författningstext, nÀmligen i lagen (2005:900) om förbud mot maske- ring i vissa fall. Den lagen innehÄller förbud att i vissa sammanhang, t.ex. en demonstration, helt eller delvis tÀcka för ansiktet pÄ ett sÀtt som försvÄrar identifikation. Att ordet förekommer i ett annat slags sammanhang med en annorlunda innebörd utgör enligt vÄr mening inget hinder mot att vi anvÀnder ordet i den nya lagen för att genom- föra direktivets bestÀmmelse om den ÄtgÀrd som avses dÀr. Detta gÀller sÀrskilt eftersom anvÀndningsomrÄdena i den nyssnÀmnda lagen och den av oss föreslagna nya lagen Àr sÄ pass Ätskilda att risken för missuppfattningar om innebörden av ordet i den ena eller andra lagen inte torde kunna uppstÄ. Vi föreslÄr sÄledes en bestÀmmelse om att
Med maskering ska förstÄs en ÄtgÀrd som innebÀr att tillgÀngliga uppgifter som direkt kan hÀnföras till en fysisk person görs osynliga för en anvÀndare av ett informationssystem som saknar sÀrskild be- hörighet för Ätkomst till uppgifterna. Detta föreslÄr vi ska definieras i lagen.
Vi föreslÄr ocksÄ att det i lagen definieras att med maskerade
Direktivets upprÀkning av de uppgifter som ska maskeras Àr ut- tömmande. BestÀmmelsen i artikel 12.2 bör genomföras i den nya lagen genom en motsvarande upprÀkning, men med nÄgra sprÄkliga justeringar enligt följande.
I direktivet anges under punkten a namn, inklusive namn pÄ andra passagerare i PNR samt antal passagerare i PNR som reser tillsam- mans. Med PNR torde i sammanhanget avses passageraruppgifts- samlingen. Det Àr, enligt vÄr bedömning, tillrÀckligt om det i lagen
242
SOU 2017:57 |
Behandling av |
anges att maskering ska ske av alla namnuppgifter samt av uppgifter om antalet passagerare som reser tillsammans.
Under punkten c anges alla former av betalningsinformation, in- begripet faktureringsadress, om denna innehÄller uppgifter som kan anvÀndas för att omedelbart identifiera den passagerare som pas- sageraruppgiftssamlingen avser eller andra personer. All betalnings- information som kan anvÀndas för att direkt identifiera en person ska alltsÄ maskeras, oavsett om denna person Àr en passagerare eller inte. Detta bör framgÄ av vÄr bestÀmmelse.
NĂ€r det gĂ€ller de allmĂ€nna anmĂ€rkningarna enligt punkten e ska dessa maskeras om de innehĂ„ller uppgifter som kan anvĂ€ndas för att direkt identifiera en passagerare. Ăven detta bör framgĂ„ av bestĂ€m- melsen.
13.4BegrÀnsad tillgÄng till maskerade uppgifter
VÄra förslag: Det ska införas ett författningsreglerat krav pÄ att tillgÄngen till maskerade uppgifter ska vara strikt begrÀnsad. Det kan ske genom att det i förordningen förs in en bestÀmmelse om att endast dataskyddsombudet samt den som har ett sÀrskilt be- hov av fullstÀndiga uppgifter för att kunna utföra sina arbetsupp- gifter vid enheten för passagerarinformation ska kunna ges be- hörighet för tillgÄng till maskerade
Enligt direktivets skÀl 25 bör Ätkomst till maskerade uppgifter endast beviljas under mycket strikta och begrÀnsade villkor för att sÀker- stÀlla högsta möjliga nivÄ av dataskydd. Som ett komplement till bestÀmmelserna om maskering bör det dÀrför föras in bestÀmmelser som stÀller krav pÄ att behörigheten för Ätkomst till fullstÀndiga
243
Behandling av |
SOU 2017:57 |
absolut nödvÀndigt med tillgÄng till fullstÀndiga uppgifter. Som fram- gÄr av artikel 6.7 ska enhetens dataskyddsombud ha Ätkomst till alla uppgifter som enheten behandlar. Dataskyddsombudet mÄste dÀrför ha tillgÄng Àven till de fullstÀndiga uppgifterna bakom maskerade
244
14
14.1PNR- och
Som har framgÄtt av tidigare avsnitt kan de uppgifter som överförs frÄn lufttrafikföretagen avse sÄvÀl PNR- som
En viss överlappning mellan vad som Àr en
245
SOU 2017:57 |
De
För de lufttrafikföretag som utför charterflygningar blir endast en mindre del av
Ăverförda
246
SOU 2017:57
kan Àven anvÀndas för att analysera och faststÀlla misstÀnkta rese- och beteendemönster.
Det kan innebÀra ett mervÀrde att behandla
14.2VĂ„rt uppdrag i denna del
I kommittĂ©direktiven framhĂ„lls att regeringen i skrivelsen Före- bygga, förhindra, försvĂ„ra â den svenska strategin mot terrorism (skr. 2014/15:146) angett att systemet för hantering av flygpassagerar- uppgifter bör samordnas med systemet för
âąanalysera om och i sĂ„ fall hur
âąföreslĂ„ hur systemet med flygpassageraruppgifter ska möjliggöra hantering av bĂ„de
âąföreslĂ„ de författningsĂ€ndringar som bedöms nödvĂ€ndiga.
1 RÄdets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lÀmna uppgifter om passagerare.
247
SOU 2017:57 |
14.3Direktivens olika mÄl och syften
248
SOU 2017:57
14.3.1Innebörden av den personkontroll
som görs inom ramen för grÀnskontrollen
Sverige deltar sedan Ă„r 2001, i likhet med ett flertal andra
â ska upphöra. Den andra grundtanken Ă€r att kampen ska stĂ€rkas mot internationell kriminalitet och mot sĂ„dan invandring som Ă€r illegal.
Vid Schengenterritoriets yttre grÀnser utförs grÀnskontroll i en- lighet med EU:s kodex om SchengengrÀnserna2, som gÀller som lag i Sverige. Enligt Schengenregelverket fÄr inre grÀns passeras överallt utan att nÄgon in- och utresekontroll genomförs. Medlemsstaterna har dock möjlighet att tillfÀlligt Äterinföra grÀnskontroll vid de inre grÀnserna, om det uppkommer ett allvarligt hot mot allmÀn ordning eller inre sÀkerhet. Regeringen beslutade den 12 november 2015 att tillfÀlligt Äterinföra grÀnskontroll vid inre grÀns. De tillfÀlliga grÀns- kontrollerna gÀller alltjÀmt.
I Sverige ansvarar Polismyndigheten för kontroll av personer vid de yttre grĂ€nserna (9 kap. 1 § utlĂ€nningslagen). Tullverket och Kust- bevakningen Ă€r efter en begĂ€ran av Polismyndigheten skyldiga att bistĂ„ vid en sĂ„dan kontroll. Ăven Migrationsverket fĂ„r efter över- enskommelse med Polismyndigheten hjĂ€lpa till vid kontrollen. Kust- bevakningen ska medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.
Den personkontroll som görs inom ramen för grÀnskontrollerna syftar i första hand till att faststÀlla behörigheten för
2 Europaparlamentets och rÄdets förordning (EU) 2016/399 av den 9 mars 2016 om en unions- kodex om grÀnspassage för personer (kodex om SchengengrÀnserna).
249
SOU 2017:57 |
bl.a. genom resande- och invandrarströmmar. I begrĂ€nsat avseende hör till den grĂ€nsöverskridande brottsligheten de utlĂ€nningar som i strid med utlĂ€nningslagens bestĂ€mmelser reser in eller vistas i Sverige. Brott mot utlĂ€nningslagen kan exempelvis avse utlĂ€nningar som vistas i Sverige utan erforderliga tillstĂ„nd eller bryter mot Ă„terreseförbud. Olika former av smugglingsbrott â av varor, narkotika och mĂ€n- niskor â Ă€r dĂ€rtill naturligtvis att betrakta som grĂ€nsöverskridande brottslighet. Ăven andra brott kan dock vara grĂ€nsöverskridande, om de har koppling till flera lĂ€nder genom att planering eller genom- förande inte enbart sker i Sverige. (Jfr SOU 2004:110 s. 291 och 331 ff.)
Personkontrollens syfte att förhindra grÀnsöverskridande brotts- lighet har efter Sveriges intrÀde i Schengensamarbetet fÄtt en Àn mer framtrÀdande roll. En av grundtankarna bakom Schengensamarbetet Àr att genom olika kompensatoriska ÄtgÀrder i form av bl.a. ökat polissamarbete och annat rÀttsligt samarbete förhindra att den fria rörligheten inom Schengen fÄr till följd att kriminella personer och organisationer fritt kan verka inom SchengenomrÄdet. (Se SOU 2004:110 s. 344.)
Kontrollen vid de yttre grÀnserna har tre huvudinriktningar. Den första Àr den traditionella grÀnskontrollen, dvs. kontroll av att den inresande har erforderliga handlingar och uppfyller övriga villkor för inresa i SchengenomrÄdet. Den andra Àr kontrollen av om den in- resande har begÄtt brott eller Àr efterlyst för brott. Slutligen har den yttre grÀnskontrollen till syfte att vara ett verktyg för att avvÀrja hot mot allmÀn ordning och sÀkerhet. Personkontrollen vid de yttre grÀnserna kan sÄledes sÀgas innehÄlla ett i vid mening brottsföre- byggande moment. (Jfr SOU 2004:110 s. 59 och 61, se Àven prop. 2015/16:65 s. 61 f.)
I förarbetena till lagen om passagerarregister angavs att förbÀtt- rade grÀnskontroller ökar möjligheten att motverka organiserade smugglingsaktioner och att mÀnniskor utan skyddsbehov luras att till smugglare betala stora summor för att sedan bli avvisade. FörbÀtt- rade grÀnskontroller ansÄgs Àven innebÀra att möjligheterna ökar att tidigt kunna identifiera eventuella terrorister och avvÀrja nya terror- dÄd (se prop. 2005/06:129 s. 35).
250
SOU 2017:57
14.4Ăverföring av
För att uppnÄ
Förpliktelser att överföra
VÄr utmaning Àr att försöka fÄ genomförandena av de bÄda direk- tiven att fungera sida vid sida. Kan nÄgot föras ihop? Eller talar över- vÀgande skÀl för att genomförandena och tillÀmpningen av dessa behöver hÄllas isÀr?
14.5Skillnader mellan PNR- och
Det kan inledningsvis konstateras att de bÄda direktiven har delvis olika, delvis överlappande mÄl och syften.
251
SOU 2017:57 |
grÀnsöverskridande brottslighet.
En ytterligare vÀsentlig skillnad Àr att
252
SOU 2017:57
I
Direktiven innehÄller vidare olika bestÀmmelser om överförings- tider. Enligt
Enligt
En stor skillnad mellan de bÄda direktiven Àr vidare direktivens olika lagringstider för de överförda uppgifterna. Enligt
253
SOU 2017:57 |
till Polismyndigheten. Om uppgifter i registret behövs för att Polis- myndigheten, SÀkerhetspolisen eller Tullverket ska kunna verkstÀlla personkontroller, fÄr uppgifterna i registret dock stÄ kvar till dess att myndighetens kontroller Àr slutförda. I
14.6VÄra övervÀganden
14.6.1Hur
VÄr bedömning:
Genomförandet av
För de
254
SOU 2017:57
vara tillÀmpliga. De
VÄr bedömning Àr mot denna bakgrund att
I rÀttslig mening pÄverkar
Som tidigare har angetts kommer en översyn av
14.6.2Ăr en samordnad hantering
av PNR- och
VÄr bedömning: En samordnad hantering av PNR- och API- uppgifter vid enheten för passagerarinformation Àr möjlig Àven avseende
255
SOU 2017:57 |
En gemensam hantering av de PNR- och
Enligt vad som framgÄtt ovan finns det dock stora skillnader mellan API- och
256
SOU 2017:57
till att bekÀmpa olaglig invandring, och inte avser brottsbekÀmpning av nÄgot slag eller avser bekÀmpning av annan brottslighet Àn sÄdan som omfattas av
Det kan te sig svÄrt att inom samma enhet hantera passagerar- uppgifter som inhÀmtas enligt bestÀmmelserna i tvÄ direktiv med sÄ pass olika bestÀmmelser och delvis olika syften och tillÀmpnings- omrÄden.
257
SOU 2017:57 |
Med hÀnsyn till det ovanstÄende kan det alltsÄ synas svÄrt att hantera
För det första behöver det sÀkerstÀllas att de
För det andra Àr det av största vikt att det i alla lÀgen stÄr klart enligt vilket syfte
258
SOU 2017:57
mation inte anvÀndas. Inte heller kan uppgifterna i den databasen anvÀndas nÀr syftet med behandlingen Àr att utföra en grÀnskontroll avseende annan eller lindrigare brottslighet Àn den som avses i PNR- direktivet. I sÄdana fall fÄr i stÀllet passagerarregistret innehÄllandes endast
För det tredje krÀvs ett sÀkerstÀllande av att extern tillgÄng, dvs. Ätkomst frÄn operativa delar av Polismyndigheten eller direktÄt- komst för SÀkerhetspolisen och eventuellt Àven Tullverket, endast Àr möjlig till det passagerarregister som genomför
För att sÀkerstÀlla att anvÀndandet av uppgifterna frÄn respek- tive inhÀmtning endast anvÀnds pÄ de sÀtt som direktiven medger krÀvs alltsÄ en bra riggad organisation, god kunskap i dessa frÄgor hos befattningshavarna vid enheten för passagerarinformation och en nÀrvarande rÀttslig kompetens. Vidare kommer en tÀt intern kontroll och extern tillsyn att vara nödvÀndig.
I övrigt vill vi understryka att det ovan sagda handlar om rÀtts- liga grÀnser och begrÀnsningar för behandlingen och anvÀndningen av de olika uppgiftsslagen inom enheten för passagerarinformation samt för vidareanvÀndningen av uppgifterna. De informations- tekniska systemen mÄste tekniskt och logiskt klara av att hantera de krav som stÀlls upp, sÀrskilt i de bestÀmmelser som genomför PNR- direktivet. SÄ lÀnge detta sker, Àr frÄgor om hur de informations- tekniska systemen anordnas eller fungerar inte nÄgot som bör bli föremÄl för författningsreglering.
259
15Enhetens överföring och utbyte av
15.1Inledning
Det Àr ett centralt syfte med
Direktivets bestÀmmelser om utbyte mellan medlemsstaterna inne- bÀr Àven att den svenska enheten för passagerarinformation kommer att kunna begÀra och fÄ ta emot
Slutligen finns en bestÀmmelse som innebÀr att behöriga svenska myndigheter i undantagsfall kan vÀnda sig direkt till andra medlems-
261
Enhetens överföring och utbyte av |
SOU 2017:57 |
stater med en begÀran om överföring av
15.2Ăverföring av
till behöriga nationella myndigheter
15.2.1Behörig myndighet
VÄrt förslag: En behörig myndighet definieras i lagen som en sÄdan av regeringen utsedd myndighet som har behörighet att behandla
Av direktivets artikel 7.1 framgÄr att varje medlemsstat ska utse de myndigheter som ska vara behöriga att begÀra eller ta emot PNR- information frÄn enheten för passagerarinformation. Dessa myndig- heter ska ansvara för den vidare granskningen av informationen samt för att vidta lÀmpliga ÄtgÀrder för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott eller grov brottslighet. De myn- digheter som utses ska dÀrmed, som fÄr anses framgÄ av artikel 7.2, vara sÄdana myndigheter som Àr behöriga att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet. Varje medlemsstat ska enligt artikel 7.3 senast den 25 maj 2017 meddela kommissionen vilka myndigheter som har utsetts.
Det ingÄr inte i vÄrt uppdrag att föreslÄ vilka myndigheter som ska anses behöriga enligt
VÄra övervÀganden
Det Àr en lÀmplig ordning att regeringen avgör vilka brottsbekÀm- pande myndigheter som ska vara behöriga enligt direktivet. Av vÄrt lagförslag bör emellertid framgÄ vilka myndigheter som regeringen
262
SOU 2017:57 |
Enhetens överföring och utbyte av |
över huvud taget kan ge behörighet att begÀra eller ta emot PNR- uppgifter och som dÀrmed Àr skyldiga att behandla dessa uppgifter pÄ det sÀtt som anges i direktivet. Detta kan Ästadkommas genom att det i lagen förs in en definition av begreppet behörig myndighet som inte rÀknar upp olika myndigheter men som avgrÀnsar vad för slags myndighet som kan komma i frÄga och hur den utses som be- hörig enligt direktivet. En definition av detta slag har den fördelen att den inte behöver Àndras om nya myndigheter skulle utses som behöriga. Genom att definiera begreppet undviks ocksÄ att en upp- rÀkning av de behöriga myndigheterna behöver införas i lagens olika bestÀmmelser.
Enligt vÄrt förslag ska med en behörig myndighet avses en sÄdan av regeringen utsedd myndighet som har behörighet att behandla
15.2.2Ăverföring av
VÄrt förslag: Enheten för passagerarinformation ska i enskilda fall lÀmna
1.en vidare granskning ska ske av
2.besvara en motiverad begÀran frÄn en behörig myndighet om att tillhandahÄlla och behandla
263
Enhetens överföring och utbyte av |
SOU 2017:57 |
3.vidarebefordra
En befattningshavare vid enheten ska ha gjort en bedömning av
I vilka situationer ska
Enheten för passagerarinformation ska enligt direktivet föra vidare
Enheten kan dock Àven motta
Enligt vÄr mening bör det i författning klargöras i vilka situatio- ner enheten för passagerarinformation fÄr överföra
264
SOU 2017:57 |
Enhetens överföring och utbyte av |
NÀrmare förutsÀttningar för att en överföring ska fÄ ske
Direktivets bestÀmmelser
I artikel 6.5 och 6.6 finns nÀrmare bestÀmmelser om hur enheten för passagerarinformation ska gÄ till vÀga nÀr en trÀff har uppkom- mit i samband med en förhandsbedömning av passagerare. Av arti- kel 6.5 framgÄr att sÄdana trÀffar alltid ska granskas individuellt med
NÀr enheten för passagerarinformation mottar uppgifter frÄn en annan medlemsstats motsvarande enhet efter en förhandsbedömning vid den enheten ska, enligt artikel 9.1, bestÀmmelsen i artikel 6.6 tillÀmpas. SÄledes fÄr Àven i dessa fall en överföring av
Hur enheten ska gÄ till vÀga nÀr den ska besvara en sÀrskild för- frÄgan framgÄr indirekt av artikel 6.2 b. Enligt bestÀmmelsen ska en sÄdan förfrÄgan endast besvaras i enskilda fall. För att enheten ska behandla en begÀran krÀvs vidare att den Àr vederbörligen motiverad. Vidare ska förfrÄgan enligt artikel 6.2 b bygga pÄ tillrÀckliga skÀl om att tillhandahÄlla och behandla
265
Enhetens överföring och utbyte av |
SOU 2017:57 |
de
VÄra övervÀganden
FörutsÀttningarna för att en överföring alls ska fÄ ske till de be- höriga myndigheterna bör framgÄ av lagen. SÄledes bör det av lagen framgÄ att överföringar frÄn enheten för passagerarinformation till behöriga myndigheter endast fÄr ske i enskilda fall. Det krÀvs sÄledes alltid att en individuell bedömning utförs innan
Enligt direktivet ska trÀffar i samband med automatisk behand- ling av
En rent automatisk behandling av
266
SOU 2017:57 |
Enhetens överföring och utbyte av |
lagen. Vidare bör det av lagen framgÄ att en förfrÄgan frÄn en be- hörig myndighet ska vara motiverad och avse behandling av PNR- information för ett eller flera av de syften som anges i lagens portal- bestÀmmelse.
NÀrmare om den bedömning som ska göras vid enheten
Utöver vad som angetts ovan innehÄller direktivet inte nÄgra nÀrmare bestÀmmelser om vilka övervÀganden som bör göras vid enheten för passagerarinformation vid bedömningen av om en trÀff i sam- band med en förhandsbedömning av passagerare ska överföras till behöriga myndigheter. Det uppstÀlls sÄledes inte nÄgot krav pÄ att en person ska finnas med i nÄgot eller nÄgra relevanta register eller andra uppgiftssamlingar för att informationen ska anses vara tillrÀck- ligt intressant för att föras vidare. Det anges inte heller i vilket skede som sökningar i olika register eller andra uppgiftssamlingar fÄr göras. Enligt vÄr mening bör det, utöver vad som anges i direktivet, inte nÀrmare i lag eller förordning anges hur enheten för passagerarinfor- mation ska göra sitt urval. Det bör sÄledes vara upp till personalen vid enheten för passagerarinformation att bedöma huruvida viss information Àr sÄ pass intressant att den bör sÀndas vidare för nÀr- mare granskning. Det kan i sammanhanget tillÀggas att de behöriga myndigheterna kan ha annan information om de resande som inte finns tillgÀnglig för enheten för passagerarinformation, vilket medför att Àven vissa inledningsvis mindre intressanta trÀffar visar sig vara högintressanta för de behöriga myndigheterna.
Den granskning som ska utföras vid enheten för passagerarinfor- mation innan
267
Enhetens överföring och utbyte av |
SOU 2017:57 |
terroristbrottslighet eller grov brottslighet. SÄ kan vara fallet exem- pelvis om en sökning mot pÄ förhand faststÀllda kriterier ger ett orimligt stort utfall. Vidare anser vi att det av artikel 6.5 och 6.6 rimligen följer att granskningen ocksÄ ska omfatta att överföring bara sker till en behörig myndighet som kan antas behöva PNR- informationen för att göra en nÀrmare granskning av informationen och eventuellt göra insatser för att bekÀmpa aktuell brottslighet. T.ex. bör ett översÀndande till Ekobrottsmyndigheten endast ske nÀr det kan vara frÄga om sÄdan brottslighet som den myndigheten arbetar mot.
I artikel 6.2 b anges att svaret pÄ en viss förfrÄgan frÄn en be- hörig myndighet ska tillhandahÄllas de behöriga myndigheterna. Skrivningen kan tolkas som att svaret pÄ en förfrÄgan ska överföras till samtliga behöriga myndigheter. De behöriga myndigheterna har dock olika uppdrag och dÀrmed olika intressen av att fÄ ta del av
För det fall
Vidare bör det alltid kontrolleras att
268
SOU 2017:57 |
Enhetens överföring och utbyte av |
uppgifter. Som tidigare har angetts kan sÄdana kÀnsliga personupp- gifter t.ex. dölja sig bland de allmÀnna anmÀrkningarna (se vidare i avsnitt 18.5).
Vad som bör ingÄ i den granskning som ska utföras av enheten för passagerarinformation innan en överföring görs framgÄr implicit av andra bestÀmmelser i lagen eller förordningen och behöver, enligt vÄr mening, inte anges sÀrskilt i regleringen.
15.3Utbyte av
15.3.1Medlemsstat
VÄrt förslag: En medlemsstat definieras i lagen som en stat som Àr medlem i EU, med undantag för Danmark.
Artikel 9 gÀller vid utbyte av
Ordet medlemsstat anvÀnds pÄ flera hÄll i direktivet, frÀmst i frÄga om överföring av
Om Danmark skulle besluta att ansluta sig till direktivet kom- mer Danmark att ingÄ bland de medlemsstater som omfattas av direktivet. I sÄdant fall skulle en definition av begreppet inte behövas.
269
Enhetens överföring och utbyte av |
SOU 2017:57 |
15.3.2Utbyte mellan medlemsstaternas enheter för passagerarinformation
VÄr bedömning: Regleringen ska innehÄlla bestÀmmelser om den svenska enheten för passagerarinformations skyldigheter att över- föra
Av direktivets skÀl 23 framgÄr att medlemsstaterna bör utbyta
BestÀmmelserna i artiklarna
270
SOU 2017:57 |
Enhetens överföring och utbyte av |
till vÄr nationella enhet fÄr sjÀlvfallet regleras i respektive medlems- stats rÀttsordning. VÄra förslag till reglering kommer sÄledes att inne- hÄlla bestÀmmelser om den nationella enhetens skyldigheter att under de förutsÀttningar som anges i direktivet överföra uppgifter till övriga medlemsstaters motsvarande enheter och behöriga myndigheter. VÄra förslag kommer ocksÄ att innehÄlla vissa bestÀmmelser om hur enheten för passagerarinformation samt vÄra behöriga myndigheter ska gÄ till vÀga för att inhÀmta uppgifter frÄn motsvarande enheter i de andra medlemsstaterna. VÄra behöriga myndigheters möjlighet i denna del kommer att behandlas i avsnitt 16.1.
Ăverföring av
VÄrt förslag: Enheten för passagerarinformation ska till en mot- svarande enhet i en annan medlemsstat överföra sÄdan PNR- information som behandlats för ÀndamÄlet förhandsbedömning och som bedömts vara relevant och nödvÀndig för vidare gransk- ning i den andra medlemsstaten.
Direktivets bestÀmmelse
NÀr personer har identifierats av en enhet för passagerarinforma- tion i enlighet med artikel 6.2, ska enheten enligt artikel 9.1 Àven översÀnda alla relevanta och nödvÀndiga
VÄra övervÀganden
Artikel 9.1 innebÀr att enheten för passagerarinformation sjÀlvmant ska överföra
271
Enhetens överföring och utbyte av |
SOU 2017:57 |
av sÄdana uppgifter pÄ begÀran (6.2 b). Dock anges i bestÀmmelsen ocksÄ att ett översÀndande ska ske nÀr nÄgon har identifierats, vilket enligt bestÀmmelsen i artikel 6.2 endast sker vid förhandsbedöm- ningar. Dessutom anges att de översÀnda uppgifterna ska behandlas enligt artikel 6.6 i den mottagande staten. Artikel 6.6 behandlar ocksÄ endast förhandsbedömningar av passagerare. Med hÀnsyn hÀrtill Àr det vÄr uppfattning att artikel 9.1 ska lÀsas som att den endast avser överföring av sÄdan
SÄledes ska enheten för passagerarinformation enligt bestÀm- melsen i artikel 9.1 överföra sÄdan
272
SOU 2017:57 |
Enhetens överföring och utbyte av |
och ett urval bÄde av vilken eller vilka mottagare som kan komma i frÄga och vilken
Artikel 9 gÀller vid utbyte av
En bestÀmmelse om under vilka förutsÀttningar den svenska en- heten för passagerarinformation pÄ eget initiativ ska överföra PNR- uppgifter till utlandet Àr av sÄ grundlÀggande betydelse att den bör genomföras i lag.
Ăverföring av
VÄrt förslag: Enheten för passagerarinformation ska sÄ snart som möjligt besvara en motiverad begÀran frÄn en motsvarande enhet i en annan medlemsstat och överföra lagrade
Direktivets bestÀmmelse
Enligt artikel 9.2 ska enheten för passagerarinformation i en med- lemsstat ha rÀtt att vid behov begÀra att en motsvarande enhet i en annan medlemsstat tillhandahÄller
273
Enhetens överföring och utbyte av |
SOU 2017:57 |
gifter, beroende pÄ vilken information den begÀrande enheten för passagerarinformation anser vara nödvÀndig i ett sÀrskilt fall för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhanda- hÄlla den begÀrda informationen sÄ snart som möjligt.
Om de begÀrda uppgifterna Àr Àldre Àn sex mÄnader och dÀrmed har maskerats fÄr enheten för passagerarinformation tillhandahÄlla fullstÀndiga, avmaskerade,
VÄra övervÀganden
En bestÀmmelse som genomför enheten för passagerarinformations skyldigheter att överföra
Av bestÀmmelsen bör vidare framgÄ att förfrÄgan frÄn den andra medlemsstaten ska vara motiverad. SkÀlen till detta Àr att enheten för passagerarinformation ska kunna bedöma huruvida den begÀrda informationen behövs för att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och begÀran dÀrmed över huvud taget fÄr behandlas.
274
SOU 2017:57 |
Enhetens överföring och utbyte av |
Vi kommer att Äterkomma till frÄgan om överföring av avmaske- rade
Inför ett överlÀmnande av
Ăverföring efter begĂ€ran om att inhĂ€mta
VÄrt förslag: NÀr det i ett enskilt fall Àr nödvÀndigt med tillgÄng till
Om Ă„tkomst till
Ăven en bestĂ€mmelse som genomför enheten för passagerar- informations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av bestĂ€mmelsen bör framgĂ„ att enheten för passagerarinformation pĂ„ begĂ€ran av en motsvarande enhet i annan medlemsstat ska inhĂ€mta uppgifter frĂ„n lufttrafikföretagen pĂ„ andra tider Ă€n normalt och överföra dessa till den begĂ€rande enheten. Uppgifterna ska enligt direktivet hĂ€mtas in endast i undantagsfall, vilket torde innebĂ€ra att det endast Ă€r tillĂ„tet i vissa sĂ€rskilda situationer. Vi föreslĂ„r dĂ€rför att det i lagen anges att uppgifterna endast ska hĂ€mtas in pĂ„ detta sĂ€tt i ett enskilt fall. Vidare ska enligt direktivet uppgifter endast hĂ€mtas in pĂ„ andra tider Ă€n normalt för det fall de Ă€r nödvĂ€ndiga för att
275
Enhetens överföring och utbyte av |
SOU 2017:57 |
reagera pÄ ett specifikt och faktiskt hot med anknytning till terrorist- brottslighet eller grov brottslighet. I svensk lagstiftning brukar ordet fara anvÀndas i stÀllet för hot. Ordet anvÀnds bland annat i brotts- datalagen. Med hÀnsyn hÀrtill föreslÄr vi att ordet fara anvÀnds i stÀllet för hot Àven i genomförandet av denna lag. Av samma an- ledning bör ordet avvÀrja anvÀndas i vÄr lag i stÀllet för begreppet reagera pÄ, som anvÀnds i
15.3.3Ăverföring pĂ„ direkt begĂ€ran frĂ„n en behörig myndighet i en annan medlemsstat
VÄrt förslag: Endast nÀr det i ett enskilt brÄdskande fall Àr absolut nödvÀndigt ska enheten för passagerarinformation besvara en motiverad förfrÄgan frÄn en myndighet som utsetts som behörig i en annan medlemsstat och överföra
Enheten för passagerarinformations skyldigheter enligt artikel 9.4 bör genomföras i lag. Av en sÄdan lagbestÀmmelse bör framgÄ att enheten endast i speciella undantagsfall ska besvara en begÀran frÄn en behörig myndighet i en annan medlemsstat om att fÄ ta del av
276
SOU 2017:57 |
Enhetens överföring och utbyte av |
15.3.4Enhetens inhÀmtande av
frÄn andra medlemsstaters motsvarande enheter
VÄra förslag: En begÀran om att fÄ ta del av
Endast nÀr det i ett enskilt fall Àr nödvÀndigt för att reagera pÄ en specifik och faktisk fara med anknytning till terrorist- brottslighet eller grov brottslighet, fÄr enheten för passagerar- information hos en motsvarande enhet i en annan medlemsstat begÀra att
BestÀmmelser om detta kan tas in i förordning.
Som framgÄtt ovan innehÄller artikel 9.2 och 9.4 ocksÄ vissa upp- gifter om hur en nationell enhet för passagerarinformation ska gÄ till vÀga nÀr den vill ha tillgÄng till
277
Enhetens överföring och utbyte av |
SOU 2017:57 |
förhindra, upptÀcka, utreda eller lagföra sÄdan brottslighet som omfattas av direktivet. BegÀran fÄr vidare enligt artikel 9.2 avse en viss uppgift eller en kombination av uppgifter. NÄgot krav pÄ formen för begÀran anges inte och dÀrmed inte heller nÄgot uttryckligt skriftlighetskrav. Av artikel 9.5 framgÄr att informationsutbytet fÄr ske via alla befintliga kanaler för samarbete mellan staterna. En be- gÀran om att fÄ ta del av
Enligt vÄr mening kan frÄgan om enheten för passagerarinfor- mations skyldigheter i samband med en begÀran om att fÄ ta del av
I artikel 9.4 behandlas vĂ„r nationella enhets möjlighet att begĂ€ra att en annan medlemsstats motsvarande enhet hĂ€mtar in uppgifter frĂ„n lufttrafikföretag pĂ„ andra tider Ă€n som i övrigt följer av direk- tivet. En bestĂ€mmelse som genomför artikeln i frĂ„ga om enhetens begĂ€ran bör utformas pĂ„ samma sĂ€tt som angetts ovan för den situa- tion dĂ€r vĂ„r enhet mottar en sĂ„dan begĂ€ran. Ăven denna frĂ„ga kan regleras i förordning.
15.3.5Former för informationsutbytet
Informationsutbytet mellan medlemsstaterna fÄr enligt artikel 9.5 ske via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det sprÄk som anvÀnds i samband med be- gÀran och informationsutbytet ska vara det som gÀller för den kanal som anvÀnds. Medlemsstaterna ska i samband med att de lÀmnar meddelanden i enlighet med artikel 4.5 Àven meddela kommissionen uppgifter om de kontaktpunkter till vilka framstÀllningar kan sÀndas
278
SOU 2017:57 |
Enhetens överföring och utbyte av |
i nödfall. Kommissionen ska underrÀtta medlemsstaterna om dessa uppgifter.
BestÀmmelserna i artikel 9.5 behöver enligt vÄr bedömning inte författningsregleras.
15.4Europols tillgÄng till
15.4.1Europol och dess verksamhet
Europol Àr EU:s gemensamma polisbyrÄ och utgör en del av det brottsbekÀmpande samarbetet i unionen. Europol har till uppgift att stödja och stÀrka medlemsstaternas polismyndigheter och andra brottsbekÀmpande organs insatser och deras samarbete för att förebygga och bekÀmpa viss brottslighet.
Europol Àr en egen juridisk person och har stÀllning av en EU- enhet, finansierad genom unionens allmÀnna budget. Europols be- hörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör tvÄ eller flera medlemsstater pÄ ett sÄdant sÀtt att det krÀvs en gemensam ÄtgÀrd frÄn medlems- staternas sida pÄ grund av brottslighetens omfattning, betydelse eller följder.
Europol arbetar till stor del med insamling, behandling och analys av underrÀttelser om allvarlig och grÀnsöverskridande brottslighet inom unionen och fungerar som en knutpunkt för utbyte av upp- gifter mellan medlemsstaterna. Medlemsstaterna tillhandahÄller Europol uppgifter frÀmst ur sina nationella polisregister. Dessa upp- gifter sammanstÀlls och bearbetas samt kompletteras i vissa fall med uppgifter frÄn annat hÄll. Uppgifterna analyseras sedan hos Europol. UnderrÀttelser gÄr tillbaka till medlemsstaternas brottsbekÀmpande myndigheter som hÀrigenom fÄr ett bÀttre underlag för sin opera- tiva verksamhet. HÀrutöver stödjer Europol medlemsstaterna med rÄdgivning och fördjupade specialkunskaper vid utredningar och till- handahÄller Àven strategiska underrÀttelser för att frÀmja operationer i medlemslÀnderna m.m.
Europol har egna datasystem och upprÀttar sÀrskilda analysfiler för de Àrenden dÀr Europol tar pÄ sig att utföra analysarbetet. Regel- verket innehÄller detaljerade bestÀmmelser om dataskyddet hos Europol och om tillgÄng till uppgifter som behandlas av Europol.
279
Enhetens överföring och utbyte av |
SOU 2017:57 |
Inom ramen för samarbetet finns ocksÄ ett gemensamt informa- tionssystem (Siena) för sÀkert informationsutbyte.
I varje medlemsstat finns det en nationell enhet som Àr kontakt- punkt och förbindelselÀnk mellan Europol och medlemsstaternas myndigheter. Chefen för den nationella enheten har ocksÄ en formell roll i Europols interna verksamhet. I Sverige Àr Polismyndigheten nationell enhet. Det operativa ansvaret har lagts vid Polismyndig- hetens nationella operativa avdelning. Den nationella enheten har till huvudsaklig uppgift att förse Europol med den information frÄn de nationella polisregistren eller motsvarande som ska överlÀmnas till Europol, samt att ta emot information som kommer frÄn Europol och vidarebefordra denna till sÄdana nationella myndigheter och organ som Àr ansvariga för att förebygga och bekÀmpa brott.
Europols ledning utgörs dels av en styrelse bestÄende av repre- sentanter frÄn alla medlemsstater och kommissionen, dels en verk- stÀllande direktör som assisteras av tre bitrÀdande verkstÀllande direktörer. Europols huvudkontor ligger i Haag i NederlÀnderna. Vid huvudkontoret finns personal som Àr direkt anstÀlld av Europol, t.ex. experter och analytiker inom olika omrÄden. DÀr arbetar ocksÄ sÀrskilda sambandsmÀn som Àr utsÀnda av medlemsstaterna. Sam- bandsmÀnnen har till uppgift att praktiskt genomföra informations- och underrÀttelseutbytet mellan Europol och de nationella enheter- na samt att samverka med Europols anstÀllda i bl.a. analysarbetet.
Europol inrÀttades genom Europolkonventionen Är 1995. NÀr Sverige tilltrÀdde Europolkonventionen Är 1997 gjordes bedömning- en att tilltrÀdet till konventionen endast i mycket begrÀnsad om- fattning krÀvde lagÀndringar (prop. 1996/97:164). Europols verk- samhet inleddes Är 1999. Europolkonventionen ersattes sedermera av rÄdets beslut 2009/371/RIF av den 6 april 2009 om inrÀttande av Europeiska polisbyrÄn (EuropolrÄdsbeslutet).
15.4.2Europolförordningen
Den 11 maj 2016 antog Europaparlamentet och rÄdet förordning (EU) 2016/794 om Europeiska unionens byrÄ för samarbete inom brottsbekÀmpning (Europol) och om ersÀttande och upphÀvande av rÄdets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF,
280
SOU 2017:57 |
Enhetens överföring och utbyte av |
2009/936/RIF och 2009/968/RIF (Europolförordningen). Förord- ningen ska i sin helhet tillÀmpas frÄn och med den 1 maj 2017 dÄ EuropolrÄdsbeslutet upphörde att gÀlla. Eftersom Europolförord- ningen Àr bindande och direkt tillÀmplig i medlemsstaterna har be- stÀmmelserna i förordningen inte genomförts i svensk lagstiftning. Europolförordningen har inte heller bedömts medföra behov av nÄgra kompletterande bestÀmmelser i svensk rÀtt (se prop. 2016/17:139 s. 81).
Europolförordningen innehÄller det styrande regelverket för Europol. Europol kommer Àven fortsÀttningsvis ha som huvudsak- lig uppgift att stödja och stÀrka insatser som utförs av de brotts- bekÀmpande myndigheterna i medlemsstaterna samt deras ömsesidiga samarbete för att förebygga och bekÀmpa allvarlig brottslighet som rör tvÄ eller fler medlemsstater, terrorism och sÄdana former av brottslighet som pÄverkar ett gemensamt intresse som omfattas av unionens politik. Vilken form av brottslighet som avses anges i bilaga I till Europolförordningen. Genom Europolförordningen har Europols uppgifter och mandat utökats nÄgot. Europol har bl.a. fÄtt i uppgift att samordna, organisera och initiera insatser tillsammans med med- lemsstaterna.
Medlemsstaternas skyldighet att förse Europol med den infor- mation som byrÄn behöver för att genomföra sitt uppdrag förtyd- ligas i Europolförordningen. Enligt artikel 7.6 ska varje medlems- stat tillhandahÄlla Europol den information som Àr nödvÀndig för att den ska kunna uppfylla sina mÄl. Varje medlemsstat ska ocksÄ sÀker- stÀlla att nationell rÀtt efterlevs vid tillhandahÄllande av information till Europol. Enligt förordningen föreligger sÄledes en uppgiftsskyl- dighet för de nationella myndigheterna gentemot Europol. Ansvaret för att översÀndandet av uppgifterna Àr lagenlig ligger enligt för- ordningen hos den medlemsstat som lÀmnade uppgifterna.
En annan skillnad i förhÄllande till rÄdsbeslutet Àr att den pro- cedur enligt vilken Europol kan ingÄ avtal med tredjeland och vill- koren för överförande av personuppgifter till tredjeland regleras. Europolförordningen innehÄller Àven ett uppdaterat avsnitt med data- skyddsregler. Europolförordningen innehÄller dÀrmed en komplett och enhetlig uppsÀttning regler som omfattar alla relevanta aspekter av dataskydd och som Àr mer detaljerade Àn det nya dataskydds- direktivet (se SOU 2017:29 s. 577).
281
Enhetens överföring och utbyte av |
SOU 2017:57 |
Av artikel 41 framgÄr att Europols styrelse ska utse ett data- skyddsombud, som ska vara anstÀlld vid Europol. Vid fullgörandet av sina arbetsuppgifter ska dataskyddsombudet agera oberoende.
15.4.3Direktivets bestÀmmelser
Europol har enligt
De nÀrmare bestÀmmelserna om Europols tillgÄng till PNR- uppgifter finns i artikel 10. Av artikel 10.1 framgÄr att Europol, inom ramen för sina befogenheter och för fullgörandet av sina arbetsupp- gifter, ska ha rÀtt att begÀra specifika
Enligt artikel 10.3 ska Europol informera det dataskyddsombud som har utsetts i enlighet med artikel 28 i EuropolrÄdsbeslutet om
282
SOU 2017:57 |
Enhetens överföring och utbyte av |
varje informationsutbyte enligt den hÀr artikeln. Som angetts finns en liknande bestÀmmelse i artikel 41 i Europolförordningen.
I artikel 10.4 anges att informationsutbyte enligt artikeln ska Àga rum via Siena och i enlighet med EuropolrÄdsbeslutet. Det sprÄk som anvÀnds för framstÀllningen och informationsutbytet ska vara det som gÀller för Siena.
Av direktivets skÀl 23 framgÄr att medlemsstaterna bör utbyta
15.4.4VÄra övervÀganden och förslag
VÄrt förslag: Enheten för passagerarinformation ska besvara en motiverad begÀran frÄn Europol och överföra
Regleringen i Europolförordningen innebÀr bl.a. att Sverige, lik- som övriga medlemsstater, har en skyldighet att lÀmna sÄdan infor- mation till Europol som Àr nödvÀndig för att den ska kunna uppfylla sina mÄl.
En tanke bakom
283
Enhetens överföring och utbyte av |
SOU 2017:57 |
ansvarar enligt förordningen medlemsstaterna för att nationell rÀtt efterlevs vid tillhandahÄllande av information till Europol. För det fall det i svensk rÀtt genomförs nÀrmare bestÀmmelser om hur PNR- uppgifterna fÄr överföras till Europol, kommer dessa bestÀmmelser att behöva tillÀmpas av enheten för passagerarinformation vid över- föringar till Europol.
Enligt vÄr bedömning Àr det inte tillrÀckligt att luta sig mot de bestÀmmelser om tillhandahÄllande av uppgifter som anges i Europol- förordningen. För att genomföra
Genomförandet av direktivets bestÀmmelser
Artikel 10 innehÄller sÄvÀl skyldigheter för medlemsstaternas enhe- ter för passagerarinformation att pÄ begÀran vidarebefordra PNR- information till Europol, som en rÀttighet för Europol att begÀra och motta sÄdana uppgifter. PÄ samma sÀtt som vid överföring till andra medlemsstater ser vi det som vÄr uppgift att författningsreg- lera vÄr enhet för passagerarinformations skyldighet att i vissa fall översÀnda uppgifter till Europol. I den mÄn bestÀmmelserna inne- hÄller stadganden om i vilka fall och hur Europol ska gÄ till vÀga för att begÀra in PNR uppgifter frÄn de nationella enheterna för passa- gerarinformation, bör dessa tas om hand av Europol. Det kan i vart fall inte ankomma pÄ Sverige att genomföra dessa bestÀmmelser.
De grundlÀggande förutsÀttningarna för den svenska enheten för passagerarinformations överföring av
284
SOU 2017:57 |
Enhetens överföring och utbyte av |
resor (artikel 6.2 b). Med hÀnsyn hÀrtill och till skyldigheterna enligt Europolförordningen att tillhandahÄlla Europol med information, bör lagen inte innehÄlla nÀrmare reglering om i vilka fall PNR- information fÄr överföras till Europol. InnehÄllet i artikel 10 och direktivets skÀl 23 medför dock enligt vÄr mening att det i bestÀm- melsen bör anges att en begÀran frÄn Europol ska vara motiverad. HÀrigenom sÀkerstÀlls att överföringar endast sker för anvÀndning i verksamhet med att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
I artikel 10 anges inte nÀrmare i vilken form de efterfrÄgade upp- gifterna ska tillhandahÄllas. För det fall de begÀrda
Enligt artikel 10.3 ska Europol informera sitt dataskyddsombud om varje informationsutbyte som sker enligt artikeln. Det bör an- komma pÄ Europol, och sÄledes inte pÄ den nationella lagstiftaren, att genomföra denna bestÀmmelse.
BestÀmmelsen i artikel 10.4 innebÀr enligt vÄr tolkning att infor- mationsutbytet med Europol ska ske via Siena och i enlighet med Europolförordningen. Dessa frÄgor behöver enligt vÄr mening inte författningsregleras.
15.5Ăverföring av avmaskerade
15.5.1Direktivets bestÀmmelser
NĂ€r de
285
Enhetens överföring och utbyte av |
SOU 2017:57 |
mer dÀrmed endast de maskerade uppgifterna att lÀmnas ut. Full- stÀndiga
I artikel 12.3 anges sÄledes att vid utgÄngen av sexmÄnadersperio- den ska utlÀmnande av fullstÀndiga
För det första ska ett utlÀmnande rimligen kunna antas vara nöd- vÀndigt för de ÀndamÄl som anges i artikel 6.2 b. Av den bestÀmmel- sen följer att enheten fÄr behandla personuppgifter för ÀndamÄlet att i enskilda fall besvara en vederbörligen motiverad förfrÄgan som bygger pÄ tillrÀckliga skÀl frÄn de behöriga myndigheterna om att tillhandahÄlla och behandla
För det andra krÀvs tillstÄnd frÄn
a)en rÀttslig myndighet, eller
b)en annan nationell myndighet som i enlighet med nationell rÀtt Àr behörig att kontrollera om villkoren för tillgÄng (pÄ eng. disclosure) Àr uppfyllda. Detta gÀller under förutsÀttning att dataskydds- ombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvÀrdering.
Enligt artikel 9.2 sista meningen och 9.3 gÀller likalydande villkor vid utlÀmnande frÄn enheten till en enhet eller behörig myndighet i en annan medlemsstat. I artikel 9.2 anges sÄledes att enheten för passagerarinformation ska tillhandahÄlla avmaskerade uppgifter en- dast om det rimligen kan antas vara nödvÀndigt för de ÀndamÄl som anges i artikel 6.2. b och detta endast efter tillstÄnd frÄn en behörig myndighet som avses i artikel 12.3 b. I artikel 9.3 hÀnvisas till denna bestÀmmelse.
I artikel 11.1 d görs ocksÄ en hÀnvisning varav framgÄr att samma villkor ocksÄ gÀller vid överföring till tredjeland, utöver de ytterligare begrÀnsningar som finns föreskrivna i artikel 11, se avsnitt 17.3.2.
286
SOU 2017:57 |
Enhetens överföring och utbyte av |
15.5.2Vilka överföringar krÀver att sÀrskilda förutsÀttningar Àr uppfyllda?
VĂ„rt förslag: Ăverföring av avmaskerade
Artikel 12.3 anger alltsÄ förutsÀttningarna för överföring av fullstÀn- diga, dvs. avmaskerade
Det förhÄllandet att det i vissa artiklar sÀrskilt anges att arti- kel 12.3 ska vara tillÀmplig vid en överföring kan, enligt vÄr mening, inte tas till intÀkt för att bestÀmmelsen inte Àr tillÀmplig vid andra överföringar enligt lagen. BestÀmmelsen i artikel 12.3 Àr generellt for- mulerad och trÀffar dÀrmed överföringar frÄn enheten för passa- gerarinformation till i och för sig behöriga mottagare. Artikel 12.3 ska dÀrför tillÀmpas Àven vid överföringar till svenska behöriga myn- digheter och till Europol. Att bestÀmmelsen Àr generellt tillÀmplig vid sÄdana överföringar som omfattas av direktivet bör framgÄ genom reglering i den nya lagen.
287
Enhetens överföring och utbyte av |
SOU 2017:57 |
15.5.3Vilken prövning ska enheten göra?
VÄrt förslag: Enheten för passagerarinformation ska göra en egen bedömning av om en överföring av fullstÀndiga uppgifter rimligen kan antas vara nödvÀndig för att besvara mottagarens begÀran.
För att avmaskerade
Enligt vÄr tolkning av bestÀmmelserna innebÀr detta att en för- utsÀttning för överföring av avmaskerade uppgifter Àr att en sÀrskild förfrÄgan stÀllts till enheten av en behörig mottagare eller ett tredje- land. En ytterligare förutsÀttning Àr att enheten har gjort en egen prövning av motiven till förfrÄgan och funnit att det rimligen kan antas vara nödvÀndigt för att besvara förfrÄgan korrekt att motta- garen i sin bekÀmpning av terroristbrottslighet eller grov brottslig- het fÄr tillgÄng inte bara till maskerade
Direktivets bestÀmmelser om överföring av avmaskerade upp- gifter ger inte medlemsstaterna utrymme att införa snÀvare förut- sÀttningar för överföring Àn de som direktivet föreskriver. SÄledes vore det som vi ser det inte förenligt med direktivet att t.ex. före- skriva att överföring av avmaskerade
288
SOU 2017:57 |
Enhetens överföring och utbyte av |
för enhetens prövning av om en överföring av avmaskerade PNR- uppgifter Àr motiverad bör framgÄ genom bestÀmmelser i lagen som med vissa tillÀgg hÀnvisar till de bestÀmmelser som genomför artiklarna 6.2 b och 9.2.
I detta sammanhang förtjÀnar att pÄpekas att utlÀmnanden med stöd av tryckfrihetsförordningen inte kan begrÀnsas pÄ grund av de bestÀmmelser vi föreslÄr för att genomföra direktivet.
15.5.4Vem ska lÀmna tillstÄnd till överföring av fullstÀndiga uppgifter?
En ytterligare förutsÀttning för överföring av avmaskerade uppgifter, dvs. fullstÀndiga
a)en rÀttslig myndighet, eller
b)en annan nationell myndighet som i enlighet med nationell rÀtt Àr behörig att kontrollera om villkoren för tillgÄng Àr uppfyllda, under förutsÀttning att dataskyddsombudet vid enheten för passa- gerarinformation informeras och att denne gör en efterhands- utvÀrdering.
I EU:s rÀttsakter för samarbete i rÀttsliga frÄgor anvÀnds ofta be- greppet rÀttslig myndighet. Med en sÄdan myndighet avses enligt en vedertagen uppfattning i första hand domstol eller, för svenska förhÄllanden, Äklagare.
289
Enhetens överföring och utbyte av |
SOU 2017:57 |
Datalagring
BrottsbekÀmpande myndigheters tillgÄng till trafikuppgifter om elektronisk kommunikation via data- eller telenÀt företer vissa lik- heter med systemet för lagring och utbyte av
Det finns dock stora skillnader. Systemet med datalagring av trafikuppgifter innebÀr en skyldighet för teleoperatörer m.fl. att lagra sin kommersiella information om kunders teletrafik m.m. under viss tid och sÄledes inte att leverera den till en nationell enhet för att dÀr samlas i en databas sÄsom enligt
Datalagringsdirektivet och det svenska genomförandet
Datalagringsdirektivet1, som antogs den 15 mars 2006, syftade till att harmonisera medlemsstaternas bestÀmmelser om skyldighet att lagra vissa uppgifter om elektronisk kommunikation för att pÄ sÄ sÀtt sÀkerstÀlla att uppgifterna Àr tillgÀngliga för avslöjande, utredning och Ätal av allvarliga brott. Direktivet genomfördes i svensk rÀtt bl.a. genom införandet av nya bestÀmmelser i 6 kap. 16
1 Europaparlamentets och rÄdets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahÄllande av allmÀnt tillgÀng- liga elektroniska kommunikationstjÀnster eller allmÀnna kommunikationsnÀt och om Àndring av direktiv 2002/58/EG.
290
SOU 2017:57 |
Enhetens överföring och utbyte av |
TillgÄng till datalagrade uppgifter var inget nytt verktyg inom den svenska brottsbekÀmpningen nÀr datalagringsdirektivet antogs. Redan vid genomförandet av datalagringsdirektivet var tillgÄngen reglerad sÄsom ett hemligt tvÄngsmedel i 27 kap. 19 § RB genom be- stÀmmelser om hemlig teleövervakning (numera hemlig övervakning av elektronisk kommunikation). Den regleringen var och Àr tillÀmp- lig nÀr trafikuppgifter ska inhÀmtas i en förundersökning. TillstÄnd meddelas av allmÀn domstol. I lagen om elektronisk kommunika- tion fanns vidare bestÀmmelser om tillgÄng till trafikuppgifter i bl.a. underrÀttelseverksamhet. Dessa bestÀmmelser upphÀvdes dock vid genomförandet av datalagringsdirektivet och ersattes dels av bestÀm- melser i rÀttegÄngsbalken som under vissa förutsÀttningar möjliggör hemlig övervakning av elektronisk kommunikation i en förunder- sökning Àven om det inte finns nÄgon som Àr skÀligen misstÀnkt för brott, dels av bestÀmmelser i en ny lag om inhÀmtning av sÄdana uppgifter i underrÀttelseverksamhet.
FrÄgan om beslutsordningen i underrÀttelseverksamhet blev i för- arbetena till inhÀmtningslagen föremÄl för regeringens allmÀnna över- vÀganden (prop. 2011/12:55 s.88 f.). Regeringen bedömde att rÀtten att hÀmta uppgifter om elektronisk kommunikation i förundersök- ningar alltid ska prövas av domstol. Att allmÀn domstol fattar beslut om hemliga tvÄngsmedel under en förundersökning ansÄgs lÀmpligt och vÀl förenligt med det tvÄpartsförfarande och de möjligheter till rÀttslig prövning som gÀller dÀr. Vidare stÀllde sig regeringen frÄgan om allmÀn domstol borde fatta beslut om inhÀmtning i under- rÀttelseverksamhet. I ett utförligt resonemang betonades det bl.a. att det vore principiellt tveksamt att de allmÀnna domstolarna pÄ förhand rÀttsligt prövar olika ÄtgÀrder som vidtas inom ramen för underrÀttelseverksamhet. DÀrmed kunde det finnas risk för att dom- stolens roll som oberoende prövningsinstans i brottmÄlsförfarandet ifrÄgasÀtts, i varje fall nÀr ÄtgÀrderna senare leder fram till förunder- sökning och Ätal. En sÄdan roll skulle för domstolen ocksÄ vara delvis frÀmmande i det svenska rÀttssystemet. Domstolarna kunde inte heller tillgodose behovet av snabba beslut utanför kontorstid. Mot den bakgrunden ansÄg regeringen att allmÀnna domstolar inte borde ges beslutanderÀtten för inhÀmtning av uppgifter om elektro- nisk kommunikation i de brottsbekÀmpande myndigheternas under- rÀttelseverksamhet. Att tilldela Äklagare en roll i polisens allmÀnna underrÀttelsearbete ansÄgs ocksÄ olÀmpligt. BeslutanderÀtten borde
291
Enhetens överföring och utbyte av |
SOU 2017:57 |
dÀrför inte heller lÀggas hos Äklagare. Inte heller ansÄgs det lÀmpligt att inrÀtta sÀrskilda beslutsnÀmnder för beslut om inhÀmtning av övervakningsuppgifter i underrÀttelseverksamhet. I stÀllet landade regeringen i bedömningen att beslutanderÀtten borde tillkomma de inhÀmtande myndigheterna sjÀlva med myndighetschefen som be- slutande, dock med möjlighet till delegation.
Lagen (2012:278) om inhÀmtning av uppgifter om elektronisk kommunikation i de brottsbekÀmpande myndigheternas underrÀt- telseverksamhet (inhÀmtningslagen) reglerar alltsÄ Polismyndig- hetens, SÀkerhetspolisens och Tullverkets möjligheter att hÀmta in uppgifter om elektronisk kommunikation i underrÀttelseverksamhet. Beslut om inhÀmtning enligt inhÀmtningslagen fattas av myndigheten sjÀlv och Àr inte föremÄl för nÄgon utomstÄende förhandskontroll (4 §). Det Àr myndighetschefen som fattar beslut om inhÀmtning av trafikuppgifter. Myndighetschefen fÄr delegera rÀtten att fatta beslut om inhÀmtning till en annan anstÀlld vid myndigheten som har den sÀrskilda kompetens, utbildning och erfarenhet som behövs. Den som rÀtten att fatta beslut har delegerats till, fÄr inte fatta beslut om inhÀmtning i sÄdan operativ verksamhet som han eller hon deltar i. Enligt 5 § gÀller vissa krav pÄ innehÄllet i beslutet. I 6 § föreskrivs vidare att SÀkerhets- och integritetsskyddsnÀmnden (SIN) ska under- rÀttas om beslut om inhÀmtning av trafikuppgifter enligt inhÀmt- ningslagen. Enligt lagen (2007:980) om tillsyn över viss brottsbe- kÀmpande verksamhet har nÀmnden tillsyn över brottsbekÀmpande myndigheters anvÀndning av hemliga tvÄngsmedel.
Sammanfattningsvis fungerar systemet sÄledes pÄ det sÀttet att nÀr trafikuppgifter hÀmtas in i en pÄgÄende förundersökning, gÀller rÀttegÄngsbalkens bestÀmmelser om hemlig övervakning av elektro- nisk kommunikation med krav pÄ tillstÄnd frÄn allmÀn domstol efter ansökan av Äklagare, dvs. förundersökningsledaren. I brÄdskande fall har Äklagaren dock möjlighet att fatta interimistiska beslut i vÀntan pÄ rÀttens prövning. InhÀmtande i underrÀttelseverksamhet beslutas av varje myndighet sjÀlv. Tullverkets myndighetschef, eller efter delegation nÄgon annan inom Tullverket, prövar inhÀmtande i Tullverkets underrÀttelseverksamhet osv. Enskilda som har utsatts för tvÄngsmedlet ska normalt underrÀttas om ÄtgÀrden i efterhand om det handlar om inhÀmtning i förundersökning men inte om det gÀller underrÀttelseverksamhet. I underrÀttelseverksamhet ska i stÀllet SIN underrÀttas om myndighetsbeslut att inhÀmta trafikuppgifter.
292
SOU 2017:57 |
Enhetens överföring och utbyte av |
Den 8 april 2014 meddelade
De svenska reglerna om datalagring, tillgÄng till och behandling av datalagrade uppgifter samt bestÀmmelsernas förhÄllande till unions- rÀtten, blev dÀrefter föremÄl för ingÄende analys (se Ds 2014:23 och SOU 2015:31). Bland annat analyserades inhÀmtningslagens fören- lighet med unionsrÀtten, dÀribland bestÀmmelsen i 4 § som innebÀr att uppgifter inhÀmtas av en myndighet utan föregÄende prövning av en oberoende instans. Denna förnyade prövning av beslutsord- ningen ledde dock inte till nÄgot förslag till lagÀndring. Bedöm- ningen gjordes alltsÄ att beslut Àven i fortsÀttningen borde fattas av Polismyndigheten, SÀkerhetspolisen eller Tullverket. Resonemangen bakom detta kan sÀgas i stora drag överensstÀmma med övervÀgan- den frÄn förarbetena till inhÀmtningslagen som redovisats ovan.
Den 21 december 2016 meddelade
293
Enhetens överföring och utbyte av |
SOU 2017:57 |
nisk kommunikation Àr förenliga med unionsrÀtten.
I dom den 7 mars 2017 upphÀvde KammarrÀtten beslutet att före- lÀgga Tele2 att lagra trafikuppgifter m.m. för brottsbekÀmpande ÀndamÄl. I domen anges att det, med hÀnsyn till
Regeringen har gett en sÀrskild utredare i uppdrag att bl.a. se över bestÀmmelserna om skyldigheten för leverantörer av allmÀnna kommunikationsnÀt och allmÀnt tillgÀngliga elektroniska kommu- nikationstjÀnster att lagra uppgifter om elektronisk kommunikation samt om de brottsbekÀmpande myndigheternas tillgÄng till sÄdana uppgifter, Utredningen om datalagring och
EU:s
Europaparlamentet har begÀrt
294
SOU 2017:57 |
Enhetens överföring och utbyte av |
Den 8 september 2016 meddelade generaladvokaten ett förslag till yttrande.2 Yttrandet ska inte redovisas nÀrmare hÀr. Av intresse Àr dock att generaladvokaten fann det utgöra en brist att den i Kanada insamlande myndigheten, CBSA, sjÀlv fattar beslut om ut- lÀmnande till en annan myndighet i Kanada eller annat tredjeland utan att dess bedömning av skyddsnivÄn för uppgifterna hos mottagaren Àr understÀlld nÄgon förhandskontroll av en oberoende myndighet eller en domstol.
VÄra övervÀganden och förslag
VÄra förslag: En förutsÀttning för att en överföring av avmaske- rade
Bortsett frÄn fall dÄ en svensk Äklagare beslutat om inhÀm- tande av fullstÀndiga uppgifter, ska dataskyddsombudet vid en- heten för passagerarinformation informeras och göra en efter- handsutvÀrdering av varje överföring av avmaskerade uppgifter.
NÄgra utgÄngspunkter
BestÀmmelsen om att utlÀmnande av avmaskerade
2 Förslag till yttrande av generadvokat Paolo Mengozzi, föredraget den 8 september 2016.
295
Enhetens överföring och utbyte av |
SOU 2017:57 |
maskerade
Det kan konstateras att det inte finns nÄgon myndighet som Àr sjÀlvskriven för tillstÄndsgivningen. NÄgot system med lagring och tillgÄng till
296
SOU 2017:57 |
Enhetens överföring och utbyte av |
anledning att göra förfrÄgningar till enheten för att skaffa sig mer substans inför ett eventuellt beslut om att inleda förundersökning.
I linje med hur man resonerat i tidigare lagstiftningsÀrenden om beslutsordning för brottsbekÀmpande ÄtgÀrder som Àr ingripande för enskilda berörda anser vi att det finns skÀl att göra skillnad mellan om behöriga myndigheter begÀr ut avmaskerade
Behörig myndighets begÀran sker i en förundersökning
Förundersökning Ă€r ett reglerat förfarande, se 23 kap. RB och för- undersökningskungörelsen (1947:948). Beslut att inleda förundersök- ning kan fattas av Polismyndigheten, SĂ€kerhetspolisen eller Ă„klagare. Ăven Tullverket kan fatta beslut om inledande av förundersökning enligt 19 § lagen (2000:1225) om straff för smuggling (smugglings- lagen). De befogenheter och skyldigheter som undersöknings- ledaren har enligt rĂ€ttegĂ„ngsbalken gĂ€ller i sĂ„dant fall Tullverket.
Har förundersökningen inletts av Polismyndigheten eller SÀker- hetspolisen och Àr saken inte av enkel beskaffenhet, ska ledningen av förundersökningen om brottet övertas av Äklagaren sÄ snart nÄgon skÀligen kan misstÀnkas för brottet. à klagaren ska ocksÄ i annat fall överta ledningen nÀr det Àr motiverat av sÀrskilda skÀl (23 kap. 3 § RB). Liknande bestÀmmelser finns i smugglingslagen. En förunder- sökning kan alltsÄ ledas av en Äklagare, en polisiÀr undersöknings- ledare eller en tulltjÀnsteman. NÀr förundersökningen leds av Äklaga- ren, fÄr han eller hon anlita bitrÀde av Polismyndigheten, SÀkerhets- polisen eller Tullverket för att genomföra den. à klagaren fÄr ocksÄ uppdra Ät en polisman eller tjÀnsteman vid Tullverket att vidta en viss ÄtgÀrd som hör till förundersökningen, om det Àr lÀmpligt med hÀnsyn till ÄtgÀrdens beskaffenhet.
Enligt 23 kap. 4 § RB ska en förundersökning bedrivas objektivt. Vid förundersökningen ska förundersökningsledaren söka efter, ta till vara och beakta omstÀndigheter och bevis som talar sÄvÀl till den misstÀnktes fördel som till hans eller hennes nackdel. Förundersök- ningen ska bedrivas sÄ att inte nÄgon onödigt utsÀtts för misstanke eller orsakas kostnad eller olÀgenhet.
297
Enhetens överföring och utbyte av |
SOU 2017:57 |
En mÀngd olika mer eller mindre ingripande ÄtgÀrder kan vidtas under en förundersökning. Vissa för enskilda berörda sÀrskilt ingri- pande ÄtgÀrder under pÄgÄende förundersökning regleras som straff- processuella tvÄngsmedel i
Gemensamt för all tvÄngsmedelsanvÀndning enligt rÀttegÄngs- balken Àr att beslutsförfarandet Àr reglerat. Vid de mera ingripande tvÄngsmedlen Àr allmÀn domstol ensam behörig att fatta beslut (t.ex. hÀktning, kvarstad, hemlig rumsavlyssning, hemlig avlyssning eller övervakning av elektronisk kommunikation), dock med rÀtt i vissa fall för Äklagare att fatta interimistiskt beslut i brÄdskande fall.
BetrÀffande mÄnga andra i och för sig ingripande ÄtgÀrder under pÄgÄende förundersökning finns inte nÄgon motsvarande reglering som den i rÀttegÄngsbalken för tvÄngsmedel. Exempel hÀrpÄ Àr an- vÀndning i förundersökning av vissa spanings- eller utrednings- metoder sÄsom infiltration eller provokation. Vad gÀller just dessa metoder har i stÀllet utfÀrdats riktlinjer av à klagarmyndigheten, RÄR 2016:1. Av dessa framgÄr bl.a. att beslut om anvÀndande av sÄdana metoder alltid ska fattas av den allmÀnna Äklagare som Àr förundersökningsledare.
Trots den osÀkerhet som finns angÄende hur behöriga myndig- heter kommer att anvÀnda sig av möjligheten att begÀra ut PNR- uppgifter Àr det vÄr uppfattning att en sÄdan ÄtgÀrd inte Àr att jÀm- stÀlla med ett sÄdant hemligt tvÄngsmedel som bör regleras som ett sÄdant i rÀttegÄngsbalken. Visserligen finns paralleller med utfÄende av datalagrad elektronisk kommunikation frÄn teleoperatörer, vilket utgör ett hemligt tvÄngsmedel benÀmnt hemlig övervakning av elektronisk kommunikation. BetrÀffande
298
SOU 2017:57 |
Enhetens överföring och utbyte av |
matiskt inkonsekvent att införa förÀndringar i det straffprocessuella regelverket som vore kopplade enbart till sÄdana
Vid bedömningen av hur tillstÄndsgivningen enligt
Enligt vÄr mening tillgodoses direktivets krav och enskilda registre- rade passagerares berÀttigade ansprÄk pÄ ett tillfredsstÀllande inte- gritetsskydd om det införs en bestÀmmelse i den nya lagen som föreskriver att en begÀran frÄn en behörig myndighet om utfÄende av avmaskerade
Lydelsen av artikel 12.3 b i direktivet ger vid handen att det Àr enheten för passagerarinformation som ska inhÀmta ett tillstÄnd eller godkÀnnande till utlÀmnande av avmaskerade
299
Enhetens överföring och utbyte av |
SOU 2017:57 |
praktiken uppnĂ„s dock samma resultat om det Ă€r den begĂ€rande be- höriga myndigheten som inhĂ€mtar tillstĂ„ndet eller godkĂ€nnandet. Vi ser dĂ€rför inget hinder mot att genomföra direktivets bestĂ€mmelse genom ett pĂ„ sĂ„ sĂ€tt âomvĂ€ntâ förfarande dĂ€r den behöriga myn- digheten införskaffar ett Ă„klagarbeslut.
En svensk Äklagare uppfyller rekvisiten pÄ att vara en sÄdan rÀtts- lig myndighet som avses i artikel 12.3 b i direktivet. Direktivet stÀller i och för sig inga krav pÄ att den rÀttsliga myndigheten ska vara oberoende. Vi har dock övervÀgt om det Àr olÀmpligt att en för- undersökningsledande Äklagare sjÀlv fattar beslutet och dÀrmed stÄr för den sÀrskilda kontrollmekanism som ska stoppa obefogad an- vÀndning av Àldre
300
SOU 2017:57 |
Enhetens överföring och utbyte av |
mer det att i allmÀnhet vara erfarna Äklagare som Àr förundersök- ningsledare. Mot denna bakgrund finner vi att övervÀgande skÀl talar för inte införa nÄgot krav pÄ att beslutsfattande Äklagare ska vara nÄgon annan Àn förundersökningsledaren.
Behörig myndighets begÀran sker i underrÀttelseverksamhet
Av beskrivningen ovan om genomförandet av datalagringsdirektivet har framgÄtt att det inte finns nÄgon reglering om att vissa ÄtgÀrder i underrÀttelseverksamhet ska beslutas eller understÀllas nÄgon rÀttslig myndighet eller nÄgon oberoende myndighet av annat slag. FrÄgan har varit mycket omdiskuterad och bl.a. har Polismetodutredningen föreslagit inrÀttande av en nÀmnd för prövning av vissa sÀrskilda spaningsmetoder under underrÀttelsestadiet (SOU 2010:103), vilket dock inte lett till vidare lagstiftningsÄtgÀrder. Vi har inom ramen för vÄrt utredningsuppdrag inte haft möjligheten att göra sÄdana mera ingÄende analyser som skulle krÀvas för att föra frÄgan vidare och eventuellt finna nÄgon ny lÀmplig övergripande ordning för hur frÄgor av detta slag skulle tas om hand. Med tanke pÄ att det tillsatts en utredning som ska analysera
VÄra övervÀganden och förslag fÄr sÄledes anpassas till den be- fintliga strukturen. Det kan dÀrvid konstateras att det inte finns nÄgon befintlig myndighet som vore sjÀlvskriven för att ge tillstÄnd till att behöriga myndigheter fÄr tillgÄng till avmaskerade PNR- uppgifter i sitt underrÀttelsearbete.
Fyra olika existerande myndighetsorganisationer, utanför de be- höriga myndigheterna sjÀlva, framstÄr som tÀnkbara för uppgiften. Dessa Àr domstolsvÀsendet, ÄklagarvÀsendet och de tvÄ tillsynsmyn- digheter som för nÀrvarande har tillsyn över polisens behandling av personuppgifter. Ingen av dessa har, som tidigare angetts, nÄgon erfarenhet av tillstÄndsgivning i liknande fall. NÀr det gÀller dom- stolar och ÄklagarvÀsendet instÀmmer vi dock i de argument mot att lÀgga beslutsfunktioner hos dem som redovisats ovan i förarbetena till inhÀmtningslagen. Varken allmÀn domstol eller Äklagare bör alltsÄ
301
Enhetens överföring och utbyte av |
SOU 2017:57 |
ges i uppgift att ta stÀllning till överföring av avmaskerade person- uppgifter för anvÀndning i underrÀttelseverksamhet.
En annan lösning vore att lÀgga tillstÄndsgivningen hos nÄgon av de myndigheter som har till uppgift att utöva tillsyn över den brotts- bekÀmpande verksamheten. Datainspektionen och SIN har i dag överlappande tillsynsansvar nÀr det gÀller Polismyndighetens behand- ling av personuppgifter. Utredningen om tillsynen över den per- sonliga integriteten har nyligen föreslagit att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt bÄde dataskydds- förordningen och det nya dataskyddsdirektivet (se SOU 2016:65). Vidare har utredningen föreslagit att tillsynen över den öppna polisens personuppgiftsbehandling i brottsbekÀmpande verksamhet inte lÀngre ska ingÄ i SIN:s uppdrag utan i fortsÀttningen utföras endast av Datainspektionen. Enligt förslaget kommer Datainspektionen att bli nationell tillsynsmyndighet för Polismyndighetens behandling av personuppgifter i den brottsbekÀmpande verksamheten och dÀrmed Àven för arbetet vid enheten för passagerarinformation.
Det vore olÀmpligt att anvÀnda sig av samma myndighet för till- stÄndsgivningen som för tillsynen över arbetet inom enheten som för passagerarinformation. Med hÀnsyn hÀrtill skulle Datainspek- tionen vara utesluten medan SIN dÀremot skulle kunna anvÀndas som tillstÄndsmyndighet enligt
Det alternativ som ÄterstÄr att övervÀga Àr dÀrmed om frÄgan om tillstÄnd eller godkÀnnande av en överföring kan beslutas av nÄgon av de behöriga myndigheterna sjÀlva förutsatt att det ges av nÄgon utanför enheten.
302
SOU 2017:57 |
Enhetens överföring och utbyte av |
Som framgÄtt av ovan nÀmnda avgöranden frÄn
Det som enligt
Behandling, lagring och anvÀndning av
303
Enhetens överföring och utbyte av |
SOU 2017:57 |
lika stort intrÄng i privatlivet som datalagringen. Av den anledningen anser vi att det finns goda skÀl för att inte dra sÄ lÄngtgÄende slut- satser av
Mot bakgrund av det sagda Àr det vÄr bedömning att övervÀgan- de skÀl talar för att
Vid valet av en annan tillstÄndsmyndighet Àn en rÀttslig sÄdan ska enligt direktivets bestÀmmelser dataskyddsombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvÀr- dering varje gÄng avmaskerade
304
SOU 2017:57 |
Enhetens överföring och utbyte av |
om han eller hon vid sin efterhandsutvÀrdering konstaterar nÄgon brist i hanteringen av överföringen eller liknande.
Bland annat pÄ grund av att dataskyddsombudet alltid ska göra en egen utredning, med möjlighet att anmÀla eventuella missförhÄl- landen till tillsynsmyndigheten, har vi inte funnit skÀl att övervÀga att underrÀttelse om överföring av avmaskerade
Avslutningsvis vill vi pÄtala att vi inte Àr omedvetna om att tillÀmpningen av beslutsordningen enligt inhÀmtningslagen i vissa fall föranlett en del kritik frÄn tillsynsmyndigheten SIN. Det inger viss oro och talar för att, i hÀndelse av att en ny ordning för beslutsfat- tande avseende inhÀmtning av datalagrade uppgifter eller andra Ät- gÀrder i underrÀttelseförfarande införs som en följd av den översyn av inhÀmtningslagen som nu genomförs, det kan finnas skÀl att i framtiden övervÀga om ocksÄ överföring av avmaskerade PNR- uppgifter ska inordnas i ett sÄdant nytt beslutsförfarande. Det vore dock av vÀrde att kunna göra sÄdana övervÀganden först dÄ PNR- systemet kommit igÄng och funnits en tid för att med erfarenheter frÄn den faktiska hanteringen kunna göra nÀrmare övervÀganden om vilken beslutsnivÄ osv. som bör gÀlla för överföringar enligt den nya lag som genomfört
BegÀran frÄn andra lÀnder och Europol
Om det framstÄr som oklart nÀr, hur och för vilken nÀrmare an- vÀndning avmaskerade
305
Enhetens överföring och utbyte av |
SOU 2017:57 |
av beslut frÄn andra lÀnders rÀttsliga myndigheter torde krÀva en harmoniserad reglering av nÄgot slag.
Enligt direktivet kommer det vidare som huvudregel att vara en enhet för passagerarinformation som begÀr ut uppgifterna frÄn den svenska enheten. Vilken bakomliggande information som dÄ kommer att göras tillgÀnglig för den svenska enheten vet vi inte i nulÀget, t.ex. om det kommer att bifogas beslut frÄn en Äklagare eller under- sökningsdomare om att uppgifterna ska inhÀmtas i en viss brottsut- redning eller underrÀttelseverksamhet. Gissningsvis kommer formulÀr eller nÄgot slags standardiserade ordningar införas för detta upp- giftsutbyte men Àn sÄ lÀnge finns inga sÄdana utarbetade. Redan av denna anledning anser vi att övervÀgande skÀl talar för att begÀran frÄn andra medlemsstaters enheter och Europol alltid ska behandlas pÄ samma sÀtt som begÀran frÄn svenska myndigheter utanför för- undersökningsförfarandet. Det innebÀr att oavsett om uppgifterna begÀrs ut frÄn en annan medlemsstat för att anvÀndas i en förunder- sökning eller i underrÀttelseverksamhet, ska Polismyndighetens myndighetschef fatta beslut om utlÀmnande och dataskyddsom- budet göra en efterhandsutvÀrdering. Detsamma föreslÄr vi ska gÀlla i de absoluta undantagsfall nÀr det kan bli aktuellt att lÀmna ut avmaskerade
306
16Behöriga myndigheters behandling av
16.1Behöriga myndigheters rÀtt att motta och begÀra tillgÄng till
Som tidigare har angetts ska varje medlemsstat utse de myndig- heter som ska vara behöriga att ta emot eller begÀra
307
Behöriga myndigheters behandling av |
SOU 2017:57 |
16.1.1Behöriga myndigheters rÀtt att motta
De behöriga myndigheterna kommer frÀmst att fÄ tillgÄng till PNR- information avseende sÄdana passagerare som den nationella enheten för passagerarinformation har valt ut vid de förhandsbedömningar som görs av passagerare före deras berÀknade ankomst till eller av- resa frÄn Sverige (artikel 6.2 a och 6.6). Aktuella myndigheter kom- mer Àven att fÄ tillgÄng till motsvarande uppgifter som har tagits fram av andra medlemsstaters enheter för passagerarinformation vid deras förhandsbedömningar och som i vissa fall dÀrefter har överförts till den svenska enheten för vidare befordran till svenska behöriga myndigheter (se artikel 9.1 och 6.6).
Vidare kommer de behöriga myndigheterna att fÄ tillgÄng till
I undantagsfall kan
16.1.2Behöriga myndigheters möjlighet att begÀra tillgÄng till
De behöriga myndigheterna har, som framgÄtt ovan, en möjlighet att stÀlla egna frÄgor till enheten för passagerarinformation och pÄ sÄ sÀtt fÄ tillgÄng till sÄdan
Det finns enligt direktivet Àven en möjlighet för de behöriga myndigheterna att vÀnda sig direkt till en enhet för passagerar- information i en annan medlemsstat för att fÄ ta del av sÄdan PNR- information som finns lagrad hos den enheten. Denna möjlighet, som regleras i artikel 9.3, ska dock endast anvÀndas i nödfall och
308
SOU 2017:57 |
Behöriga myndigheters behandling av |
i övrigt enligt de villkor som faststĂ€llts i artikel 9.2 (se avsnitt 15.3.3). Ăven i dessa fall ska begĂ€ran vara motiverad. En kopia av begĂ€ran ska alltid skickas till enheten för passagerarinformation i den be- gĂ€rande medlemsstaten. Möjligheten för en behörig myndighet att vĂ€nda sig direkt till en enhet för passagerarinformation i en annan medlemsstat ska endast anvĂ€ndas i undantagsfall. I alla andra fall ska, enligt artikel 9.3, de behöriga myndigheterna översĂ€nda sina fram- stĂ€llningar via enheten för passagerarinformation i den egna med- lemsstaten.
16.1.3VÄra övervÀganden och förslag
VÄra förslag: En behörig myndighet som önskar ta del av PNR- information som lagras hos en enhet för passagerarinformation i en annan medlemsstat ska framstÀlla begÀran till enheten för passagerarinformation vid Polismyndigheten för vidare förmed- ling till den andra medlemsstaten.
Endast om det i ett enskilt brÄdskande fall Àr absolut nöd- vÀndigt fÄr en behörig myndighet vÀnda sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begÀran om att ta del av
FrÄgorna kan regleras i förordning.
Införandet av en bestÀmmelse som innebÀr att
Vidare saknas det enligt vÄr bedömning anledning att författ- ningsreglera de nÀrmare förutsÀttningarna för att en behörig myn-
309
Behöriga myndigheters behandling av |
SOU 2017:57 |
dighet ska fÄ tillgÄng till
Vidare bör det av författning framgÄ att en begÀran frÄn en be- hörig myndighet om att fÄ ta del av
En situation dÀr det skulle kunna anses absolut nödvÀndigt för en behörig myndighet att vÀnda sig direkt till en enhet för passagerar- information i en annan medlemsstat skulle kunna uppstÄ om myn- digheten finner att det finns risk för ett nÀra förestÄende terrorist- attentat och det Àr nödvÀndigt att sÄ snabbt som möjligt fÄ informa- tion om en misstÀnkts resvÀg. Enligt vÄr bedömning kommer dock bestÀmmelsen troligen inte att anvÀndas i praktiken. För de behöriga myndigheterna kommer det sannolikt att gÄ snabbare att begÀra in
310
SOU 2017:57 |
Behöriga myndigheters behandling av |
den önskade informationen via den nationella enheten för passagerar- information, som har upparbetade vÀgar för utbyte med motsva- rande enheter, i stÀllet för att myndigheterna sjÀlva ska ta dessa kon- takter.
För det fall en behörig myndighet har begÀrt
16.2Behandling av
16.2.1TillÀmpliga dataskyddsbestÀmmelser hos de behöriga myndigheterna
Polisdatalagen Àr för nÀrvarande tillÀmplig vid behandling av person- uppgifter i brottsbekÀmpande verksamhet vid Polismyndigheten och SÀkerhetspolisen. Lagen gÀller Àven för den polisiÀra verksam- heten vid Ekobrottsmyndigheten. Enligt vad vi erfarit Àr det endast till Ekobrottsmyndighetens polisiÀra del som det kommer att bli aktuellt att överföra
För Tullverkets del kommer frÄn den 1 juli 2017 en ny lag om behandling av personuppgifter i Tullverkets brottsbekÀmpande verk- samhet, tullbrottsdatalagen, att bli tillÀmplig för Tullverkets person- uppgiftsbehandling i den brottsbekÀmpande verksamheten. Den ersÀtter den nu gÀllande lagen (2005:787) om behandling av upp- gifter i Tullverkets brottsbekÀmpande verksamhet. För en kortfattad beskrivning av den nya lagen, se avsnitt 6.4.2.
311
Behöriga myndigheters behandling av |
SOU 2017:57 |
Som tidigare har framgÄtt har Utredningen om 2016 Ärs data- skyddsdirektiv lÀmnat förslag till en brottsdatalag med bestÀmmelser om skydd av personuppgifter pÄ det brottsbekÀmpande omrÄdet. Förslaget innehÄller bestÀmmelser som i princip genomför samtliga bestÀmmelser i det nya dataskyddsdirektivet. Utredningen kommer senast den 30 september 2017 att lÀmna förslag till de författnings- Àndringar som krÀvs för att anpassa bl.a. polisdatalagen och tull- brottsdatalagen till de nya förutsÀttningarna.
För Försvarsmakten gÀller bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverk- samhet och militÀra sÀkerhetstjÀnst med anslutande förordning (SFS 2007:260). Lagen gÀller för verksamheten vid den del av För- svarsmakten som kallas Must och i vilken
16.2.2VÄra generella övervÀganden i denna del
Som vi anfört redan i avsnitt 8.5 hade de fÄtaliga bestÀmmelserna om hur
312
SOU 2017:57 |
Behöriga myndigheters behandling av |
att se ut. Förslaget till brottsdatalag tyder pÄ att dess bestÀmmelser inte kommer att vara direkt tillÀmpliga för SÀkerhetspolisens verk- samhet. Utredningen om 2016 Ärs dataskyddsdirektiv har dock angett att vissa bestÀmmelser i brottsdatalagen kommer att vara tillÀmpliga pÄ motsvarande sÀtt som vissa bestÀmmelser i personuppgiftslagen i dag (SOU 2017:29 s. 176). Vilka bestÀmmelser i brottsdatalagen och hur SÀkerhetspolisens personuppgiftsbehandling ska regleras kommer utredningen att Äterkomma till i sitt slutbetÀnkande. Vidare omfattas inte Försvarsmaktens personuppgiftsbehandling av den dataskyddsreglering som föreslagits eller kommer att föreslÄs för brottsbekÀmpande myndigheter. Med hÀnsyn till dessa förhÄllan- den föreslÄr vi, som framgÄtt av avsnitt 8.5, att
Vidare föreslÄr vi att det i de aktuella registerförfattningarna förs in bestÀmmelser om att det i den av oss föreslagna lagen och i före- skrifter som har meddelats med stöd av den lagen finns bestÀmmelser om personuppgiftsbehandling som ska tillÀmpas i stÀllet för bestÀm- melserna i aktuell registerförfattning (se avsnitt 8.5).
Utöver de bestÀmmelser som kommer att föreslÄs i detta avsnitt föreslÄr vi Àven att det i den nya lagen tas in bestÀmmelser om gallring vid de behöriga myndigheterna av sÄdan
I övriga frÄgor kommer behandlingen av den
313
Behöriga myndigheters behandling av |
SOU 2017:57 |
Àr tillÀmpliga för de behöriga myndigheterna. I praktiken innebÀr detta brottsdatalagen, avvikande eller kompletterande bestÀmmelser i polisdatalagen, tullbrottsdatalagen, lagen om behandling av person- uppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst eller de nya författningar som kan komma att genomföras pÄ grundval av förslag frÄn Utredningen om 2016 Ärs dataskyddsdirektiv eller den nyss nÀmnda utredning som ser över behandlingen av personuppgifter inom Försvarsmakten.
För att skyddet för enskilda ska bli effektivt krÀvs att de myn- digheter som hanterar
16.2.3Myndigheternas behandling av den överförda
VÄrt förslag: Om det har kommit fram uppgifter om annat brott Àn terroristbrottslighet eller grov brottslighet i samband med en behörig myndighets insats som görs till följd av behandling av
314
SOU 2017:57 |
Behöriga myndigheters behandling av |
Behandling endast för direktivets syften
Av artikel 7.4 framgÄr att de behöriga myndigheterna endast fÄr vidarebehandla sÄdan
Artikel 7.4 utgör sÄvitt avser
Behandling för att förhindra, utreda eller lagföra annan upptÀckt brottslighet
Enligt artikel 7.5 ska punkten 4 inte pÄverka de brottsbekÀmpande eller rÀttsliga myndigheternas befogenheter pÄ nationell nivÄ, om andra brott eller indikationer pÄ sÄdana upptÀcks i samband med brottsbekÀmpande insatser som görs till följd av sÄdan behandling av
315
Behöriga myndigheters behandling av |
SOU 2017:57 |
olika möjliga ÄtgÀrder som kan ske till följd av sÄdan misstÀnkt brotts- lighet som omfattas av direktivet. Man kan t.ex. tÀnka sig ett för- hör, en husrannsakan, en brottsplatsundersökning eller ett beslag. Man kan ocksÄ tÀnka sig en spaningsoperation. Huruvida en för- undersökning har inletts bör inte vara avgörande.
En bestÀmmelse som genomför artikel 7.5 bör föras in i lag. Av bestÀmmelsen bör framgÄ att den utgör ett undantag frÄn huvud- regeln om att
16.2.4Automatiserade beslut
VÄrt förslag: Ett beslut som har rÀttsliga följder för en fysisk person eller annars i betydande grad pÄverkar honom eller henne, fÄr inte enbart grundas pÄ en automatiserad behandling av PNR- uppgifter eller pÄ kÀnsliga personuppgifter.
Med automatiserade beslut avses beslut som inte fattas av nÄgon tjÀnsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid (SOU 2017:29 s. 288). En bestÀmmelse med liknande innehÄll finns i artikel 11 i det nya dataskyddsdirektivet. I brottsdatalagen har den aktuella artikeln genomförts i 2 kap. 19 §. Av den bestÀmmelsen framgÄr att om ett beslut, som har rÀttsliga följder för en fysisk person eller annars i betydande grad pÄverkar honom eller henne, enbart grundas pÄ automatiserad behandling av sÄdana personuppgifter som Àr av- sedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att pÄ begÀran fÄ beslutet omprövat av nÄgon person. I bestÀmmelsen anges ocksÄ att automatiserade beslut inte fÄr enbart grundas pÄ kÀnsliga personuppgifter.
I artikel 7.6 i
316
SOU 2017:57 |
Behöriga myndigheters behandling av |
BestÀmmelsen innebÀr alltsÄ att en behörig myndighet inte fÄr fatta nÄgra beslut som har rÀttsliga följder för en fysisk person eller annars i betydande grad pÄverkar honom eller henne enbart till följd av en automatiserad behandling av
Vi föreslÄr att det tas in en bestÀmmelse i den nya lagen om auto- matiserade beslut som genomför artikel 7.6 i
För de brottsbekÀmpande myndigheter som i sin verksamhet tillÀmpar brottsdatalagen, kommer 2 kap. 19 § BDL att gÀlla utöver den av oss föreslagna bestÀmmelsen om automatiserade beslut. En viss dubbelreglering kommer dÀrmed att uppstÄ avseende automati- serade beslut baserade pÄ kÀnsliga personuppgifter. Det sagda gÀller dock bara för sÄdana behöriga myndigheter som annars har att tillÀmpa 2 kap. 19 § BDL, inte t.ex. Försvarsmakten.
Enligt vÄr bedömning torde bestÀmmelsen inte komma att fÄ nÄgon praktisk betydelse för de behöriga myndigheternas behand- ling av
317
17 Ăverföring till tredjeland
17.1Direktivets bestÀmmelser
Ăverföringar frĂ„n enheten för passagerarinformation till tredjeland behandlas i artikel 11 i
1.de villkor som faststÀlls i artikel 13 i dataskyddsrambeslutet Àr upp- fyllda,
2.överföringen Àr nödvÀndig för direktivets syften enligt artikel 1.2, dvs. för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet,
3.det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det Àr strikt nödvÀndigt för direk- tivets ÀndamÄl enligt artikel 1.2 och endast efter uttryckligt sam- tycke av medlemsstaten, och
4.samma villkor för överföring till en annan medlemsstat som an- ges i artikel 9.2 Àr uppfyllda.
I artikel 11.2 behandlas överföringar av sÄdan
319
Ăverföring till tredjeland |
SOU 2017:57 |
kel 11.2 att överföring av
Enligt artikel 11.3 ska medlemsstaterna överföra
17.2Bakgrund
17.2.1Dataskyddsrambeslutet och 2013 Ă„rs lag
I dataskyddsrambeslutet anges gemensamma regler för behandling av personuppgifter inom ramen för polisiÀrt och straffrÀttsligt sam- arbete nÀr personuppgifter överförs eller görs tillgÀngliga mellan
I artikel 13.1 anges vissa förutsÀttningar för att personuppgifter ska fÄ överföras. En sÄdan överföring fÄr göras bara om den stat frÄn vilken uppgifterna har erhÄllits har gett samtycke till överföringen, överföringen Àr nödvÀndig för att förebygga, utreda, upptÀcka eller lagföra brott eller för verkstÀllighet av en straffrÀttslig pÄföljd och om mottagaren har ansvar för sÄdan verksamhet, samt det finns en adekvat skyddsnivÄ för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det
320
SOU 2017:57 |
Ăverföring till tredjeland |
ska vara tillÄtet att föra över uppgifter eller göra dessa tillgÀngliga mÄste samtliga dessa villkor som huvudregel vara uppfyllda.
Enligt artikel 13.2 finns dock möjlighet att överföra personupp- gifter i förvÀg. Enligt artikeln krÀvs dÄ att överföringen Àr absolut nödvÀndig, antingen för att avvÀrja en omedelbar och allvarlig fara för den allmÀnna sÀkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats vÀsentliga intressen samt att ett förhandsmedgivande inte hinner utverkas i tid. Om överföringen sker utan medgivande ska enligt artikel 13.2 sista meningen den myn- dighet, vars medgivande till överföring krÀvs, underrÀttas utan dröjs- mÄl.
Artikel 13.3 innehÄller en möjlighet att överföra personuppgifter trots att kravet pÄ adekvat skyddsnivÄ inte Àr uppfyllt. I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mot- tagaren har en adekvat skyddsnivÄ.
Artikel 13 i dataskyddsrambeslutet har i svensk rÀtt genomförts i lagen (2013:329) med vissa bestÀmmelser om skydd för person- uppgifter vid polissamarbete och straffrÀttsligt samarbete inom Europeiska unionen (2013 Ärs lag) och i en tillhörande förordning (2013:343) med i övrigt samma namn. 2013 Ärs lag gör det sÄledes möjligt för en svensk myndighet att föra över personuppgifter till ett tredjeland. Den tillÀmpas dock bara pÄ personuppgifter som en svensk myndighet har fÄtt frÄn en annan stat som Àr medlem i EU, Island, Liechtenstein, Norge eller Schweiz, ett
Artikel 13 i dataskyddsrambeslutet och 2013 Ärs lag Àr som an- getts enbart tillÀmplig vid överföring av personuppgifter som hÀr- rör frÄn andra medlemsstater eller frÄn vissa andra stater, organ och informationssystem. Personuppgiftslagen blir dÀrför tillÀmplig för andra överföringar, bl.a. genom hÀnvisningar dit i myndigheters
321
Ăverföring till tredjeland |
SOU 2017:57 |
registerförfattningar. Vad gÀller bestÀmmelserna i personuppgifts- lagen hÀnvisas till redogörelsen i avsnitt 6.3.2.
17.2.2Brottsdatalagen
Dataskyddsrambeslutet upphör att gÀlla den 6 maj 2018, dÄ det kom- mer att ersÀttas av det nya dataskyddsdirektivet. Av
BestÀmmelserna om överföring till tredjeland har tagits in i 8 kap. brottsdatalagen. I 8 kap. 1 och 2 §§ anges de grundlÀggande förut- sÀttningarna för en sÄdan överföring. Enligt 1 § fÄr en behörig myn- dighet överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gÀller Àven överföring av person- uppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna fÄr dock endast överföras om över- föringen
1.Àr nödvÀndig för att förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller lagföra brott, verkstÀlla straffrÀttsliga pÄföljder eller upprÀtthÄlla allmÀn ordning och sÀkerhet,
2.riktas till en behörig myndighet i ett tredjeland eller till en inter- nationell organisation som Àr en behörig myndighet, och
3.omfattas av
a)ett beslut om adekvat skyddsnivÄ enligt 3 §, eller
b)tillrÀckliga skyddsÄtgÀrder enligt 4 §, eller
c)ett undantag för sÀrskilda situationer enligt 5 §.
Enligt andra stycket ska en behörig myndighet som avser att över- föra personuppgifter till ett tredjeland sÀrskilt beakta risken för att enskilda fÄr försÀmrat skydd för sina personuppgifter.
322
SOU 2017:57 |
Ăverföring till tredjeland |
Personuppgifter som en svensk myndighet har fÄtt frÄn en annan medlemsstat fÄr, enligt 8 kap. 2 §, överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lÀmnat uppgifterna till en svensk myndighet har medgett att de överförs. Om medgivande pÄ grund av tidsbrist inte kan inhÀmtas i förvÀg, fÄr, enligt andra stycket, personuppgifter ÀndÄ överföras om det Àr nödvÀndigt för att avvÀrja en omedelbar och allvarlig fara för allmÀn sÀkerhet. Detsamma gÀller om det Àr nödvÀndigt för att avvÀrja en omedelbar och allvarlig fara för andra vÀsentliga intressen för Sverige eller annan medlemsstat.
I 8 kap. 3 § anges att om kommissionen har beslutat att det finns en adekvat nivÄ för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller pÄ annat sÀtt angiven del av det, fÄr person- uppgifter överföras dit.
Om det inte finns ett beslut om adekvat skyddsnivÄ fÄr, enligt 8 kap.4 §, personuppgifter ÀndÄ överföras om
1.skyddsÄtgÀrder för personuppgifter har faststÀllts i ett avtal som ger tillrÀckliga garantier till skydd för registrerades rÀttigheter, eller
2.den behöriga myndighet som uppgifterna ska överföras till pÄ annat sÀtt garanterar tillrÀckligt skydd för dem.
Enligt 8 kap. 5 § kan överföring vara tillÄten i vissa sÀrskilda situa- tioner Àven om det inte finns ett beslut om adekvat skyddsnivÄ enligt 3 § eller tillrÀckliga skyddsÄtgÀrder enligt 4 §. I sÄdant fall fÄr en överföring, eller en samling av överföringar, göras endast om över- föringen Àr nödvÀndig för att
1.skydda den registrerades eller en annan fysisk persons vitala in- tressen, eller andra berÀttigade intressen för den registrerade,
2.i ett enskilt fall förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller lagföra brott, verkstÀlla straffrÀttsliga pÄföljder eller upprÀtthÄlla allmÀn ordning och sÀkerhet,
3.i ett enskilt fall kunna faststÀlla, göra gÀllande eller försvara ett rÀttsligt ansprÄk som hÀnför sig till ett sÄdant syfte som anges i 2, eller
4.avvÀrja en omedelbar och allvarlig fara för allmÀn sÀkerhet.
323
Ăverföring till tredjeland |
SOU 2017:57 |
Personuppgifter fÄr, enligt andra stycket, inte överföras om den registrerades intresse av skydd mot krÀnkning av grundlÀggande fri- och rÀttigheter vÀger tyngre Àn det allmÀnnas intresse av en sÄdan överföring som avses i första stycket 2 eller 3.
I 8 kap. 6 och 7 §§ finns bestÀmmelser om vidareöverföring till ett annat tredjeland eller internationell organisation. Enligt 6 § fÄr en svensk myndighet inte tillÄta att sÄdana personuppgifter som en myndighet har fÄtt frÄn en annan medlemsstat, och som överförts till ett tredjeland, vidareöverförs till ett annat tredjeland eller en internationell organisation, om inte den behöriga myndigheten i den medlemsstat som ursprungligen lÀmnade uppgiften, har medgett att uppgifterna fÄr vidareöverföras. I 7 § anges vad en behörig myndig- het ska beakta nÀr den ska ta stÀllning till om personuppgifter som behandlats i Sverige fÄr vidareöverföras.
I 8 kap. 8 § finns en möjlighet att i vissa fall överföra person- uppgifter till andra Àn behöriga myndigheter. Enligt 9 § ska svenska myndigheter följa uppstÀllda villkor för att anvÀnda personuppgifter som har överförts frÄn ett tredjeland. I 10 § anges att en svensk behörig myndighet fÄr, vid överföring av personuppgifter till tredje- land, stÀlla upp villkor som begrÀnsar möjligheten att anvÀnda upp- gifterna, om det krÀvs med hÀnsyn till enskilds rÀtt eller frÄn allmÀn synpunkt.
Enligt 7 kap. 1 § BDF ska den som har överfört personuppgifter till ett tredjeland utan förhandsmedgivande enligt 8 kap. 2 § andra stycket BDL, utan dröjsmÄl informera den medlemsstat som lÀmnat uppgifterna till en svensk myndighet om överföringen.
17.3VÄra övervÀganden och förslag
17.3.1GrundlÀggande begrepp
VÄrt förslag: Tredjeland ska i lagen definieras som en stat som inte Àr en medlemsstat.
324
SOU 2017:57 |
Ăverföring till tredjeland |
direktivet. Som tidigare har angetts ska direktivet inte tillĂ€mpas av Danmark. Ăverföringar av
17.3.2FörutsÀttningar för överföring till tredjeland
VÄrt förslag: Enheten för passagerarinformation fÄr överföra
1.de grundlÀggande förutsÀttningarna för överföring av person- uppgifter enligt 8 kap. 1 § första stycket 3 och 2 § första stycket BDL Àr uppfyllda och under i övrigt samma förutsÀtt- ningar som överföringar fÄr ske mellan medlemsstaterna,
2.överföringen Àr nödvÀndig för att förebygga, förhindra, upp- tÀcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet, och
3.det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det Àr absolut nödvÀndigt för att förebygga, förhindra, upptÀcka, utreda eller lagföra terrorist- brottslighet eller grov brottslighet och enheten för passagerar- information har lÀmnat ett uttryckligt medgivande till över- föringen.
325
Ăverföring till tredjeland |
SOU 2017:57 |
Det bör av lagen framgÄ att enheten för passagerarinformation fÄr överföra
Enligt
Det bör vidare av lagen framgÄ att en överföring endast fÄr ske om vissa sÀrskilt upprÀknade villkor Àr uppfyllda. En bestÀmmelse om överföring bör utformas sÄ att det framgÄr att samtliga villkor ska vara uppfyllda för att enheten ska fÄ överföra
GrundlÀggande bestÀmmelser om överföring av personuppgifter till tredjeland ska vara uppfyllda
326
SOU 2017:57 |
Ăverföring till tredjeland |
har angetts upphÀvs dataskyddsrambeslutet i samband med genom- förandet av det nya dataskyddsdirektivet.
Artikel 13 i dataskyddsrambeslutet innehÄller rambeslutets samt- liga bestÀmmelser om överföring till tredjeland. Den allmÀnna hÀn- visningen till rambeslutets samtliga bestÀmmelser i frÄgan fÄr dÀrför tolkas som en hÀnvisning Àven till samtliga bestÀmmelser om över- föring till tredjeland i det nya dataskyddsdirektivet. I nÄgot fall inne- hÄller det direktivet dock bestÀmmelser som inte kan tillÀmpas vid överföringar till tredjelÀnder frÄn enheten för passagerarinforma- tion, eftersom
Som tidigare har angetts föreslÄs det nya dataskyddsdirektivets samtliga bestÀmmelser om överföring till tredjeland genomföras i brottsdatalagen med tillhörande förordning. Brottsdatalagen inne- hÄller sÄledes de grundlÀggande bestÀmmelserna med allmÀnna prin- ciper för överföring av personuppgifter till tredjeland inom det brottsbekÀmpande omrÄdet. Enligt vÄr mening Àr det viktigt att dessa grundlÀggande bestÀmmelser tillÀmpas Àven vid överföring av PNR- information för att den skyddsnivÄ som sÀkerstÀlls genom det direk- tivet inte ska undergrÀvas. Dessa bestÀmmelser i brottsdatalagen bör dÀrmed vara tillÀmpliga Àven vid överföring av
De grundlÀggande förutsÀttningarna för att överföringar alls ska fÄ ske till tredjelÀnder framgÄr för det första av 8 kap. 1 § första stycket 3 BDL. BestÀmmelsen hÀnvisar till 3, 4 och 5 §§, som anger förutsÀttningarna för att en överföring ska omfattas av beslut om adekvat skyddsnivÄ, av tillrÀckliga skyddsÄtgÀrder eller vara föremÄl för ett undantag för sÀrskilda situationer. Dessa bestÀmmelser bör sÄledes tillÀmpas Àven vid överföringar av
Vidare finns i 8 kap. 2 § första stycket intaget den huvudregel som anger att personuppgifter som har erhĂ„llits frĂ„n en annan med- lemsstat endast fĂ„r överföras om den medlemsstat som har lĂ€mnat uppgifterna har medgett att de överförs. Ăven denna huvudregel bör gĂ€lla vid överföring av
327
Ăverföring till tredjeland |
SOU 2017:57 |
FörutsÀttningarna för överföring till en annan medlemsstat ska vara uppfyllda
Enligt artikel 11.1 d ska de villkor som faststÀlls i artikel 9.2 vara uppfyllda Àven vid en överföring av
BestÀmmelsen i artikel 11.1 d bör genomföras i lagen genom en hÀnvisning till de paragrafer som genomför artikel 9.2. Det innebÀr att för det fall överföringen avser
Ăverföringen ska vara nödvĂ€ndig för direktivets syften
Av artikel 11.1 b framgÄr att en överföring av
BestÀmmelsen bör föras in i lagen genom en hÀnvisning till ett eller flera av de syften som anges i den portalbestÀmmelsen i lagen som genomför artikel 1.2 i direktivet och som innebÀr att uppgift-
328
SOU 2017:57 |
Ăverföring till tredjeland |
erna endast fÄr behandlas för att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Visser- ligen hade bestÀmmelsen blivit tydligare om dessa syften skrevs ut i bestÀmmelsen. Dessa syften Äterkommer emellertid sÄ pass frekvent i lagen, sedd som helhet, att hÀnvisningar i allmÀnhet bör vÀljas för att lagtexten inte i ska bli onödigt ordrik. Med terroristbrottslighet och grov brottslighet bör i sammanhanget avses motsvarande brotts- lighet i det tredjelandet.
Direktivets krav pÄ att överföringen ska vara nödvÀndig bör ocksÄ föras in i lagen. Enligt vÄr mening bör nödvÀndigheten tolkas pÄ samma sÀtt som i allmÀnt sprÄkbruk, dvs. att det Àr frÄga om nÄgot som behövs. De
Villkor för vidareöverföring frÄn det tredjelandet
Artikel 11.1 c behandlar frÄgan om vidareöverföring frÄn ett tredje- land till ett annat tredjeland av sÄdan
I brottsdatalagen anges endast att en svensk behörig myndighet fÄr stÀlla upp villkor som begrÀnsar möjligheten att anvÀnda de över- förda uppgifterna, om det krÀvs med hÀnsyn till enskilds rÀtt eller frÄn allmÀn synpunkt (8 kap. 10 §). BestÀmmelsen i direktivet bör dÀrför genomföras i vÄr lag. PÄ samma sÀtt som angetts ovan föreslÄr vi att det i bestÀmmelsen ska framgÄ de syften för vilka en över- föring ska vara nödvÀndig. SÄ bör, pÄ samma sÀtt som angetts ovan, ske genom en hÀnvisning till ett eller flera av de syften som anges i lagens portalbestÀmmelse.
Enligt direktivet fÄr en vidareöverföring endast ske om det Àr strikt nödvÀndigt (i den engelska versionen strictly necessary, i den danska strengt nÞdvendigt). I svensk lag brukar begreppet absolut nödvÀn- digt anvÀndas för att markera ett undantagsfall som ska tillÀmpas restriktivt. Vi föreslÄr dÀrför att det i lagen anges att det tredjelandet
329
Ăverföring till tredjeland |
SOU 2017:57 |
ska godta att överföra uppgifterna till ett annat tredjeland endast om det Àr absolut nödvÀndigt för direktivets ÀndamÄl.
Vidare fÄr en vidareöverföring enligt direktivet endast ske efter uttryckligt samtycke av medlemsstaten. I 2013 Ärs lag och i brotts- datalagen anvÀnds ordet medgivande i stÀllet för samtycke. För att bÀttre korrespondera med denna lagstiftning föreslÄr vi att ordet medgivande anvÀnds Àven i vÄr lag. Medgivandet bör lÀmpligen lÀmnas av enheten för passagerarinformation.
Medgivandet ska enligt direktivet vara uttryckligt. Det framgÄr dock inte nÀrmare hur ett sÄdant medgivande ska manifesteras. Man skulle kunna tÀnka sig att ett uttryckligt medgivande sker sÄvÀl munt- ligt som skriftligt och vi ser inga principiella eller praktiska problem med en sÄdan ordning. Vi föreslÄr dÀrför att endast ett krav pÄ ut- trycklighet införs i lagen. Det sÀger sig dock sjÀlvt att oavsett pÄ vilket sÀtt ett samtycke getts, mÄste det dokumenteras pÄ nÄgot sÀtt.
17.3.3Ăverföring utan medgivande
VÄra förslag: Om medgivande till överföring av
I förordning ska regleras att om
Som tidigare har angetts fÄr, enligt 8 kap. 2 § första stycket BDL, personuppgifter som en svensk myndighet har fÄtt frÄn en annan medlemsstat överföras till ett tredjeland endast om den medlems- stat som lÀmnat personuppgifterna i förvÀg har medgett att de överförs till tredjelandet. BestÀmmelsen ska enligt vÄrt förslag
330
SOU 2017:57 |
Ăverföring till tredjeland |
tillÀmpas Àven vid överföring av
För förutsebarhetens skull bör bestÀmmelsen i vÄr lag genom- föras pÄ liknande sÀtt som den angivna bestÀmmelsen i brottsdata- lagen. Ordet medgivande bör dÀrför, som angetts ovan, anvÀndas i stÀllet för samtycke. I brottsdatalagen och i 2013 Ärs lag anvÀnds ocksÄ ordet fara i stÀllet för hot. Med hÀnsyn hÀrtill och eftersom svensk lagstiftning brukar utformas pÄ det sÀttet, föreslÄr vi att ordet fara anvÀnds i stÀllet för hot Àven vid genomförandet av PNR- direktivet. Av samma anledning bör det i de andra lagarna anvÀnda ordet avvÀrja anvÀndas ocksÄ i vÄr lag i stÀllet för begreppet reagera pÄ, som anvÀnds i direktivet. SÄledes bör det i lagen anges att en överföring utan förhandsmedgivande fÄr ske om det Àr absolut nöd- vÀndigt för att avvÀrja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet. Med uttrycket absolut nödvÀndigt markeras att undantaget ska tillÀmpas restriktivt och att det kan bli frÄga om överföring utan förhandssamtycke endast i undantagsfall. TillÀgget att det ska gÀlla brott i en medlemsstat eller tredjeland innebÀr att tillÀmpningsomrÄdet omfattar alla stater och saknar dÀrför egentligt innehÄll. TillÀgget bör sÄledes inte föras in i vÄr lag.
BestÀmmelsen skulle exempelvis kunna anvÀndas om överföringen Àr nödvÀndig för att avvÀrja ett terroristattentat i en medlemsstat eller tredjeland. Eftersom det typiskt sett Àr frÄga om en överhÀng- ande fara för att nÄgot ska hÀnda fÄr prövningen i dessa fall göras utifrÄn att ÄtgÀrden kan antas vara nödvÀndig för att avvÀrja faran. Att faran inte förverkligas behöver inte innebÀra att överföringen har varit otillÄten. Bedömningen mÄste göras med hÀnsyn till vad som Àr kÀnt nÀr prövningen görs.
331
Ăverföring till tredjeland |
SOU 2017:57 |
Enligt andra stycket i artikel 11.2 ska den myndighet som ansvarar för att ge samtycke informeras om överföringen utan dröjsmÄl. En liknande bestÀmmelse finns i dag i 1 § i 2013 Ärs förordning och föreslÄs införas i 7 kap. 1 § BDF. Vi föreslÄr att en liknande bestÀm- melse förs in i den till vÄr lag hörande förordningen. I bestÀmmelsen bör anges att om
Vidare ska enligt artikel 11.2 överföringar utan samtycke regi- streras och genomgĂ„ efterhandskontroll. Att överföringar till tredje- lĂ€nder ska registreras anges Ă€ven i artikel 13.5 c. Vi kommer dĂ€rför att behandla frĂ„gan i samband med vĂ„ra förslag till genomförande av den artikeln (se avsnitt 19.3). Hur en efterhandskontroll ska gĂ„ till eller av vem anges inte i direktivet. Enligt vĂ„r bedömning bör denna kontroll utföras av dataskyddsombudet vid enheten för pas- sagerarinformation(se vidare om dataskyddsombudets uppgifter i avsnitt 19.5). Ăven denna frĂ„ga kan regleras i förordning.
17.3.4SÀkerstÀllande av direktivets bestÀmmelser
VÄra förslag: Det ska vara obligatoriskt för enheten för passage- rarinformation att uppstÀlla villkor om anvÀndningsbegrÀnsning för den som ska ta emot
NÀr enheten för passagerarinformation överför
Enligt artikel 11.3 ska medlemsstaterna överföra
332
SOU 2017:57 |
Ăverföring till tredjeland |
till tredjelÀnder sker i enlighet med direktivets bestÀmmelser och att den överförda informationen Àr planerad att anvÀndas i överens- stÀmmelse med direktivets syften och begrÀnsningar. Vid en över- föring till ett tredjeland fordras sÄledes att enheten för passagerar- information försÀkrar sig om att den planerade anvÀndningen av informationen inte kommer att strida mot lagens grundlÀggande be- stÀmmelser, framför allt att informationen bara anvÀnds för att före- bygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
I brottsdatalagen föreslÄs en bestÀmmelse, 8 kap. 10 §, som anger att en svensk behörig myndighet fÄr stÀlla upp villkor som begrÀnsar mottagarens möjlighet att anvÀnda överförda uppgifter. Det Àr dock inte obligatoriskt för en myndighet att stÀlla villkor. I 9 § 2013 Ärs lag, som bl.a. genomför artikel 12 i dataskyddsrambeslutet, föreskrivs att om en svensk myndighet överför personuppgifter, ska myndig- heten underrÀtta mottagaren om de sÀrskilda villkor som gÀller för anvÀndningen av uppgifterna. Det finns Àven i andra lagar bestÀm- melser som anger att svenska myndigheter under vissa förutsÀttning- ar fÄr stÀlla upp villkor som begrÀnsar möjligheten att anvÀnda upp- gifter som lÀmnas till en annan stat, se t.ex. 3 a § lagen (2000:343) om internationellt polisiÀrt samarbete eller 5 kap. 2 § lagen (2000:562) om internationell rÀttslig hjÀlp i brottmÄl.
Enligt vÄr mening bör det, för ett korrekt genomförande av arti- kel 11.3 i
333
Ăverföring till tredjeland |
SOU 2017:57 |
I 8 kap. 8 § BDL anges en möjlighet att i enskilda fall överföra personuppgifter till andra organ Àn behöriga myndigheter eller inter- nationella organisationer. Som tidigare har angetts fÄr
Ăvriga, inte hĂ€r sĂ€rskilt angivna bestĂ€mmelser om överföring till tredjeland i brottsdatalagen kommer att bli generellt tillĂ€mpliga vid enheten för pasagerarinformations överföring av
Enligt artikel 11.4 i
334
18 Lagringstid och gallring
18.1Inledning
I detta avsnitt behandlar vi
18.2RĂ€ttslig bakgrund
NÀr stora mÀngder personuppgifter samlas hos myndigheter uppstÄr onekligen integritetsrisker, i synnerhet dÄ informationsteknikens ut- veckling inneburit stÀndigt förbÀttrade möjligheter att söka och sammanstÀlla uppgifter. FrÄgor om hur lÀnge personuppgifter ska fÄ behandlas i datoriserade myndighetsregister har dÀrför, alltsedan datoriseringen inleddes, varit en central frÄga i all dataskyddsregler- ing. Efter hand som myndigheter övergÄtt till att behandla i princip all verksamhetsinformation med hjÀlp av elektronisk informations- teknik har frÄgestÀllningarna blivit alltmer komplexa. Mot den data- skyddsrÀttsliga principen stÄr nÀmligen de intressen som bÀr upp offentlighetsprincipen i form av handlingsoffentligheten, dvs. var och ens rÀtt att ta del av allmÀnna handlingar, se 2 kap. 1 § TF. Av be- stÀmmelsen framgÄr att syftet hÀrmed Àr att frÀmja ett fritt menings-
335
Lagringstid och gallring |
SOU 2017:57 |
utbyte och en allsidig upplysning. Myndigheter kan ocksĂ„ frĂ„n verk- samhetssynpunkt ha legitima intressen av att lagra information en lĂ€ngre tid. Ăven för den enskilde registrerade kan ett lĂ„ngsiktigt bevarande av information om honom eller henne vara mycket viktigt i vissa fall.
För att handlingsoffentligheten och andra bevarandeintressen ska kunna fÄ genomslag i praktiken förutsÀtts att allmÀnna hand- lingar bevaras och hÄlls ordnade. I den svenska dataskyddsregler- ingen pÄ myndighetsomrÄdet har dÀrför genomgÄende gjorts avvÀg- ningar mellan dessa ofta motstÄende intressen.
18.2.1GÀllande rÀtt
Begreppet allmÀn handling
Med begreppet allmĂ€nna handlingar förstĂ„s inte bara traditionella handlingar. Ăven upptagningar som kan lĂ€sas, avlyssnas eller pĂ„ annat sĂ€tt uppfattas endast med tekniskt hjĂ€lpmedel, t.ex. datorlagrad information, Ă€r enligt 2 kap. 3 § TF att se som handlingar. Det Ă€r informationsinnehĂ„llet, dvs. de lagrade uppgifterna, som konstitu- erar handlingen (se SOU 2012:90 s. 60 f.). En sĂ„dan upptagning Ă€r en allmĂ€n handling om den förvaras hos myndigheten samt Ă€r in- kommen eller upprĂ€ttad dĂ€r.
I frÄga om upptagningar anses en sÄdan som en förvarad hand- ling hos myndigheten om den Àr tillgÀnglig för den med sÄdana tek- niska hjÀlpmedel som myndigheten sjÀlv utnyttjar för överföring i sÄdan form att den kan lÀsas, avlyssnas eller pÄ annat sÀtt uppfattas (2 kap. 3 § andra stycket TF). En hos myndigheten förvarad hand- ling blir alltsÄ allmÀn om den Àr att betrakta som inkommen till myndigheten. I frÄga om upptagningar gÀller att en sÄdan anses som inkommen till en myndighet i samma ögonblick som den Àr att anse som förvarad hos myndigheten pÄ sÀtt som anges i 2 kap. 3 § andra stycket TF. Detta gÀller under förutsÀttning att det Àr nÄgon utan- för myndigheten, dvs. en annan myndighet eller en enskild som har vidtagit den ÄtgÀrd som gjort handlingen tillgÀnglig för myndig- heten (2 kap. 6 § första stycket andra meningen TF). Vad gÀller en förvarad upptagning som myndigheten sjÀlv framstÀllt i sin verk- samhet blir den att betrakta som allmÀn handling nÀr den enligt en relativt komplicerad reglering i 2 kap. 7 § TF Àr att anse som upp-
336
SOU 2017:57 |
Lagringstid och gallring |
rÀttad hos myndigheten. Huvudregeln Àr att en handling anses upp- rÀttad och dÀrmed allmÀn nÀr den har expedierats, dvs. lÀmnats till annan myndighet eller enskild, eller annars föreligger i slutligt skick.
Arkivlagstiftningen
Handlingsoffentligheten förutsÀtter som ovan nÀmnts att allmÀnna handlingar hÄlls ordnade och bevaras. Myndigheterna har dÀrför grundlÀggande skyldigheter att bevara och vÄrda sina allmÀnna hand- lingar i arkiv. BestÀmmelser om bevarande och gallring av allmÀnna handlingar hos bl.a. de statliga myndigheterna finns i arkivlagen (1990:782). Lagen Àr en ramlag som innehÄller allmÀnna och över- gripande bestÀmmelser om myndigheternas arkiv. Lagen fylls ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna utfÀrdar. Riks- arkivet Àr statlig arkivmyndighet.
Huvudprincipen enligt arkivlagen Ă€r att allmĂ€nna handlingar â konventionella handlingar likvĂ€l som upptagningar â ska bevaras i myndigheternas arkiv. Gallring av allmĂ€nna handlingar fĂ„r dock ske, vilket anges i lagens 10 §. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som Ă„terstĂ„r ska kunna tillgodose rĂ€tten att ta del av allmĂ€nna handlingar, behovet av information för rĂ€ttskipningen och förvaltningen samt forskningens behov. Arkivlagens bestĂ€mmelser om gallring syftar sĂ„ledes primĂ€rt inte till att tillgodose integritetsskyddsintressen.
I 10 § tredje stycket arkivlagen anges att avvikande bestĂ€mmelser om gallring av vissa allmĂ€nna handlingar i annan lag eller förordning har företrĂ€de framför arkivlagens gallringsregler. Avvikande bestĂ€m- melser om bevarande och gallring finns i de flesta registerförfatt- ningar. BestĂ€mmelserna kan syfta till att skydda den personliga inte- griteten hos de som uppgifterna rör. Det kan dock finnas bestĂ€m- melser om gallring, eller som i vart fall i praktiken fĂ„r till följd att gallring sker, som tillkommit av andra skĂ€l Ă€n integritetsskĂ€l. Ăven sĂ„dana bestĂ€mmelser gĂ„r före arkivlagens regler enligt detta stycke.
Med gallring av elektronisk information avses normalt att viss information raderas frÄn databÀraren. Gallring kan dock Àven inne- bÀra en partiell gallring dÀr information tas bort frÄn ett register eller ett Àrendehanteringssystem men kommer att bevaras i annan form,
337
Lagringstid och gallring |
SOU 2017:57 |
t.ex. pÄ pappersutskrifter eller i elektronisk form men med för- sÀmrade sök- eller sammanstÀllningsmöjligheter (se SOU 2015:39 s. 526 f.).
Personuppgiftslagen
I 9 § första stycket PUL framgĂ„r att det Ă€r ett grundlĂ€ggande krav att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en lĂ€ngre tid Ă€n vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„len med behandlingen. Det Ă€r alltsĂ„ Ă€ndamĂ„len för en personuppgiftsbehandling som avgör hur lĂ€nge uppgifterna fĂ„r be- varas. Ospecificerad lagring av personuppgifter som kan vara âbra att haâ Ă€r inte tillĂ„ten. Behövs uppgifterna inte lĂ€ngre för Ă€ndamĂ„len ska de förstöras eller avidentifieras (se SOU 1997:39 s. 356). Dock fĂ„r uppgifterna bevaras Ă€ven dĂ€refter sĂ„ lĂ€nge det behövs för histo- riska, statistiska eller vetenskapliga Ă€ndamĂ„l (9 § tredje stycket).
För myndigheter gÀller enligt 8 § andra stycket PUL sÀrskilda regler om förhÄllandet till arkivbildning. Enligt 8 § andra stycket första meningen hindrar bestÀmmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmÀnna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
BestÀmmelsen i 10 § arkivlagen om att avvikande bestÀmmelser om gallring av vissa allmÀnna handlingar i annan lag eller förordning ska ha företrÀde framför arkivlagens gallringsregler syftar inte pÄ personuppgiftslagens bestÀmmelser om hur lÀnge personuppgifter fÄr bevaras. Arkivlagstiftningen har alltsÄ i frÄga om allmÀnna hand- lingar företrÀde framför personuppgiftslagens bestÀmmelser om lÀngsta bevarandetid. I detta avseende kan alltsÄ sÀgas att intresset av att bevara allmÀnna handlingar har prioriterats framför integritets- skyddsintresset.
Bevarande och gallring i sÀrreglering för brottsbekÀmpande verksamhet
I sÄ gott som all sÀrreglering för de behöriga myndigheterna finns regler om bevarande och gallring av uppgifter. Endast ett mycket begrÀnsat urval nÀmns i det följande.
338
SOU 2017:57 |
Lagringstid och gallring |
I polisdatalagen, som gÀller generellt för brottsbekÀmpande verk- samhet vid Polismyndigheten, SÀkerhetspolisen och Ekobrottsmyn- dighetens polisiÀra verksamhet, finns ett omfattande regelverk om bevarande och gallring. Detta tar sikte pÄ dels uppgifter i sÀrskilda register som regleras i lagen, t.ex. penningtvÀttsregistret eller DNA- registret, dels uppgifter som mer allmÀnt behandlas i den brottsbe- kÀmpande verksamheten, se 2 kap. 12 § PDL med dÀr angivna hÀn- visningar. Huvudprincipen kan sÀgas vara att personuppgifter inte fÄr bevaras under lÀngre tid Àn vad som behövs för det aktuella ÀndamÄlet. DÀrutöver finns bestÀmmelser om hur lÀnge uppgifter fÄr bevaras som lÀngst. Regeringen eller den myndighet som regeringen bestÀmmer kan ocksÄ meddela avvikande föreskrifter om lÀngre tids bevarande för historiska, statistiska eller vetenskapliga ÀndamÄl. I
I den nya tullbrottsdatalagen som trÀder i kraft den 1 juli 2017 finns bestÀmmelser om bevarande och gallring samlade i lagens 4 kap. De pÄminner i stora drag om regleringen i polisdatalagen med gall- ring som huvudregel och bevarande som undantag genom möjlig- het att meddela sÀrskilda föreskrifter.
I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen (inregrÀnslagen) finns bestÀmmelser om lagring och förstöring av vissa uppgifter frÄn transportföretag. DÀr framgÄr att uppgifter frÄn transportföretag som Tullverket tar del av genom terminalÄtkomst inte fÄr Àndras eller pÄ annat sÀtt bearbetas eller lagras. Uppgifter om enskilda personer som lÀmnats pÄ annat sÀtt Àn genom terminalÄtkomst ska förstöras omedelbart om de visar sig sakna betydelse för utredning och lagföring av brott. Motsvarande bestÀmmelser finns i 26 § polislagen (1984:387). Huvudregeln Àr alltsÄ att uppgifterna inte alls ska bevaras utan gallras sÄ fort de visar sig inte behövas för det primÀra ÀndamÄl för vilka de togs fram. I 2 kap.
339
Lagringstid och gallring |
SOU 2017:57 |
bokningsuppgifterna i vissa fall fÄr göras gemensamt tillgÀngliga och dÀrmed omfattas av lagens gallringsbestÀmmelser.
Enligt 9 § lagen (2006:444) om passagerarregister ska en uppgift i passagerarregistret gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyn- digheten, SĂ€kerhetspolisen eller Tullverket ska kunna verkstĂ€lla per- sonkontroller enligt 4 § samma lag, fĂ„r uppgifterna i registret dock stĂ„ kvar till dess att myndighetens kontroller Ă€r slutförda. Vidare fĂ„r regeringen meddela föreskrifter om att uppgifter i registret fĂ„r stĂ„ kvar till dess att nĂ„gon annan myndighet, som behöver uppgifterna för att kunna verkstĂ€lla personkontroller enligt 4 §, har slutfört kon- trollerna. Ăven hĂ€r Ă€r huvudregeln sĂ„ledes att i princip omedelbar gallring ska ske sĂ„ fort uppgifterna inte lĂ€ngre behövs för sitt pri- mĂ€ra syfte.
Slutligen ska nÀmnas att det Àven i lagstiftningen om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst finns regler om bevarande och gallring i lagen (2007:258) och den anslutande förordningen (2007:260).
18.2.2Brottsdatalagen
I 2 kap. 17 § BDL anges att personuppgifter inte fÄr behandlas under lÀngre tid Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen. Detta gÀller dock inte om det finns avvikande bestÀm- melser i lag eller förordning. Inte heller finns hinder mot att en myndighet bevarar allmÀnna handlingar för arkivÀndamÄl.
Utredningen om 2016 Ärs dataskyddsdirektiv har i sitt delbe- tÀnkande uttalat att begreppen bevarande och gallring enbart bör anvÀndas i den betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrÀttsliga regler och regler om skydd för person- uppgifter. Brottsdatalagen och myndigheternas registerförfattningar bör dÀrför i stÀllet utgÄ frÄn hur lÀnge personuppgifter fÄr behandlas för andra ÀndamÄl Àn arkivÀndamÄl (SOU 2017:29 s. 284). Detta kommer att behandlas nÀrmare för registerförfattningarnas del i ut- redningen slutbetÀnkande.
340
SOU 2017:57 |
Lagringstid och gallring |
18.3Inledande radering hos enheten för passagerarinformation
VÄrt förslag: I den nya förordning som ansluter till lagen ska före- skrivas att om lufttrafikföretagen skickat in andra
18.3.1Direktivets bestÀmmelser
18.3.2VÄra övervÀganden och förslag
De
Vi uppfattar direktivets artikel 6.1 som utgörande en i arkiv- rÀttsligt hÀnseende omedelbar gallringsskyldighet, dÀr de uppgifter
341
Lagringstid och gallring |
SOU 2017:57 |
som inte omfattas av bilaga I till direktivet inte alls ska fÄ föras in i databasen vid enheten för passagerarinformation.
BestÀmmelsen bör genomföras i stort sett i enlighet med dess orda- lydelse. Av vÄr bestÀmmelse bör sÄledes framgÄ att de aktuella upp- gifterna ska raderas omedelbart vid mottagandet. Enligt vÄr mening bör dock det i svensk lagstiftning vedertagna begreppet gallring an- vÀndas. För att klargöra att det Àr frÄga om en definitiv och inte endast en partiell gallring av dessa
Enligt vÄr mening kan och bör bestÀmmelsen om gallring genom radering tas in i den till den nya lagen anslutande förordningen.
NÀr det gÀller tillÀmpningen av denna omedelbara gallringsskyl- dighet Àr vi givetvis medvetna om att det dagligen kommer att kom- ma in mycket stora mÀngder
342
SOU 2017:57 |
Lagringstid och gallring |
18.4Lagringstiden hos enheten för passagerarinformation för
VÄrt förslag: I lagen föreskrivs att
18.4.1Direktivets bestÀmmelser
Lagringstiden för
I artikel 12.1 anges sÄledes att medlemsstaterna ska se till att
18.4.2VÄra övervÀganden och förslag
343
Lagringstid och gallring |
SOU 2017:57 |
tiden pÄ fem Är Àr ett Äliggande som medlemsstaterna ska genomföra i linje med sin skyldighet att bedriva sitt lands del i
Vi föreslÄr att det i den nya lagen tas in en bestÀmmelse som anger att sÄdana
I skÀl 30 till direktivet anges att direktivet inte pÄverkar tillÀmp- ningen av nationell rÀtt om principen om allmÀnhetens tillgÄng till officiella handlingar, varmed för svenskt vidkommande avses all- mÀnna handlingar. Vi anser emellertid att det inte bör komma i frÄga att utifrÄn de intressen som bÀr upp handlingsoffentligheten och med Äberopande av vÄr grundlag och skÀl 30 föreslÄ en lÀngre tids lagring Àn den i direktivet stipulerade absoluta tidsgrÀnsen. NÄgot bÀrande insynsintresse i den stora massan
Vi föreslÄr alltsÄ en bestÀmmelse i den nya lagen som anger att
344
SOU 2017:57 |
Lagringstid och gallring |
18.5Radering av
som utgör kÀnsliga personuppgifter
VÄra förslag: Bland lagens inledande bestÀmmelser tas in en be- stÀmmelse som förbjuder behandling av
Det förs i lagen in en bestÀmmelse som anger att enheten för passagerarinformation omedelbart ska gallra
18.5.1Direktivets bestÀmmelser
Enligt artikel 13.4 ska medlemsstaterna förbjuda behandling av
18.5.2AllmÀnt om kÀnsliga personuppgifter
De i artikel 13.4 upprÀknade uppgifterna utgör vad som i dataskydds- sammanhang brukar betecknas som kÀnsliga personuppgifter, se t.ex. 13 § PUL. OcksÄ det nya dataskyddsdirektivet innehÄller en bestÀm- melse om kÀnsliga personuppgifter (artikel 10). Enligt den bestÀm- melsen fÄr sÄdana personuppgifter behandlas endast om det Àr absolut
345
Lagringstid och gallring |
SOU 2017:57 |
nödvÀndigt och om vissa nÀrmare angivna förutsÀttningar i övrigt Àr uppfyllda. BestÀmmelsen Àr genomförd i 2 kap.
UpprÀkningen av vilka personuppgifter som Àr att se som kÀns- liga har tidigare varit densamma i olika instrument pÄ dataskydds- omrÄdet. Det nya dataskyddsdirektivet och dataskyddsförordningen innehÄller emellertid ytterligare tvÄ kategorier av kÀnsliga person- uppgifter; genetiska och biometriska uppgifter, som inte anges i
18.5.3
Ăven andra
346
SOU 2017:57 |
Lagringstid och gallring |
Uppgifter om en persons nationalitet har i lagstiftning som rör be- handling av personuppgifter inte ansetts vara uppgifter som normalt avslöjar ras eller etniskt ursprung (se t.ex. SOU 2015:39 s. 328 f.). En uppgift om att en resenÀr Àr medborgare i ett visst land omfattas alltsÄ inte av förbudet. Skulle emellertid en sÄdan uppgift i det en- skilda fallet t.ex. avslöja etniskt ursprung faller den dock in under förbudet. Uppgifter om att en viss person nÀrmast kommer frÄn en viss vÀrldsdel eller ett visst land faller ocksÄ som regel utanför förbu- det mot behandling av kÀnsliga personuppgifter (se prop. 2009/10:85 s. 325). Dock kan uppgifter om namn och sprÄkkunskaper tillsam- mans utgöra indirekta upplysningar om en persons etniska ursprung (se t.ex. SOU 2003:40 s. 180).
18.5.4VÄra övervÀganden och förslag
Direktivet anger att varje medlemsstat ska förbjuda behandling av
Det bör vidare av lagen framgÄ att för det fall enheten för passa- gerarinformation mottar
Direktivet ger inte nÄgra nÀrmare anvisningar kring hur gall- ringen av de
347
Lagringstid och gallring |
SOU 2017:57 |
lufttrafikföretagen och behandlas av enheterna för passagerarinfor- mation skulle dÀrmed helt tas bort. En sÄdan generell gallring av hela fritextfÀltet kan inte anses vara förenlig med direktivet. Vi kan dÀrför inte förorda en sÄdan lösning.
Det ska vidare poÀngteras att förbudet mot behandling av PNR- uppgifter som utgör kÀnsliga personuppgifter och gallringsskyldig- heten inte enbart omfattar sÄdana
De tekniska lösningar som tas fram för att genomföra PNR- systemet fÄr utformas sÄ att de kan tillgodose kravet pÄ radering av
Eftersom enheten för passagerarinformation inte fÄr behandla
348
SOU 2017:57 |
Lagringstid och gallring |
18.6Enhetens bevarande och gallring av resultatet av en förhandsbedömning
VĂ„ra förslag: Det förs i förordning in bestĂ€mmelser som genom- för artikel 12.5 om hur resultatet av en förhandsbedömning â dvs. trĂ€ffar â ska fĂ„ sparas. En positiv trĂ€ff ska gallras sĂ„ snart resultatet inte lĂ€ngre behövs för att kunna informera behöriga mottagare om resultatet. En âfalskâ trĂ€ff fĂ„r bevaras lĂ€ngst till dess att de bakom- liggande
Vidare införs en bestÀmmelse om att trÀffar med
18.6.1Direktivets bestÀmmelser
Resultatet av en förhandsbedömning av passagerare, dvs. den trÀff som kan uppkomma vid de bedömningar av passagerare som ska göras före deras berÀknade ankomst till eller avresa frÄn Sverige, fÄr endast bevaras av enheten för passagerarinformation sÄ lÀnge som det krÀvs för att informera de behöriga myndigheterna och even- tuellt enheterna för passagerarinformation i andra medlemsstater om trÀffen. Detta framgÄr av första meningen i artikel 12.5.
Om resultatet av en automatisk behandling av
349
Lagringstid och gallring |
SOU 2017:57 |
18.6.2VÄra övervÀganden och förslag
Positiva trÀffar ska inte sparas
BestÀmmelsen i artikel 12.5 första meningen skulle kunna tolkas som att en s.k. positiv match eller trÀff bara fÄr sparas tills den sÀnts vidare till en eller flera behöriga myndigheter. Vi menar emellertid att direktivet rimligen mÄste förstÄs sÄ att enheten ska fÄ behÄlla re- sultatet en viss tid Àven efter att ha skickat en trÀff till en av de be- höriga myndigheterna för vidare granskning. Det finns nÀmligen behov av viss tid för Äterrapportering frÄn den behöriga myndig- heten. Den behöriga myndigheten kan exempelvis Äterrapportera att nÄgon ytterligare behörig myndighet eller nÄgot annat lands enhet för passagerarinformation ocksÄ bör informeras om trÀffen.
Direktivets bestÀmmelse angÄende sparande av trÀffar bör genom- föras sÄ att dessa förutsÀttningar för hur lÀnge resultaten av en för- handsbedömning av
âFalskaâ trĂ€ffar fĂ„r sparas
En falsk trÀff, dvs. resultatet av en förhandsbedömning som efter den individuella granskning som skett pÄ enheten enligt artikel 6.5 inte bedöms behöva granskas nÀrmare och dÀrför inte har översÀnts till en behörig myndighet, fÄr alltsÄ sparas i upp till fem Är enligt artikel 12.5 andra meningen. Syftet Àr att undvika upprepning av samma felaktiga trÀff mot urvalskriterierna. Sparade uppgifter om falska trÀffar kan nÀmligen medföra att oskyldiga personer inte blir kontrollerade pÄ nytt vid en ny resa. De falska trÀffarna kan Àven anvÀndas för att förbÀttra urvalskriterierna. Enligt vÄr tolkning av bestÀmmelsen mÄste en falsk trÀff kunna konstateras Àven efter ett översÀndande av trÀffen till en behörig myndighet, nÀmligen om
350
SOU 2017:57 |
Lagringstid och gallring |
den myndigheten Äterrapporterar att den vidare granskningen visat att trÀffen var falsk, dvs. att det fanns inte fog för nÄgra misstankar.
En reglering i enlighet med det hÀr sagda bör införas genom en bestÀmmelse som innebÀr ett undantag frÄn huvudregeln om beva- rande av positiva trÀffar. Av bestÀmmelsen bör framgÄ att om sÄdana trÀffar som fÄtts fram vid en förhandsbedömning av
TrÀffar som har mottagits frÄn andra medlemsstater
Enligt vÄr mening bör det föras in en bestÀmmelse som anger hur lÀnge
351
Lagringstid och gallring |
SOU 2017:57 |
Som har angetts ovan ska vÄr enhet för passagerarinformation vidaresÀnda den
352
SOU 2017:57 |
Lagringstid och gallring |
18.7Enhetens bevarande och gallring av resultat av behandling av
VÄra förslag: Resultatet av en sÄdan behandling av
Resultat som andra medlemsstaters enheter för passagerar- information tar fram för att besvara en svensk förfrÄgan och sÀnder över till den svenska enheten, ska gallras sÄ snart det inte lÀngre behövs för att kunna informera behöriga myndigheter och eventuellt Äterrapportera till den andra medlemsstaten.
Framtagen
Det finns inga bestÀmmelser i direktivet som reglerar vad som ska gÀlla för sÄdana resultat som fÄs fram nÀr enheten behandlar och bearbetar
Enligt vÄr bedömning kommer det inte att finnas nÄgon anled- ning för enheten att ha tillgÄng till dessa resultat lÀngre tid Àn vad det krÀvs för att kunna informera de behöriga mottagarna. Vi före- slÄr dÀrför att det i förordning tas in en bestÀmmelse som anger att resultatet av en sÄdan behandling av
Resultat som mottagits frÄn andra medlemsstaters enheter
Enheten för passagerarinformation kommer ocksÄ att motta resul- tat av sÄdan behandling av
353
Lagringstid och gallring |
SOU 2017:57 |
ring av sĂ„dana uppgifter. VĂ„r bedömning Ă€r dock i denna frĂ„ga den- samma som ovan, nĂ€mligen att det inte finns nĂ„got behov av att spara denna information vid den nationella enheten för passage- rarinformation. Resultat som mottagits frĂ„n andra medlemsstaters enheter efter en svensk begĂ€ran bör dĂ€rför gallras sĂ„ snart den har överförts till relevanta behöriga myndigheter och en eventuell Ă„ter- rapportering har skett till den andra medlemsstaten. Ăven denna frĂ„ga bör kunna regleras i förordning.
18.8Bevarande och gallring av
VÄrt förslag:
VÄr bedömning: Behöriga myndigheters bevarande och gallring av
18.8.1Direktivets bestÀmmelser
BestÀmmelserna i direktivet om lagring, bevarande och radering be- handlar endast hur PNR information ska och fÄr hanteras vid enheten för passagerarinformation. I artikel 12.4 andra meningen anges dock att skyldigheten i första meningen att slutgiltigt radera
354
SOU 2017:57 |
Lagringstid och gallring |
18.8.2VÄra övervÀganden och förslag
NÀr behöriga myndigheter mottar
Undantaget avser sÄdan
355
19Personuppgiftsansvarigas skyldigheter
19.1Personuppgiftsansvar
19.1.1Direktivets bestÀmmelser
Vidare anges i artikel 13.3 att direktivet inte pÄverkar tillÀmplig- heten av det nuvarande dataskyddsdirektivet1 pÄ lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda personuppgifters sÀkerhet och konfidentialitet.
1 Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter.
357
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
19.1.2Nya dataskyddsdirektivet och brottsdatalagen
En definition av begreppet personuppgiftsansvarig finns intagen i artikel 3.8 i det nya dataskyddsdirektivet. Enligt definitionen avses med personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen och medlen för be- handlingen av personuppgifter. Om ÀndamÄlen och medlen för be- handlingen bestÀms av unionsrÀtten eller medlemsstaternas nationella rÀtt kan den personuppgiftsansvarige eller de sÀrskilda kriterierna för hur denne ska utses föreskrivas i unionsrÀtten eller medlemsstater- nas nationella rÀtt.⚠Av definitionen framgÄr att endast myndigheter kan vara personuppgiftsansvariga inom direktivets omrÄde. Enligt skÀl 50 i direktivet bör vidare de personuppgiftsansvariga ÄlÀggas ansvaret för all behandling av personuppgifter som de utför eller som utförs pÄ deras vÀgnar.
Utredningen om 2016 Ärs dataskyddsdirektiv föreslÄr att en personuppgiftsansvarig definieras som den behöriga myndighet som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter (1 kap. 6 § BDL). Enligt 3 kap. 1 § BDL ska den personuppgiftsansvarige vara ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller pÄ dennes vÀgnar. Enligt utredningens allmÀnna övervÀganden ger brottsdatalagens definition vÀgledning som pÄ ett tillrÀckligt tydligt sÀtt gör att det gÄr att faststÀlla vem som Àr personuppgiftsansvarig i verksamheter dÀr endast brottsdatalagen kommer att gÀlla. Vidare pekas pÄ att myndigheternas registerförfattningar föreskriver vem som Àr personuppgiftsansvarig samt att utredningen kommer att i sitt slutbetÀnkande behandla hur personuppgiftsansvaret ska regleras i dessa författningar (SOU 2017:29 s. 298).
19.1.3VÄra övervÀganden och förslag
VÄrt förslag och vÄr bedömning: I lagen tas in en bestÀmmelse om att Polismyndigheten Àr personuppgiftsansvarig för den be- handling av personuppgifter som utförs vid enheten för passagerar- information. Ytterligare bestÀmmelser om personuppgiftsansvar behöver inte föras in i lagen.
358
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
Personuppgiftsansvaret för behandling av personuppgifter vid enheten för passagerarinformation
Enheterna för passagerarinformation fÄr enligt direktivet inrÀttas sÄsom nya, egna, myndigheter eller etableras inom en redan befintlig myndighet. Eftersom valet av organisationsform Àr upp till varje med- lemsstat, Àr det förstÄeligt att direktivet ÄlÀgger enheterna för passa- gerarinformation de skyldigheter som direktivet krÀver. Den svenska enheten för passagerarinformation kommer dock att inrÀttas inom Polismyndigheten och ingÄ som en organisatorisk enhet i den myn- digheten. Inom svensk förvaltning Àr det normalt sÄ att det yttersta ansvaret för verksamheten lÀggs pÄ myndighetsnivÄ. Det Àr sÄledes myndigheten i stort som ansvarar för personuppgiftsbehandlingen.
Eftersom enheten för passagerarinformation kommer att placeras inom Polismyndigheten Àr det alltsÄ den enda rimliga ordningen enligt vÄr mening att det Àr Polismyndigheten som ska vara person- uppgiftsansvarig för den behandling av personuppgifter som enheten utför enligt den lag som vi föreslÄr. FrÄgan Àr om detta behöver regleras sÀrskilt.
För Polismyndighetens personuppgiftsbehandling i den brotts- bekÀmpande verksamheten kommer brottsdatalagen att bli tillÀmp- lig. I brottsdatalagen pekas inte sÀrskilt ut vilken myndighet som Àr personuppgiftsansvarig för vad. SÄvitt vi i skrivande stund kan för- moda kommer den befintliga regleringen av personuppgiftsansvaret att i huvudsak behÄllas i de sÀrskilda registerförfattningarna för behöriga myndigheter pÄ omrÄdet, dÀribland polisdatalagen, Àven sedan de anpassats till brottsdatalagen. Polisdatalagen kommer att gÀlla Àven för arbetet vid enheten för passagerarinformation, för det fall inte annat anges i vÄr lag. Det torde dÀrför inte vara helt nöd- vÀndigt att Àven i vÄr lag ange att det Àr Polismyndigheten som har personuppgiftsansvaret. Eftersom frÄgan förtjÀnar tydlighet föreslÄr dock vi att det i lagen förs in en bestÀmmelse om Polismyndighetens personuppgiftsansvar. Behovet av tydlighet sammanhÀnger bl.a. med att det annars kan uppstÄ missförstÄnd pÄ grund av de bestÀmmelser som anger vad enheten för passagerarinformation ska eller fÄr göra. BestÀmmelsen Àr sÄledes av upplysande karaktÀr och förtydligar att det Àr Polismyndigheten som ska ansvara för att
359
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Personuppgiftsansvaret för behandling hos behöriga myndigheter
Sedan
Personuppgiftsansvaret för behandling hos lufttrafikföretagen
Lufttrafikföretagen ÄlÀggs en författningsreglerad skyldighet att över- föra
2 Europaparlamentets och rÄdets förordning (EG) nr 80/2009 av den 14 januari 2009 om en uppförandekod för datoriserade bokningssystem och upphÀvande av rÄdets förordning (EEG) nr 2299/89.
360
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
uppgiftsansvaret menar vi. Lufttrafikföretagens personuppgiftsan- svar enligt dataskyddsförordningen för
Ansvaret för att överföringen till enheten för passagerarinforma- tion sker pÄ ett sÀkert sÀtt ligger sÄledes hos lufttrafikföretagen. De har dock givetvis inget ansvar för den fortsatta hantering som sker vid enheten eller behöriga myndigheter m.fl. frÄn och med enhetens mottagande av uppgifterna.
19.2Generella datasÀkerhetsbestÀmmelser
19.2.1Direktivets bestÀmmelser
Direktivet innehÄller ett flertal bestÀmmelser som syftar till att sÀker- stÀlla en hög nivÄ av datasÀkerhet vid behandlingen av PNR- uppgifter. I artikel 13.7 anges att medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lÀmpliga tekniska och organisatoriska ÄtgÀrder och förfaranden för att sÀkerstÀlla en sÄ hög sÀkerhetsnivÄ som Àr lÀmplig med tanke pÄ de risker som Àr för- knippade med behandlingen och arten av
Som redan tidigare nÀmnts anges vidare i artikel 13.3 att direk- tivet inte pÄverkar tillÀmpligheten av det nuvarande dataskydds- direktivet pÄ lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lÀmpliga tekniska och organi- satoriska ÄtgÀrder för att skydda personuppgifters sÀkerhet och
361
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
konfidentialitet. I artikel 16.1 anges vidare att all överföring av PNR- uppgifter frÄn lufttrafikföretag till enheter för passagerarinforma- tion ska göras med elektroniska medel som tillhandahÄller tillrÀck- liga garantier med avseende pÄ de tekniska sÀkerhetsÄtgÀrder och de organisatoriska ÄtgÀrder som styr den behandling som ska utföras. I hÀndelse av tekniska problem fÄr
19.2.2Dataskyddsrambeslutet och dess genomförande i svensk rÀtt
Artikel 22 i dataskyddsrambeslutet föreskriver krav pÄ sÀkerhet i samband med behandlingen av personuppgifter. Enligt bestÀmmelsen ska medlemsstaterna se till att behöriga myndigheter vidtar lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda personuppgifter frÄn att avsiktligt eller oavsiktligt utplÄnas eller gÄ förlorade samt frÄn Àndringar, otillÄten spridning och otillÄten tillgÄng till uppgifterna. I punkten 2 stÀlls mera konkreta krav pÄ olika typer av ÄtgÀrder som dels ska förhindra att uppgifterna hamnar i orÀtta hÀnder, dels till- försÀkra att det gÄr att i efterhand kontrollera vem som har lagt in uppgifter och att de system som anvÀnds fungerar tillfredsstÀllande.
I artikel 21 i rambeslutet föreskrivs att personuppgifter endast fÄr behandlas av anstÀllda vid den behöriga myndigheten eller efter instruktioner frÄn denna, om det inte föreligger rÀttsliga skyldigheter till annan behandling. Vidare ska den som anlitas för att arbeta för en behörig myndighet vara bunden av alla de bestÀmmelser om skydd av uppgifter som gÀller för respektive myndighet.
De aktuella bestÀmmelserna föranledde inte nÄgra Àndringar i lag eller förordning i samband med genomförandet av rambeslutet, efter- som gÀllande rÀtt för den brottsbekÀmpande sektorn redan ansÄgs tillgodose kraven enligt rambeslutet (se prop. 2008/09:16 s. 52 f.). Bland annat hÀnvisades till de allmÀnna bestÀmmelserna i
362
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
bestÀmmelser om informationssÀkerhet Àven finns i andra författ- ningar, t.ex. i arkivlagen (1990:782). Vad gÀller artikel 21 ansÄgs dÀr- utöver 14 § i lagen (1994:260) om offentlig anstÀllning ha betydelse för att uppfylla rambeslutets krav sÄvitt gÀller allmÀn verksamhet.
19.2.3Brottsdatalagen
Som tidigare har angetts upphÀvs dataskyddsrambeslutet i samband med genomförandet av det nya dataskyddsdirektivet. Av PNR- direktivets skÀl 27 framgÄr att hÀnvisningar till dataskyddsrambeslu- tet bör ses som hÀnvisningar till sÄvÀl nuvarande lagstiftning som de framtida bestÀmmelser som kommer att ersÀtta denna. Eftersom det nya dataskyddsdirektivet ska genomföras i nationell rÀtt ungefÀrligen samtidigt som
Som tidigare framgÄtt föreslÄs det nya dataskyddsdirektivet genomföras i svensk rÀtt genom brottsdatalagen och den tillhörande förordningen. SÄ gÀller Àven för det nya dataskyddsdirektivets be- stÀmmelser om tekniska och organisatoriska ÄtgÀrder. Enligt 3 kap. 2 § BDL ska den personuppgiftsansvarige, genom lÀmpliga tekniska och organisatoriska ÄtgÀrder, sÀkerstÀlla och kunna visa att behand- lingen av personuppgifter Àr författningsenlig och att registrerades rÀttigheter skyddas. I 3 kap. 3 § anges att den personuppgiftsansva- rige ska, genom lÀmpliga tekniska och organisatoriska ÄtgÀrder, se till att dataskyddsprinciper sÀkerstÀlls pÄ ett effektivt sÀtt och att nödvÀndiga skyddsÄtgÀrder integreras i behandlingen (inbyggt data- skydd). Det gÀller bÄde vid beslut om hur behandlingen ska utföras och vid behandlingen.
Enligt 3 kap. 4 § ska den personuppgiftsansvarige se till att det i automatiserade behandlingssystem som regel endast Àr möjligt att behandla de personuppgifter som Àr nödvÀndiga för varje sÀrskilt angivet ÀndamÄl med behandlingen (dataskydd som standard).
I 3 kap. 6 § anges att den personuppgiftsansvarige ska se till att tillgÄngen till personuppgifter begrÀnsas till vad varje tjÀnsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Kan en typ av ny behandling eller betydande förÀndringar av- seende redan pÄgÄende behandling antas medföra sÀrskild risk för intrÄng i den registrerades personliga integritet, ska den person-
363
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
uppgiftsansvarige, enligt 3 kap. 7 §, innan behandlingen pÄbörjas eller förÀndringen genomförs bedöma konsekvenserna för skyddet av personuppgifter. I sÄdana fall ska den personuppgiftsansvarige sam- rÄda med tillsynsmyndigheten i god tid innan behandlingen pÄbörjas eller betydande förÀndringar genomförs.
Enligt 3 kap. 8 § ska den personuppgiftsansvarige vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personupp- gifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling och mot förlust, förstöring eller annan oavsiktlig skada. I 3 kap. 8 § BDF anges vidare vad som ska beaktas vid utformningen av sÀker- hetsÄtgÀrder för att en lÀmplig sÀkerhetsnivÄ ska uppnÄs.
För en nÀrmare beskrivning av de föreslagna bestÀmmelserna hÀnvisas till SOU 2017:29.
19.2.4VÄra övervÀganden och förslag
VÄrt förslag och vÄr bedömning: Det ska i lagen föras in en be- stÀmmelse som genomför artikel 6.8 i direktivet. Enligt bestÀm- melsen fÄr enheten för passagerarinformations lagring och annan behandling av
Som framgÄtt innehÄller brottsdatalagen ett flertal bestÀmmelser som innebÀr att lÀmpliga tekniska och organisatoriska ÄtgÀrder ska vidtas för att sÀkerstÀlla en hög sÀkerhetsnivÄ till skydd av person- uppgifter. De ovan angivna bestÀmmelserna innehÄller Àven krav pÄ sÄdan konfidentiell behandling och datasÀkerhet som avses i data- skyddsrambeslutet. Brottsdatalagen kommer att gÀlla sÄvÀl för den personuppgiftsbehandling som sker vid enheten för passagerar- information som vid de flesta behöriga myndigheter som senare kommer att ta del av
BestÀmmelserna i brottsdatalagen Àr generellt formulerade och kommer dÀrmed att bli direkt tillÀmpliga för den personuppgifts- behandling som avses i
364
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
registerförfattningarna för de behöriga myndigheter som inte kom- mer att tillÀmpa brottsdatalagen kommer att innehÄlla motsvarande bestÀmmelser. SÀrskilda bestÀmmelser i dessa frÄgor behöver, med ett undantag, sÄledes inte föras in i vÄrt lagförslag.
Undantaget avser kravet i artikel 6.8 om att enhetens lagring, behandling och analys av
Vad gÀller lufttrafikföretagen kommer dessas behandling av insamlade
19.3Bevarande av dokumentation och loggning
19.3.1Direktivets bestÀmmelser
Av direktivets skÀl 37 framgÄr att all behandling av
365
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
anges att enheten för passagerarinformation ska bevara dokumen- tation om alla system och förfaranden för uppgiftsbehandling inom dess ansvarsomrÄde. Dokumentationen ska minst innehÄlla
a)namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anför- trotts behandlingen av
b)begÀran frÄn behöriga myndigheter och enheter för passagerar- information i andra medlemsstater,
c)begÀran om och överföring av
I bestÀmmelsen anges vidare att enheten för passagerarinformation pÄ begÀran ska göra all dokumentation tillgÀnglig för den nationella tillsynsmyndigheten.
Loggning Àr en sÀkerhetsÄtgÀrd som innebÀr att behandlings- historik sparas under en viss tid. Det Àr en teknisk funktion i syste- met som fungerar automatiskt och som inte gÄr att Àndra eller pÄverka pÄ annat sÀtt. Loggning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information bÄde om hur behand- lingssystemen anvÀnds och om externa och interna angrepp mot systemen. Loggning Àr sÄledes mycket viktig för det interna sÀker- hetsarbetet. Den ger ocksÄ tillsynsmyndigheten nödvÀndig infor- mation för granskningen i efterhand av hur personuppgifter har behandlats.
Av artikel 13.6 framgÄr att medlemsstaterna ska se till att enheten för passagerarinformation för loggar över behandling av
366
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
19.3.2Nuvarande reglering
Personuppgiftsansvariga har enligt det nu gÀllande dataskyddsdirek- tivet ingen skyldighet att föra register över de behandlingar som de ansvarar för. I stÀllet Àr de skyldiga att anmÀla behandling av per- sonuppgifter som Àr helt eller delvis automatiserad till tillsyns- myndigheten, som ska föra ett sÄdant register över de behandlingar som har anmÀlts till myndigheten. NÄgon anmÀlan till tillsynsmyn- digheten behöver emellertid inte göras om den personuppgifts- ansvarige utser ett personuppgiftsombud, som bl.a. ska ha till uppgift att föra register över de behandlingar som utförs av den personupp- giftsansvarige. Artiklarna har genomförts dels i 36, 37 och 39 §§ PUL, dels i personuppgiftsförordningen. Enligt 3 § 3 PUF gÀller undantag frÄn anmÀlningsskyldigheten bl.a. för behandling av personuppgifter som regleras genom sÀrskilda föreskrifter i lag eller förordning. Myndigheternas registerförfattningar Àr sÄdana sÀrskilda föreskrifter. Myndigheterna i rÀttskedjan Àr dÀrmed inte anmÀlningsskyldiga och Datainspektionen för sÄledes inget register över dessa behandlingar. I t.ex. polisdatalagen anges dock att ett personuppgiftsombud ska utses och, genom hÀnvisning till 39 § PUL, att ombudet ska föra en förteckning över de behandlingar som utförs.
Som tidigare nÀmnts stÀlls krav pÄ sÀkerhetsÄtgÀrder i 31 § PUL. De anses Àven omfatta loggning och liknande ÄtgÀrder. Av Datain- spektionens allmÀnna rÄd om sÀkerhet för personuppgifter framgÄr att det, beroende pÄ kÀnsligheten hos personuppgifterna, bör finnas en behandlingshistorik (logg) som sparas viss tid sÄ att Ätkomsten till uppgifterna kan kontrolleras. Enligt Datainspektionen bör en behandlingshistorik normalt vara sÄ detaljerad att den kan anvÀndas för att utreda felaktig eller obehörig anvÀndning av personuppgif- ter. Historiken bör, beroende pÄ hur kÀnsliga personuppgifterna Àr, ange t.ex. lÀsning, Àndring, utplÄning eller kopiering av personupp- gifter (SÀkerhet för personuppgifter, Datainspektionens allmÀnna rÄd, november 2008, s. 22). BestÀmmelser om loggning kan Àven finnas i myndighetsföreskrifter.
367
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
19.3.3Brottsdatalagen
Det nya dataskyddsdirektivet innehÄller skyldigheter för person- uppgiftsansvariga att föra sÄvÀl register över viss personuppgiftsbe- handling som loggar. Skyldigheten för de personuppgiftsansvariga att föra ett register över behandlingar föreslÄs av Utredningen om 2016 Ärs dataskyddsdirektiv genomföras i brottsdataförordningen. I 3 kap. 3 § BDF anges att den personuppgiftsansvarige ska för- teckna kategorier av behandlingar av personuppgifter som denne ansvarar för. Registret ska, förutom namnet pÄ och kontaktupp- gifter till den personuppgiftsansvarige, gemensamt personuppgifts- ansvariga och dataskyddsombud, för varje kategori av behandling innehÄlla följande uppgifter.
1.Den rÀttsliga grunden för behandlingen.
2.ĂndamĂ„len med behandlingen.
3.Kategorier av tjÀnstemÀn som har tillgÄng till de personuppgif- ter som behandlas.
4.Kategorier av mottagare till vilka uppgifterna kan komma att lÀmnas ut, Àven i tredjeland eller internationella organisationer.
5.Kategorier av registrerade som berörs av behandlingen.
6.Kategorier av personuppgifter som kan komma att behandlas.
7.Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.
8.AnvÀndning av profilering.
9.Om det Àr möjligt, tidsfrister för hur lÀnge kategorierna av per- sonuppgifter fÄr behandlas.
10.Om det Àr möjligt, en allmÀn beskrivning av vilka sÀkerhets- ÄtgÀrder som har vidtagits.
En bestÀmmelse om loggning föreslÄs i 3 kap. 5 § BDL. Enligt be- stÀmmelsen ska den personuppgiftsansvarige sÀkerstÀlla att det i automatiserade behandlingssystem förs loggar över personuppgifts- behandling i den utstrÀckning det Àr sÀrskilt föreskrivet. I 3 kap. 4 § BDF anges nÀrmare vilka behandlingar som avses. Enligt bestÀm- melsen ska, i automatiserade behandlingssystem, behandlingar som
368
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
innebÀr insamling, Àndring, lÀsning, utlÀmning, överföring till tredje- land eller internationella organisationer, sammanföring och radering av personuppgifter loggas. Loggarna över lÀsning och utlÀmning ska visa datum och tidpunkt för behandlingen och, sÄ lÄngt möjligt, vem som har lÀst eller lÀmnat ut personuppgifterna och vem som har fÄtt ta del av personuppgifterna.
I det nya dataskyddsdirektivet anges att loggarna över lÀsning och utlÀmning Àven ska göra det möjligt att faststÀlla motiveringen för behandlingen (i den engelska versionen justification, i den danska fastlÀgga begrundelsen). Enligt Utredningen om 2016 Ärs dataskydds- direktiv kan inte skÀlen till att nÄgon i ett visst fall tar del av eller lÀmnar ut en viss personuppgift faststÀllas automatiskt genom logg- ning. NÄgon sÄdan skyldighet att logga motiveringen till varför personuppgifter behandlas har dÀrför inte förts in i förordningen (se SOU 2017:29 s. 308 f.).
BestÀmmelserna om loggning i 3 kap. 5 § BDL och 3 kap. 4 § BDF föreslÄs inte behöva tillÀmpas pÄ automatiserade behandlings- system som inrÀttats före den 6 maj 2018 förrÀn den 1 maj 2023.
Tillsynsmyndigheten ska pÄ begÀran fÄ upplysningar om och dokumentation av behandling av personuppgifter och sÀkerhets- och skyddsÄtgÀrder frÄn den personuppgiftsansvarige (5 kap. 5 § BDL).
19.3.4VÄra övervÀganden och förslag
VÄrt förslag: Skyldigheten för Polismyndigheten att bevara viss dokumentation och att föra logg över vissa typer av behand- lingar vid enheten för passagerarinformation ska regleras i för- ordning.
Enligt brottsdatalagen ska den personuppgiftsansvarige, i vÄrt fall Polismyndigheten, föra ett register över alla kategorier av verksam- heter som den ansvarar för. Den information som ska bevaras i detta register Àr i mÄnga fall begrÀnsat till kategorier av uppgifter. Enligt
369
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Enligt
BestÀmmelsen bör ocksÄ ange att namn och kontaktuppgifter till enheten och dess personal samt personalens olika nivÄer av Ät- komstbehörighet ska dokumenteras. Vidare bör det av bestÀmmel- sen framgÄ att varje begÀran frÄn en behörig myndighet, eller en enhet för passagerarinformation i en annan medlemsstat, samt varje begÀran om och överföring av
Det anges inte i
Utredningen om 2016 Ärs dataskyddsdirektiv föreslÄr generella bestÀmmelser om loggning av sÄdana personuppgifter som behand- las i automatiserade behandlingssystem. Behandlingen av
370
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
gifter inom enheten för passagerarinformation kommer av naturliga skÀl att ske med hjÀlp av sÄdana automatiserade behandlingssystem. Den loggning som ska ske enligt de bÄda direktiven har dÀrtill samma syften. Vidare omfattar upprÀkningen av de uppgifter som ska loggas enligt brottsdataförordningen, förutom i ett fall, de uppgifter som ska loggas enligt
Enligt
Uppgifterna i
371
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
om anledningen till behandlingen, Àr den mest rimliga. Enligt vÄr bedömning behöver sÄledes inte
Vi föreslÄr sÄledes en bestÀmmelse som anger att Polismyndig- heten ska se till att det utförs sÄdan loggning som anges i 3 kap. 4 § BDF över enheten för passagerarinformations personuppgifts- behandling. Av bestÀmmelsen ska vidare framgÄ att loggarna ska bevaras i fem Är.
BestÀmmelserna om dokumentation och loggning kan, liksom de nÀrmare bestÀmmelser som genomför motsvarande artiklar i det nya dataskyddsdirektivet, föras in pÄ förordningsnivÄ.
Att dokumentationen och loggarna pÄ begÀran ska göras till- gÀngliga för tillsynsmyndigheten framgÄr av brottsdatalagen och behöver inte regleras sÀrskilt i vÄr lag.
19.4Personuppgiftsincident
19.4.1Direktivets bestÀmmelser
372
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
hÀndelsen uppkommit eller vem som Ästadkommit den utan effek- ten av den. (Jfr SOU 2017:29 s. 329.)
I artikel 13.8 i
19.4.2Nuvarande reglering
Det finns inga regler om personuppgiftsincidenter i personupp- giftslagen eller myndigheternas registerförfattningar. Incidenter behandlas inte heller i Datainspektionens allmÀnna rÄd om sÀker- het. DÀremot ska incidenter i
Rapporteringsskyldigheten omfattar inte
19.4.3Brottsdatalagen
Personuppgiftsincident definieras i 1 kap. 6 § BDL som en sÀker- hetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller Àndring eller obehörigt röjande av eller obehörig Ätkomst till personuppgifter.
373
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
Enligt 3 kap. 9 § ska den personuppgiftsansvarige anmÀla en per- sonuppgiftsincident till tillsynsmyndigheten senast 72 timmar efter det att denne fÄtt kÀnnedom om incidenten. Det gÀller dock inte om incidenten rör nationell sÀkerhet. AnmÀlan behöver inte heller göras om det kan antas att personuppgiftsincidenten inte har medfört eller kommer att medföra risk för otillbörligt intrÄng i den registrerades personliga integritet. Utredningen om 2016 Ärs data- skyddsdirektiv anger att nÄgon anmÀlan t.ex. inte behöver göras om incidenten pÄverkat fÄ personuppgifter som inte Àr av kÀnslig art eller om skyddet för personuppgifterna pÄverkats under en sÄ kort tid att obehörig Ätkomst inte varit möjlig (se SOU 2017:29. 331).
Det föreslagna undantaget frÄn anmÀlningsplikten för det fall personuppgiftsincidenten rör nationell sÀkerhet har sin grund i att
Information till enskilda registrerade regleras i 3 kap. 10 § BDL. Om en personuppgiftsincident som ska anmÀlas enligt 9 § har med- fört eller kan antas medföra sÀrskild risk för otillbörligt intrÄng i den registrerades personliga integritet ska den personuppgiftsan- svarige utan onödigt dröjsmÄl underrÀtta den registrerade om in- cidenten. Enligt andra stycket gÀller underrÀttelseskyldigheten inte om den personuppgiftsansvarige
374
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
1.har tillÀmpat lÀmpliga tekniska och organisatoriska skyddsÄtgÀrder pÄ de personuppgifter som pÄverkades av incidenten,
2.har sÀkerstÀllt att det inte lÀngre finns sÀrskild risk för otillbörligt intrÄng i den personliga integriteten, eller
3.skulle behöva göra oproportionerliga anstrÀngningar för att under- rÀtta alla berörda.
I det senare fallet ska allmÀnheten, enligt tredje stycket, informeras eller en liknande ÄtgÀrd vidtas genom vilken de registrerade fÄr nödvÀndig information.
I 3 kap. 11 § anges att den personuppgiftsansvarige fÄr underlÄta att lÀmna information enligt 10 § i den utstrÀckning det Àr sÀrskilt föreskrivet i lag eller annan författning eller annars framgÄr av be- slut som har meddelats med stöd av författning att personuppgifter inte fÄr lÀmnas ut av hÀnsyn till intresset av att
1.förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller lagföra brott, verkstÀlla straffrÀttsliga pÄföljder eller upp- rÀtthÄlla allmÀn ordning och sÀkerhet,
2.andra rÀttsliga utredningar eller undersökningar inte hindras,
3.nationell sÀkerhet skyddas, eller
4.annans fri- och rÀttigheter skyddas.
3 kap. 11 § innebÀr att bestÀmmelser om sekretess och tystnads- plikt har företrÀde framför regeln om rÀtt till information vid per- sonuppgiftsincidenter.
19.4.4VÄra övervÀganden
VÄr bedömning: BestÀmmelserna om personuppgiftsincidenter i brottsdatalagen bör i sin helhet tillÀmpas vid enheten för passa- gerarinformation. Personuppgiftsincidenter behöver dÀrför inte regleras sÀrskilt i den av oss föreslagna lagen.
375
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
I 3 kap. 9 § BDL anges visserligen att den personuppgiftsansva- rige inte ska anmÀla personuppgiftsincidenter som rör nationell sÀkerhet till tillsynsmyndigheten. Ett sÄdant undantag finns inte angivet i
376
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
19.5Dataskyddsombud
19.5.1Direktivets bestÀmmelser
Enheten för passagerarinformation ska, enligt artikel 5.1 i PNR- direktivet, utse ett dataskyddsombud. NÄgon definition av begrep- pet dataskyddsombud finns inte i direktivet. Termen anvÀnds dock Àven i dataskyddsförordningen och i det nya dataskyddsdirektivet. Dagens motsvarighet till dataskyddsombud Àr det som i person- uppgiftslagen kallas för personuppgiftsombud. Ett personuppgifts- ombud definieras i 3 § PUL som den fysiska person som, efter förordnande av den personuppgiftsansvarige, sjÀlvstÀndigt ska se till att personuppgifter behandlas pÄ ett korrekt och lagligt sÀtt.
Enligt artikel 5.1 i
Ăven i andra artiklar i direktivet finns bestĂ€mmelser som rör dataskyddsombudet. I artikel 6.7 anges att medlemsstaterna ska se till att dataskyddsombudet har Ă„tkomst till alla uppgifter som en- heten för passagerarinformation behandlar. Om dataskyddsombu- det anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hĂ€nskjuta Ă€rendet till den nationella till- synsmyndigheten.
Enligt artikel 11.4 ska dataskyddsombudet informeras varje gÄng en medlemsstat överför
Vidare ska dataskyddsombudet, enligt artikel 12.3, informeras och genomföra en efterhandsutvÀrdering nÀr en annan nationell myndighet Àn en rÀttslig sÄdan har lÀmnat tillstÄnd till utlÀmnande
377
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
av fullstÀndiga
19.5.2Nuvarande reglering
Som nyss nÀmnts anvÀnds i dag termen personuppgiftsombud för det som motsvarar dataskyddsombud. Personuppgiftslagen föreskriver ingen skyldighet att utse personuppgiftsombud. De behöriga myn- digheterna kan dock enligt sina registerförfattningar vara skyldiga att ha personuppgiftsombud. Ett sÄdant krav finns t.ex. i polisdatalagen.
Enligt
19.5.3Brottsdatalagen
Ett dataskyddsombud definieras i 1 kap. 6 § BDL som en fysisk per- son som utses av den personuppgiftsansvarige för att sjÀlvstÀndigt se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt.
Enligt 3 kap. 13 § BDL ska den personuppgiftsansvarige utse ett eller flera dataskyddsombud och anmÀla till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.
Dataskyddsombudets uppgifter framgÄr av 3 kap. 14 §. DÀr an- ges att dataskyddsombudet ska
378
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
1.sjÀlvstÀndigt kontrollera att den personuppgiftsansvarige behand- lar personuppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,
2.informera och ge rÄd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyl- digheter vid behandling av personuppgifter,
3.pÄ begÀran ge den personuppgiftsansvarige rÄd vid en konsekvens- bedömning och kontrollera att den genomförs pÄ ett korrekt sÀtt,
4.vara kontaktpunkt för enskilda i frÄgor som rör behandling av personuppgifter, och
5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamrÄd och andra frÄgor som rör behandling av personuppgifter.
Om den personuppgiftsansvarige bryter mot bestÀmmelser för be- handling av personuppgifter och rÀttelse inte vidtas, ska dataskydds- ombudet, enligt 3 kap. 15 §, anmÀla det till tillsynsmyndigheten.
Enligt 3 kap. 14 § BDF ska den personuppgiftsansvarige sÀker- stÀlla att dataskyddsombud ges möjlighet att delta i de frÄgor som rör skyddet av personuppgifter. Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap. 14 och 15 §§ BDL genom att tillhandahÄlla nödvÀndiga resur- ser, ge tillgÄng till dokumentation om behandling av personuppgifter och vid behov medge Ätkomst till personuppgifter som behandlas. Den personuppgiftsansvarige ska ocksÄ se till att dataskyddsombud ges möjlighet att upprÀtthÄlla sin sakkunskap.
19.5.4VÄra övervÀganden och förslag
VÄra förslag: Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Dataskyddsombudet ska ha tillgÄng till alla uppgifter som behandlas vid enheten.
Det förs i lagen in bestÀmmelser som anger att dataskydds- ombudet vid enheten för passagerarinformation ska ansvara för genomförandet av relevanta skyddsÄtgÀrder. Vidare ska enskilda ha rÀtt att kontakta dataskyddsombudet i egenskap av enda kon-
379
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
taktpunkt i alla frÄgor som gÀller behandling av dennes PNR- uppgifter enligt lagen. Om dataskyddsombudet anser att enheten för passagerarinformation bryter mot bestÀmmelser för behand- ling av
Enligt brottsdatalagen ska den personuppgiftsansvarige utse ett eller flera dataskyddsombud. I
Skyldighet för Polismyndigheten att utse ett dataskyddsombud vid enheten för passagerarinformation bör föras in i vÄr reglering. Skyldigheten att anmÀla till tillsynsmyndigheten nÀr dataskydds- ombud utses och entledigas bör ocksÄ Äligga den personuppgifts- ansvarige, dvs. Polismyndigheten. Detta framgÄr av brottsdatalagen och behöver inte regleras sÀrskilt i vÄr lag.
Att det ska utses ett sÀrskilt dataskyddsombud vid enheten för passagerarinformation hindrar, som vi ser det, inte i sig att detta ombud har sin anstÀllning utanför enheten eller har fler uppdrag som dataskyddsombud. Huruvida detta Àr lÀmpligt eller möjligt torde bero pÄ hur mycket arbete det kommer att visa sig att ombu- det behöver lÀgga ned pÄ sitt uppdrag, vilket Àr svÄrt att nu bedöma. Dessutom kan sÀkerhetsaspekten med tanke pÄ kÀnsligheten i in- formationen och ombudets obegrÀnsade tillgÄng till uppgifterna tala mot en sÄdan lösning.
Dataskyddsombuds uppgifter enligt brottsdatalagen omfattar i stora delar Àven de uppgifter som ett dataskyddsombud ska ha en- ligt
380
SOU 2017:57 |
Personuppgiftsansvarigas skyldigheter |
SÄledes menar vi att skyldigheten enligt artikel 5.1 i direktivet att övervaka behandlingen av
Vidare omfattas uppgiften att vara kontaktpunkt för enskilda enligt artikel 5.3 i stort sett av bestÀmmelsen i 3 kap. 14 § 4 BDL, dock att det i
Av bestÀmmelsen i 3 kap. 14 § BDF framgÄr att den person- uppgiftsansvarige ska tillhandahÄlla nödvÀndiga resurser för att dataskyddsombudet ska kunna utföra sina uppgifter (jfr artikel 5.2 i
Enligt artikel 6.7 i
381
Personuppgiftsansvarigas skyldigheter |
SOU 2017:57 |
ansvarige ska sÀkerstÀlla att dataskyddsombudet ges möjlighet att delta i de frÄgor som rör skyddet av personuppgifter. Vidare ska den personuppgiftsansvarige enligt bestÀmmelsen ge tillgÄng till doku- mentation om behandling av personuppgifter och vid behov medge Ätkomst till personuppgifter som behandlas. Enligt vÄr mening torde ett behov av tillgÄng till
Vidare anges i artikel 6.7, som avser behandling av
FrÄgor om information till dataskyddsombudet i vissa fall och om efterhandskontroll har behandlats i tidigare avsnitt, se av- snitt 15.5.4 och 17.3.4.
382
20 Enskildas rÀttigheter
20.1Direktivets bestÀmmelser
En viktig aspekt av personuppgiftsskyddet Àr enskildas rÀtt att fÄ veta hur deras personuppgifter behandlas. Information om den person- uppgiftsbehandling som pÄgÄr Àr en förutsÀttning för att nÄgon ska kunna kontrollera om behandlingen Àr författningsenlig och i övrigt kunna bevaka sina intressen. Enligt
Direktivet anger att passagerarna ska tillerkÀnnas vissa grundlÀg- gande rÀttigheter vid behandlingen av deras personuppgifter. Enligt artikel 13.1 ska medlemsstaterna föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med direktivet har sam- ma rÀtt till skydd av sina personuppgifter, rÀtt till Ätkomst, rÀttelse, radering och begrÀnsning samt rÀtt till ersÀttning och tillgÄng till rÀttsmedel som faststÀlls i unionsrÀtten och nationell rÀtt och för genomförande av artiklarna 17, 18, 19 och 20 i dataskyddsram- beslutet. Enligt
383
Enskildas rÀttigheter |
SOU 2017:57 |
20.2RĂ€tten till information
20.2.1Dataskyddsrambeslutet
En enskild registrerads rÀtt till information om behandlingen reg- leras i dataskyddsrambeslutet i artiklarna 16 och 17.
Vid genomförandet av dataskyddsrambeslutet ansÄgs artikel 17.1 motsvaras av 26 § PUL, som stÀller mer lÄngtgÄende krav pÄ vilken information som ska lÀmnas. Undantagsgrunderna i 8 a och 27 §§ PUL ansÄgs i allt vÀsentligt motsvara de undantagsgrunder som anges i artikel 17.2. BestÀmmelserna i artikel 17.3 ansÄgs inte krÀva nÄgra lagstiftningsÄtgÀrder. (Se prop. 2012/13:73 s. 90 ff.) BestÀmmelserna i personuppgiftslagen behandlas nÀrmare i avsnitt 6.3.2.
20.2.2Brottsdatalagen
Som har angetts i tidigare avsnitt fÄr
384
SOU 2017:57 |
Enskildas rÀttigheter |
ombudet kontaktuppgifter, ÀndamÄlen med behandlingen, rÀtten att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem, rÀtten att begÀra rÀttelse, radering eller begrÀnsning av behandlingen samt möjligheten att lÀmna in klagomÄl till tillsyns- myndigheten och kontaktuppgifter till den.
Om den personuppgiftsansvarige anser att en registrerad behöver ytterligare information för att kunna ta tillvara sina rÀttigheter ska, enligt 4 kap. 2 §, den personuppgiftsansvarige pÄ eget initiativ Àven lÀmna viss personrelaterad information. Denna information omfattar den rÀttsliga grunden för behandlingen, kategorier av mottagare av personuppgifterna, hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det samt övrig nödvÀndig information. Vid bedömningen av om övrig nöd- vÀndig information ska lÀmnas ut ska det sÀrskilt beaktas om person- uppgifterna samlats in utan den registrerades vetskap.
I 4 kap. 3 § anges vilken information som ska lÀmnas till en registrerad pÄ begÀran. Enligt bestÀmmelsen ska den personuppgifts- ansvarige till den som begÀr det utan dröjsmÄl lÀmna skriftligt be- sked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och Àven fÄ viss skriftlig information om behandlingen. Den skriftliga informa- tionen ska omfatta
1.vilka personuppgifter om sökanden som behandlas,
2.varifrÄn uppgifterna kommer,
3.den rÀttsliga grunden för behandlingen,
4.ÀndamÄlen med behandlingen,
5.mottagare eller kategorier av mottagare av personuppgifterna, Àven i tredjeland eller internationella organisationer,
6.hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det,
7.rÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen, och
8.möjligheten att lÀmna in klagomÄl till tillsynsmyndigheten och kontaktuppgifterna till den.
385
Enskildas rÀttigheter |
SOU 2017:57 |
Sökanden behöver inte fÄ del av personuppgifter som han eller hon har tagit del av, om det inte begÀrs. Det ska dock framgÄ av informa- tionen att personuppgifterna i frÄga behandlas.
I 4 kap. 5 § anges att rÀtten till information fÄr begrÀnsas i lag, annan författning eller i beslut som har meddelats med stöd av för- fattning. En sÄdan begrÀnsning fÄr endast göras av hÀnsyn till in- tresset av att
1.förebygga, förhindra eller upptÀcka brottslig verksamhet, utreda eller lagföra brott, verkstÀlla straffrÀttsliga pÄföljder eller upp- rÀtthÄlla allmÀn ordning och sÀkerhet,
2.andra rÀttsliga utredningar eller undersökningar inte hindras,
3.nationell sÀkerhet skyddas, eller
4.annans fri- och rÀttigheter skyddas.
Om dessa förutsÀttningar Àr uppfyllda Àr den personuppgiftsansva- riga inte heller skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandling.
Informationsskyldigheten enligt 4 kap. 3 § gÀller som huvud- regel inte heller för personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller i minnesanteckningar eller liknande (4 kap. 6 §).
Om en begÀran om information om att personuppgifter behand- las eller att fÄ del av dem Àr orimlig eller uppenbart ogrundad fÄr den personuppgiftsansvarige avslÄ den (4 kap. 7 §).
Information ska som huvudregel lÀmnas utan avgift. Om nÄgon begÀr information eller uppgifter enligt 3 § oftare Àn en gÄng per Är fÄr den personuppgiftsansvarige dock ta ut en rimlig avgift eller avslÄ begÀran (4 kap. 7 och 12 §§).
I brottsdataförordningen anges krav pÄ utformningen av bl.a. den information som lÀmnas till enskilda. Informationen ska vara lÀttill- gÀnglig och lÀttbegriplig och lÀmnas i lÀmplig form (4 kap. 1 §). En enskilds begÀran om att ta del av information ska göras skriftligen hos den personuppgiftsansvarige (4 kap. 2 §).
386
SOU 2017:57 |
Enskildas rÀttigheter |
20.2.3Dataskyddsförordningen
Lufttrafikföretagen hör inte till den brottsbekÀmpande sektorn. För dem kommer sÄledes inte bestÀmmelserna om personuppgifts- behandling enligt dataskyddsrambeslutet eller det nya dataskydds- direktivet att vara tillÀmpliga. Lufttrafikföretagens personuppgifts- behandling omfattas i stÀllet i dag av tillÀmpningsomrÄdet för det nu gÀllande dataskyddsdirektivet1, som genomförts i svensk rÀtt genom personuppgiftslagen. Som tidigare angetts ska det nu gÀllande data- skyddsdirektivet ersÀttas av dataskyddsförordningen, som ska börja tillÀmpas den 25 maj 2018.
Enligt artikel 13.2 i
Enskildas rÀtt till information regleras i artiklarna
I artikel 13 anges vilken information som ska tillhandahÄllas om personuppgifter har samlats in frÄn den registrerade. Den informa- tion som lufttrafikföretagen i sÄdant fall ska tillhandahÄlla omfattar bl.a. identitet och kontaktuppgifter för den personuppgiftsansvarige och eventuellt dataskyddsombud, ÀndamÄlen med behandlingen, den period under vilken personuppgifterna kommer att lagras, rÀtten att begÀra tillgÄng till uppgifterna, rÀtten till rÀttelse, radering eller be- grÀnsning av behandlingen av uppgifterna och rÀtten att inge klago- mÄl till en tillsynsmyndighet. Den information som ska lÀmnas ska Àven omfatta vilka mottagare eller kategorier av mottagare som i före- kommande fall ska ta del av personuppgifterna.
Om personuppgifterna i stÀllet har lÀmnats till lufttrafikföre- tagen frÄn nÄgon annan, exempelvis en resebyrÄ eller researrangör,
1 Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter.
387
Enskildas rÀttigheter |
SOU 2017:57 |
anges vilken information som ska lĂ€mnas i artikel 14. BestĂ€mmelsen innehĂ„ller ungefĂ€rligen samma uppgifter som föregĂ„ende artikel. Dock ska informationen i dessa fall Ă€ven omfatta uppgifter om bl.a. varifrĂ„n personuppgifterna kommer samt information om de kate- gorier av personuppgifter som behandlingen gĂ€ller. Ăven i dessa fall ska den personuppgiftsansvarige lĂ€mna uppgift om mottagare eller de kategorier av mottagare som ska ta del av personuppgifterna. Informationen ska lĂ€mnas inom en rimlig tid efter det att person- uppgifterna erhĂ„llits, dock senast inom en mĂ„nad. Om ett utlĂ€m- nande till en annan mottagare förutses, ska informationen lĂ€mnas senast nĂ€r personuppgifterna lĂ€mnas ut för första gĂ„ngen. Informa- tion som den registrerade redan förfogar över behöver inte lĂ€mnas. Informationen behöver inte heller lĂ€mnas om erhĂ„llande eller ut- lĂ€mnande av uppgifterna följer av unionsrĂ€tten eller nationell rĂ€tt som faststĂ€ller lĂ€mpliga Ă„tgĂ€rder för att skydda den registrerades berĂ€ttigade intressen.
20.2.4VÄra övervÀganden och förslag
VÄrt förslag: Lufttrafikföretagen ska informera passagerarna om överföringen av
VÄr bedömning: Ytterligare bestÀmmelser om enskildas rÀtt till information behöver inte föras in i lagen.
RĂ€tten till information om insamlingen av
Enligt skÀlen till
388
SOU 2017:57 |
Enskildas rÀttigheter |
mest praktiska lösningen vore om informationen lÀmnades av luft- trafikföretagen och att det dÀrför Àr den mest önskvÀrda lösningen.2
Lufttrafikföretagen ska enligt dataskyddsförordningen tillhanda- hÄlla information om sin egen insamling av
Vi anser att lufttrafikföretagen bör ÄlÀggas en skyldighet att infor- mera sina passagerare om överföringen till enheten för passagerar- information alldeles oavsett om
Endast en upplysning om att
Lufttrafikföretagen lÀmnar redan i dag liknande information till sina resenÀrer inför resor till lÀnder som krÀver tillgÄng till PNR-
2 COM, Report of the third meeting on the implementation of the PNR Directive, 12 December 2016.
389
Enskildas rÀttigheter |
SOU 2017:57 |
uppgifter. Vi delar kommissionens uppfattning att den mest prak- tiska lösningen vore om lufttrafikföretagen Älades att lÀmna Àven den hÀr aktuella informationen till sina passagerare. SÄledes föreslÄr
viatt informationsskyldigheten ska ÄlÀggas lufttrafikföretagen. Informationen kan lÀmpligen lÀmnas tillsammans med den övriga
information som lufttrafikföretagen ska tillhandahÄlla enligt data- skyddsförordningen. Informationen kan framgÄ av flygbiljetten eller av lufttrafikföretagens hemsidor, eller, allra helst, pÄ bÄda sÀtten.
Ett ÄlÀggande för lufttrafikföretagen att lÀmna denna information pÄverkar inte tillÀmpligheten av dataskyddsförordningen. à lÀggandet medför inte heller nÄgon inskrÀnkning i Polismyndighetens skyldig- heter enligt brottsdatalagen att sÄsom personuppgiftsansvarig lÀmna information om den personuppgiftsbehandling som kommer att ske vid enheten för passagerarinformation.
RÀtten till information om personuppgiftsbehandlingen vid enheten för passagerarinformation och behöriga myndigheter
Efter det att
Som tidigare har framgÄtt hÀnvisar
390
SOU 2017:57 |
Enskildas rÀttigheter |
Det nya dataskyddsdirektivets bestÀmmelser om enskildas rÀtt till information föreslÄs genomföras i 4 kap.
Brottsdatalagen kommer att gÀlla utöver den av oss föreslagna lagen betrÀffande behandling som utförs vid enheten för passagerar- information eller vid sÄdana behöriga myndigheter som i sin verk- samhet har att tillÀmpa brottsdatalagen, dvs. Polismyndigheten, Eko- brottsmyndigheten och Tullverket som det ser ut i nulÀget.
Som tidigare nÀmnts föreslÄs SÀkerhetspolisen i allt vÀsentligt inte omfattas av brottsdatalagens tillÀmpningsomrÄde. DÀremot kommer det inom kort föreslÄs sÀrreglering för SÀkerhetspolisen. Det Àr rim- ligt att tro att det i det sammanhanget kommer att föreslÄs en generell lösning för frÄgan om enskildas rÀtt till information gÀllande SÀker- hetspolisens verksamhet. Vi ser ingen anledning att nu föregripa det arbetet med nÄgon sÀrslösning för SÀkerhetspolisens del. Vi gör sam- ma bedömning vad gÀller Försvarsmakten vars författningsreglering av personuppgiftsbehandlingen inom försvarsunderrÀttelseverksam- heten och den militÀra sÀkerhetstjÀnsten för nÀrvarande utreds. Det Àr alltsÄ vÄr sammantagna bedömning att sÀrskilda bestÀmmelser om enskildas rÀtt till information frÄn berörda myndigheter inte bör föras in i vÄrt lagförslag.
Det bör pÄpekas att skyldigheten att lÀmna ut uppgifter i mÄnga fall kommer att begrÀnsas av bl.a. bestÀmmelserna i offentlighets- och sekretesslagen.
20.3RÀtt till rÀttelse, radering eller begrÀnsning av behandlingen av uppgifter
20.3.1Dataskyddsrambeslutet
I artikel 18 i dataskyddsrambeslutet anges att en registrerad ska ha rÀtt att förvÀnta sig att en registeransvarig fullgör sina skyldigheter enligt rambeslutet att rÀtta, radera eller blockera personuppgifter. Medlemsstaterna ska faststÀlla hur den registrerade ska kunna göra ansprÄk pÄ rÀtten till rÀttelse, radering och blockering. Om den re- gisteransvariga vÀgrar att rÀtta, radera eller blockera uppgifter mÄste
391
Enskildas rÀttigheter |
SOU 2017:57 |
vÀgran meddelas skriftligen och den registrerade informeras om möjligheterna att anföra klagomÄl eller begÀra prövning. NÀr ett klagomÄl eller en begÀran prövats ska den registrerade informeras om huruvida den registeransvarige handlat korrekt eller inte.
Vid genomförandet av rambeslutet ansÄgs bestÀmmelsen inte krÀva nÄgra Àndringar eller tillÀgg i personuppgiftslagen (se prop. 2012/13:73 s. 95 f.), dÀr frÄgan behandlas i 28 §. Se om den bestÀmmelsen i avsnitt 6.3.2.
20.3.2Brottsdatalagen
Artikel 16 i det nya dataskyddsdirektivet innehÄller bestÀmmelser om registrerades rÀtt till rÀttelse eller radering av personuppgifter och begrÀnsning av behandling. Artikeln föreslÄs genomföras genom 4 kap. 9 och 10 §§ BDL.
I 4 kap. 9 § BDL anges att den personuppgiftsansvarige pÄ begÀ- ran av den registrerade utan onödigt dröjsmÄl ska rÀtta eller komplet- tera personuppgifter som rör honom eller henne om de Àr felaktiga eller ofullstÀndiga med hÀnsyn till ÀndamÄlen med behandlingen. Om den personuppgiftsansvarige inte kan faststÀlla att personuppgifterna Àr korrekta ska behandlingen i stÀllet utan onödigt dröjsmÄl be- grÀnsas.
I 4 kap. 10 § första stycket BDL anges att den personuppgifts- ansvarige, pÄ begÀran av den registrerade, utan onödigt dröjsmÄl ska radera personuppgifter som rör honom eller henne om de behandlas i strid med vissa sÀrskilt angivna bestÀmmelser i lagen som innehÄller grundlÀggande krav pÄ behandling av personuppgifter eller lagens bestÀmmelser om behandling av kÀnsliga personuppgifter, rÀttslig grund eller ÀndamÄl med behandlingen. Detsamma gÀller om rade- ring krÀvs för att den personuppgiftsansvarige ska utföra en rÀttslig förpliktelse. Uttrycket rÀttslig förpliktelse syftar pÄ en skyldighet som Äligger den personuppgiftsansvarige enligt brottsdatalagen, den behöriga myndighetens registerförfattning eller andra författningar med bestÀmmelser om personuppgiftsbehandling. Med radering avses detsamma som utplÄning. För att radera personuppgifter i allmÀnna handlingar krÀvs författningsstöd för gallring. Utrymmet för att radera personuppgifter i allmÀnna handlingar pÄ grund av att person-
392
SOU 2017:57 |
Enskildas rÀttigheter |
uppgifterna inte har behandlats författningsenligt torde dÀrför vara begrÀnsat (jfr bl.a. SOU 2015:39 s. 529 och 573 f.).
Om förutsÀttningarna för att radera personuppgifter Àr uppfyllda, men uppgifterna behöver finnas kvar som bevisning, ska den person- uppgiftsansvarige pÄ begÀran av den registrerade i stÀllet utan onödigt dröjsmÄl begrÀnsa behandlingen av dem (4 kap. 10 § andra stycket). Med begrÀnsning av behandling avses enligt direktivet en markering av lagrade personuppgifter i syfte att begrÀnsa behandlingen av dem i framtiden. Dagens motsvarighet till begrÀnsning av behandling Àr blockering.
Det Àr den personuppgiftsansvarige som avgör vilken ÄtgÀrd som ska vidtas med anledning av en begÀran om rÀttelse, radering eller begrÀnsning av behandling (4 kap. 11 §).
Som tidigare framgÄtt innehÄller brottsdataförordningen flera be- stÀmmelser om enskildas rÀttigheter. HÀr framgÄr att beslut gÀllande enskildas rÀttigheter ska vara skriftliga och att beslut som gÄr den registrerade emot ska motiveras, om inte annat angetts i lagen (4 kap. 3 §). Vidare anges en rad situationer dÄ den registrerade eller andra ska underrÀttas om beslut och om möjligheten att lÀmna in klagomÄl till tillsynsmyndigheten m.m. Bl.a. ska en underrÀttelse alltid skickas pÄ den personuppgiftsansvariges eget initiativ till den myn- dighet som har mottagit en personuppgift, för det fall denna upp- gift senare har rÀttats eller raderats eller behandlingen av den har begrÀnsats (4 kap. 8 § andra stycket).
20.3.3VÄra övervÀganden och förslag
VÄrt förslag: Det förs i lagen in en bestÀmmelse som anger att rÀtten till radering eller begrÀnsning av behandling av person- uppgifter enligt 4 kap. 10 § BDL ska gÀlla vid behandling i strid mot bestÀmmelserna i vÄr lag om otillÄten behandling av PNR- information, förbud mot behandling av kÀnsliga personuppgifter samt skyldigheten att gallra
393
Enskildas rÀttigheter |
SOU 2017:57 |
VÄr bedömning: Ytterligare bestÀmmelser om enskildas rÀtt till rÀttelse, radering eller begrÀnsning av behandling av uppgifter behöver inte föras in i lagen.
Som konstaterats i avsnitt 20.2.4 bör de nationella bestÀmmelser om enskildas rÀttigheter som genomför det nya dataskyddsdirektivet fullt ut vara tillÀmpliga vid sÄdan personuppgiftsbehandling som regleras i den av oss föreslagna lagen.
Brottsdatalagen innehÄller bestÀmmelser om den registrerades rÀtt till rÀttelse, radering och begrÀnsning av behandling av person- uppgifter i 4 kap.
4 kap. 10 § anger att den registrerade har rÀtt till radering eller begrÀnsning av personuppgifter om uppgifterna har behandlats i strid mot vissa angivna bestÀmmelser i brottsdatalagen. De angivna bestÀm- melserna Àr av sÄ generell natur att övertrÀdelser av dem bör med- föra en rÀtt för registrerade till radering eller begrÀnsning Àven vid personuppgiftsbehandling enligt vÄr lag. Enligt vÄr mening bör en registrerad dock ocksÄ ha rÀtt till radering eller begrÀnsning av be- handling av personuppgifter vid övertrÀdelser av vissa centrala be- stÀmmelser enligt vÄrt lagförslag. En sÄdan rÀttighet bör förekom- ma nÀr personuppgifter har behandlats i strid mot vÄr lags förbud mot behandling av kÀnsliga personuppgifter, lagens begrÀnsning i frÄga om vad för slags brottslighet som uppgifterna fÄr anvÀndas för samt förpliktelsen att gallra
SÄ som vi formulerar bestÀmmelsen, kommer den att vara tillÀmp- lig alldeles oavsett vem som i ett enskilt fall har utfört den felaktiga behandlingen; ett lufttrafikföretag, enheten för passagerarinforma- tion eller en behörig myndighet. I praktiken torde den dock bara bli aktuell att tillÀmpa för de myndigheter som annars omfattas av
394
SOU 2017:57 |
Enskildas rÀttigheter |
brottsdatalagens tillÀmpningsomrÄde. Alldeles oavsett detta förutser vi dock inte att det kommer att uppstÄ nÄgra tillÀmpningsproblem med anledning av brottsdatalagbestÀmmelsens i viss mÄn vidgade tillÀmpningsomrÄde. NÀr det gÀller SÀkerhetspolisen och Försvars- makten gör vi vidare motsvarande bedömningar som ovan i av- snitt 20.2.4 och ser sÄledes inte skÀl till att i detta lagstiftningsarbete föreslÄ nÄgon sÀrreglering vad avser motsvarigheter till 4 kap. 9 och 11 §§ BDL.
20.4RÀtt till ersÀttning
20.4.1Dataskyddsrambeslutet
Enligt artikel 19 i dataskyddsrambeslutet har var och en som lidit skada till följd av otillÄten behandling av personuppgifter eller nÄgon annan ÄtgÀrd som Àr oförenlig med de nationella bestÀmmelser som antagits till följd av rambeslutet, rÀtt till ersÀttning av den register- ansvarige, eller av en annan myndighet, för den skada han eller hon lidit. Det Àr inte möjligt att undgÄ skadestÄndsansvar genom att Äberopa att behandlingen avser uppgifter som har överförts frÄn annat land och som var felaktiga redan vid överföringen.
Vid genomförandet av dataskyddsrambeslutet ansÄgs kraven i ram- beslutet vara uppfyllda genom skadestÄndsbestÀmmelsen i 48 § första stycket PUL. Dock ansÄgs inte den jÀmkningsmöjlighet som finns i den bestÀmmelsens andra stycke förenlig med rambeslutet. DÀrför infördes en bestÀmmelse i 10 § lagen (2013:329) med vissa bestÀm- melser om skydd för personuppgifter vid polissamarbete och straff- rÀttsligt samarbete inom Europeiska unionen som anger att 48 § andra stycket PUL inte gÀller för uppgifter som har överförts vid sÄdant polisiÀrt eller straffrÀttsligt samarbete som rambeslutet omfattar.
20.4.2Brottsdatalagen
Enligt 7 kap. 1 § BDL ska den personuppgiftsansvarige ersÀtta den registrerade för den skada och krÀnkning av den personliga integri- teten som behandling av personuppgifter i strid med brottsdata- lagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. BestÀmmelsen har utformats med motsvarande bestÀmmelse
395
Enskildas rÀttigheter |
SOU 2017:57 |
i personuppgiftslagen som mönster. NÄgon möjlighet till jÀmkning förekommer dock inte.
20.4.3VÄra övervÀganden och förslag
VÄrt förslag: Det förs i lagen in en bestÀmmelse som innebÀr att 7 kap. 1 § BDL om skadestÄnd ska gÀlla ocksÄ i frÄga om behand- ling av personuppgifter i strid med bestÀmmelser enligt den nya lagen eller föreskrifter som meddelats med stöd av lagen.
BestÀmmelsen om skadestÄnd enligt brottsdatalagen kommer att gÀlla om personuppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats i anslutning till den. För att bestÀmmelsen i brotts- datalagen Àven ska vara tillÀmplig vid behandling av personuppgifter i strid med den av oss föreslagna lagen eller med föreskrifter som meddelats med stöd av den lagen behöver en hÀnvisning till bestÀm- melsen föras in i vÄrt lagförslag.
Vi föreslÄr dÀrför att en hÀnvisning till 7 kap. 1 § BDL förs in i den av oss föreslagna lagen. Den ska dock bara avse sÄdana över- trÀdelser av bestÀmmelser som avser att ge skydd för personupp- gifter. Om ett lufttrafikföretag bryter mot bestÀmmelserna i 2 kap. genom att inte skicka
20.5RÀtt till rÀttsmedel
20.5.1Dataskyddsrambeslutet
Enligt artikel 20 i dataskyddsrambeslutet ska den registrerade ha rÀtt att inför domstol föra talan mot krÀnkningar av sÄdana rÀttigheter som skyddas av den tillÀmpliga lagstiftningen. En liknande skrivning i det nu gÀllande dataskyddsdirektivet medförde inte nÄgra sÀrskilda
396
SOU 2017:57 |
Enskildas rÀttigheter |
lagstiftningsÄtgÀrder vid personuppgiftslagens införande. Rambeslu- tets bestÀmmelser om överklagande ansÄgs inte heller krÀva nÄgra lagstiftningsÄtgÀrder (se prop. 2012/13:73 s. 97 f.).
20.5.2Brottsdatalagen
RÀtten att vid allmÀn domstol föra talan mot en personuppgifts- ansvarig eller ett personuppgiftsbitrÀde om den registrerades rÀttig- heter har krÀnkts genom personuppgiftsbehandlingen krÀver, enligt Utredningen om 2016 Ärs dataskyddsdirektiv, inga lagstiftnings- ÄtgÀrder. Den möjlighet enskilda har att vÀcka talan vid allmÀn dom- stol i den ordning som gÀller för tvistemÄl anses vara tillrÀcklig (se SOU 2017:29 s. 529 f.).
Enligt brottsdatalagen ska dock beslut i frÄga om rÀttelse, komplet- tering, radering eller begrÀnsning av behandlingen av personuppgif- ter, som har meddelats av en myndighet i egenskap av personupp- giftsansvarig, fÄ överklagas till allmÀn förvaltningsdomstol. Detsamma gÀller beslut att inte lÀmna information pÄ begÀran av en registrerad, att ta ut avgift för att lÀmna sÄdan information eller att inte medge omprövning av ett automatiserat beslut. Vid överklagande till kam- marrÀtten ska, pÄ samma sÀtt som i dag, krÀvas prövningstillstÄnd. Beslut av regeringen, Högsta domstolen, Högsta förvaltningsdom- stolen eller riksdagens ombudsmÀn ska inte kunna överklagas (7 kap. 2 §).
En registrerads rÀtt att lÀmna in klagomÄl till en tillsynsmyndig- het om han eller hon anser att hans eller hennes personuppgifter har behandlats felaktigt har inte ansetts krÀva nÄgra lagstiftningsÄtgÀrder. DÀremot föreslÄs det införas en ny möjlighet för en registrerad att föra en s.k. dröjsmÄlstalan mot tillsynsmyndigheten. Enligt förslaget ska tillsynsmyndigheten inom tre mÄnader frÄn den dag ett klagomÄl kom in till myndigheten lÀmna skriftligt besked om den avser att utöva tillsyn eller i ett sÀrskilt beslut avslÄ begÀran (5 kap. 9 §). Om tillsynsmyndigheten avslÄr den registrerades begÀran om besked om huruvida tillsyn kommer att utövas, fÄr han eller hon överklaga beslutet till allmÀn förvaltningsdomstol. Om domstolen bifaller ett överklagande av ett avslagsbeslut, ska den förelÀgga tillsynsmyndig- heten att, inom den tid som domstolen bestÀmmer, lÀmna den registrerade besked om tillsyn kommer att utövas. Annars ska dom-
397
Enskildas rÀttigheter |
SOU 2017:57 |
stolen avslÄ överklagandet. Domstolens beslut fÄr inte överklagas. (Se 7 kap. 3 §.)
I 7 kap. 4 § föreskrivs att tillsynsmyndighetens beslut i andra frÄgor Àn de som regleras i 3 § fÄr överklagas. Det Àr framför allt frÄga om beslut som tillsynsmyndigheten har fattat med stöd av sina korrigerande befogenheter. Det kan t.ex. vara beslut om rÀttelse och radering. Det kan Àven vara beslut om sanktionsavgift.
NÄgra andra beslut Àn de som uttryckligen anges i brottsdata- lagen ska inte fÄ överklagas (7 kap. 5 §).
20.5.3VÄra övervÀganden och förslag
VÄr bedömning: Ytterligare bestÀmmelser om enskildas rÀtt till rÀttsmedel behöver inte föras in i lagen.
BestÀmmelser om överklagande har tagits in i 7 kap.
NÄgon hÀnvisning till bestÀmmelsen om dröjsmÄlstalan i 7 kap. 3 § Àr inte nödvÀndig för att bestÀmmelsen ska bli tillÀmplig för sÄdan behandling som avses i vÄr lag. Vidare kommer tillsynsmyndigheten inte att fatta nÄgra beslut enligt vÄr lag utan endast enligt bestÀm- melserna i brottsdatalagen. NÄgon hÀnvisning till 7 kap. 4 § BDL Àr dÀrför inte nödvÀndig i vÄr lag. Inte heller ser vi det som befogat att hÀnvisa till 7 kap. 5 § BDL i vÄr lag.
NÀr det gÀller SÀkerhetspolisen och Försvarsmakten gör vi vidare motsvarande bedömningar som ovan i avsnitt 20.2.4 och ser sÄledes inte skÀl till att i detta lagstiftningsarbete föreslÄ nÄgon sÀrreglering vad avser motsvarigheter till 7 kap. 3 och 5 §§ BDL.
398
21 Tillsyn
21.1Direktivets bestÀmmelser
Tillsynsmyndigheten ska, enligt artikel 15.2, utföra sina uppgifter i syfte att skydda grundlÀggande rÀttigheter i samband med behand- ling av personuppgifter. I artikel 15.3 anges att varje nationell till- synsmyndighet ocksÄ ska
a)hantera klagomÄl frÄn en registrerad, undersöka Àrendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomÄl,
b)kontrollera att uppgiftsbehandlingen Àr laglig, genomföra utred- ningar, inspektioner och revision i enlighet med nationell rÀtt, antingen pÄ eget initiativ eller pÄ grundval av ett klagomÄl som avses i led a.
Vidare ska, enligt artikel 15.4, varje nationell tillsynsmyndighet pÄ begÀran ge registrerade rÄd om hur de kan utöva de rÀttigheter som faststÀlls vid genomförandet av direktivet.
Som vi berört i tidigare avsnitt framgÄr av artikel 6.7 att Àrenden kan initieras hos tillsynsmyndigheten av dataskyddsombudet vid enheten för passagerarinformation, nÀmligen om ombudet anser att enhetens behandling av uppgifter inte varit lagenlig. I artikel 13.5 och 13.6 anges vidare att enheten för passagerarinformation pÄ be-
399
Tillsyn |
SOU 2017:57 |
gÀran ska göra dokumentation och loggar tillgÀngliga för tillsyns- myndigheten.
21.2Bakgrund
21.2.1Dagens tillsyn över behandling av personuppgifter
Datainspektionen
Datainspektionen utövar i dag tillsyn över all behandling av person- uppgifter, om inte ansvaret uttryckligen har anförtrotts nÄgon annan myndighet. Tillsynen omfattar sÄvÀl sÄdan personuppgiftsbehand- ling som regleras i personuppgiftslagen som i sÀrskilda registerför- fattningar eller andra författningar som innehÄller bestÀmmelser om behandling av personuppgifter. Datainspektionens uppdrag regleras i förordningen (2007:975) med instruktion för Datainspektionen (nedan kallad Datainspektionens instruktion).
Inspektionen har utsetts till nationell tillsynsmyndighet enligt flera
Datainspektionen har till uppgift att verka för att mÀnniskor skyddas mot att deras personliga integritet krÀnks genom behand- ling av personuppgifter. Inspektionen ska sÀrskilt inrikta sin verk- samhet pÄ att informera om gÀllande regler och att ge rÄd och hjÀlp Ät personuppgiftsombud. Vidare ska myndigheten följa och beskriva utvecklingen pÄ
Inspektionen har rÀtt att för sin tillsyn fÄ tillgÄng till person- uppgifter, upplysningar och dokument och tilltrÀde till lokaler som anvÀnds för behandling av personuppgifter (43 § PUL). Genom pÄ- pekanden och liknande förfaranden ska Datainspektionen i första hand försöka Ästadkomma rÀttelse och i andra hand besluta om för- bud mot annan behandling Àn lagring (45 §) eller vid domstol an- söka om utplÄning av personuppgifter som behandlats pÄ olagligt sÀtt (47 §) I vissa fall kan inspektionen förena sina förelÀgganden med
400
SOU 2017:57 |
Tillsyn |
vite (44 och 45 §§). Datainspektionens beslut i tillsynsfrÄgor fÄr över- klagas (52 §).
SÀkerhets- och integritetsskyddsnÀmnden
SÀkerhets- och integritetsskyddsnÀmnden (SIN) utövar ocksÄ tillsyn över de brottsbekÀmpande myndigheterna. NÀmndens uppdrag regle- ras i lagen (2007:980) om tillsyn över viss brottsbekÀmpande verk- samhet och förordningen (2007:1141) med instruktion för SÀkerhets- och integritetsskyddsnÀmnden.
SIN utövar tillsyn över brottsbekÀmpande myndigheters anvÀnd- ning av hemliga tvÄngsmedel och kvalificerade skyddsidentiteter och dÀrmed sammanhÀngande verksamhet. De myndigheter vars verksam- het med hemliga tvÄngsmedel berörs av tillsynen Àr Polismyndighe- ten, SÀkerhetspolisen, Ekobrottsmyndigheten, à klagarmyndigheten och Tullverket. NÀmnden utövar Àven tillsyn över SÀkerhetspolisens och Polismyndighetens behandling av personuppgifter enligt polis- datalagen och lagen (2010:362) om polisens allmÀnna spaningsregi- ster. Tillsynen ska sÀrskilt ta sikte pÄ behandlingen av kÀnsliga per- sonuppgifter.
SIN utövar sin tillsyn genom inspektioner och andra undersök- ningar. NÀmnden Àr ocksÄ skyldig att pÄ begÀran av en enskild kon- trollera om denne har varit föremÄl för hemliga tvÄngsmedel eller sÄdan behandling av personuppgifter inom nÀmndens tillsynsomrÄde som strider mot lag eller annan författning. Den enskilde ska under- rÀttas om att kontrollen genomförts. För sin tillsyn har nÀmnden rÀtt att fÄ tillgÄng till de uppgifter och den hjÀlp som den begÀr av den myndighet som tillsynen avser. Om nÀmnden finner nÄgot att anmÀrka pÄ fÄr den lÀmna synpunkter pÄ hur bristerna bör avhjÀlpas. NÀmndens rekommendationer Àr inte bindande och kan inte över- klagas.
Om SIN i sin verksamhet uppmÀrksammar förhÄllanden som kan utgöra brott, ska nÀmnden anmÀla det till à klagarmyndigheten och om nÀmnden finner nÄgot som kan leda till skadestÄndsansvar för staten ska det anmÀlas till JK. Vidare ska nÀmnden, om den finner omstÀndigheter som Datainspektionen bör uppmÀrksammas pÄ, anmÀla det till inspektionen.
401
Tillsyn |
SOU 2017:57 |
JO och JK
JO och JK utövar tillsyn över hur lagar och andra föreskrifter tillÀm- pas i offentlig verksamhet. Deras tillsyn omfattar dÀrmed Àven be- handlingen av personuppgifter och skyddet av enskildas integritet vid sÄdan behandling. JO:s verksamhet regleras framför allt i reger- ingsformen, riksdagsordningen och lagen (1986:765) med instruktion för Riksdagens ombudsmÀn. JK:s verksamhet regleras huvudsak- ligen i lagen (1975:1339) om Justitiekanslerns tillsyn och i förord- ningen (1975:1345) med instruktion för Justitiekanslern.
Ett granskningsÀrende kan inledas bÄde efter klagomÄl frÄn en- skilda och pÄ JO:s eller JK:s eget initiativ. De som stÄr under JO:s och JK:s tillsyn ska pÄ begÀran lÀmna upplysningar och yttranden och ge tillgÄng till handlingar och protokoll. SÄvÀl JO som JK kan genomföra inspektioner som ett led i granskningen. TillsynsÀren- dena kan resultera i beslut som kan innehÄlla kritik eller vÀgledande uttalanden. JO och JK kan Àven vÀcka Ätal mot nÄgon som stÄr under deras tillsyn för brott som begÄtts i tjÀnsten. JO och JK har ocksÄ rÀtt att vÀcka frÄgor om disciplinÀr bestraffning.
21.2.2Förslag om förÀndrat tillsynsansvar
Utredningen om tillsyn över den personliga integriteten (Ju 2015:02) har haft till uppdrag att kartlĂ€gga vilken tillsyn över behandling av personuppgifter som bedrivs i dag och övervĂ€ga om tillsynen i större utstrĂ€ckning kan samlas hos en myndighet. Utredningen har ocksĂ„ haft i uppdrag att bl.a. peka ut vilken eller vilka svenska myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive det nya dataskyddsdirektivet. Ăven frĂ„gor om hur tillsyns- verksamheten ska organiseras har ingĂ„tt i den utredningens uppdrag. Utredningen har avgett betĂ€nkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65).
Utredningen föreslĂ„r att tillsynen enligt bĂ„de dataskyddsför- ordningen och det nya dataskyddsdirektivet ska samlas hos Datain- spektionen och att det i myndighetens instruktion ska föreskrivas att Datainspektionen ska vara tillsynsmyndighet enligt de bĂ„da rĂ€tts- akterna. Enligt förslaget ska SIN â vid sidan av Datainspektionen â Ă€ven fortsĂ€ttningsvis utöva tillsyn över SĂ€kerhetspolisens behand- ling av personuppgifter men dĂ€remot inte över Polismyndighetens
402
SOU 2017:57 |
Tillsyn |
personuppgiftsbehandling i allmÀnhet. SIN föreslÄs ocksÄ behÄlla uppgiften att utöva tillsyn över bl.a. anvÀndningen av hemliga tvÄngs- medel.
Statsmakterna har Ànnu inte tagit stÀllning till förslagen.
21.2.3Dataskyddsrambeslutet
I artikel 25 i dataskyddsrambeslutet förutsÀtts att det ska finnas minst en oberoende tillsynsmyndighet i varje medlemsstat. Enligt artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och tillgÄng till alla de uppgifter som behövs för tillsynen. Tillsynsmyndigheten ska ocksÄ ha faktiska befogenheter att ingripa och att inleda rÀttsliga förfaranden eller uppmÀrksamma de rÀttsliga myndigheterna pÄ över- trÀdelser. Vidare ska enskilda kunna vÀnda sig till tillsynsmyndigheten med klagomÄl över personuppgiftsbehandlingen.
Vid genomförandet av dataskyddsrambeslutet bedömdes inte ram- beslutets regler om tillsyn krÀva nÄgra lagstiftningsÄtgÀrder, eftersom bestÀmmelserna i
Regeringen har, som tidigare angetts, utsett Datainspektionen till nationell tillsynsmyndighet enligt rambeslutet.
21.2.4Brottsdatalagen
Som framgÄtt i tidigare avsnitt fÄr
I 1 kap. 6 § BDL definieras tillsynsmyndigheten som den myn- dighet som regeringen utser att enligt dataskyddsdirektivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptÀcka brotts- lig verksamhet, utreda eller lagföra brott, verkstÀlla straffrÀttsliga pÄföljder eller upprÀtthÄlla allmÀn ordning och sÀkerhet.
403
Tillsyn |
SOU 2017:57 |
Enligt utredningen om 2016 Ärs dataskyddsdirektiv vÀrnas tillsyns- myndighetens oberoende bÀst om det inte införs nÄgra regler om nÀr och hur tillsyn ska inledas respektive avslutas eller hur tillsynen nÀrmare ska bedrivas. Det som har funnits nödvÀndigt att reglera Àr tillsynsomrÄdet, vem som ska utföra tillsyn, tillsynsmyndighetens uppgifter samt myndighetens befogenheter. Enligt utredningen be- hövs det Àven vissa regler om handlÀggningen av Àrenden. (Se SOU 2017:29 s. 442 f.)
Tillsynsmyndigheten ska enligt 5 kap. 1 § BDL ha dubbla perspek- tiv. SÄledes anges i bestÀmmelsen att tillsynsmyndigheten ska verka bÄde för att fysiska personers grundlÀggande fri- och rÀttigheter och friheter skyddas i samband med personuppgiftsbehandling och för att underlÀtta det fria flödet av personuppgifter inom lagens tillÀmpningsomrÄde. Samtidigt som det Àr viktigt att tillsynsmyndig- heten verkar för en hög skyddsnivÄ för personuppgifter och be- driver ett kraftfullt tillsynsarbete, mÄste de behöriga myndigheter- nas perspektiv beaktas. I den mÄn det finns utrymme att vÀlja olika lösningar som Àr likvÀrdiga ur integritetssynpunkt, bör tillsynsmyn- digheten vÀlja den som bÀst tillgodoser det fria flödet av person- uppgifter. (Se SOU 2017:29 s. 445.)
I det nya dataskyddsdirektivet behandlas tillsynsmyndighetens uppgifter i artikel 46. Denna artikel Àr i brottsdatalagen genomförd genom 5 kap.
1.utöva allmÀn tillsyn över personuppgiftsbehandling,
2.handlÀgga klagomÄl frÄn registrerade,
3.utföra kontroll enligt 3 §, och
4.pÄ begÀran bistÄ en tillstÄndsmyndighet i en annan stat.
I allmÀn tillsyn ingÄr, enligt utredningen, de uppgifter som nÀmns i artikel 46.1 punkterna a och i. Direktivets bestÀmmelser om hur klagomÄl ska hanteras av tillsynsmyndigheten motsvarar enligt utred- ningen vidare vad som redan tillÀmpas enligt allmÀnna principer för tillsyn och reglerna i förvaltningslagen (1986:223). Utöver bestÀm- melsen om att det ska framgÄ att handlÀggning av klagomÄl ingÄr i tillsynsuppgifterna, behövs dÀrför inga lagstiftningsÄtgÀrder för att genomföra bestÀmmelserna i artikel 46.1 f (se SOU 2017:29 s. 449).
404
SOU 2017:57 |
Tillsyn |
Personuppgiftsansvariga fÄr under vissa förutsÀttningar begrÀnsa enskildas rÀtt till information (se avsnitt 20.2). Av 5 kap. 3 § BDL framgÄr att tillsynsmyndigheten pÄ begÀran ska kontrollera om upp- gifter om en fysisk person behandlas författningsenligt. Den som begÀr sÄdan kontroll ska visa att han eller hon först har begÀrt in- formation frÄn eller en korrigeringsÄtgÀrd av den personuppgifts- ansvarige. Tillsynsmyndigheten fÄr vÀgra att utföra en kontroll om begÀran Àr orimlig eller uppenbart ogrundad.
I 5 kap. 4 § anges att tillsynsmyndigheten ska ge rÄd och stöd till personuppgiftsansvariga och personuppgiftsbitrÀden. Enligt utred- ningens mening följer det dock redan av den allmÀnna service- skyldigheten enligt 4 § förvaltningslagen att myndigheterna har en skyldighet att pÄ begÀran ge enskilda information och rÄd om hur de kan ta tillvara sina rÀttigheter. NÀr det behövs och Àr lÀmpligt ska en myndighet vÀgleda den enskilde genom att, beroende pÄ om- stÀndigheterna, ta initiativ till ytterligare utredning, verka för att utredningen begrÀnsas till vad som Àr nödvÀndigt och fÀsta den en- skildes uppmÀrksamhet pÄ att det finns nÄgot annat, bÀttre sÀtt att nÄ det han eller hon efterstrÀvar. NÄgon lagstiftningsÄtgÀrd för att genomföra artikel 46.1 e föreslÄs dÀrför inte. (Se SOU 2017:29 s. 460.)
I 5 kap.
1.tillgÄng till alla personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandling av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till lokaler som den personuppgiftsansvarige eller per- sonuppgiftsbitrÀdet disponerar och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
Tillsynsmyndigheten föreslÄs, pÄ liknande sÀtt som i dag, ha möjlig- het att tillgripa olika befogenheter för det fall personuppgifter be- handlas i strid med lag eller annan författning. Enligt utredningens
405
Tillsyn |
SOU 2017:57 |
förslag ska dessa befogenheter ses som en trappa som ger tillsyns- myndigheten möjlighet att successivt anvÀnda kraftfullare medel och dÀrigenom stegra pÄtryckningarna pÄ den som inte sjÀlvmant rÀttar sig efter myndighetens anvisningar (se SOU 2017:29 s. 468). I 5 kap. 6 § behandlas tillsynsmyndighetens förebyggande befogenheter. För det fall tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning ska, enligt bestÀmmelsen, tillsynsmyndigheten genom rÄd, rekommendationer och pÄpekanden försöka förmÄ den person- uppgiftsansvarige eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken. Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att det finns risk för att planerad behandling av person- uppgifter kan komma att stÄ i strid med lag eller annan författning. Detsamma gÀller om det finns risk för att pÄgÄende behandling kan komma att stÄ i strid med lag eller annan författning. I 5 kap. 7 § anges tillsynsmyndighetens korrigerande befogenheter. Om tillsyns- myndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbitrÀdet annars inte fullgör sina skyldigheter fÄr tillsynsmyndigheten
1.genom förebyggande ÄtgÀrder förmÄ den personuppgiftsansva- rige eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behand- lingen ska bli författningsenlig eller att uppfylla andra skyldig- heter,
2.förelÀgga den personuppgiftsansvarige eller personuppgiftsbitrÀ- det att vidta ÄtgÀrder för att behandlingen ska bli författnings- enlig eller att uppfylla andra skyldigheter,
3.förbjuda fortsatt behandling om bristen Àr allvarlig, eller
4.besluta om sanktionsavgift.
Innan tillsynsmyndigheten fattar ett bindande beslut mot en person- uppgiftsansvarig eller ett personuppgiftsbitrÀde, ska den som beslutet gÀller ges tillfÀlle att inom en bestÀmd tid yttra sig över allt material av betydelse för beslutet, om det inte Àr uppenbart obehövligt (5 kap. 8 §).
I brottsdataförordningen anges att tillsynsmyndigheten ska an- mÀla personuppgiftsbehandling som kan utgöra brott eller medföra
406
SOU 2017:57 |
Tillsyn |
skadestÄndsskyldighet för staten till den myndighet i vars arbets- uppgifter det ingÄr att utreda frÄgan (5 kap. 3 §). Enligt 5 kap. 10 § BDF ska tillsynsmyndigheten utföra sina tillsynsuppgifter av- giftsfritt, om inte annat bestÀms.
21.2.5Dataskyddsförordningen
BestÀmmelser om tillsyn finns i artiklarna
Som tidigare har angetts har Utredningen om tillsyn över den personliga integriteten föreslagit att Datainspektionen ska vara till- synsmyndighet Àven enligt dataskyddsförordningen.
21.3VÄra övervÀganden och förslag
VÄrt förslag: Det ska i lagen föras in en bestÀmmelse som anger att tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt brottsdatalagen och i enlighet med bestÀmmelserna om tillsyn i den lagen.
Enligt
407
Tillsyn |
SOU 2017:57 |
skyddsdirektivet och att detta ska regleras i Datainspektionens myn- dighetsinstruktion. Det kommer inte att finnas nÄgot stÀllnings- tagande till förslaget nÀr vÄrt uppdrag ska redovisas. Om Datain- spektionen utses till tillsynsmyndighet enligt dataskyddsdirektivet bör det i myndighetens instruktion föras in att inspektionen ska vara tillsynsmyndighet Àven enligt
Vid tillsynen ska, enligt
I
408
SOU 2017:57 |
Tillsyn |
anges i brottsdatalagen Àr sÄledes enligt vÄr mening tillrÀckliga för att uppfylla
Vidare ska tillsynsmyndigheten, enligt artikel 15.4 i direktivet, pÄ begÀran ge registrerade rÄd om hur de kan utöva sina rÀttigheter. Denna uppgift har Utredningen om 2016 Ärs dataskyddsdirektiv an- sett omfattas av den allmÀnna serviceskyldigheten i förvaltningslagen och dÀrmed inte krÀva nÄgra lagstiftningsÄtgÀrder. Vi delar den bedömningen. De tillsynsuppgifter som anges i brottsdatalagen kan sÄledes tillÀmpas för all personuppgiftsbehandling enligt PNR- direktivet.
I direktivet anges att tillsynsmyndigheten ska utföra sina upp- gifter i syfte att skydda grundlĂ€ggande rĂ€ttigheter i samband med behandling av personuppgifter. Ăven enligt brottsdatalagen ska till- synen ske i detta syfte (5 kap. 1 § BDL). Enligt den bestĂ€mmelsen ska tillsynen ocksĂ„ ske i syfte att underlĂ€tta det fria flödet av per- sonuppgifter. Enligt vĂ„r mening kommer inte tillsynens dubbla syften att medföra en lĂ€gre skyddsnivĂ„ för personuppgifterna. BestĂ€mmel- sen i brottsdatalagen uppfyller dĂ€rmed direktivets krav. Det kan i sammanhanget pĂ„pekas att tillsyn Ă€ven enligt dataskyddsförordning- en ska ske bĂ„de i syfte att skydda fysiska personers grundlĂ€ggande fri- och rĂ€ttigheter i samband med personuppgiftsbehandling och i syfte att underlĂ€tta det fria flödet av sĂ„dana uppgifter inom unionen. Tillsynen inom sĂ„vĂ€l direktivets som förordningens tillĂ€mpnings- omrĂ„den kommer sĂ„ledes framöver att ske enligt bĂ„da dessa syften.
Som nyss angetts kommer den av oss föreslagna lagen att tillÀmpas Àven av aktörer som inte omfattas av brottsdatalagens tillÀmpnings- omrÄde, t.ex. lufttrafikföretag och Försvarsmakten. Enligt vÄr mening bör det dÀrför i lagen föras in en allmÀn bestÀmmelse som anger att tillsyn över personuppgiftsbehandling enligt lagen ska utföras av till- synsmyndigheten enligt brottsdatalagen och i enlighet med den lagens bestÀmmelser om tillsyn. DÀrmed regleras att tillsynsmyndig- heten enligt brottsdatalagen ska ha tillsyn Àven över lufttrafikföretags behandling av personuppgifter enligt lagen. BestÀmmelsen blir Àven tillÀmplig sÄvÀl för den behandling av personuppgifter enligt lagen som sker vid enheten för passagerarinformation som vid de behöriga myndigheterna, oavsett vilken tillsynsmyndighet som i övrigt har tillsynsansvaret för den myndigheten. Enligt vÄr mening Àr det nÀm- ligen en rimlig ordning att samma tillsynsmyndighet har tillsyn över
409
Tillsyn |
SOU 2017:57 |
hela lagens tillÀmpning, vilket vi menar ocksÄ Àr den ordning som föreskrivs i artikel 15.1 i
410
22 Sanktioner
22.1Direktivets bestÀmmelser och vÄrt uppdrag
I vÄrt uppdrag ingÄr sÄledes att föreslÄ sanktioner mot de lufttrafik- företag som inte uppfyller skyldigheten att överföra
Vidare ingÄr i uppdraget att föreslÄ bestÀmmelser om sanktioner för sÄdana eventuella övertrÀdelser som kan komma att ske vid en- heten för passagerarinformation och vid behöriga myndigheter av de nationella bestÀmmelser som genomför direktivet. Dessa sanktioner ska tillse att direktivets bestÀmmelser om behandling och skydd av
Lufttrafikföretagens behandling av personuppgifter kommer fram- över att regleras av dataskyddsförordningen. Förordningen kommer att vara direkt tillÀmplig i medlemsstaterna. För det fall lufttrafik- företagen i samband med sin överföring av
411
Sanktioner |
SOU 2017:57 |
bryta mot nÄgon dataskyddsbestÀmmelse i förordningen, t.ex. genom att inte skydda
22.2Olika typer av sanktioner
Det finns inte nÄgon rÀttslig definition av begreppet sanktion. En sanktion Àr dock i princip alltid handlingsdirigerande eller har ett bestraffande syfte. Med en vid definition skulle sanktion kunna sÀgas vara alla former av pÄföljder som kan följa pÄ ett rÀttsstridigt hand- lande.
En sanktion kan vara repressiv eller icke repressiv. Med att en sanktion Àr repressiv avses att det Àr staten som kan ta initiativ till sanktionen. En icke repressiv sanktion Àr t.ex. möjligheten att be- gÀra skadestÄnd i en civilprocess.
Det finns flera olika sorter av repressiva sanktioner. Den mest ingripande formen utgörs av straff. Straffsanktioner bör dock an- vÀndas i sista hand och endast om det inte finns nÄgon annan sank- tion som Àr tillrÀckligt effektiv (jfr Europeiska unionens rÄd, doku- ment 16542/3/09).
I mÄnga fall utgörs sanktioner av ekonomiska sÄdana. Böter, företagsbot, sanktionsavgifter och vite Àr alla olika former av eko- nomiska sanktioner.
Böter Àr en straffrÀttslig pÄföljd, som kan ÄlÀggas genom dom, strafförelÀggande eller förelÀggande av ordningsbot. Företagsbot Àr en sÀrskild rÀttsverkan av brott som Àr avsedd att tillÀmpas vid all- varliga brott i nÀringsverksamhet. Företagsboten har en bestraffande funktion riktad mot nÀringsidkare i vars verksamhet brott har begÄtts.
Med sanktionsavgifter avses sÄdana administrativa avgifter som utgör en ekonomisk sanktion vid sidan av eller i stÀllet för vissa skadestÄnd, vite, böter och förverkande. Avgifterna Àr knutna till vissa bestÀmmelser pÄ ett sÄdant sÀtt att en övertrÀdelse av bestÀm- melsen medför skyldighet att betala avgift till det allmÀnna. Sank- tionsavgifter drabbar den som bedriver den verksamhet inom vars ram övertrÀdelsen har intrÀffat. Skyldigheten att betala avgifterna
412
SOU 2017:57 |
Sanktioner |
ÄlÀggs vanligen med strikt ansvar. BestÀmmelsen i 19 kap. 5 a § ut- lÀnningslagen (2005:716), som anger att transportörer som inte full- gör sin skyldighet att överföra
Vite Àr ett ekonomiskt pÄtryckningsmedel för att fÄ nÄgon att vidta en ÄtgÀrd eller underlÄta nÄgot. Det kan, liksom sanktions- avgifter, anvÀndas mot sÄvÀl fysiska som juridiska personer. Ett vite har alltid anknytning till ett visst förelÀggande eller förbud och riktas mot den i beslutet angivna adressaten. Möjligheten att införa vite gÄr ofta tillbaka pÄ generella regler av nÄgot slag, ofta av förbuds- karaktÀr, men mÄste inte ha den konstruktionen. FörelÀggande och utdömande av vite regleras i lagen (1985:206) om viten (viteslagen).
DÀrutöver finns det en rad
22.3Sanktioner mot lufttrafikföretag
22.3.1Chicagokonventionens bestÀmmelser
Chicagokonventionen, Àven kallad
I annex 9 till konventionen finns bl.a. bestÀmmelser om behand- lingen av API- och
I artikel 3.49 behandlas överföringen av
413
Sanktioner |
SOU 2017:57 |
att stater bör erkÀnna att de
22.3.2JÀmförbara nationella sanktionsbestÀmmelser
Flera olika sanktioner kan, som tidigare angetts, tÀnkas vara möjliga att anvÀnda gentemot de lufttrafikföretag som inte överför PNR- uppgifter i enlighet med de nationella bestÀmmelser som genomför
Sanktionsavgifter kopplade till transportörsansvaret i utlÀnningslagen
Sedan den 1 juli 2004 finns i utlÀnningslagen regler om en transportörs ansvar för att kontrollera att en utlÀnning, som denne transporterar till Sverige direkt frÄn en stat som inte omfattas av Schengenkon- ventionen, innehar pass och de tillstÄnd som krÀvs för att resa in i landet (se avsnitt 4.4.2). I 19 kap. 5 § utlÀnningslagen finns bestÀm- melser om ekonomiska sanktioner mot de transportörer som inte uppfyller denna kontrollskyldighet. BestÀmmelsen innebÀr att de transportörer som inte uppfyller sina skyldigheter ska betala en sÀr- skild avgift (sanktionsavgift) om beslut om avvisning har meddelats pÄ grund av att utlÀnningen saknar pass eller de tillstÄnd som krÀvs för inresa och beslutet har vunnit laga kraft eller har verkstÀllts trots att det inte har vunnit laga kraft. Om transportören visar sig ha haft skÀlig anledning att anta att utlÀnningen hade rÀtt att resa in i Sverige ska emellertid nÄgon sÀrskild avgift inte betalas. Detsam-
414
SOU 2017:57 |
Sanktioner |
ma gÀller om det framstÄr som uppenbart oskÀligt att ta ut avgiften. Den sÀrskilda avgiften ska enligt 19 kap. 6 § bestÀmmas till högst 46 000 kronor för varje utlÀnning. FrÄgan om transportören ska be- tala en avgift prövas enligt 19 kap. 7 § av den myndighet som ska verkstÀlla avvisningen. I bestÀmmelsen anges att avgiften ska betalas till Migrationsverket och tillfaller staten. Vidare anges att mÄl om ut- tagande av avgift handlÀggs som allmÀnt mÄl samt att bestÀmmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Beslut om sÀrskild avgift fÄr enligt 14 kap. 14 § ut- lÀnningslagen överklagas hos allmÀn förvaltningsdomstol. Prövnings- tillstÄnd krÀvs vid överklagande till KammarrÀtten.
Sanktionsavgifter enligt genomförandet av
Enligt
Genomförandet av
415
Sanktioner |
SOU 2017:57 |
transportören undgĂ„ detta ansvar. Enligt 19 kap. 6 § ska den sĂ€r- skilda avgiften för varje flygning som har gjorts utan att transpor- tören har fullgjort sin uppgiftsskyldighet bestĂ€mmas till högst 46 000 kronor. FrĂ„gan om transportören ska betala en sĂ€rskild av- gift ska enligt 19 kap. 7 § prövas av Polismyndigheten. Avgiften ska ocksĂ„ betalas dit, men tillfaller staten. Ăven mĂ„l om uttagande av denna avgift handlĂ€ggs som allmĂ€nt mĂ„l och fĂ„r överklagas hos allmĂ€n förvaltningsdomstol. PrövningstillstĂ„nd krĂ€vs vid överklagande till kammarrĂ€tten (14 kap. 14 § utlĂ€nningslagen).
Vite enligt tullagstiftningen
I sÄvÀl polislagen (1984:387) som i tullagstiftningen finns bestÀm- melser om transportörers skyldighet att pÄ begÀran av myndig- heterna lÀmna vissa uppgifter om transporten (se avsnitt 5.2). Om transportföretag inte lÀmnar dessa uppgifter pÄ Tullverkets begÀran, har Tullverket möjlighet att förelÀgga transportföretaget att vid vite lÀmna uppgifterna. BestÀmmelser hÀrom finns i 4 kap. 24 § och 7 kap. 5 § tullagen (2016:253) samt i 21 § lagen (1996:701) om Tullverkets befogenhet vid Sveriges grÀns mot ett annat land inom Europeiska unionen (inregrÀnslagen). Ett sÄdant förelÀggande innebÀr en skyl- dighet för transportföretaget att lÀmna tidigare begÀrda boknings- uppgifter till Tullverket. Till förelÀggandet kopplas ett vite som kan dömas ut om transportföretaget inte lÀmnar de begÀrda uppgifter- na. FörelÀggandet gÀller först nÀr delgivning har skett. Vitesbeloppet faststÀlls av Tullverket och ska enligt 3 § viteslagen uppgÄ till ett belopp som med hÀnsyn till vad som Àr kÀnt om adressatens ekono- miska förhÄllanden och till omstÀndigheterna i övrigt kan antas förmÄ honom att följa det förelÀggande som förenats med vitet. Om transportföretaget inte följer förelÀggandet om att lÀmna bok- ningsuppgifter till Tullverket ska verket ansöka hos Förvaltnings- rÀtten i Stockholm om att fÄ vitet utdömt.
416
SOU 2017:57 |
Sanktioner |
Tullverket har endast vid tvÄ tillfÀllen anvÀnt sig av möjligheten att förelÀgga lufttrafikföretag att vid vite lÀmna ut bokningsupp- gifter. Inte nÄgot av fallen har gÄtt vidare till domstol.
Sanktionsavgifter vid övertrÀdelser av regelverket om identitetskontroller vid transporter med buss, tÄg eller passagerarfartyg
Lagen (2015:1073) om sÀrskilda ÄtgÀrder vid allvarlig fara för den allmÀnna ordningen eller den inre sÀkerheten i landet trÀdde i kraft den 21 december 2015. Lagen Àr tillfÀllig och gÀller under tre Är. I lagen ges regeringen eller den myndighet som regeringen bestÀm- mer rÀtt att vid allvarlig fara för den allmÀnna ordningen eller den inre sÀkerheten i landet meddela föreskrifter om identitetskontroller vid transporter som utförs med buss, tÄg eller passagerarfartyg till Sverige frÄn en annan stat. Regeringen fÄr ocksÄ meddela föreskrifter om sanktionsavgifter. Föreskrifterna fÄr gÀlla i högst sex mÄnader i taget. I lagens förarbeten anges att ett system med sanktionsavgift har den fördelen att man uppnÄr en snabb, enkel och kostnadseffektiv hantering av övertrÀdelser av regelverket. Det ansÄgs dÀrför vara lÀmpligt att en sanktionsavgift ska kunna tas ut av den som lÄter bli att utföra identitetskontroller enligt sÄdana föreskrifter som fÄr med- delas med stöd av lagen (se prop. 2015/16:67 s. 17).
Regeringen har vid fyra tillfÀllen beslutat om en förordning med nÀrmare föreskrifter om transportörers skyldighet att utföra iden- titetskontroller vid resor till Sverige frÄn Danmark. Den senaste för- ordningen gÀllde till den 4 maj 2017. Förordningen gÀller dock fort- farande för Àrenden eller mÄl om sanktionsavgift som har inletts innan förordningen upphörde att gÀlla.
Sanktioner pÄ luftfartens omrÄde
I luftfartslagen (2010:500) finns grundlÀggande bestÀmmelser om rÀtt att utöva luftfart inom svenskt omrÄde. Numera finns Àven en rad
I 11 kap. luftfartslagen finns sanktionsbestÀmmelser bestÄende i avgÄngsförbud. Enligt 11 kap. 1 § fÄr Transportstyrelsen eller den
417
Sanktioner |
SOU 2017:57 |
som styrelsen utser förbjuda en flygning och hindra ett luftfartyg frÄn att avgÄ om det, nÀr flygningen ska pÄbörjas, kan antas att luftfartyget inte uppfyller de villkor som anges i luftfartslagen eller som har faststÀllts med stöd av lagen. Detsamma gÀller nÀr andra villkor som faststÀllts för flygningen inte Àr uppfyllda. Den som bryter mot ett beslutat avgÄngsförbud kan dömas enligt 17 kap. 13 § brottsbalken för övertrÀdelse av myndighets bud.
Vidare finns i 11 kap. 2 § luftfartslagen en bestÀmmelse som anger att den som driver en flygplats fÄr hindra ett luftfartygs avgÄng om avgifter för anvÀndningen av flygplatsen och tjÀnsterna för luftfarten, som avser luftfartygets senaste ankomst, uppehÄll och avgÄng, inte har betalats och sÀkerhet inte har stÀllts.
Luftfartslagen innehÄller flera straffbestÀmmelser i dess 13 kap. Dessutom finns en bestÀmmelse om förverkande. Om Àgaren eller nÄgon som Àr i Àgarens stÀlle uppsÄtligen begÄr eller medverkar till vissa brottsliga gÀrningar kan ett luftfartyg enligt 13 kap. 12 § för- klaras förverkat, om det behövs för att förebygga brott eller om det i övrigt finns sÀrskilda skÀl. Detta gÀller dock inte, om förverkande Àr uppenbart oskÀligt.
I 13 kap. 13 § finns vidare en generell bestÀmmelse som anger att ett förelÀggande eller ett förbud som en myndighet meddelar enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen fÄr förenas med vite.
För det fall ett lufttrafikföretag inte uppfyller aktuella regler kan vidare ett meddelat tillstÄnd Äterkallas. Exempelvis anges i 7 kap. 6 § att ett drifttillstÄnd ska Äterkallas om tillstÄndshavaren i vÀsent- lig grad ÄsidosÀtter föreskrifterna eller villkoren för verksamheten. TillstÄndet kan ocksÄ Äterkallas, om det mÄste antas att innehavaren inte kan upprÀtthÄlla verksamheten. I 7 kap. 11 § anges att ett trafik- tillstÄnd fÄr Äterkallas helt eller för viss tid eller begrÀnsas, om till- stÄndshavaren inte iakttar de föreskrifter eller villkor som gÀller för verksamheten, eller det i övrigt finns sÀrskilda skÀl.
En operativ licens kan enligt artikel 9 i EU:s lufttrafikförordning1 Äterkallas tillfÀlligt eller permanent om förordningens krav pÄ eko- nomiska förutsÀttningar inte lÀngre Àr uppfyllda. Detsamma gÀller om lufttrafikföretaget uppsÄtligen eller genom försumlighet förser
1 Europaparlamentets och rÄdets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahÄllande av lufttrafik i gemenskapen.
418
SOU 2017:57 |
Sanktioner |
tillstÄndsmyndigheten med information som Àr felaktig i sak eller om företaget inte lÀngre lever upp till förordningens krav pÄ gott anseende.
22.3.3Sanktioner som tillÀmpas i andra lÀnder
Krav pÄ överföring av
I de gÀllande avtalen mellan EU och USA respektive Australien som reglerar överföringen av
Storbritannien har i sitt nuvarande
Det pÄgÄr för nÀrvarande arbete inom samtliga medlemsstater med att genomföra
419
Sanktioner |
SOU 2017:57 |
22.3.4Valet av sanktionsform
VÄrt förslag: Administrativ sanktionsavgift bör anvÀndas som enda sanktionsform mot lufttrafikföretagen.
VÄra övervÀganden och förslag
AllmÀnna utgÄngspunkter
Som framgÄtt finns sedan tidigare bestÀmmelser i svensk rÀtt som innebÀr skyldigheter för lufttrafikföretag att lÀmna uppgifter om sina transporter till de svenska myndigheterna. I vissa fall kan sanktioner bli tillÀmpliga nÀr dessa bestÀmmelser inte efterlevs. I svensk rÀtt Àr det sÄledes ingen ny företeelse att lufttrafikföretag, sÄvÀl inhemska som utlÀndska, Àr skyldiga att vidta vissa ÄtgÀrder, ibland före ankomst till landet, liksom att underlÄtenhet att genomföra dessa ÄtgÀrder i vissa fall kan resultera i ekonomiska sanktioner.
StraffbestÀmmelser bör inte vÀljas
420
SOU 2017:57 |
Sanktioner |
Ekonomiska sanktioner
SÄvÀl böter som företagsbot förutsÀtter en kriminalisering. Av de ekonomiska sanktionerna faller dÀrmed bÄde böter och företagsbot bort som tÀnkbara sanktionsformer. De möjliga ekonomiska sank- tionsformer som ÄterstÄr utgörs dÀrmed av sanktionsavgifter och vite.
Administrativa sanktionsavgifter anvĂ€nds numera allt oftare. Ăver- gĂ„ngen frĂ„n straffbestĂ€mmelser till bestĂ€mmelser om sanktions- avgifter syftade ursprungligen till att bĂ€ttre utnyttja rĂ€ttsvĂ€sendets resurser och att kunna beivra en del mindre allvarliga och ofta före- kommande övertrĂ€delser effektivare. Ett annat syfte var att skapa en kĂ€nnbar ekonomisk sanktion mot juridiska personer, som inte kan bli föremĂ„l för straffrĂ€ttsliga Ă„tgĂ€rder. Sanktionsavgift kan dĂ€rmed riktas mot det subjekt som tjĂ€nar pĂ„ övertrĂ€delsen eller bĂ€r det största ansvaret för att övertrĂ€delsen begicks. (Jfr SOU 2017:29 s. 498.)
Sanktionsavgifter finns inom en rad omrÄden. De har olika syften och utformning. TillÀmpningsomrÄdet varierar ocksÄ. I vissa fall Àr sanktionsavgift den enda sanktionen för en övertrÀdelse, men i andra fall kan avgift pÄföras vid sidan av eller i stÀllet för straff. BÄde fysiska och juridiska personer kan pÄföras sanktionsavgift. Ofta kan avgiften pÄföras oavsett om reglerna övertrÀtts uppsÄtligen eller av oaktsamhet.
Sanktionsavgifter har bl.a. den fördelen att de medför ett enklare och snabbare beivrande av övertrÀdelser. Att det Àr en myndighet och inte domstol som beslutar om avgiften anses ha betydelse för effek- tiviteten. Det förhÄllandet att myndigheten fattar beslut utifrÄn sin egen utredning medför ocksÄ en resurseffektivitet. Andra myndig- heter behöver dÀrmed inte kopplas in i processen, utom vid över- klagande. (Jfr SOU 2014:83, s. 104 f.)
SÀrskilt i förhÄllande till viten anses sanktionsavgifter vara mer effektiva. AnvÀndning av vite innebÀr ett mer omstÀndligt förfaran- de, eftersom det först mÄste förelÀggas och sedan övertrÀdas för att kunna dömas ut.
Det finns givetvis Àven nackdelar med sanktionsavgifter. Om avgiften Àr satt för lÄgt kan verksamhetsutövaren se avgiften enbart som en kostnad som det gÄr att kalkylera med. I dessa fall bidrar avgiften inte till ökad regelefterlevnad. Att införa system med sanktionsavgifter kan vidare krÀva mer resurser hos myndigheten. Avsaknaden av domstols bedömning av hÀndelseförlopp kan ocksÄ inverka menligt pÄ rÀttssÀkerheten (se prop. 2007/08:107 s. 17 och
421
Sanktioner |
SOU 2017:57 |
SOU 2014:83 s. 104 f.). DomstolsvÀsendet kan, i vart fall inlednings- vis, fÄ fler Àrenden att hantera om sanktionsavgifter införs. Det kan t.ex. rÄda osÀkerhet om nÀr sanktionsavgift ska pÄföras och med vilket belopp innan det finns vÀgledande praxis. Det behöver alltsÄ inte bli en ekonomisk besparing för staten att införa sanktionsav- gifter (SOU 2014:83 s. 106).
I dataskyddsförordningen föreskrivs sanktionsavgifter vid övertrÀ- delse av bestÀmmelserna om personuppgiftsbehandling. Utredningen om 2016 Ärs dataskyddsdirektiv föreslÄr ocksÄ att sanktionsavgifter ska anvÀndas vid övertrÀdelser av brottsdatalagens bestÀmmelser om personuppgiftsbehandling.
Det Àr viktigt att regelverk pÄ snarlika omrÄden Àr enhetligt ut- formade. Reglerna blir dÄ lÀttare att tillÀmpa och mer förutsÀgbara. BestÀmmelserna i
Av regeringens skrivelse Förebygga, förhindra, försvĂ„ra â den svenska strategin mot terrorism (skr. 2014/15:146) framgĂ„r att PNR- systemet bör samordnas med systemet för
Sanktionsavgifter Ă€r dĂ€rtill en snabb och tydlig sanktion â som Ă€ven kan vara kĂ€nnbar ekonomiskt. Risken att pĂ„föras sanktionsav- gifter skulle enligt utredningens bedömning verka avskrĂ€ckande. Sanktionsavgifter synes ocksĂ„ vara mer Ă€ndamĂ„lsenliga Ă€n viten. Sanktionsavgifter bör dĂ€rför enligt vĂ„r mening kunna Ă„lĂ€ggas de luft-
422
SOU 2017:57 |
Sanktioner |
trafikföretag som inte har fullgjort sin överföringsskyldighet enligt
Andra Àn ekonomiska sanktioner bör inte införas
Förutom de ekonomiska sanktionerna finns det andra sanktions- former som skulle kunna anvÀndas mot de lufttrafikföretag som inte överför
Som har angetts ovan bör en enhetlig utformning av bestÀmmel- serna om sanktioner mot lufttrafikföretag efterstrÀvas. Vidare bör sanktionerna, enligt vÄr bedömning, inte riskera att gÄ ut över tredje- man, frÀmst flygresenÀrer. Införandet av ett avgÄngsförbud skulle kunna fÄ konsekvenser för bilaterala luftfartsavtal, varför anvÀnd- ningen av en sÄdan sanktion noga bör övervÀgas innan den införs. Indragande av ett lufttrafikföretags operativa licens synes dÀrtill inte vara möjligt i en situation som den förevarande enligt bestÀmmel- serna i lufttrafikförordningen.
Enligt vÄr mening Àr ekonomiska sanktioner tillrÀckliga för att förmÄ lufttrafikföretagen att fullgöra sin överföringsskyldighet. Först om det i ett senare skede skulle visa sig att de införda sanktionerna inte Àr tillrÀckligt effektiva, bör det övervÀgas om ytterligare sank- tionsformer behöver föras in i svensk rÀtt.
22.3.5NÀr ska sanktionsavgift fÄ anvÀndas?
VÄrt förslag: Sanktionsavgift ska tas ut av de lufttrafikföretag som inte överför
423
Sanktioner |
SOU 2017:57 |
Sanktioner mot lufttrafikföretag som inte överför
Enligt direktivet ska sanktioner trÀffa de lufttrafikföretag som inte översÀnder uppgifter i enlighet med artikel 8 eller som inte överför uppgifterna i det faststÀllda formatet. I artikel 8.3 anges att lufttrafik- företagen som huvudregel ska överföra
En bestÀmmelse som innebÀr att sanktionsavgift ska tas ut av luft- trafikföretag som inte fullgör sina skyldigheter motsvarar liknande bestÀmmelser om sanktionsavgifter för transportörer i utlÀnningslagen och i det tidigare gÀllande regelverket om identitetskontroller vid transporter med buss, tÄg eller passagerarfartyg. Liksom i dessa för- fattningar bör det finnas en möjlighet att i det enskilda fallet inte ta ut en sÄdan avgift, se nedan i avsnitt 22.3.6.
Enligt vÄrt förslag ska
Inga sanktioner vid utebliven information
Den av oss föreslagna regleringen innehÄller en bestÀmmelse om att lufttrafikföretag ska informera sina passagerare om överföringen av
424
SOU 2017:57 |
Sanktioner |
skÀlen till överföringen som följer endast av vÄrt lagförslag. För det fall
Visserligen kan det ses som grundlÀggande att passagerarna in- formeras fullt ut om överföringen om
22.3.6Utformningen av sanktionsavgiftssystemet
Enligt direktivet ska medlemsstaterna vidta de ÄtgÀrder som krÀvs för att sÀkerstÀlla att de sanktioner som införs ocksÄ genomförs. Det finns i dag inga generella förfaranderegler för handlÀggningen av sanktions- avgifter. Regeringen har dock meddelat riktlinjer för hur sanktions- avgifter ska utformas och anvÀndas (se prop. 1981/82:142 s. 24 f.). SÄdana riktlinjer följer Àven av internationella Ätaganden.2 Vid utform- ningen av sanktionsavgiftssystemet bör bestÀmmelserna utformas i
2 Se t.ex. EuroparÄdets rekommendation nr R (91) om administrativa sanktionsavgifter.
425
Sanktioner |
SOU 2017:57 |
linje med hur sÄdana avgifter utformats inom andra rÀttsomrÄden och de rÀttssÀkerhetskrav som stÀlls pÄ sanktionsavgift bör fÄ genomslag. Det innebÀr att sanktionsavgiftssystemet bör regleras i lag och att det av den bör framgÄ nÀr, hur och av vem sanktionsavgift fÄr tas ut. Systemet ska ocksÄ vara förutsÀgbart. Det ska Àven möta kravet pÄ rimlig handlÀggningstid, domstolsprövning och en rÀttssÀker process. (Jfr SOU 2017:29 s. 504.)
Ska sanktionsavgift alltid tas ut?
VÄrt förslag: Regleringen av sanktionsavgifter ska bygga pÄ strikt ansvar.
Syftet med att införa administrativa sanktionsavgifter Àr att erhÄlla ett förenklat och effektivt sanktionsavgiftssystem. Som tidigare framgÄtt Àr det en förutsÀttning att sanktionsavgiftssystemet om- fattar övertrÀdelser av bestÀmmelser som typiskt sett Àr klara och tydliga och att övertrÀdelserna i normalfallet inte krÀver nÄgon mer ingÄende utredning. PÄ sÄ sÀtt kan en övertrÀdelse leda till en snabb reaktion frÄn samhÀllet i form av en avgift. En avgiftsskyldighet som bygger pÄ strikt ansvar bidrar till en förenkling och effektivisering av sanktionssystemet. Bedömningsinslaget blir betydligt mindre Àn om det för ansvar skulle krÀvas oaktsamhet eller uppsÄt.
Sanktionsavgiftssystem utformas som huvudregel med strikt an- svar. I
Att ansvaret Àr strikt utesluter inte att myndigheten fÄr avgöra om en övertrÀdelse Àr sÄ allvarlig att sanktionsavgift bör tas ut. Strikt ansvar innebÀr endast att uppsÄt eller oaktsamhet inte krÀvs för att sanktionsavgift över huvud taget ska tas ut.
LagrÄdet har uttalat att skrivningar om att avgiftsskyldigheten bygger pÄ strikt ansvar inte bör tas med i författningstext. I mot-
426
SOU 2017:57 |
Sanktioner |
sats till vad som gÀller för straffbestÀmmelser finns det nÀmligen inte nÄgot formellt krav pÄ uppsÄt eller oaktsamhet för att besluta om sanktionsavgift (se prop. 2012/13:55 s. 142). Vi ser dÀrför inget skÀl att införa en sÄdan bestÀmmelse.
Avgiftens storlek
VÄrt förslag: Avgiften ska uppgÄ till minst 20 000 kronor och högst 100 000 kronor för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet.
Ett effektivt sanktionsavgiftssystem innebÀr att sanktionsavgift ska kunna pÄföras frekvent och kort tid efter det att övertrÀdelsen Àgt rum. För att uppfylla grundlÀggande rÀttssÀkerhetskrav krÀvs det ocksÄ att systemet Àr förutsebart. Ett sÄdant system kan Ästad- kommas endast om det Àr enkelt att avgöra med vilket belopp som avgiften ska pÄföras vid varje enskilt tillfÀlle. Detta innebÀr att av- giften i viss mÄn fÄr faststÀllas schablonmÀssigt.
UnderlÄtenhet att överföra
Den transportör som inte har fullgjort sin kontrollskyldighet enligt det tidigare gÀllande regelverket om identitetskontroller vid transporter med buss, tÄg eller passagerarfartyg, ska betala en sank- tionsavgift om 50 000 kronor per transporttillfÀlle. Sanktionsavgiften Àr sÄledes pÄ förhand bestÀmd till ett visst belopp. Dock finns det möjlighet för myndigheten att sÀtta ned avgiften eller avstÄ frÄn att ta ut den om det finns sÀrskilda skÀl för det.
Det Àr vÄr bedömning att de möjliga sanktionsavgifterna vid under- lÄtenhet att överföra
427
Sanktioner |
SOU 2017:57 |
gÀller i dag vid underlÄten överföring av
Avgifter som motsvarar eller ligger i nÀrheten av maximibelop- pet Àr avsedda för de allvarligare fallen. Det kan röra sig om uppre- pade övertrÀdelser eller fall som rör ett stort antal passagerare och dÀr ingen rimlig förklaring finns till att de aktuella uppgifterna inte har lÀmnats. I övriga fall bör en lÀgre avgift kunna faststÀllas. Direk- tivets föreskrift om att sanktionerna ska vara effektiva, proportio- nella och avskrÀckande ska dock alltid beaktas.
Sanktionsavgiften bör kunna sÀttas ned helt eller delvis
VÄrt förslag: Sanktionsavgiften fÄr sÀttas ned helt eller delvis om övertrÀdelsen Àr ursÀktlig eller om det annars med hÀnsyn till omstÀndigheterna skulle vara oskÀligt att ta ut avgiften.
Lufttrafikföretagen kommer normalt sett ha möjlighet att lÀmna uppgifter i enlighet med direktivets bestÀmmelser. Det kan emellertid finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin överföringsskyldighet. Det kan t.ex. vara sÄ att det har skett ett tek- niskt fel vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tÀnkt att anlÀnda till Sverige ovÀntat ha omdirigerats hit. Det kan sÄledes finnas situationer dÀr det bedöms oskÀligt att ta ut en sÀrskild avgift för att lufttrafikföretaget inte har överfört sina PNR- uppgifter. Det behöver dÀrför i lagen finnas en möjlighet att i sÄdana
428
SOU 2017:57 |
Sanktioner |
situationer sÀtta ned avgiften helt. Detta följer av vÄra Ätaganden enligt Chicagokonventionen. Vidare bör det i vissa situationer finnas möjlighet att jÀmka en avgift. SÄ kan t.ex. vara fallet nÀr en övertrÀ- delse av nÄgon orsak bedöms vara ursÀktlig.
SÄledes bör det i lagen införas en bestÀmmelse om att sanktions- avgiften fÄr sÀttas ned helt eller delvis om övertrÀdelsen Àr ursÀktlig eller om det annars med hÀnsyn till omstÀndigheterna skulle vara oskÀligt att ta ut avgiften.
22.3.7Förfarandet vid beslut om sanktionsavgift
Som tidigare har angetts finns det inte nÄgra generella förfarande- regler för handlÀggningen av sanktionsavgifter. Detta regleras i stÀllet vanligtvis i de författningar som föreskriver att sÄdana avgifter ska kunna pÄföras.
Vi har tidigare angett att bestÀmmelserna om sanktioner mot luft- trafikföretag enligt
Utredningen om 2016 Ärs dataskyddsdirektiv föreslÄr, som tidigare framgÄtt, ocksÄ ett system med sanktionsavgifter, som ska anvÀndas vid övertrÀdelser av brottsdatalagens bestÀmmelser om personupp- giftsbehandling. I brottsdatalagen och i den tillhörande förordningen finns sÄledes bestÀmmelser som hanterar förfarandet vid beslut om sanktionsavgifter. De föreslagna förfarandereglerna i brottsdatalagen och den tillhörande förordningen motsvarar enligt vÄr mening de rÀttssÀkerhetskrav som kan stÀllas. Regleringen synes vÀl avvÀgd och fÄr anses vara förutsÀgbar.
VÄrt förslag till lag om flygpassageraruppgifter i brottsbekÀmp- ningen kommer att utgöra en sektorspecifik sÀrreglering i förhÄllande till brottsdatalagen i den mÄn vÄr lag ocksÄ utgör en dataskydds- reglering. Dock utgör vÄr lag Àven en verksamhetsreglering som i den aktuella frÄgan ÄlÀgger lufttrafikföretagen vissa skyldigheter att över- föra
429
Sanktioner |
SOU 2017:57 |
göra, snarare tvÀrtom. Lufttrafikföretagen utgör inte heller sÄdana behöriga myndigheter med brottsbekÀmpande uppgifter som brotts- datalagen uteslutande Àr tillÀmplig för. För lufttrafikföretagens per- sonuppgiftsbehandling blir i stÀllet dataskyddsförordningen med an- slutande reglering tillÀmplig.
Av systematiska skÀl vore det dÀrför olÀmpligt att, nÀr det gÀller frÄgan om sanktioner mot lufttrafikföretag, hÀnvisa till de förfarande- regler som anges i brottsdatalagen och den tillhörande förordningen. Inte heller vore det lÀmpligt att hÀnvisa till bestÀmmelserna i data- skyddsförordningen eller den lagstiftning som kommer att innehÄlla till dataskyddsförordningen kompletterande bestÀmmelser. NödvÀn- diga förfaranderegler fÄr i stÀllet föras in i den av oss föreslagna regleringen.
Ansvarig myndighet
VÄrt förslag: Polismyndigheten ska besluta om sanktionsavgift.
Beslut om sanktionsavgift fattas normalt av en tillsynsmyndighet eller en domstol. Som tidigare har angetts Àr dock ett av syftena med anvÀndandet av sanktionsavgifter just att man inte ska behöva gÄ vÀgen via en domstol för att kunna anvÀnda sanktionen.
Transportstyrelsen utövar tillsyn över lufttrafikföretagen. Det Àr ocksÄ den myndigheten som beslutar om sanktionsavgifter vid övertrÀdelser av regelverket om identitetskontroller vid transporter med buss, tÄg eller passagerarfartyg. Transportstyrelsens tillsyn över lufttrafikföretagen innebÀr dock frÀmst att myndigheten övervakar och kontrollerar att krav och regelverk följs av dem som fÄtt ett visst tillstÄnd. Det kan inte sÀgas ingÄ i Transportstyrelsens nor- mala uppdrag att kontrollera att lufttrafikföretagen överför PNR- uppgifter till brottsbekÀmpande verksamhet.
Om ett lufttrafikföretag inte uppfyller sin överföringsskyldighet enligt vÄr lag kommer det att vara Polismyndigheten genom enheten för passagerarinformation som upptÀcker detta. Polismyndigheten Àr ocksÄ den myndighet som enligt dagens system prövar om sank- tionsavgift ska betalas av ett lufttrafikföretag som inte har överfört sina
430
SOU 2017:57 |
Sanktioner |
Krav pÄ effektivitet och rÀttssÀkerhet mÄste balanseras mot varan- dra vid utformningen av ett system om sanktionsavgifter. Om upp- giften att besluta om sanktionsavgift lÀggs pÄ Polismyndigheten Àven enligt
Enligt vÄr mening talar övervÀgande skÀl för att Polismyndig- heten Àven bör pröva frÄgor om ÄlÀggande av sanktionsavgift enligt
Polismyndighetens beslut om sanktionsavgifter bör fÄ överklagas till allmÀn förvaltningsdomstol (se nedan). PÄ sÄ sÀtt tillgodoses rÀtts- sÀkerhetsaspekterna för den som ÄlÀggs sanktionsavgift.
En sĂ€rskild frĂ„ga Ă€r vem hos Polismyndigheten som bör pröva frĂ„gor om sanktionsavgift. Det har i annat sammanhang ansetts finnas starka skĂ€l â inte minst ur rĂ€ttsĂ€kerhetssynpunkt â som talar mot att samma person som har utrett en eventuell övertrĂ€delse fĂ„r besluta om sanktionsavgift. Det har ansetts viktigt att verksamheten orga- niseras sĂ„ att förtroendet för myndigheten inte riskerar att rubbas. Det har vidare ansetts böra stĂ€llas höga krav pĂ„ den som fĂ„r besluta sanktionsavgift och det har funnits lĂ€mpligt att sĂ„dana beslut bara fĂ„r fattas av ett fĂ„tal personer(se SOU 2017:29 s. 521). Vi delar denna uppfattning. Det kommer dĂ€rmed fordras att enheten för passagerarinformation gör en utredning och rapportering till Polis- myndighetens ledning för beslutsfattande av den som getts behörig- het att företrĂ€da myndigheten i frĂ„ga om sanktionsavgifter. Detta Ă€r dock inget som vi ser anledning att föreslĂ„ regler kring utan det fĂ„r vara en intern angelĂ€genhet för Polismyndigheten.
NÀrmare om handlÀggningen vid Polismyndigheten
VÄra förslag: Innan sanktionsavgift beslutas ska den som an- sprÄket riktas mot ges tillfÀlle att yttra sig. Sanktionsavgift fÄr inte beslutas om den som ska pÄföras avgiften inte har getts tillfÀlle att yttra sig inom tvÄ Är frÄn den dag dÄ övertrÀdelsen Àgde rum.
Att beslutet ska delges den som sanktionsavgiften ska tas ut av kan regleras i förordning.
431
Sanktioner |
SOU 2017:57 |
Innan Polismyndigheten beslutar om sanktionsavgift bör lufttrafik- företaget ges tillfÀlle att yttra sig. Det ger lufttrafikföretaget möj- lighet att anföra omstÀndigheter som kan pÄverka bÄde frÄgan om sanktionsavgift ska tas ut och frÄgan om sanktionsavgiftens storlek. Möjligheten att komma till tals innan beslut fattas i frÄgan Àr en förutsÀttning för materiellt riktiga avgöranden och Àr en viktig rÀttssÀkerhetsfrÄga.
Det bör finnas en bortre grÀns för nÀr en sanktionsavgift fÄr be- slutas. En regel som anger nÀr avgift senast fÄr beslutas, som blir en form av preskriptionsregel, bör dÀrför tas in i vÄr lag. Förfarandet Àr avsett att leda till snabbt beivrande av övertrÀdelser och dessa kan inte anses vara svÄra att upptÀcka. Preskriptionstiden bör dÀr- för sÀttas kort. Enligt vÄr bedömning bör preskriptionstiden uppgÄ till tvÄ Är, vilket motsvarar den Ätalspreskriptionstid som gÀller för brott som kan medföra böter eller fÀngelse i högst ett Är. Motsva- rande preskriptionstid tillÀmpas t.ex. vid uttagande av sanktionsav- gift frÄn transportörer enligt regelverket om identitetskontroller vid transporter med buss, tÄg eller passagerarfartyg.
UtgÄngspunkten Àr att avgiften ska betalas kort tid efter beslutet. Polismyndighetens beslut bör dÀrför av rÀttssÀkerhetsskÀl delges lufttrafikföretaget. Denna frÄga bör kunna regleras i förordning.
RÀtt att överklaga
VÄra förslag: Polismyndighetens beslut om sanktionsavgift fÄr överklagas till allmÀn förvaltningsdomstol. Vid överklagande till kammarrÀtten krÀvs prövningstillstÄnd.
Ett beslut om att pÄföra sanktionsavgift bör kunna prövas av dom- stol. Den som har Älagts sanktionsavgift bör ha rÀtt att överklaga beslutet. Enligt kommittédirektiven bör ett sanktionssystem vara upp- byggt enligt den struktur som redan gÀller i dag, som innebÀr att en myndighets beslut om sanktioner kan överklagas till allmÀn förvalt- ningsdomstol.
Det bör i vÄr lag införas en bestÀmmelse som anger att Polismyn- dighetens beslut om sanktionsavgift fÄr överklagas till allmÀn förvalt- ningsdomstol. Av regeln bör framgÄ att det vid överklagande till kam-
432
SOU 2017:57 |
Sanktioner |
marrÀtten krÀvs att domstolen fattar ett beslut om att bevilja pröv- ningstillstÄnd för att klaganden ska fÄ sitt överklagande prövat i sak.
Betalning och verkstÀllighet
VÄra förslag: Sanktionsavgifter ska tillfalla staten. I förordning ska det bl.a. regleras att en sanktionsavgift ska betalas till Polismyn- digheten, nÀr en sanktionsavgift ska betalas och vad som gÀller vid indrivning.
Polismyndighetens beslut om sanktionsavgift bör gÀlla som en dom och vara verkstÀllbar. Genom en sÄdan lösning skapas förutsÀtt- ningar för en effektiv och snabb handlÀggning.
Sanktionsavgiften bör som brukligt tillfalla staten. Denna frÄga bör regleras i lagen.
Betalningen bör göras inom 30 dagar frÄn det att beslutet fick laga kraft. Betalningen sker lÀmpligen till Polismyndigheten.
Ett beslut om sanktionsavgift bör fÄ lÀmnas till indrivning efter sista betalningsdagen. BestÀmmelser om indrivning finns i lagen om indrivning av statliga fordringar m.m. Vid indrivning fÄr verkstÀllig- het ske enligt utsökningsbalken.
PÄ samma sÀtt som det bör anges en tidpunkt för nÀr sanktions- avgift inte lÀngre fÄr pÄföras, bör det ocksÄ finnas en bortre grÀns för nÀr ett beslut om sanktionsavgift fÄr verkstÀllas. NÀr beslutet om sanktionsavgift fÄtt laga kraft bör beslutet verkstÀllas inom fem Är. Om sÄ inte blir fallet bör avgiften falla bort till den del den inte har betalats. Dessa frÄgor kan regleras i förordning.
22.4Sanktioner vid felaktig behandling av
22.4.1Dagens sanktionssystem vid felaktig behandling av personuppgifter
I personuppgiftslagen finns flera bestÀmmelser som innehÄller sank- tioner mot den som behandlar personuppgifter i strid med lagen. Genom dessa bestÀmmelser genomförs artikel 24 i det nu gÀllande
433
Sanktioner |
SOU 2017:57 |
dataskyddsdirektivet. Artikeln i direktivet överlÄter till medlems- staterna att vÀlja sanktioner.
Personuppgiftslagen innehĂ„ller dels regler om straffansvar (49 §), dels regler som ger tillsynsmyndigheten rĂ€tt att vid vite förbjuda behandling pĂ„ annat sĂ€tt Ă€n genom lagring (44 och 45 §§). Det finns Ă€ven en möjlighet för tillsynsmyndigheten att hos domstol ansöka om att personuppgifter som behandlats pĂ„ ett olagligt sĂ€tt ska utplĂ„nas (47 §). Ăven möjligheten att begĂ€ra skadestĂ„nd brukar ses som en del av sanktionssystemet. I förarbetena till personuppgiftslagen fram- höll regeringen att de huvudsakliga sanktionerna mot personupp- giftsansvariga som inte följer lagen Ă€r skadestĂ„nd och vite. Dessa sank- tioner ansĂ„gs effektiva och i stort sett tillrĂ€ckliga (jfr prop. 1997/98:44 s. 104 f.).
22.4.2Administrativa sanktionsavgifter enligt brottsdatalagen
Ăven det nya dataskyddsdirektivet överlĂ„ter till medlemsstaterna att vĂ€lja sanktioner. Enligt brottsdatalagen ska tillsynsmyndigheten, pĂ„ liknande sĂ€tt som i dag, ha befogenheter att tillgripa olika medel för det fall personuppgifter behandlas i strid med lag eller annan för- fattning. Befogenheterna ska ses som en trappa som ger tillsynsmyn- digheten möjlighet att successivt anvĂ€nda olika medel och dĂ€rigenom stegra pĂ„tryckningarna mot den som inte sjĂ€lvmant rĂ€ttar sig efter myndighetens anvisningar. Befogenheterna strĂ€cker sig frĂ„n rĂ„dgiv- ning och omfattar Ă€ven möjligheten att meddela förelĂ€gganden och besluta om förbud mot fortsatt behandling. Dessa lindrigare befogen- heter behandlas i vĂ„rt avsnitt 21 om tillsyn. I sista hand har tillsyns- myndigheten en möjlighet att besluta om sanktionsavgift.
Enligt brottsdatalagen ska sanktionsavgifter fĂ„ tas ut av person- uppgiftsansvariga och i vissa fall av personuppgiftsbitrĂ€den. Denna reglering Ă€r införd i 6 kap. BDL. Sanktionsavgifter ska fĂ„ tas ut vid övertrĂ€delse av de bestĂ€mmelser om behandling av personuppgifter i brottsdatalagen som anses viktigast för att vĂ€rna enskildas integ- ritet, som innehĂ„ller de grundlĂ€ggande reglerna om hur personupp- gifter fĂ„r behandlas och som â om de inte efterlevs â riskerar att leda till allvarliga krĂ€nkningar av registrerades integritet. Sanktions- avgift föreslĂ„s Ă€ven fĂ„ tas ut vid underlĂ„tenhet att bistĂ„ tillsyns-
434
SOU 2017:57 |
Sanktioner |
myndigheten eller att rÀtta sig efter förelÀgganden eller beslut som myndigheten meddelat. (1 och 2 §§.)
För allvarliga övertrÀdelser ska, enligt 3 §, sanktionsavgiften upp- gÄ till minst 50 000 kronor och högst 20 000 000 kronor. För mindre allvarliga övertrÀdelser ska avgiften uppgÄ till minst 25 000 kronor och högst 10 000 000 kronor. Om flera bestÀmmelser har övertrÀtts genom samma personuppgiftsbehandling, eller om en eller flera bestÀmmelser har övertrÀtts genom sammankopplade personupp- giftsbehandlingar, ska sanktionsavgiften kunna bestÀmmas efter övertrÀdelsernas allvar. Sanktionsavgiften fÄr dock aldrig överstiga maximibeloppet för den allvarligaste övertrÀdelsen.
Till mindre allvarliga övertrĂ€delser rĂ€knas att tillgĂ„ngen till per- sonuppgifter inte har begrĂ€nsats internt. Enligt Utredningen om 2016 Ă„rs dataskyddsdirektiv Ă€r risken för krĂ€nkning av den enskildes integritet dĂ„ mindre Ă€n om uppgifterna sprids utanför verksamheten eller behandlas otillĂ„tet pĂ„ annat sĂ€tt. Till mindre allvarliga övertrĂ€- delser bör enligt utredningen ocksĂ„ rĂ€knas underlĂ„tenhet att anmĂ€la eller dokumentera personuppgiftsincidenter. Ăven en underlĂ„tenhet att göra en konsekvensbedömning eller att inleda ett förhandssamrĂ„d med tillsynsmyndigheten anses som mindre allvarlig. Ăvriga över- trĂ€delser, som utgör den övervĂ€gande majoriteten av de övertrĂ€delser som enligt förslaget kan leda till sanktionsavgift, ska rĂ€knas som allvarliga övertrĂ€delser. (Se SOU 2017:29 s. 515.)
Strikt ansvar ska gÀlla för övertrÀdelserna. Avsikten med övertrÀ- delserna ska dock vÀgas in nÀr tillsynsmyndigheten övervÀger frÄgan om sanktionsavgift ska pÄföras och bestÀmmer dess storlek. Vid bedömningen av om sanktionsavgift ska tas ut och till vilket belopp sanktionsavgiften ska bestÀmmas, ska, enligt 4 §, sÀrskild hÀnsyn Àven tas till vilken skada, fara eller krÀnkning som övertrÀdelsen inneburit, dess karaktÀr, svÄrhetsgrad och varaktighet och vad den person- uppgiftsansvarige eller personuppgiftsbitrÀdet gjort för att begrÀnsa skadan. Om den personuppgiftsansvarige eller personuppgiftsbitrÀdet tidigare Älagts sanktionsavgift ska det vÀgas in.
Sanktionsavgiften fÄr sÀttas ned helt eller delvis om övertrÀdel- sen Àr ursÀktlig eller om det annars med hÀnsyn till omstÀndighet- erna skulle vara oskÀligt att ta ut avgiften (5 §).
Det Àr tillsynsmyndigheten som ska besluta om sanktionsavgift (6 §). Sanktionsavgiften ska som brukligt tillfalla staten. Den som ska pÄföras sanktionsavgift ska ges tillfÀlle att yttra sig innan till-
435
Sanktioner |
SOU 2017:57 |
synsmyndigheten fattar sitt beslut (7 §). Beslutet fÄr överklagas till allmÀn förvaltningsdomstol (7 kap. 4 §).
I brottsdataförordningen finns ytterligare förfaranderegler om delgivning, betalning, verkstÀllighet, preskription och Äterbetalning.
Enligt utredningens förslag ska övertrÀdelser av reglerna om per- sonuppgiftsbehandling i brottsdatalagen inte medföra straffrÀttsliga pÄföljder, utöver vad som gÀller enligt brottsbalken. Vite föreslÄs inte heller anvÀndas i brottsdatalagen.
22.4.3Sanktionsavgiftssystemet i brottsdatalagen bör anvÀndas
VÄra förslag: Administrativ sanktionsavgift fÄr tas ut av person- uppgiftsansvariga myndigheter vid övertrÀdelser av de bestÀm- melser i lagen som har till syfte att skydda enskildas integritet.
Vid bestÀmmande av sanktionsavgiftens storlek och i hand- lÀggningsfrÄgor ska sanktionsavgiftssystemet i brottsdatalagen och den tillhörande förordningen tillÀmpas. Beslut om sanktions- avgift kan överklagas till allmÀn förvaltningsdomstol enligt 7 kap. 4 § BDL.
VÄra övervÀganden och förslag
AllmÀnna utgÄngspunkter
Som tidigare har framgÄtt innehÄller
436
SOU 2017:57 |
Sanktioner |
mation exempelvis inte gallrar
Utredningen om 2016 Ärs dataskyddsdirektiv har föreslagit att administrativa sanktionsavgifter ska anvÀndas mot den som be- handlar personuppgifter i strid med vissa nÀrmare bestÀmmelser i brottsdatalagen. Det finns stora effektivitetsvinster med att an- vÀnda sig av samma sanktionssystem i vÄr lag som i den föreslagna brottsdatalagen. PÄ sÄ sÀtt undviks införandet av en onödig dubbel- reglering. För de tillÀmpande myndigheterna vore det ocksÄ av vÀrde om samma sanktioner kan följa pÄ all otillÄten behandling av personuppgifter inom det brottsbekÀmpande omrÄdet. Det sank- tionssystem som föreslÄs av Utredningen om 2016 Ärs dataskydds- direktiv synes dÀrtill vara lÀmpligt och vÀl avvÀgt. NÄgon annan sanktionsmöjlighet Àn sanktionsavgifter föreslÄs inte heller vid över- trÀdelser av bestÀmmelserna om personuppgiftsbehandling pÄ det brottsbekÀmpande omrÄdet. Enligt vÄr mening bör sÄledes sanktions- avgifter anvÀndas Àven vid övertrÀdelser av de bestÀmmelser om personuppgiftsbehandling som genomför
För vilka övertrÀdelser ska sanktionsavgift tas ut?
De bestÀmmelser i vÄr lag som bör föranleda sanktionsavgift Àr som utgÄngspunkt de som innehÄller grundlÀggande regler om hur PNR- uppgifterna fÄr behandlas och som dÀrför fÄr anses viktigast för att vÀrna enskildas integritet. Med det som utgÄngspunkt bör enligt utredningens mening övertrÀdelser av följande skyldigheter föranleda sanktionsavgift.
BestÀmmelsen om att
437
Sanktioner |
SOU 2017:57 |
terroristbrottslighet eller grov brottslighet Àr av sÄ grundlÀggande natur att övertrÀdelser av den bör föranleda sanktionsavgift. Det- samma gÀller för övertrÀdelser av förbudet mot behandling av kÀns- liga personuppgifter.
Vidare bör övertrÀdelser av bestÀmmelserna om hur enheten för passagerarinformation fÄr behandla
De bestÀmmelser som innebÀr att
För det fall det inom enheten för passagerarinformation skulle ske övertrÀdelser av andra tillÀmpliga dataskyddsbestÀmmelser Àn de som anges i vÄr lag, t.ex. bestÀmmelserna i brottsdatalagen, blir de sanktionsbestÀmmelser som anges i de lagarna tillÀmpliga.
Vem ska trÀffas av sanktionsavgift?
En personuppgiftsansvarig bÀr ansvaret inte bara för sin egen per- sonuppgiftsbehandling utan Àven för den behandling ett person- uppgiftsbitrÀde eller nÄgon annan som behandlar personuppgifter pÄ den personuppgiftsansvariges vÀgnar utför, dvs. anstÀllda, personer
438
SOU 2017:57 |
Sanktioner |
som Àr att jÀmstÀlla med anstÀllda (inhyrd personal) eller uppdrags- tagare. För den behandling av
Enligt brottsdatalagen fĂ„r sanktionsavgift tas ut av en person- uppgiftsansvarig. Ăven personuppgiftsbitrĂ€den ska enligt förslaget kunna pĂ„föras sanktionsavgift i vissa fall, dock endast nĂ€r de har uttryckliga skyldigheter som framgĂ„r direkt av författning.
Eventuella personuppgiftsbitrÀden som kan komma att anlitas av enheten för passagerarinformation eller av behöriga myndigheter kommer inte att ha nÄgra uttryckliga skyldigheter enligt vÄr regler- ing. Det Àr dÀrför tillrÀckligt att i vÄr lag ange att sanktionsavgifter kan ÄlÀggas den personuppgiftsansvariga myndigheten. Dock kommer bestÀmmelserna i brottsdatalagen om personuppgiftsbitrÀdens skyl- digheter att vara tillÀmpliga Àven vid enheten för passagerarinfor- mation i förekommande fall.
Storleken pÄ sanktionsavgifterna
Sanktionsavgift kan enligt brottsdatalagen tas ut enligt tvÄ nivÄer; en lÀgre nivÄ vid övertrÀdelser som betraktas som mindre allvarliga och en högre nivÄ vid allvarligare övertrÀdelser. Den högre nivÄn föreslÄs gÀlla för de flesta övertrÀdelser.
Enligt vÄr mening bör övertrÀdelser av samtliga aktuella bestÀm- melser i den av oss föreslagna lagen anses vara sÄ allvarliga att den högre nivÄn enligt brottsdatalagen bör tillÀmpas. Detta gÀller Àven för skyldigheten att internt inom Polismyndigheten begrÀnsa tillgÄngen till
UtgÄngspunkten vid bestÀmmandet av sanktionsavgift Àr den behandling som skett av personuppgifterna. Det Àr möjligt att ett agerande i strid med vÄr lag skulle kunna föranleda sanktionsavgift
439
Sanktioner |
SOU 2017:57 |
enligt sÄvÀl vÄr lag som enligt den mer generella regleringen i brotts- datalagen. Tanken Àr inte att ett sÄdant agerande ska leda till dubbla sanktionsavgifter. Dock bör ett sÄdant agerande kunna föranleda en högre sanktionsavgift. FrÄgan fÄr avgöras frÄn fall till fall av tillsyns- myndigheten.
I övrigt bör brottsdatalagens bestÀmmelser vara tillÀmpliga
BestÀmmelserna om handlÀggningen av sanktionsavgifter i brotts- datalagen och den tillhörande förordningen bör i övrigt vara tillÀmp- liga Àven vid övertrÀdelser av de angivna bestÀmmelserna i vÄr lag. SÀrskilda bestÀmmelser om handlÀggningen behöver dÀrför inte föras in i vÄra författningsförslag. En hÀnvisning till aktuella bestÀmmel- ser i brottsdatalagen och den tillhörande förordningen Àr tillrÀcklig. Dessutom föreslÄr vi att det förs in en upplysning om att det i 7 kap. 4 § BDL föreskrivs att beslut om sanktionsavgifter kan över- klagas till allmÀn förvaltningsdomstol.
440
23BestÀmmelser i direktivet som inte krÀver lagstiftningsÄtgÀrder
VÄr bedömning: Artiklarna 17 och
Det har i tidigare avsnitt framkommit i vilken mÄn de behandlade artiklarna i direktivet bör bli föremÄl för lagstiftningsÄtgÀrder. Vi har dÀr i nÄgra fall gjort bedömningen att vissa bestÀmmelser inte behöver föranleda författningsreglering. DÀrutöver innehÄller direk- tivet artiklar som inte överhuvudtaget behöver omsÀttas i lagstiftning. SÄledes krÀver inte artikel 17 om kommittéförfarande, artikel 19 om översyn, artikel 20 om statistik, artikel 21 om förhÄllandet till andra instrument samt artikel 22 om direktivets ikrafttrÀdande nÄgra lag- stiftningsÄtgÀrder.
441
24 Sekretess
24.1VĂ„rt uppdrag i denna del
Enligt kommittédirektiven ska vi ta stÀllning till om reglerna i offentlighets- och sekretesslagen innebÀr ett tillrÀckligt skydd för de uppgifter som ska utbytas enligt
Vi har tolkat vÄrt uppdrag i denna del pÄ sÄ sÀtt att vi bör be- handla frÄgor om sekretesskydd för
âą
âą
443
Sekretess |
SOU 2017:57 |
Vi har dessutom sett det som en uppgift för oss att behandla frÄgan om det finns behov av sekretessbrytande bestÀmmelser för att möj- liggöra det utbyte av
Som vi tidigare redogjort för behandlar vi inte frÄgor om en- heten för passagerarinformations tillgÄng till register, databaser eller andra informationskÀllor, se avsnitt 10.5. Följaktligen behandlar vi inte heller eventuella behov av sekretessgenombrott för sÄdan infor- mationsinhÀmtning som enheten för passagerarinformation kan komma att vilja göra sedan den börjat arbeta med
24.2Sekretess i brottsbekÀmpande verksamhet m.m.
Uppgifter inom Polismyndighetens, SÀkerhetspolisens, Tullverkets, Ekobrottsmyndighetens och Försvarsmaktens verksamheter om- fattas av bestÀmmelserna i offentlighets- och sekretesslagen. Det- samma gÀller för andra myndigheter som i framtiden kan komma att utses som behöriga myndigheter enligt den nya lagen.
Sekretess gÀller i förhÄllande till sÄvÀl enskilda (fysiska eller juri- diska personer) som andra myndigheter (8 kap. 1 § OSL). Uppgifter som skyddas av sekretess fÄr inte lÀmnas ut till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen. Detsamma gÀller visavi utlÀndska myndigheter. Enligt 8 kap. 3 § OSL fÄr en upp- gift för vilken sekretess gÀller bara röjas för en utlÀndsk myndighet eller en mellanfolklig organisation, om utlÀmnande sker i enlighet med sÀrskild föreskrift i lag eller förordning (punkten 1), eller uppgiften i motsvarande fall skulle fÄ lÀmnas ut till en svensk myn- dighet och det enligt den utlÀmnande myndighetens prövning stÄr klart att det Àr förenligt med svenska intressen att uppgiften lÀmnas till den utlÀndska myndigheten eller den mellanfolkliga organisa- tionen (punkten 2). I bestÀmmelsen görs det ingen skillnad mellan myndigheter i EU:s medlemsstater eller i tredjelÀnder.
Sekretess innebÀr ett förbud att röja en uppgift, vare sig det sker muntligt, genom utlÀmnande av allmÀn handling eller pÄ nÄgot annat sÀtt (3 kap. 1 § OSL). Sekretess innebÀr sÄledes bÄde handlingssekre- tess och tystnadsplikt.
444
SOU 2017:57 |
Sekretess |
De viktigare materiella sekretessbestÀmmelserna
Offentlighets- och sekretesslagen innehÄller en stor mÀngd sekre- tessbestÀmmelser som kan bli tillÀmpliga för aktuella myndigheter. Vissa gÀller generellt för alla myndigheter, t.ex. bestÀmmelserna om utrikes- eller försvarssekretess i 15 kap. 1 och 2 §§ OSL, vilka i detta sammanhang torde vara av sÀrskild relevans för Försvarsmakten. Andra generella bestÀmmelser skyddar kÀnsligare uppgifter om enskilda och finns i 21 kap. OSL. Flertalet sekretessbestÀmmelser har emellertid en avgrÀnsad rÀckvidd som innebÀr att de bara gÀller inom exempelvis viss verksamhet eller vid viss myndighet. I det följande redovisar vi enbart ett urval bestÀmmelser som vi bedömt sÀrskilt relevanta att beröra för de frÄgestÀllningar som behandlas i detta kapitel. Det ska alltsÄ observeras att redovisningen nedan Àr lÄngt ifrÄn fullstÀndig.
Sekretess till skydd för allmÀnna intressen
SekretessbestĂ€mmelser till skydd för intresset av att förebygga eller beivra brott finns i 18 kap. OSL. Enligt 18 kap. 1 § gĂ€ller sekretess för uppgift som hĂ€nför sig till en förundersökning i brottmĂ„l eller angelĂ€genhet som avser anvĂ€ndning av tvĂ„ngsmedel i sĂ„dant mĂ„l eller i annan verksamhet för att förebygga brott. Enligt andra stycket 2 gĂ€ller sekretess Ă€ven för uppgifter som hĂ€nför sig till annan verk- samhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av bl.a. Polismyndigheten, SĂ€kerhetspolisen och Tullverket. Ăven Ă„klagarmyndighet omfattas av bestĂ€mmelsen vilket i sammanhanget innebĂ€r att ocksĂ„ Ekobrottsmyndigheten omfattas av bestĂ€mmelsens rĂ€ckvidd. Det som Ă„syftas med andra stycket 2 Ă€r brottsförebyggande och brottsbeivrande verksamhet i allmĂ€nhet utan anknytning till nĂ„got konkret fall. Sekretessen gĂ€ller exempelvis för uppgifter hĂ€nförliga till spaningsmetoder och för sĂ„dana uppgifter som finns i de register som anvĂ€nds i polisĂ€r verksamhet. För upp- gifter i t.ex. Polismyndighetens verksamhet för att förebygga brott etc. som hĂ€nför sig till underrĂ€ttelseverksamhet ska dock 18 kap. 2 § tillĂ€mpas.1 BestĂ€mmelserna i 18 kap. 1 § har ett rakt skaderekvisit, som har konstruerats sĂ„ att sekretessen gĂ€ller endast om följden av
1 Lenberg m.fl., Zeteo juli 2016, kommentaren till 18 kap. 1 § OSL.
445
Sekretess |
SOU 2017:57 |
att uppgifterna lÀmnas ut kan antas bli att syftet med beslutade eller förutsedda ÄtgÀrder motverkas eller den framtida verksamheten skadas.
Vidare gÀller enligt 18 kap. 2 § sekretess för uppgift som hÀnför sig till bl.a. sÄdan verksamhet som avses i 2 kap. 7 § 1 (förebygga, för- hindra eller upptÀcka brottslig verksamhet) eller 6 kap. 1 § 1 PDL (förebygga, förhindra eller upptÀcka viss slags brottslig verksamhet som innefattar t.ex. terrorbrott). Det polisarbete som Äsyftas Àr i första hand underrÀttelseverksamhet, dvs. arbete med insamling, be- arbetning och analys av information för att förhindra eller upptÀcka brottslig verksamhet nÀr det inte finns konkreta misstankar om att ett visst brott har begÄtts. Polisarbete som Àr inriktat pÄ en redan begÄngen individualiserad gÀrning faller inte in under punkten (se prop. 2009/10:85 s. 318). Sekretessen för uppgifterna enligt bestÀm- melsen i polisdatalagen gÀller enligt 18 kap. 2 § OSL med ett omvÀnt skaderekvisit, vilket innebÀr att uppgifterna inte fÄr lÀmnas ut om det inte stÄr klart att de kan röjas utan att syftet med beslutade eller för- utsedda ÄtgÀrder motverkas eller den framtida verksamheten skadas. Enligt andra stycket 2 gÀller motsvarande sekretess för uppgifter som hÀnför sig till Tullverkets underrÀttelseverksamhet.
Det kan pÄpekas att sekretessen enligt 18 kap. 1 och 2 §§ OSL Àven gÀller hos myndigheter som inte bedriver brottsbekÀmpande verksamhet. Det beror pÄ att sekretessen, enligt paragraferna, avser uppgifter som hÀnför sig till förundersökning och underrÀttelseverk- samhet m.m. som bedrivs av de i paragraferna angivna brottsbekÀm- pande myndigheterna. Sekretessen enligt 18 kap. 1 eller 2 § kan dÀr- med sÀgas, i bildlig mening, följa med nÀr den lÀmnas vidare till en helt annan slags myndighet.
Sekretessen till skydd för brottsbekÀmpande verksamhet gÀller enbart svensk sÄdan verksamhet. DÀrför har en sÀrskild bestÀmmelse, som skyddar utlÀndsk brottsbekÀmpande verksamhet, införts i 18 kap. 17 § OSL. Sekretess gÀller i verksamhet som avser visst rÀttsligt sam- arbete samt utbyte inom ramen för Schengens informationssystem. Regeringen har i en lagrÄdsremiss som beslutades den 4 maj 2017 före- slagit en ny sekretessbestÀmmelse, 18 kap. 17 a §, enligt vilken sekre- tess ska gÀlla hos brottsbekÀmpande myndigheter för uppgift som lÀmnats av ett utlÀndskt organ vid internationellt polisiÀrt samarbete i syfte att förebygga, uppdaga, utreda eller beivra brott, om det kan antas att en förutsÀttning för att uppgiften lÀmnades var att den inte
446
SOU 2017:57 |
Sekretess |
skulle röjas. Syftet med bestÀmmelsen Àr att göra sekretesskyddet för uppgifter som mottas i samarbetet tydligare och mer heltÀckande. LagÀndringen föreslÄs trÀda i kraft den 1 december 2017.
Sekretess till skydd för enskildas intressen
Sekretess till skydd för enskildas personliga och ekonomiska för- hĂ„llanden i sĂ„dan verksamhet som syftar till att förebygga eller beivra brott regleras huvudsakligen i 35 kap. OSL. Med begreppet âenskildaâ avses sĂ„vĂ€l fysiska som juridiska personer.
Sekretessen enligt 35 kap. 1 § OSL skyddar enskilds personliga och ekonomiska förhĂ„llanden i bl.a. förundersökningar, brottsföre- byggande verksamhet och vissa polisiĂ€ra register m.m. Enligt första stycket 4 gĂ€ller sekretess för uppgift i annan verksamhet (annan Ă€n bl.a. förundersökning som regleras i punkten 1) som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs bl.a. av Ă„klagarmyndighet (t.ex. Ekobrottsmyndigheten, se ovan), Polis- myndigheten, SĂ€kerhetspolisen och Tullverket. Genom bestĂ€mmel- sen blir det möjligt att hemlighĂ„lla uppgifter som mera allmĂ€nt hĂ€n- för sig till de i bestĂ€mmelsen upprĂ€knade myndigheternas brottsbe- kĂ€mpande verksamhet. BestĂ€mmelsen Ă€r bl.a. tillĂ€mplig pĂ„ sĂ„dana personregister som förs inom myndigheterna och som inte om- fattas av sĂ€rskilda bestĂ€mmelser (bl.a. punkterna 6, 7 och 10 i denna bestĂ€mmelse och 3 §). Ăven behandling av personuppgifter som inte sker i register omfattas av bestĂ€mmelsen. Enligt punkten 6 gĂ€ller sekretess för uppgifter i register som förs av Polismyndigheten enligt 4 kap. PDL eller som annars behandlas med stöd av de bestĂ€mmel- serna. De register som avses Ă€r register över
BestÀmmelser om sekretess för Polismyndighetens register finns vidare i 35 kap. 3 och 4 §§. I 3 § regleras sekretessen för uppgifter i belastningsregistret. I 4 § regleras sekretessen för ytterligare nÄgra
447
Sekretess |
SOU 2017:57 |
register, bl.a. register över strafförelÀggande och förelÀggande av ordningsbot. Sekretessen enligt sÄvÀl 3 och 4 §§ Àr absolut, dvs. nÄgot skaderekvisit stÀlls inte upp som villkor för sekretessen.
Minimiskyddsregler till skydd för enskildas personliga integritet finns i 21 kap. OSL. I 21 kap. 5 § regleras sekretess för sÀrskilt kÀns- liga uppgifter om utlÀnningar. BestÀmmelsen tar sikte pÄ varje slag av uppgifter som rör utlÀnningar, oavsett i vilket sammanhang upp- gifterna förekommer. För sekretess krÀvs att det kan antas att röjande av uppgiften skulle medföra att nÄgon utsÀtts för övergrepp eller annat allvarligt men. Dessutom fordras att risken för skada ska vara föranledd av förhÄllandet mellan utlÀnningen och utlÀndsk stat eller myndighet eller organisation av utlÀnningar.
SÀrskilt om gÀllande sekretessbestÀmmelser för
Vid genomförandet av
I förarbetena till lagstiftningen om s.k. trÀngselskatt gjordes vissa uttalanden avseende möjligheten att kartlÀgga en persons för- flyttningar in och ut ur ett omrÄde (prop. 2003/04:145 s. 103). Det anfördes bl.a. att det Àr angelÀget att den enskildes integritet vÀrnas sÄ lÄngt det Àr möjligt inom ramen för systemet med trÀngselskatt och att möjligheten att kartlÀgga en persons förflyttningar in och ut ur ett omrÄde som omfattas av trÀngselskatt dÀrför ska förhindras. Mot denna bakgrund gjorde regeringen den bedömningen att det var nödvÀndigt att undanta vissa uppgifter i de aktuella beskattnings- besluten frÄn offentlighet. Dessa var uppgift om vilken betalstation bilen har passerat och om tidpunkten för denna passage. För dessa uppgifter rÄder absolut sekretess.
Vid genomförandet av
448
SOU 2017:57 |
Sekretess |
eller nummer pÄ identitetskort kan anvÀndas för att utröna en passa- gerares namn och födelsedatum, omfattar sekretesskyddet Àven nummer pÄ resehandlingen. (Se prop. 2005/06:129 s. 50 ff.).
Uppgifterna i passagerarregistret betraktades i övrigt typiskt sett som harmlösa. Till detta kom att uppgifterna i det registret ska gallras relativt snabbt om det inte finns sÀrskilda omstÀndigheter. Det ansÄgs dock kunna finnas uppgifter eller sammanstÀllningar som kan miss- brukas eller som i ett sÀrskilt fall kan anvÀndas till skada för den uppgiften rör. Detta ansÄgs sÀrskilt gÀlla uppgifter om enskildas, frÀmst transportörernas, ekonomiska förhÄllanden. Som exempel an- gavs flygplanens belÀggning, vilken kan utlÀsas om uppgifter om det totala antalet passagerare jÀmförs med antalet platser i det aktuella flygplanet. Eftersom det ansÄgs kunna finnas risk för att enskilda lider skada om uppgifter om deras ekonomiska förhÄllanden röjs, infördes en möjlighet att sekretessbelÀgga uppgifter i passagerar- registret till skydd för enskilds förhÄllanden av ekonomisk natur. För dessa uppgifter ansÄgs det tillrÀckligt med en presumtion för offent- lighet dÀr sekretess endast gÀller om det kan antas att den enskilde lider skada om uppgiften röjs. (Se prop. 2005/06:129 s. 50 ff.).
I anlutning till lagen (2006:444) om passagerarregister infördes sÄledes en bestÀmmelse om sekretess för vissa uppgifter i det register som förs enligt lagen. BestÀmmelsen, som numera Äterfinns i 32 kap. 7 § OSL, stadgar att sekretess gÀller i verksamhet som avser förande av eller uttag ur register enligt lagen om passagerarregister för upp- gift om enskilds namn och födelsedatum samt nummer pÄ rese- handling. Sekretessen Àr i denna del absolut. Sekretess gÀller ocksÄ för uppgift om en enskilds ekonomiska förhÄllanden, om det kan antas att den enskilde lider skada om uppgiften röjs. I denna del gÀller sekretessen sÄledes med ett s.k. rakt skaderekvisit.
Sekretessbrytande bestÀmmelser
I offentlighets- och sekretesslagen finns ett flertal bestÀmmelser som möjliggör utbyte av uppgifter mellan myndigheter trots den sekretess som annars gÀller för uppgifterna. MÄnga av generell rÀckvidd finns i
10kap.
Av 10 kap. 2 § OSL framgÄr att sekretessbelagda uppgifter fÄr
lÀmnas frÄn en myndighet till en annan om det Àr nödvÀndigt för att
449
Sekretess |
SOU 2017:57 |
den utlÀmnande myndigheten ska kunna fullgöra sin verksamhet. BestÀmmelsen, som Àr avsedd att tillÀmpas restriktivt, medger inte sekretessgenombrott pÄ den grunden att den mottagande myn- digheten behöver uppgifterna i sin verksamhet.
Enligt 10 kap. 28 § första stycket hindrar sekretess inte att upp- gifter lÀmnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Med lag avses Àven en
Enligt 10 kap. 27 §, den s.k. generalklausulen, gĂ€ller som huvud- regel att en uppgift fĂ„r lĂ€mnas ut till en annan myndighet, om det Ă€r uppenbart att intresset av att uppgiften lĂ€mnas har företrĂ€de fram- för det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som Ă€r av begrĂ€nsat intresse hĂ€r. Har det i en lag eller förordning föreskrivits att uppgifter âbörâ eller âfĂ„râ lĂ€mnas frĂ„n en myndighet till en annan, finns det normalt sĂ€rskild anledning att anse att generalklausulen Ă€r tillĂ€mplig.2 En annan bestĂ€mmelse av generell innebörd Ă€r 12 kap. 1 § OSL enligt vilken sekretess till skydd för enskild inte annat Ă€n i undantagsfall gĂ€ller i förhĂ„llande till den enskilde sjĂ€lv. Samma uppgift om den enskilde kan emellertid skyddas ocksĂ„ av sekretess för ett annat intresse, t.ex. brottsbekĂ€mpningens enligt 18 kap., vilket dĂ„ kan medföra att den enskilde inte har nĂ„gon rĂ€tt att fĂ„ ut uppgiften om sig sjĂ€lv.
I anslutning till offentlighets- och sekretesslagens materiella sekre- tessbestÀmmelser finns inte sÀllan ytterligare sekretessbrytande be- stÀmmelser som gÀller just den aktuella sekretessen i frÄga. En sÄdan Àr 35 kap. 10 § OSL. Av den bestÀmmelsen följer att sekretessen
2 Lenberg m.fl., Zeteo juli 2016, kommentaren till 10 kap. 27 § OSL.
450
SOU 2017:57 |
Sekretess |
enligt 1 § i samma kapitel inte hindrar att en uppgift lÀmnas ut bl.a. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister och polisdatalagen eller förordningar som har stöd i dessa lagar. Denna sekretessbrytande bestÀmmelse har bl.a. införts för att myn- digheterna inte ska behöva förlita sig pÄ en sekretessprövning enligt generalklausulen i 10 kap. 27 § OSL. BestÀmmelsen medför ocksÄ en möjlighet att lÀmna ut uppgifter till enskilda eller till andra stater enligt vad som föreskrivs i de i bestÀmmelsen angivna författningarna (jfr 8 kap. 3 § OSL). En ytterligare i förhÄllande till 35 kap. 1 § sekre- tessbrytande bestÀmmelse Àr 35 kap. 10 a § enligt vilken sekretessen i 1 § inte hindrar att uppgift om en enskild lÀmnas mellan Polismyn- digheten och SÀkerhetspolisen, om den mottagande myndigheten behöver uppgiften i sin brottsbekÀmpande verksamhet.
Ăven hĂ€r kan pĂ„pekas att redogörelsen ovan Ă€r ofullstĂ€ndig.
24.3VÄra övervÀganden
24.3.1Skyddet för
VÄr bedömning: Sekretessregleringen i 18 kap. 1 och 2 §§ samt 35 kap. 1 § första stycket 4 OSL ger ett tillfredsstÀllande skydd för
I
451
Sekretess |
SOU 2017:57 |
att skydda passagerarnas personliga integritet. Bland uppgifterna kan ocksÄ finnas en del skyddsvÀrda ekonomiska uppgifter sÄsom bank- eller kontokortsinformation. LikasÄ kan lufttrafikföretagen, researrangörer och resebyrÄer ha kommersiella intressen av att
För det allmÀnnas intresse av sekretesskydd för den brottsbe- kÀmpande verksamheten torde det stora flertalet
Arbetet vid enheten för passagerarinformation gÄr med ett sam- manfattande ord ut pÄ att informationsförsörja den brottsbekÀmpan- de verksamheten och Àr dÀrmed en del av Polismyndighetens verk- samhet med att förebygga, förhindra, upptÀcka och utreda brott. Som sÄdan Àr det vÄr bedömning att uppgifter som behandlas i
452
SOU 2017:57 |
Sekretess |
sekretess enligt 21 kap. 5 § OSL till skydd för utlÀnningars sÀkerhet, men vi kan inte helt utesluta det i sÀrskilda fall.
NÀr det gÀller sekretessen enligt 18 kap. 1 eller 2 § OSL kan det inte pÄ ett enkelt sÀtt anges om den ena eller andra paragrafen Àr tillÀmplig i olika fall och mycket talar för att bÄda bestÀmmelserna ibland Àr parallellt tillÀmpliga. Enligt vÄr uppfattning kan det bero pÄ den aktuella situationen. SjÀlva lagringen av
Sekretessregleringen inom det brottsbekÀmpande omrÄdet, inte minst nÀr det fÄr internationella inslag, Àr redan i dag relativt kom- plex. Det talar för att inte i onödan föreslÄ ytterligare bestÀmmelser om de som redan gÀller ger ett tillfredsstÀllande sekretesskydd. Det Àr vÄr uppfattning att sÄ Àr fallet nÀr det gÀller sÄvÀl det allmÀnnas intresse av att skydda den brottsbekÀmpande verksamheten som in- tresset av att skydda passagerares integritet och berörda företags kommersiella verksamhet.
Vad gÀller integritetsintresset ser vi sÄledes inte tillrÀckliga skÀl att, sÄsom gjorts betrÀffande vissa andra register, införa nÄgon absolut sekretess för uppgifter i
453
Sekretess |
SOU 2017:57 |
verksamheten enligt 35 kap. 1 §. Sammanfattningsvis menar vi att det inte finns behov av Àndrad sekretessreglering för att skydda PNR- uppgifter hos enheten för passagerarinformation eller annan PNR- information som enheten för passagerarinformation genererar i sitt arbete eller mottar frÄn andra medlemsstater.
24.3.2Skyddet för
VÄr bedömning:
BrottsbekÀmpande myndigheter
Vi har ovan relativt ingÄende redogjort för de sekretessbestÀmmelser som i huvudsak gÀller i aktuell verksamhet vid sÄdana brottsbe- kÀmpande myndigheter som utsetts eller kommer att utses till be- höriga myndigheter. Dessa kommer att fÄ
454
SOU 2017:57 |
Sekretess |
Försvarsmakten
Vad gÀller Försvarsmakten sÄsom behörig myndighet Àr det i verk- samhet inom Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst (Must) som det kan bli aktuellt att motta och anvÀnda
Försvarsmaktens verksamhet inom Must omfattas inte direkt av sekretessregleringen enligt de ovan redovisade bestÀmmelserna i 18 kap. 1 och 2 §§ eller 35 kap. 1 § OSL. DÀremot utgör
Det Àr vidare vÄr uppfattning att Àven sekretessregleringen i 15 kap. 1 § (utrikessekretess) eller 2 § (försvarssekretess) OSL kan omfatta mottagen
För Musts verksamhet finns dÀrutöver en sÀrskild sekretessbestÀm- melse, 38 kap. 4 § OSL, till skydd för enskilds intresse. Enligt bestÀm- melsen gÀller sekretess hos Försvarsmakten i försvarsunderrÀttelse- verksamheten och den militÀra sÀkerhetstjÀnsten i underrÀttelse- och sÀkerhetsverksamheten för uppgift om enskilds personliga eller eko-
455
Sekretess |
SOU 2017:57 |
nomiska förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men. Skaderekvisitet Àr, liksom enligt 35 kap. 1 § OSL, omvÀnt med en presumtion för sekretess. Den bestÀmmelsen kommer att Àven vara tillÀmplig pÄ
Mot bakgrund av ovanstÄende Àr det vÄr uppfattning att PNR- information som överförs till Försvarsmakten sÄsom behörig myn- dighet enligt artikel 7 i direktivet kommer att Ätnjuta ett tillfreds- stÀllande sekretesskydd hos Försvarsmakten.
24.3.3Behövs nya sekretessbrytande bestÀmmelser?
VÄr bedömning: Det uppgiftsutlÀmnande av
Det Ă€r vĂ„r bedömning att skaderekvisiten i bestĂ€mmelserna om sekretess till skydd för den brottsbekĂ€mpande verksamheten normalt inte kommer att âslĂ„ tillâ vid uppgiftsutbytet enligt
456
SOU 2017:57 Sekretess
dighet, utan enbart pÄ andra myndigheter. Enhetens uppgifts- lÀmnande till Polismyndigheten sÄsom behörig myndighet enligt den nya lagen och vice versa Àr en intern överföring inom myndigheten som inte korsar nÄgon sekretessgrÀns eller krÀver stöd i sekretess- brytande bestÀmmelser, se avsnitt 10.4. BetrÀffande SÀkerhetspolisen som mottagande behörig myndighet framgÄr vidare av 35 kap. 10 a § OSL att sekretessen enligt 35 kap. 1 § inte utgör nÄgot hinder för utlÀmnande, se ovan.
Vad betrÀffar andra behöriga myndigheter Àn Polismyndigheten Àr, som tidigare angetts, informationsförsörjning till verksamhet med att bekÀmpa terroristbrottslighet eller grov brottslighet en helt cen- tral uppgift för enheten. Vi bedömer dÀrför att det finns ett tÀnkbart
utrymme |
för |
att den sekretessbrytande bestÀmmelsen i |
10 kap. |
2 § OSL |
om |
nödvÀndigt uppgiftslÀmnande kan tillÀmpas |
vid Ă„t- |
minstone utlĂ€mnande till behöriga myndigheter av trĂ€ffar betrĂ€ffande passagerare som enheten vid sina förhandsbedömningar finner be- höver granskas nĂ€rmare av mottagande behörig myndighet eller be- hörig mottagare i annan medlemsstat eller Europol. Ăven vidare- befordran till behöriga myndigheter av
De bestÀmmelser vi föreslagit i avsnitt
457
Sekretess |
SOU 2017:57 |
Den bryter sekretess oavsett vilken materiell sekretessbestĂ€mmelse som gĂ€ller för en uppgift i frĂ„ga. Det ska dock pĂ„pekas att det ytterst Ă€r enhetens sak â dvs. Polismyndighetens i strikt mening utifrĂ„n sekretesslagstiftningens systematik â att bedöma vilka uppgifter mot- tagaren behöver för den aktuella bekĂ€mpningen avseende terrorist- brottslighet eller grov brottslighet som mottagna uppgifter Ă€r tĂ€nkta att anvĂ€ndas för. SjĂ€lvfallet Ă€r det dĂ€rför inte tillĂ„tet för enheten att med Ă„beropande av uppgiftsskyldighet och 10 kap. 28 § OSL lĂ€mna fler eller andra uppgifter som en mottagande myndighet inte alls verkar behöva. Att sĂ„ inte fĂ„r ske följer emellertid redan av andra bestĂ€mmelser i den föreslagna lagen.
Regleringen i den nya lagen om förutsÀttningarna för att lÀmna ut
Det Àr alltsÄ vÄr samlade bedömning att sekretess inte utgör hinder för det utbyte av information som kommer att vara en integ- rerad del av verksamheten vid enheten för passagerarinformation. Vi ser heller inte skÀl för att tydliggöra detta genom nÄgon upplysande bestÀmmelse i vare sig den nya lagen eller i offentlighets- och sekretes- slagstiftningen. Den typen av tydliggörande kan nÀmligen leda till osÀkerhet om vad som gÀller pÄ andra omrÄden som saknar mot- svarande upplysningsbestÀmmelser.
Vad sÀrskilt gÀller överföring till tredjeland kan avslutningsvis tillÀggas att bestÀmmelserna i
458
25
för den nuvarande regleringen
25.1Nuvarande reglering
Som framgÄtt i avsnitt 5.2 finns det redan i dag bestÀmmelser som innebÀr att
459
SOU 2017:57 |
För Tullverkets del finns det kompletterande bestÀmmelser i 4 kap.
Den kommande tullbrottsdatalagen, som ska trÀda i kraft den 1 juli 2017, innehÄller bestÀmmelser om den vidare behandlingen av bokningsuppgifter vid Tullverket (se prop. 2016/17:91). Enligt 2 kap. 8 § TBL fÄr personuppgifter som har lÀmnats till Tullverket frÄn transportföretag enligt 4 kap. 6 § tullagen eller 15 § inregrÀnslagen behandlas i den utstrÀckning det Àr tillÄtet enligt de lagarna och enbart i den utstrÀckning det behövs för planering av kontroll- verksamheten och urval av kontrollobjekt. Endast om det behövs i ett enskilt fall fÄr sÄdana personuppgifter behandlas Àven för nÄgot av lagens primÀra ÀndamÄl och göras gemensamt tillgÀngliga. I 2 kap. 9 § TBL finns en bestÀmmelse som reglerar hur en sökning bland bokningsuppgifterna fÄr gÄ till.
I detta avsnitt kommer vi att analysera hur bestÀmmelserna om transportföretags skyldighet att lÀmna uppgifter om transporter och om de berörda myndigheternas behandling av dessa uppgifter berörs av genomförandet av
Utöver de ovan nÀmnda bestÀmmelserna regleras i 9 kap. 3
460
SOU 2017:57 |
25.2VÄra övervÀganden och förslag
VÄrt förslag: Det förs i polislagen, tullagen och inregrÀnslagen in bestÀmmelser som innebÀr att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polismyn- digheten, SÀkerhetspolisen och Tullverket inte ska gÀlla nÀr lagen om flygpassageraruppgifter i brottsbekÀmpningen Àr tillÀmplig.
Författningsförslagen berör inte heller samtliga lufttrafikföre- tag. För att omfattas av överföringsskyldigheten enligt den före- slagna lagen fordras nÀmligen att lufttrafikföretagen i sin normala verksamhet samlar och hanterar
För de transportörer som inte omfattas av vÄra författningsför- slag bör bestÀmmelserna i polislagen, tullagen och inregrÀnslagen om transportörers överföring av bokningsuppgifter gÀlla Àven efter det att
461
SOU 2017:57 |
NÀr direktivet Àr genomfört i svensk rÀtt ska de lufttrafikföretag som omfattas av överföringsskyldigheten föra över
Som tidigare har angetts har
Den reglering om inhÀmtande av bokningsuppgifter frÄn trans- portföretag som gÀller i dag uppfyller inte direktivets krav. För det fall det framöver skulle vara möjligt för de brottsbekÀmpande myn- digheterna att, dÄ uppgifterna överförs till enheten för passagerar-
1 Com, Report of the fourth meeting on the implementation of the PNR Directive, 8 March 2017.
462
SOU 2017:57 |
information, Àven hÀmta in dem direkt frÄn lufttrafikföretagen, skulle
En fortsatt möjlighet för de brottsbekÀmpande myndigheterna att, dÄ uppgifterna samlas in av enheten för passagerarinformation, hÀmta in bokningsuppgifter direkt frÄn lufttrafikföretag skulle alltsÄ inte stÄ i överensstÀmmelse med
Med hÀnsyn hÀrtill föreslÄr vi att det i bestÀmmelserna i polislagen, tullagen och inregrÀnslagen om transportföretags skyldigheter att överföra bokningsuppgifter förs in ett tillÀgg som anger att dessa be- stÀmmelser inte ska gÀlla nÀr lagen om flygpassageraruppgifter i brottsbekÀmpningen Àr tillÀmplig. SÄdana tillÀgg kan göras i ett nytt tredje stycke i 25 § polislagen och i 15 § inregrÀnslagen samt i en ny paragraf, 4 kap. 6 a §, i tullagen.
Ytterligare författningsÀndringar bedöms inte nödvÀndiga
Som framgÄtt i avsnitt 8.5 föreslÄr vi att det i de behöriga myndig- heternas allmÀnna registerförfattningar förs in bestÀmmelser som anger att det i den av oss föreslagna lagen och i föreskrifter som meddelats med stöd av den lagen finns bestÀmmelser om person- uppgiftsbehandling som ska tillÀmpas i stÀllet för bestÀmmelserna i aktuell registerförfattning. För Tullverkets del har vi föreslagit en sÄdan bestÀmmelse genom ett tillÀgg i 2 kap. 8 § TBL. Genom att lÀgga bestÀmmelsen i anslutning till den lagens bestÀmmelser om be- handling av bokningsuppgifter som hÀmtas in med stöd av tullagen eller inregrÀnslagen tydliggörs att andra bestÀmmelser ska tillÀmpas för det fall det Àr frÄga om bokningsuppgifter som överförts till Tull- verket frÄn enheten för passagerarinformation eller frÄn en motsva- rande enhet i en annan medlemsstat.
De bokningsuppgifter som Tullverket och övriga behöriga myn- digheter kommer att fÄ tillgÄng till via enheten för passagerarinfor- mation kommer att bestÄ av
463
SOU 2017:57 |
digheten. De bokningsuppgifter som har bedömts sakna intresse för den brottsbekÀmpande verksamheten har sÄledes redan sÄllats bort. NÄgra ytterligare bestÀmmelser om behandling av mottagen PNR- information, motsvarande de som gÀller för bokningsuppgifter enligt 2 kap. 8 och 9 §§ TBL om ÀndamÄls- och sökbegrÀnsningar, bedöms dÀrför inte behöva föras in i tullbrottsdatalagen.
Den
Med hÀnsyn till den föreslagna bestÀmmelsen i tullbrottsdatalagen bedömer vi inte att det behövs föras in nÄgra förÀndringar i tull- förordningen eller inregrÀnsförordningen med anledning av genom- förandet av
464
26 Konsekvenser
26.1Inledning
Förslaget till ny lag om flygpassageraruppgifter i brottsbekÀmpningen och den tillhörande förordningen syftar till att genomföra PNR- direktivet i svensk rÀtt och att uppfylla den överenskommelse som medlemsstaterna har ingÄtt om att direktivet Àven ska tillÀmpas pÄ flygningar inom EU. MÄlen för
Medlemsstaterna ska sÀkerstÀlla att reglerna i direktivet genomförs i nationell rÀtt. Om sÄ inte sker eller om de till följd av direktivet nödvÀndiga anpassningarna av gÀllande rÀtt inte görs, riskerar Sverige att kommissionen inleder ett förfarande om fördragsbrott. Att avstÄ frÄn ett genomförande utgör alltsÄ inte nÄgot alternativ. De förslag som lÀmnas i betÀnkandet Àr enligt vÄr mening nödvÀndiga för att genomföra direktivet och för att uppfylla den nÀmnda överens- kommelsen.
En allmÀn utgÄngspunkt för utredningen har varit att tolka direk- tivets bestÀmmelser snÀvt och pÄ det sÀtt som ger minst utrymme för intrÄng i den personliga integriteten. I den mÄn det har bedömts
1 Se skÀl 5 i
465
Konsekvenser |
SOU 2017:57 |
finnas val- eller tolkningsmöjligheter har vi valt att i anslutning till lÀmnade förslag beskriva alternativa lösningar och motivera varför den valda lösningen har föreslagits. I detta kapitel ges en mer över- gripande och sammanfattande beskrivning av de nya reglernas för- vÀntade konsekvenser.
26.2En effektiv anvÀndning av
VÄr bedömning: Förslagen förvÀntas fÄ positiva konsekvenser för arbetet med att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrottslighet och grov brottslighet.
Förslagen innebÀr införandet av ett system för att samla in PNR- uppgifter och behandla dessa för vissa syften.
För de behöriga myndigheter som i dag anvÀnder sig av PNR- uppgifter kommer
Förslagen innebÀr ocksÄ en stor möjlighet till utbyte av PNR- information mellan medlemsstaterna. SÀrskilt för Polismyndig-
466
SOU 2017:57 |
Konsekvenser |
heten har olika initiativ till utökat samarbete inom EU och med de andra nordiska lÀnderna visat sig ha en positiv effekt. Det gÀller exempelvis det utökade utbytet av
Det nya systemets potential att tidigt hitta passagerare som kan misstÀnkas för inblandning i allvarlig brottslighet bör kunna med- föra att fler sÄdana brott kan förhindras. T.ex. kan en analys av
26.3Konsekvenser för lufttrafikföretagen
VÄr bedömning: Förslagen kommer att belasta lufttrafikföreta- gen arbets- och kostnadsmÀssigt.
Lufttrafikföretagens konkurrensförhÄllanden kommer inte att pÄverkas i nÄgon större omfattning.
De enskilda aktörer som frÀmst berörs av vÄra förslag Àr de lufttra- fikföretag som ÄlÀggs att överföra
467
Konsekvenser |
SOU 2017:57 |
eller fÀrre sÄdana resor.2 Det finns inte nÄgra samlade uppgifter om storleken pÄ de aktuella lufttrafikföretagen. Det kan dock sÀgas att storleken pÄ företagen varierar stort. De minsta charterflygbolagen har endast ett fÄtal anstÀllda medan exempelvis konsortiet SAS har mer Àn 10 000 anstÀllda. Det Àr frÀmst större bolag som bedriver reguljÀr flygtrafik och som arbetar globalt.
Lufttrafikföretagen har förklarat att det frÀmst Àr formen för överföringarna som har betydelse för hur stora kostnader genom- förandet av
Enligt Polismyndighetens berÀkningar Àr cirka 80 flygbolag av den storleken att de kommer att överföra
2 Enligt Transportstyrelsens statistik.
468
SOU 2017:57 |
Konsekvenser |
Dock kommer sjÀlvklart införandet av ett
Enligt lufttrafikföretagens uppskattningar kommer det att ta upp till sex mÄnader att genomföra den första uppkopplingen frÄn ett lufttrafikföretag till en enhet för passagerarinformation. Senare uppkopplingar kommer att ta avsevÀrt kortare tid. SjÀlva överför- ingarna av
Lufttrafikföretagen har redan i dag och kommer Àven enligt data- skyddsförordningen att ha en skyldighet att lÀmna viss information till sina passagerare. Enligt vÄr bedömning kan information om över- föringsskyldigheten till enheten för passagerarinformation lÀmnas tillsammans med denna information, exempelvis pÄ flygbiljetten och/eller via en hemsida. Informationsskyldigheten bör enligt vÄr bedömning endast i försumbar omfattning leda till ytterligare kost- nader.
De kostnader som överföringsskyldigheten innebÀr bör lufttrafik- företagen huvudsakligen kunna överföra pÄ sina kunder. Det Àr sÄ- ledes sannolikt att kostnaderna kommer att lÀggas till biljettpriset. Enligt kommissionens berÀkningar kan överföringsskyldigheten som mest innebÀra att biljettpriserna höjs med mindre Àn 0,10 euro per
3 Se SEC (2011) 133 final, s. 7 f.
469
Konsekvenser |
SOU 2017:57 |
biljett,4 vilket fÄr anses vara en försumbar del av kostnaden för en flygbiljett.
PrivatresenÀrer dominerar utrikesmarknaden. Denna marknad Àr mindre priskÀnslig Àn inrikesmarknaden, bland annat beroende pÄ skillnader i tillgÄng till alternativa fÀrdmedel.5 Det Àr sÄledes osanno- likt att efterfrÄgan pÄ utrikes flygresor kommer att pÄverkas av genomförandet av
VÄrt förslag omfattar inte sÄdana mindre lufttrafikföretag som strukturmÀssigt saknar reservationssystem för behandling av PNR- uppgifter. Det innebÀr att s.k. taxiflyg som utgÄngspunkt inte kommer att omfattas av överföringsskyldigheten enligt lagen, se av- snitt 11.3. NÄgon möjlighet att dÀrutöver, och utöver vad kom- missionen gjort vid antagandet av de gemensamma protokollen och formaten, ta nÄgon sÀrskild hÀnsyn till mindre lufttrafikföretag före- ligger inte.
En utgÄngspunkt i
Med undantag av nÄgra enstaka linjer Àr konkurrensen frÄn land- och sjötransporter obetydlig6 och bedöms inte pÄverkas av vÄra förslag.
Eftersom vi inte föreslÄr nÄgra skyldigheter för resebyrÄer och researrangörer kommer förslagen inte att leda till nÄgra sÀrskilda konsekvenser för dem sÄvitt vi kan bedöma.
4Se a.a. s. 8.
5Se SOU 2016:83 s. 182 f.
6Se t.ex. a.a. s. 69.
470
SOU 2017:57 |
Konsekvenser |
26.4Konsekvenser för staten
VÄr bedömning: Förslagen innebÀr kostnader för Polismyndig- heten kopplade till inrÀttandet av en enhet för passagerarinfor- mation och till drivandet av enheten. Kostnaderna fÄr i nulÀget antas kunna rymmas inom befintliga budgetramar.
Förslagen kan Ă€ven innebĂ€ra kostnader för behöriga myndig- heter, tillsynsmyndigheten och förvaltningsdomstolarna. Ăven dessa kostnader bör rymmas inom befintliga anslagsramar.
Genomförandet av direktivet medför att en enhet för passagerar- information ska byggas upp dit lufttrafikföretagen ska överföra sina
Av direktivets skÀl 14 framgÄr att medlemsstaterna ska betala kostnaderna för anvÀndning, lagring och utbyte av
Arbetet med att införa en enhet för passagerarinformation och genomföra direktivets tekniska delar pÄgÄr parallellt med vÄr utred- ning. Enligt uppgifter frÄn Polismyndigheten har kostnaderna för projektet fram till och med mars 2017 uppgÄtt till cirka 3 miljo- ner kronor. Under resterande delen av Är 2017 berÀknas kostnader- na uppgÄ till omkring 6 miljoner kronor. FrÄn januari 2018 till och
471
Konsekvenser |
SOU 2017:57 |
med december 2020 berÀknar projektledningen att kostnaderna kommer att uppgÄ till
Mycket arbete ÄterstÄr innan
De behöriga myndigheter som kommer att fÄ del av
Förslagen innebÀr vidare att Tullverkets arbete med
472
SOU 2017:57 |
Konsekvenser |
komma att leda till minskade kostnader för den myndigheten i denna del. Som angetts ovan kommer dock sannolikt volymen av PNR- uppgifter som ska kontrolleras att öka pÄ ett sÄdant sÀtt att det inte kommer att bli frÄga om nÄgon generell kostnadsminskning.
En ökad anvÀndning av
Vi bedömer att vÄra förslag i sig inte kommer att medföra sÄ mÄnga tillkommande Àrenden Ärligen att det pÄ grund av detta finns behov av nÄgra resursförstÀrkningar för rÀttsvÀsendet.
NÀr ny lagstiftning införs krÀvs det normalt utbildningsinsatser. Det Àr inte unikt för de förslag som utredningen presenterar utan uppkommer regelmÀssigt i olika lagstiftningsÀrenden. Kostnaderna för utbildning bör rymmas inom befintliga ramar. Ny lagstiftning krÀver normalt ocksÄ nya interna föreskrifter och styrande doku- ment. Det fÄr anses ingÄ i de normala uppgifterna för myndigheterna.
Den tillsynsmyndighet som ska utses enligt det nya dataskydds- direktivet kommer att fÄ ytterligare arbetsuppgifter och dÀrmed ökade kostnader dÄ den Àven ska övervaka behandlingen av
26.5Konsekvenser för enskilda
VÄr bedömning: Förslagen innebÀr att fler
473
Konsekvenser |
SOU 2017:57 |
För allmÀnheten innebÀr den föreslagna regleringen att
Samtliga inskickade
Ur dataskyddssynpunkt kan det nya systemet Àven ses som posi- tivt, eftersom det enbart Àr
Regleringen innehÄller strÀnga krav pÄ hur de överförda PNR- uppgifterna fÄr behandlas hos enheten för passagerarinformation och hos de behöriga myndigheter som senare tar del av uppgifterna.
474
SOU 2017:57 |
Konsekvenser |
digheter, andra medlemsstater, Europol och tredjelÀnder nÀr vissa förutsÀttningar Àr uppfyllda. Regleringen stÀller ocksÄ krav pÄ att
VÄra förslag innebÀr vidare att enskilda kommer att beröras i den utstrÀckning flygbiljetter blir dyrare. Som vi angett ovan förvÀntas dock biljettpriserna öka endast i försumbar omfattning.
26.6Konsekvenser i övrigt
Utredningens bedömning: Förslagen förvÀntas inte fÄ nÄgra andra konsekvenser.
Förslagen fÄr inte nÄgra konsekvenser för kommuner eller landsting generellt eller för den kommunala sjÀlvstyrelsen. Förslagen bedöms inte heller innebÀra nÄgra konsekvenser för jÀmstÀlldheten eller miljön. Enligt utredningens bedömning medför förslagen i betÀnkandet inte heller nÄgra andra konsekvenser av det slag som anges i 15 §§ kommittéförordningen (1998:1474) och som inte kommenteras pÄ andra stÀllen i detta kapitel.
475
27 IkrafttrÀdande
VÄrt förslag: Författningsförslagen ska trÀda i kraft den 25 maj 2018.
Medlemsstaterna ska enligt artikel 18 i direktivet sÀtta i kraft de bestÀmmelser i lagar och andra författningar som Àr nödvÀndiga för att följa direktivet senast den 25 maj 2018. Vid samma tidpunkt kommer dataskyddsförordningen att börja tillÀmpas. Utredningen om 2016 Ärs dataskyddsdirektiv har föreslagit att brottsdatalagen ska börja gÀlla den 1 maj 2018.
Med hÀnsyn till att vÄr reglering har betydelse för aktörer bÄde inom och utom det brottsbekÀmpande omrÄdet bör vÄr reglering lÀmpligen trÀda i kraft tidigast nÀr samtliga de nya dataskyddsbestÀm- melserna i sÄvÀl dataskyddsförordningen som i de författningar som genomför det nya dataskyddsdirektivet har börjat gÀlla. VÄra författ- ningsförslag bör dÀrför trÀda i kraft den 25 maj 2018.
NÄgot behov av ytterligare ikrafttrÀdandebestÀmmelser eller över- gÄngsbestÀmmelser har vi inte identifierat.
477
28 Författningskommentar
28.1Förslaget till lag om flygpassageraruppgifter i brottsbekÀmpningen
1 kap. AllmÀnna bestÀmmelser
Lagens innehÄll
1 §
I paragrafen anges lagens innehÄll. BestÀmmelsen behandlas i av- snitt 9.1.
Första stycket innehÄller en sammanfattande beskrivning av lagens innehÄll. BestÀmmelsen genomför, tillsammans med 5 §, artikel 1 i
I andra stycket anges att lagen genomför Europaparlamentets och rÄdets direktiv (EU) 2016/681 av den 27 april 2016 om anvÀndning av passageraruppgiftssamlingar
1 Se förslag till brottsdatalag i SOU 2017:29.
479
Författningskommentar SOU 2017:57
förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet.
Lagens syfte
2 §
Paragrafen anger lagens övergripande syfte. BestÀmmelsen behand- las i avsnitt 9.1.
Lagens syfte Àr tudelat. Den syftar till att dels ge behöriga myn- digheter tillgÄng till
Definitioner
3 §
I paragrafen, som bl.a. genomför artikel 3, definieras vissa uttryck som anvÀnds i lagen.
Avmaskerade
Avmaskerade
Med avmaskerade
480
SOU 2017:57 |
Författningskommentar |
Behörig mottagare
Behörig mottagare definieras inte i direktivet. Uttrycket behandlas i avsnitt 10.2.
Med behörig mottagare avses samtliga aktörer som Àr behöriga att motta
Behörig myndighet
Definitionen, som genomför artikel 7.2, behandlas i avsnitt 15.2.1. BestÀmmelsen avgrÀnsar vad för slags myndighet som i Sverige
kan utses till en behörig sĂ„dan och hur myndigheten utses. Med att en myndighet Ă€r behörig avses att den Ă€r behörig att ta emot PNR- information frĂ„n enheten för passagerarinformation, antingen efter enhetens förhandsbedömning eller efter sĂ€rskild begĂ€ran enligt lagens bestĂ€mmelser. Ăven andra kan dock komma att ha rĂ€tt att anvĂ€nda
Flygpassageraruppgifter eller
Definitionen motsvarar artikel 3.5 i direktivet och behandlas bl.a. i avsnitt 11.4.3.
481
Författningskommentar SOU 2017:57
Grov brottslighet
Definitionen motsvarar artikel 3.9 i direktivet och behandlas i avsnitt 9.4.
Med grov brottslighet avses sÄdana brott enligt nationell rÀtt i Sverige eller andra medlemsstater som har sin motsvarighet i bilaga II till direktivet och för vilka det ingÄr tre Ärs fÀngelse i straffskalan. För att ett brott ska ses som grovt i denna lags mening ska det sÄledes omfattas av den angivna bilagan och kunna leda till tre Ärs fÀngelse eller mer. Inom det svenska tillÀmpningsomrÄdet faller t.ex. mÀn- niskohandel, vÄldtÀkt, rÄn, grov stöld, narkotikabrott, narkotika- smuggling och grovt vapenbrott.
Definitionen och bilaga II till direktivet har betydelse för att nÀr- mare avgrÀnsa i vilka fall
Det ska observeras att den svenska översÀttningen av bestÀmmel- sen har rÀttats i direktivet genom ett sÀrskilt beslut. Definitionen i 3 § genomför den rÀttade versionen.
Lufttrafikföretag
Definitionen behandlas i avsnitt 11.3 och motsvarar delvis defini- tionen i artikel 3.1.
Med lufttrafikföretag i lagens mening avses sÄdana lufttrafik- företag som har en giltig operativ licens utfÀrdad enligt bestÀmmel- serna i Europaparlamentets och rÄdets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahÄl- lande av lufttrafik i gemenskapen och som ger rÀtt att mot betalning
482
SOU 2017:57 |
Författningskommentar |
och/eller hyra utföra lufttransporter av passagerare. Ăven sĂ„dana lufttrafikföretag som har en motsvarande licens utfĂ€rdad i en stat utanför EU innefattas. För att omfattas av överföringsskyldigheten enligt lagen fordras dĂ€rutöver att lufttrafikföretagen i sin normala verksamhet samlar och hanterar
Maskerade
Maskerade
Med maskerade
Maskering
Definitionen, som avses i artikel 3.10, behandlas i avsnitt 13.3. Genom en maskering görs sÄdana
kan hÀnföras till en fysisk person osynliga, dvs. oÄtkomliga, för den anvÀndare av
Medlemsstat
Definitionen har ingen motsvarighet i direktivet. Uttrycket behand- las i avsnitt 15.3.1.
Med medlemsstat avses sÄdana stater som Àr bundna av direktivet, vilket gÀller samtliga EU:s medlemsstater förutom Danmark.
483
Författningskommentar |
SOU 2017:57 |
Passagerare
Definitionen motsvaras av artikel 3.4 i direktivet. Uttrycket behand- las i avsnitt 11.4.3.
Med passagerare avses alla personer, Àven de i transfer eller transit, som finns upptagna i passagerarförteckningen och dÀrmed trans- porteras eller kommer att transporteras med ett flygplan med luft- trafikföretagets godkÀnnande. BesÀttningsmedlemmar omfattas dock inte. SÄdana operatörsanstÀllda som reser med flygplanet utan att tjÀnstgöra ombord transporteras med lufttrafikföretagets godkÀn- nande och ska stÄ med i passagerarlistan. De omfattas dÀrmed av direktivets definition av passagerare.
Definitionen har ingen motsvarighet i direktivet. Uttrycket behand- las i avsnitt 10.2.
Med
Reservationssystem
Definitionen motsvarar artikel 3.6 i direktivet och behandlas i avsnitt 11.3.
Med reservationssystem avses ett sÄdant elektroniskt system dÀr lufttrafikföretag systematiskt samlar
484
SOU 2017:57 |
Författningskommentar |
Terroristbrottslighet
Definitionen motsvarar artikel 3.8 i direktivet. Den behandlas i av- snitt 9.3.
Med terroristbrottslighet avses i lagen samtliga brott som har införts i eller har ansetts svara mot befintlig nationell rÀtt i Sverige eller andra medlemsstater pÄ grund av de aktuella bestÀmmelserna i rambeslutet och de Àndringar som har genomförts i det beslutet.
Precis som definitionen av grov brottslighet har definitionen av terroristbrottslighet betydelse för att nÀrmare avgrÀnsa i vilka fall
Tredjeland
Tredjeland Àr inte definierat i direktivet. Definitionen tÀcker alla stater som inte Àr medlemsstater i lagens mening och utgÄr alltsÄ frÄn hur en medlemsstat Àr definierad. Danmark Àr sÄledes i lagens mening ett tredjeland. Uttrycket behandlas i avsnitt 17.3.1.
Enhet för passagerarinformation
4 §
I paragrafen behandlas enheten för passagerarinformation. BestÀm- melsen genomför artikel 4.1 och 4.2 i direktivet. Den behandlas i avsnitt 10.2.
I bestÀmmelsen slÄs fast att den nationella enheten för passagerar- information ska vara en enhet inom Polismyndigheten. Den kommer dÀr att ingÄ i den verksamhetsgren som Àgnar sig Ät att förebygga, förhindra, upptÀcka, utreda eller syftar till att lagföra brottslig verk- samhet. Vidare anges enhetens övergripande uppgifter, som Àr att samla in, lagra och behandla
485
Författningskommentar |
SOU 2017:57 |
att
OtillÄten behandling av
5 §
Paragrafen genomför bl.a. artikel 1.2, 7.4 och
I paragrafen föreskrivs ett förbud mot behandling av PNR- information för andra syften Àn att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Para- grafen kan ses som en portalbestÀmmelse som talar om vilken be- handling av
Förbud mot behandling av kÀnsliga personuppgifter
6 §
Paragrafen genomför artikel 13.4 i direktivet. Den behandlas i av- snitt 18.5.
Genom bestÀmmelsen förbjuds behandling av
486
SOU 2017:57 |
Författningskommentar |
Inte heller en behörig myndighet fÄr behandla
Förbudet mot behandling av
2 kap. Lufttrafikföretagens skyldigheter
Ăverföring av
1 §
I bestÀmmelsen behandlas skyldigheten för lufttrafikföretag att överföra
Första stycket innebÀr att lufttrafikföretagen ska överföra PNR- uppgifter inför varje flygning ankommande till eller avgÄende frÄn Sverige. HÀrmed omfattas alla flygningar mellan Sverige och ett annat land, oavsett om det Àr frÄga om ett annat
487
Författningskommentar |
SOU 2017:57 |
förordningen regleras att eventuella
I andra stycket anges att för det fall flera lufttrafikföretag sam- arbetar och har en gemensam linjebeteckning, s.k. code sharing, ska
2 §
Paragrafen genomför delar av artikel 8.3 samt artikel 8.4 i direktivet. Den behandlas i avsnitt 11.4.5.
Av bestÀmmelsen framgÄr att
I andra stycket framgÄr att den senare överföringen fÄr begrÀnsas till uppdateringar och kompletteringar av den information som över- fördes vid det första tillfÀllet. En sÄdan uppdatering kan avse sÄvÀl Àndringar i tidigare lÀmnade
3 §
BestÀmmelsen, som genomför artikel 8.5 i direktivet, behandlas i avsnitt 11.4.6.
Av bestÀmmelsen framgÄr att lufttrafikföretag, utöver vad som anges i 2 §, Àr skyldiga att överföra
488
SOU 2017:57 |
Författningskommentar |
tion som, i praktiken normalt efter framstÀllan frÄn en behörig myndighet, ska bedöma huruvida det i ett enskilt fall Àr nödvÀndigt med tillgÄng till
4 §
BestÀmmelsen genomför delar av artiklarna 8.1 och 8.3 i direktivet. Den behandlas i avsnitt 11.4.7.
Första meningen i bestÀmmelsen anger att
5 §
BestÀmmelsen motsvaras inte av nÄgon bestÀmmelse i direktivet. Den behandlas i avsnitt 11.4.8.
Paragrafen erinrar om att ett lufttrafikföretag har möjlighet att lÄta t.ex. en systemleverantör av ett datoriserat bokningssystem över- föra
489
Författningskommentar |
SOU 2017:57 |
Information till passagerare
6 §
BestÀmmelsen genomför direktivets skÀl 29 och 37. Den behandlas i avsnitt 20.2.4.
Paragrafen innebÀr att lufttrafikföretag vars passagerare berörs av överföringen av
Sanktionsavgift för lufttrafikföretag
7 §
Paragrafen reglerar för vilka övertrÀdelser administrativ sanktions- avgift ska tas ut av ett lufttrafikföretag. Den genomför artikel 14 i direktivet. Paragrafen behandlas i avsnitt 22.3.5.
I paragrafen anges uttömmande vilka övertrÀdelser som kan för- anleda sanktionsavgift. BÄde övertrÀdelser av bestÀmmelser i lagen och bestÀmmelser som har utfÀrdats i anslutning till lagen kan leda till sanktionsavgift. Sanktionsavgift kan t.ex. utgÄ om överföringar inte sker vid de tidpunkter som anges i lagen eller om de görs i ett annat format Àn de som godkÀnts av kommissionen. Polismyndig- heten avgör dock i det enskilda fallet om det Àr pÄkallat att ta ut sanktionsavgift, se 8 § andra stycket.
490
SOU 2017:57 |
Författningskommentar |
Ansvaret för övertrÀdelser Àr strikt. Det krÀvs alltsÄ varken uppsÄt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det Àr tillrÀckligt att en övertrÀdelse har Àgt rum.
8 §
Paragrafen behandlar sanktionsavgiftens storlek. ĂvervĂ€gandena finns i avsnitt 22.3.6.
I första stycket faststÀlls minimi- och maximibelopp för sanktions- avgift. Avgifter som motsvarar eller ligger i nÀrheten av maximi- beloppet Àr avsedda för de allvarligare fallen. Det kan röra sig om upprepade övertrÀdelser eller fall som rör ett stort antal passagerare och dÀr ingen rimlig förklaring finns till att de aktuella uppgifterna inte har lÀmnats. I andra fall bör en lÀgre avgift kunna faststÀllas. Direktivets föreskrift om att sanktionerna ska vara effektiva, pro- portionella och avskrÀckande ska dock alltid beaktas.
I andra stycket föreskrivs att sanktionsavgiften kan sÀttas ned helt eller delvis. Lufttrafikföretagen kommer normalt sett ha möjlighet att lÀmna uppgifter i enlighet med direktivets bestÀmmelser. Det kan emellertid finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin överföringsskyldighet. Det kan t.ex. vara sÄ att det har skett ett tekniskt fel vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tÀnkt att anlÀnda till Sverige ovÀntat ha om- dirigerats hit. Paragrafen ger möjlighet att sÀtta ned sanktions- avgiften, helt eller delvis, om övertrÀdelsen Àr ursÀktlig eller om det annars med hÀnsyn till omstÀndigheterna skulle vara oskÀligt att ta ut avgiften.
9 §
Paragrafen behandlas i avsnitt 22.3.7. I första stycket föreskrivs att Polismyndigheten beslutar om sanktionsavgift. Av andra stycket fram- gÄr att sanktionsavgiften tillfaller staten.
491
Författningskommentar |
SOU 2017:57 |
10 §
Av paragrafen följer att den som avgiften ska tas ut av ska ges tillfÀlle att yttra sig innan Polismyndigheten beslutar om sanktionsavgift. Paragrafen behandlas i avsnitt 22.3.7. Möjligheten att besluta om sanktionsavgift bortfaller om den som avgiften ska tas ut av inte har fÄtt tillfÀlle att yttra sig inom tvÄ Är efter övertrÀdelsen.
11 §
Av bestÀmmelsen, som behandlas i avsnitt 22.3.7, framgÄr att Polis- myndighetens beslut om sanktionsavgift fÄr överklagas till allmÀn förvaltningsdomstol. Vid överklagande till kammarrÀtten krÀvs pröv- ningstillstÄnd.
Föreskrifter
12 §
I bestÀmmelsen upplyses om att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om lufttrafikföre- tagens överföring av
3 kap. Behandling av
1 §
Paragrafen behandlas i avsnitt 13.1. Den genomför bl.a. artikel 12.1 i direktivet.
Genom bestÀmmelsen föreskrivs att det ska finnas en databas för
492
SOU 2017:57 |
Författningskommentar |
avgrÀnsad uppgiftssamling med
Personuppgiftsansvar m.m.
2 §
BestÀmmelsen, som inte motsvaras av nÄgon artikel i direktivet, be- handlas i avsnitt 19.1.3.
BestÀmmelsen Àr av upplysande karaktÀr och anger att det Àr Polis- myndigheten som Àr personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation. Det Àr sÄledes Polismyndigheten som ska ansvara för att sÄdana skyl- digheter som följer av bl.a. denna lag följs i den verksamhet som sker vid enheten för passagerarinformation.
3 §
Paragrafen genomför artikel 6.8 i direktivet. Den behandlas i av- snitt 19.2.4.
BestÀmmelsen innebÀr ett förbud mot att enhetens lagring och annan behandling av
TillÄtna ÀndamÄl
4 §
Paragrafen innehÄller de grundlÀggande ÀndamÄlen för vilka de
BestÀmmelsen ersÀtter de ÀndamÄlsbestÀmmelser som anges i 2 kap. 7 och 8 §§ PDL. Den exkluderar Àven en tillÀmpning av be- stÀmmelsen om behandling av personuppgifter för nya ÀndamÄl i
493
Författningskommentar |
SOU 2017:57 |
2 kap. 4 § BDL. UpprÀkningen i bestÀmmelsen Àr alltsÄ uttömman- de och innebÀr att endast sÄdan personuppgiftsbehandling som inryms i nÄgot av de i paragrafen angivna ÀndamÄlen fÄr Àga rum. Dock Àr behandling alltid tillÄten för att uppfylla de syften som anges i 2 kap. TF. Vidare fÄr
Enligt första stycket punkten 1 fÄr
Av andra punkten följer att enheten för passagerarinformation fÄr behandla
494
SOU 2017:57 |
Författningskommentar |
nÀtverk. Behöriga mottagare kan dÀrför ha ett intresse av att fÄ del av sÄdana Àldre
Enligt tredje punkten fÄr
I andra stycket upplyses om att det i 6 kap. finns bestÀmmelser som anger att
5 §
Paragrafen anger hur en förhandsbedömning av
Enligt andra punkten fÄr
495
Författningskommentar |
SOU 2017:57 |
av förordningen att kriterierna ska faststÀllas och fortlöpande ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter. HÀrigenom kan kriterierna kontinuerligt förbÀttras och trÀffsÀkerheten öka.
6 §
Paragrafen reglerar enheten för passagerarinformations behandling av
Enheten för passagerarinformation kommer inte bara att behandla
TillgÄng till
7 §
Paragrafen behandlas i avsnitt 10.4.3. Den begrÀnsar antalet personer vid Polismyndigheten som Àr behöriga att ta del av uppgifterna i
496
SOU 2017:57 |
Författningskommentar |
Vissa tjÀnstemÀn kan ha sin grundanstÀllning pÄ en annan behörig myndighet Àn Polismyndigheten men ha avdelats för att arbeta vid enheten för passagerarinformation. NÀr de gör det anses de delta i Polismyndighetens verksamhet i den mening som avses i bl.a. 2 kap. 1 § OSL.
Förbud mot direktÄtkomst
8 §
Paragrafen behandlas i avsnitt 10.4.1. Den innebÀr att andra myndig- heter Àn Polismyndigheten inte fÄr tillÄtas ha direkt tillgÄng till upp- gifterna i
Bevarande och gallring av
9 §
Paragrafen behandlas i avsnitt 18.4. Den genomför delvis artikel 12.1 och 12.4 i direktivet.
I bestÀmmelsen föreskrivs att
För det fall
497
Författningskommentar |
SOU 2017:57 |
10 §
BestÀmmelsen behandlar radering av
Lufttrafikföretagen bör inte skicka in andra uppgifter Àn de som omfattas av deras uppgiftsskyldighet, dÀrmed inte heller kÀnsliga personuppgifter. Dock kan detta komma att ske av misstag, t.ex. dÀrför att uppgiven kontaktadress röjer en svensk partitillhörighet som Àr obekant för det asiatiska lufttrafikföretaget i frÄga. Enligt bestÀmmelsen ska enheten för passagerarinformation omedelbart gallra
En motsvarande bestÀmmelse för behöriga myndigheter finns i 5 kap. 2.§.
Maskering av
11 §
Av bestÀmmelsen framgÄr vilka
De
498
SOU 2017:57 |
Författningskommentar |
Dataskyddsombud
12 §
Paragrafen genomför artikel 5.1 första ledet och artikel 6.7 första meningen i direktivet. Den behandlas i avsnitt 19.5.4.
Av första stycket följer att Polismyndigheten ska utse ett eget dataskyddsombud för enheten för passagerarinformation. Av andra stycket följer att detta ombud för sitt arbete ska ha tillgÄng till samt- liga uppgifter som behandlas vid enheten för passagerarinformation. Genom en sÄdan tillgÄng kan lagligheten i behandlingen fortlöpande kontrolleras.
13 §
Paragrafen reglerar dataskyddsombudets uppgifter. BestÀmmelsen genomför andra ledet av artikel 5.1 i direktivet. Den behandlas i avsnitt 19.5.4.
Dataskyddsombudets generella uppgifter regleras i brottsdata- lagen. Av första stycket framgÄr att dataskyddsombudet, utöver vad som anges i 3 kap. 14 § BDL, Àven ska ansvara för genomförandet av relevanta skyddsÄtgÀrder. Detta innebÀr att det ankommer pÄ om- budet, vid sidan av Polismyndigheten, att ta initiativ till och lÀmna riktlinjer och förslag pÄ lÀmpliga skyddsÄtgÀrder samt att ocksÄ se till att dessa genomförs i praktiken vid enheten för passagerarinfor- mation.
Av andra stycket följer att enskilda ska ha rÀtt att vÀnda sig till dataskyddsombudet i egenskap av enda kontaktpunkt i alla frÄgor som gÀller behandlingen enligt lagen av
499
Författningskommentar |
SOU 2017:57 |
enhetens dataskyddsombud i sÄdana fall kunna lotsa en missnöjd eller undrande enskild vidare till rÀtt kontaktpunkt.
14 §
Paragrafen, som behandlas i avsnitt 19.5.4, reglerar dataskyddsom- budets skyldighet att anmÀla brister till tillsynsmyndigheten. Be- stÀmmelsen genomför artikel 6.7 andra meningen.
Om den personuppgiftsansvarige inte följer regelverket för be- handling av personuppgifter inom enheten för passagerarinformation ska dataskyddsombudet agera och anmÀla detta till tillsynsmyndig- heten. NÄgon rÀtt för den personuppgiftsansvarige att först vidta rÀttelse föreligger alltsÄ inte. DÀremot fÄr det givetvis förutsÀttas att rÀttelse ÀndÄ sker snarast möjligt. Det Àr upp till dataskyddsom- budet att bedöma om en anmÀlan ska ske. Att ett anstÀllt dataskydds- ombud med stöd av paragrafen gör en anmÀlan fÄr inte leda till nÄgra konsekvenser för ombudet i arbetsrÀttsligt hÀnseende, eftersom det Àr frÄga om en lagreglerad skyldighet.
Föreskrifter
15 §
I bestÀmmelsen upplyses om att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om utformande av kriterier, tillgÄng till
500
SOU 2017:57 |
Författningskommentar |
4 kap. Ăverföring av
Ăverföring till behöriga myndigheter
1 §
Paragrafen föreskriver i vilka situationer
Ăverföring till en behörig myndighet ska enligt första stycket första punkten ske för att vidarebefordra
Ăverföring frĂ„n enheten för passagerarinformation till behöriga myndigheter ska endast ske i enskilda fall.
501
Författningskommentar |
SOU 2017:57 |
höriga myndigheter. Ăven dĂ„
Ăverföring till andra medlemsstater
2 §
BestÀmmelsen reglerar överföring till enheter för passagerarinfor- mation i andra medlemsstater av sÄdan
Resultatet av en förhandsbedömning av passagerare kan vara av intresse inte bara för behöriga nationella myndigheter utan Àven för en eller flera andra medlemsstater. Enligt bestÀmmelsen ska enheten för passagerarinformation dÀrför sjÀlvmant överföra resultatet av en förhandsbedömning till en motsvarande enhet i en annan medlems- stat. BestÀmmelsen Àr formulerad som en uppgiftsskyldighet men en överföring ska dock endast ske om enheten bedömer att PNR- informationen Àr relevant och nödvÀndig för vidare granskning i den andra medlemsstaten för att dÀr förebygga, förhindra, upptÀcka, ut- reda eller lagföra terroristbrottslighet eller grov brottslighet. Det Àr först dÄ det uppkommer en skyldighet att lÀmna
502
SOU 2017:57 |
Författningskommentar |
3 §
Paragrafen behandlar enheten för passagerarinformations behandling av förfrÄgningar frÄn motsvarande enheter i andra medlemsstater om att fÄ del av
BestÀmmelsen innebÀr att enheten för passagerarinformation Àr skyldig att sÄ snart som möjligt besvara en motiverad förfrÄgan frÄn en enhet för passagerarinformation i en annan medlemsstat om att fÄ del av
I att förfrÄgan ska vara motiverad ligger ett krav pÄ att den ska innehÄlla tillrÀckliga uppgifter för att det ska gÄ att bedöma om
Om den begÀrda
4 §
Paragrafen reglerar översÀndande frÄn enheten för passagerarinfor- mation direkt till en myndighet som har utsetts som behörig i en annan medlemsstat. Den genomför artikel 9.3 i direktivet och be- handlas i avsnitt 15.3.3.
503
Författningskommentar |
SOU 2017:57 |
myndigheter att i undantagsfall vÀnda sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begÀran om överföring av
Ăverföring av
5 §
Paragrafen behandlar inhÀmtande av
Av 2 kap. 3 § framgÄr att enheten för passagerarinformation kan begÀra att lufttrafikföretag ska överföra
504
SOU 2017:57 |
Författningskommentar |
annan medlemsstat, för att dÀrefter översÀnda uppgifterna till den efterfrÄgande enheten.
Ăverföring till Europol
6 §
Paragrafen genomför artikel 10 och behandlas i avsnitt 15.4.
Av bestÀmmelsen framgÄr att enheten för passagerarinformation pÄ begÀran ska överföra efterfrÄgad
Om de begÀrda
Ăverföring av avmaskerade
7 §
Paragrafen behandlar förutsÀttningarna för överföring av avmaske- rade
Avmaskerade
505
Författningskommentar |
SOU 2017:57 |
ligen summariskt och inskrÀnka sig till en kontroll av att det av be- gÀran framgÄr att framstÀllningen Àven omfattar utfÄende av avmaske- rade, fullstÀndiga uppgifter om en person. DÀrutöver ska, som vid samtliga överföringar frÄn enheten, kontrolleras att mottagarens be- gÀran sker i syfte att anvÀnda mottagna uppgifter för att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brottlighet. Som en ytterligare förutsÀttning för överföring av av- maskerade uppgifter krÀvs ett beslut eller tillstÄnd enligt 8 eller 9 §.
Enligt bestÀmmelsen fÄr avmaskerade
8 §
BestÀmmelsen behandlas i avsnitt 15.5.4.
För det fall en förundersökning har inletts ska en begÀran frÄn behöriga svenska myndigheter om att fÄ tillgÄng till fullstÀndiga, avmaskerade,
9 §
BestÀmmelsen behandlas i avsnitt 15.5.4.
I de fall begÀran om utfÄende av avmaskerade
506
SOU 2017:57 |
Författningskommentar |
att fatta beslut om tillstÄnd fÄr delegeras till en annan anstÀlld vid myndigheten som har rÀtt kompetens, utbildning och erfarenhet. Delegation fÄr dock inte ske till nÄgon som sjÀlv deltar i den verk- samhet som har begÀrt ut informationen. Inte heller fÄr delegation ges till nÄgon som arbetar vid enheten för passagerarinformation. Den som fattar beslutet ska avgöra om tillgÄng till fullstÀndiga avmaske- rade
Av den till lagen hörande förordningen framgÄr att dataskydds- ombudet vid enheten för passagerarinformation ska informeras och göra en efterhandsutvÀrdering av varje överföring av avmaskerade uppgifter enligt denna bestÀmmelse.
5 kap. Behöriga myndigheters behandling av
Gallring av
1 §
BestÀmmelsen behandlar frÄgan om gallring av resultatet av för- handsbedömningar hos de behöriga myndigheterna. Den motsvaras inte av nÄgon bestÀmmelse i direktivet och behandlas i avsnitt 18.8.
För det fall en behörig myndighet, som har mottagit PNR- information frÄn enheten för passagerarinformation med resultat frÄn enhetens förhandsbedömning av passagerare, vid sin granskning finner att informationen saknar betydelse för att förebygga, förhindra, upptÀcka, utreda eller lagföra terroristbrottslighet eller grov brotts- lighet, ska denna information gallras av den behöriga myndigheten. Resultatet av sÄdana förhandsbedömningar av passagerare som visar sig sakna betydelse för den brottsbekÀmpande verksamheten ska sÄledes inte bevaras hos de behöriga myndigheterna. Motsvarande bestÀmmelser finns för bokningsuppgifter frÄn transportörer i 26 § tredje stycket polislagen (1984:387), 4 kap. 8 § tredje stycket tullagen (2016:253 och 16 § tredje stycket lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen.
Det kan frÄn fall till fall ta olika lÄng tid innan det gÄr att kon- statera om en uppgift saknar betydelse för den angivna brottslig-
507
Författningskommentar |
SOU 2017:57 |
heten. SĂ„ snart detta har konstaterats ska dock
2 §
Paragrafen behandlar frÄgan om gallring av kÀnsliga personuppgifter hos de behöriga myndigheterna. BestÀmmelsen genomför artikel 13.4 i direktivet och behandlas i avsnitt 18.5.
Eftersom enheten för passagerarinformation inte fÄr behandla
Annan behandling av
3 §
Paragrafen innehÄller ett undantag frÄn bestÀmmelsen om otillÄten behandling av
BestÀmmelsen innebÀr en möjlighet för de behöriga myndig- heterna att förhindra, utreda och lagföra mindre allvarlig eller annat slags brottslighet som upptÀcks i samband med en brottsbekÀmpan- de insats som görs till följd av sÄdan
508
SOU 2017:57 |
Författningskommentar |
Med en brottsbekÀmpande insats avses olika möjliga ÄtgÀrder som kan ske till följd av sÄdan misstÀnkt brottslighet som omfattas av direktivet. Det kan t.ex. röra sig om ett förhör, en husrannsakan, en brottsplatsundersökning, ett beslag eller en spaningsoperation. Huruvida en förundersökning har inletts Àr inte avgörande.
Automatiserade beslut
4 §
Paragrafen behandlar automatiserade beslut hos de behöriga myndig- heterna. Den genomför artikel 7.6 och behandlas i avsnitt 16.2.4.
Av bestÀmmelsen framgÄr att de behöriga myndigheterna inte fÄr fatta nÄgra beslut som har rÀttsliga konsekvenser för en person eller pÄ annat sÀtt allvarligt pÄverkar denne endast pÄ grund av den automatiska behandlingen av
Föreskrifter
5 §
I bestÀmmelsen upplyses om att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om behöriga myn- digheters inhÀmtande och behandling av
6 kap. Ăverföring till tredjeland
1 §
BestÀmmelsen reglerar överföringen av
Av bestÀmmelsen framgÄr att enheten för passagerarinformation fÄr överföra
509
Författningskommentar |
SOU 2017:57 |
fÄr
Samtliga villkor i bestÀmmelsen ska vara uppfyllda för att en- heten ska fÄ överföra
Enligt första punkten fÄr uppgifterna endast överföras om förut- sÀttningarna för överföring av
Av andra punkten framgÄr att en överföring ska vara nödvÀndig för att förebygga, förhindra, upptÀcka, utreda eller lagföra brott som motsvarar terroristbrottslighet eller grov brottslighet. Med att över- föringen ska vara nödvÀndig menas att det Àr frÄga om nÄgot som behövs. De
Enligt tredje punkten ska det tredjelandet ocksÄ godta att endast vidareöverföra uppgifterna till ett annat tredjeland om det Àr absolut nödvÀndigt för att förebygga, förhindra, upptÀcka, utreda eller lag- föra brott motsvarande terroristbrottslighet eller grov brottslighet och enheten för passagerarinformation har lÀmnat ett uttryckligt med- givande till vidareöverföringen. Medgivandet kan ske sÄvÀl muntligt
510
SOU 2017:57 |
Författningskommentar |
som skriftligt. För att det i efterhand ska gÄ att kontrollera bör dock medgivandet dokumenteras av enheten för passagerarinformation.
I den anslutande förordningen regleras att enheten för passagerar- information i samband med en överföring av
2 §
Paragrafen behandlar frÄgan om överföring till tredjeland utan för- handsmedgivande. Den genomför artikel 11.2 i direktivet och be- handlas i avsnitt 17.3.3.
BestÀmmelsen innebÀr att för det fall den
I den anslutande förordningen anges att om
511
Författningskommentar |
SOU 2017:57 |
3 §
BestÀmmelsen, som reglerar förhÄllandet till brottsdatalagen, behand- las i avsnitt 17.3.4. Den motsvaras inte av nÄgon artikel i direktivet.
8 kap. 8 § BDL föreskriver en möjlighet att i enskilda fall överföra personuppgifter till andra organ i ett tredjeland Àn behöriga myn- digheter. Denna möjlighet Àr inte tillÀmplig vid överföring av PNR- information, som endast fÄr överföras till en myndighet i ett tredje- land som dÀr Àr behörig att bedriva verksamhet för att förebygga, förhindra, upptÀcka, utreda eller lagföra brott motsvarande terrorist- brottslighet eller grov brottslighet (se 1 §).
4 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om information till en annan medlemsstat nÀr personuppgifter, som enheten för passage- rarinformation har fÄtt frÄn den andra medlemsstaten, har överförts till ett tredjeland utan förhandsmedgivande samt om uppstÀllande av villkor om anvÀndningsbegrÀnsning av
7 kap. Ăvriga bestĂ€mmelser
Enskildas rÀttigheter
1 §
Paragrafen reglerar rÀtten till radering eller begrÀnsning av behand- ling av personuppgifter. Den behandlas i avsnitt 20.3.3. BestÀmmel- sen genomför till viss del artikel 13.1 i direktivet.
4 kap. 10 § BDL innehÄller bestÀmmelser om en registrerads rÀtt till radering eller begrÀnsning av behandling av personuppgifter. Av första stycket följer att de aktuella bestÀmmelserna Àven ska gÀlla för det fall personuppgifter behandlas i strid med vissa centrala bestÀm- melser i denna lag. BestÀmmelserna avser lagens portalbestÀmmelse om otillÄten behandling av personuppgifter, förbudet mot behand- ling av kÀnsliga personuppgifter samt förpliktelsen att gallra PNR- uppgifter som har överförts frÄn lufttrafikföretag efter fem Är.
512
SOU 2017:57 |
Författningskommentar |
Av andra stycket följer att sÄdana beslut om radering eller begrÀns- ning av uppgifter som anges i bestÀmmelsen kan överklagas till allmÀn förvaltningsdomstol.
2 §
Paragrafen behandlar skadestÄnd vid otillÄten behandling av person- uppgifter. Den genomför till viss del artikel 13.1 i direktivet och behandlas i avsnitt 20.4.3.
Av bestÀmmelsen följer att brottsdatalagens bestÀmmelser om skadestÄnd ska gÀlla Àven nÀr personuppgifter behandlas i strid med denna lag eller föreskrifter som meddelats med stöd av den. BestÀm- melsen Àr bara tillÀmplig för övertrÀdelser av lagens bestÀmmelser som avser att ge skydd för personuppgifter. Om ett lufttrafikföretag bryter mot bestÀmmelserna i 2 kap. genom att inte överföra PNR- uppgifter till enheten för passagerarinformation eller nÀr enheten för passagerarinformation bryter mot sin skyldighet att besvara för- frÄgningar frÄn behöriga myndigheter eller fullgöra sina förpliktel- ser om informationsutbyte med andra medlemsstater enligt 4 kap. ska skadestÄndsbestÀmmelsen inte tillÀmpas.
Tillsyn
3 §
Paragrafen behandlas i avsnitt 21.3. Den genomför artikel 15 i direktivet.
BestÀmmelsen föreskriver att den tillsynsmyndighet som avses i brottsdatalagen ska ha tillsyn över all personuppgiftsbehandling en- ligt lagen. Det har sÄledes ingen betydelse om personuppgiftsbe- handlingen har utförts av enheten för passagerarinformation, ett lufttrafikföretag eller en behörig myndighet. Tillsynsmyndighetens uppgifter och befogenheter regleras i brottsdatalagen.
513
Författningskommentar |
SOU 2017:57 |
Sanktionsavgifter vid övertrÀdelser av enheten för passagerarinformation eller en behörig myndighet
4 §
Paragrafen reglerar vid vilka övertrÀdelser av lagens bestÀmmelser som administrativ sanktionsavgift fÄr tas ut av en personuppgifts- ansvarig myndighet. Den genomför artikel 14.1 och innebÀr att sank- tioner kan tillgripas vid övertrÀdelser av de bestÀmmelser i lagen som har till syfte att skydda enskildas integritet. BestÀmmelsen behandlas i avsnitt 22.4.3.
Tillsynsmyndigheten avgör i det enskilda fallet om sanktionsav- gift bör tas ut, vilket framgÄr av formuleringen att avgift fÄr tas ut. Paragrafen föreskriver att sanktionsavgift fÄr tas ut av den person- uppgiftsansvariga myndigheten, oavsett om en övertrÀdelse har skett vid enheten för passagerarinformation eller vid en behörig myndighet.
I paragrafen anges uttömmande vilka övertrÀdelser som kan för- anleda sanktionsavgift. Enligt punkten 1 kan sanktionsavgift tas ut vid övertrÀdelser av bestÀmmelsen om att
514
SOU 2017:57 |
Författningskommentar |
5 §
BestÀmmelsen behandlas i avsnitt 22.4.3. I första stycket föreskrivs att sanktionsavgiftssystemet i brottsdatalagen och den tillhörande förordningen ska tillÀmpas Àven vid övertrÀdelser enligt denna lag.
Av andra stycket framgÄr att de i brottsdatalagen föreslagna minimi- och maximibeloppen för allvarligare övertrÀdelser ska tillÀm- pas nÀr sanktionsavgiften ska bestÀmmas. UtgÄngspunkten vid be- stÀmmandet av sanktionsavgift Àr den behandling som skett av per- sonuppgifterna.
I tredje stycket upplyses om att beslut om sanktionsavgift kan överklagas till allmÀn förvaltningsdomstol enligt 7 kap. 4 § BDL
28.2Förslaget till lag om Àndring i polislagen (1984:387)
25 §
Paragrafen, som behandlas bl.a. i avsnitt 25, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller frÄn Sverige att pÄ begÀran lÀmna vissa bokningsuppgifter till Polismyndigheten eller SÀkerhetspolisen.
Första och andra stycket Àr oförÀndrade.
I tredje stycket anges att första och andra stycket inte ska gÀlla för det fall lagen (2018:000) om flygpassageraruppgifter i brottsbe- kÀmpningen Àr tillÀmplig.
28.3Förslaget till lag om Àndring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges grÀns mot ett annat land inom Europeiska unionen
15 §
Paragrafen, som behandlas bl.a. i avsnitt 25, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller frÄn Sverige att pÄ begÀran lÀmna vissa bokningsuppgifter till Tullverket.
Första och andra stycket Àr oförÀndrade.
515
Författningskommentar |
SOU 2017:57 |
I tredje stycket anges att första och andra stycket inte ska gÀlla för det fall lagen (2018:000) om flygpassageraruppgifter i brottsbe- kÀmpningen Àr tillÀmplig.
28.4Förslaget till lag om Àndring i lagen (2007:258) om behandling av personuppgifter
i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst
1 kap.
1 a §
Paragrafen, som behandlas i avsnitt 8.5, reglerar förhÄllandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen. Be- stÀmmelsen Àr ny.
Genom paragrafen föreskrivs att för det fall det i lagen om flyg- passageraruppgifter i brottsbekÀmpningen finns avvikande bestÀm- melser, ska dessa tillÀmpas i stÀllet för bestÀmmelserna i denna lag.
28.5Förslaget till lag om Àndring i polisdatalagen (2010:361)
1 kap.
4 a §
Paragrafen, som behandlas i avsnitt 8.5, reglerar förhÄllandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen. Be- stÀmmelsen Àr ny.
Genom paragrafen föreskrivs att för det fall det i lagen om flyg- passageraruppgifter i brottsbekÀmpningen finns avvikande bestÀm- melser, ska dessa tillÀmpas i stÀllet för bestÀmmelserna i polisdatalag- en. Det gÀller oavsett om det handlar om personuppgiftsbehandling vid enheten för passagerarinformation eller en behörig myndighet som omfattas av polisdatalagens tillÀmpningsomrÄde.
516
SOU 2017:57 |
Författningskommentar |
28.6Förslaget till lag om Àndring i tullagen (2016:253)
4 kap.
6 a §
Paragrafen, som behandlas i avsnitt 25, reglerar förhÄllandet mellan lagens bestÀmmelser om Tullverkets tillgÄng till transportörers bok- ningsuppgifter och lagen (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen. BestÀmmelsen Àr ny.
Av bestÀmmelsen framgÄr att skyldigheten enligt 4 kap. 6 § tullagen för transportörer av varor, passagerare eller fordon till eller frÄn Sverige att pÄ begÀran lÀmna vissa bokningsuppgifter till Tull- verket inte ska gÀlla för det fall lagen om flygpassageraruppgifter i brottsbekÀmpningen Àr tillÀmplig.
28.7Förslaget till lag om Àndring i tullbrottsdatalagen (2017:000)
2 kap.
8 §
Paragrafen, som behandlas bl.a. i avsnitt 8.5, reglerar behandling av personuppgifter som har lÀmnats till Tullverket frÄn transportföre- tag. I ett nytt tredje stycke föreskrivs att för det fall det i lagen (2018:000) om flygpassageraruppgifter i brottsbekÀmpningen finns avvikande bestÀmmelser ska dessa tillÀmpas i stÀllet. Paragrafen Àr i övrigt oförÀndrad.
517
SĂ€rskilt yttrande
av experterna Kurt Alavaara,
Av utredningen framgÄr att cirka 60 procent av alla bokningar av flygbiljetter inom EU och internationellt utförs av resebyrÄer. San- nolikt kommer denna typ av bokningar att öka i framtiden i takt med att anvÀndandet av internet ökar globalt. I samband med att
Vi anser att det redan nu finns mycket goda skÀl att införa en ut- ökad skyldighet för dessa aktörer att överföra
519
Bilaga 1
Kommittédirektiv 2016:22
Genomförande av direktiv om anvÀndning av passageraruppgiftssamlingar
Beslut vid regeringssammantrÀde den 17 mars 2016
Sammanfattning
En sÀrskild utredare ska föreslÄ hur direktivet om anvÀndning av passageraruppgiftssamlingar för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet
Uppdraget ska redovisas senast den 31 maj 2017.
Passageraruppgiftssamlingar bestĂ„r av uppgifter som lĂ€mnats av passagerare (Passenger Name Records â PNR) och samlats in av lufttrafikföretag (hĂ€refter benĂ€mnda flygbolag) i samband med be- stĂ€llning och bokning av biljetter samt vid incheckning, t.ex. namn, betalningssĂ€tt, bagageinformation, destination och resebolag. Flyg-
521
Bilaga 1 |
SOU 2017:57 |
bolag samlar redan i dag in och behandlar sÄdana uppgifter om sina passagerare för kommersiella syften.
Ett direktiv om anvÀndning av passageraruppgiftssamlingar för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet
Direktivet reglerar skyldigheten för flygbolag att överföra passa- geraruppgiftssamlingar till enheter för passagerarinformation i med- lemsstaterna, för vilka ÀndamÄl uppgifterna fÄr behandlas, hur lÀnge uppgifterna fÄr lagras och under vilka förutsÀttningar de fÄr lÀmnas ut. Flygpassageraruppgifterna fÄr endast behandlas för att förebyg- ga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet. Terroristbrott definieras som de brott enligt nationell rÀtt som avses i artiklarna
Direktivet innehÄller Àven andra bestÀmmelser om dataskydd.
Utredningsuppdraget
AllmÀnna utgÄngspunkter
Utredarens övergripande uppdrag Àr att analysera direktivet och föreslÄ de författningsÀndringar och andra ÄtgÀrder som krÀvs för att
522
SOU 2017:57 |
Bilaga 1 |
Direktivet krÀver endast att flygbolagen lÀmnar passagerarupp- giftssamlingar för flygtransporter som anlÀnder frÄn eller avgÄr till ett land utanför Europeiska unionen (EU). Medlemsstaterna har ocksÄ möjlighet att tillÀmpa det pÄ flygningar inom EU. Medlems- staterna kommer i en deklaration som ska antas samtidigt som direk- tivet Äta sig att utnyttja denna möjlighet. Genom deklarationen har medlemsstaterna Àven uttalat att man ska efterstrÀva att, med hÀnsyn till nationellt parlamentariskt förfarande, införa nationella bestÀm- melser som innebÀr skyldighet att överföra flygpassageraruppgifter Àven för ekonomiska aktörer som inte Àr transportörer, t.ex. de rese- byrÄer och researrangörer som erbjuder bokningsförmedling vid vilken sÄdana uppgifter samlas in och behandlas. UtgÄngspunkten för uppdraget Àr dÀrför att direktivet Àven ska tillÀmpas pÄ flygningar inom EU och att skyldigheten att föra över flygpassageraruppgifter till de nationella enheterna i medlemsstaterna Àven ska omfatta rese- byrÄer och researrangörer.
Utredaren ska föreslÄ ett system för hanteringen av flygpassa- geraruppgifter och den reglering för personuppgiftsbehandling och sekretess som detta krÀver. Utredaren ska Àven analysera om och i sÄ fall hur
Ett system för hantering av flygpassageraruppgifter
523
Bilaga 1 |
SOU 2017:57 |
i dag, dvs. att en myndighets beslut om sanktioner kan överklagas till allmÀn förvaltningsdomstol.
Varje medlemsstat ska inrÀtta eller utse en myndighet eller del av myndighet med behörighet att förebygga, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet som ska fungera som med- lemsstatens enhet för passagerarinformation. Enheten ska ansvara för att samla in flygpassageraruppgifter frÄn flygbolagen, lagra, be- handla och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga brottsbekÀmpande myndigheter. Enheten ska ocksÄ ansvara för att utbyta flygpassageraruppgifter och resultatet av behandlingen av sÄdana uppgifter med andra medlemsstaters en- heter för passagerarinformation och med Europol. Enheten ska lagra uppgifterna i fem Är. Efter sex mÄnader ska uppgifterna maskeras pÄ ett sÄdant sÀtt att passageraren inte kan identifieras. De insamlade uppgifterna fÄr endast behandlas för vissa angivna ÀndamÄl och lÀm- nas ut under vissa förutsÀttningar. Polismyndigheten har till uppgift att förebygga, upptÀcka och utreda de flesta av de brott som om- fattas av direktivet. UtgÄngspunkten för uppdraget Àr dÀrför att den nationella enheten ska placeras vid Polismyndigheten. Myndigheten ska Àven ansvara för genomförandet av direktivets tekniska bestÀm- melser.
Medlemsstaterna ska utse de myndigheter som ska vara behöriga att begÀra eller ta emot flygpassageraruppgifter och underrÀtta Euro- peiska kommissionen om dessa senast ett Är efter det att direktivet trÀtt i kraft. Regeringen kommer inom kort att utse dessa myndig- heter och det ingÄr dÀrför inte i uppdraget att föreslÄ vilka myndig- heter som ska anses behöriga enligt direktivet.
Utredaren ska föreslÄ
âąett system för hur flygpassageraruppgifter ska hanteras i Sverige,
âąhur enheten för passagerarinformation ska organiseras,
âąvilka sanktioner som ska kunna Ă„lĂ€ggas flygbolag som inte upp- fyller sina skyldigheter enligt direktivet, och
âąde författningsĂ€ndringar som behövs.
524
SOU 2017:57 |
Bilaga 1 |
Behandling av personuppgifter och sekretess
Ett effektivt system för hantering av flygpassageraruppgifter förut- sÀtter att uppgifter kan överföras inom systemet. Samtidigt mÄste skyddet för enskildas personliga integritet sÀkerstÀllas.
För att myndigheter ska kunna utbyta information krÀvs att in- formationen inte omfattas av sekretess eller att sekretessen kan brytas. Vidare krÀvs att det finns stöd för att uppgifterna fÄr lÀmnas ut. Regler om utlÀmnande av uppgifter frÄn en myndighet till en annan finns, vad gÀller den behandling som direktivet föreskriver, dels i offentlighets- och sekretesslagen (2009:400), dels i de författningar som reglerar myndigheternas personuppgiftsbehandling. Dessa Àr polisdatalagen (2010:361) och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekÀmpande verksamhet.
Enligt direktivet ska medlemsstaterna sÀkerstÀlla att den behand- ling av personuppgifter som sker vid den nationella enheten och vid behöriga brottsbekÀmpande myndigheter omfattas av nationella dataskyddsbestÀmmelser som överensstÀmmer med rÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rÀttsligt samarbete (dataskyddsrambeslutet) och de dataskyddsbe- stÀmmelser som finns angivna i
Utredaren ska dÀrför
âąanalysera vilken personuppgiftsbehandling som aktualiseras vid tillĂ€mpningen av direktivet,
âąta stĂ€llning till om reglerna i offentlighets- och sekretesslagen innebĂ€r ett tillrĂ€ckligt skydd för de uppgifter som ska utbytas en- ligt direktivet eller om nuvarande lagstiftning behöver Ă€ndras för att Sverige ska leva upp till bestĂ€mmelserna i direktivet,
âąföreslĂ„ en reglering för personuppgiftsbehandling och sekretess som passar in i den befintliga svenska strukturen och ger en rĂ€tts-
525
Bilaga 1 |
SOU 2017:57 |
sÀker och mer effektiv brottsbekÀmpning samtidigt som skyddet för den personliga integriteten sÀkerstÀlls, och
âąi den utstrĂ€ckning det Ă€r möjligt, beakta det arbete som genom- förs av den utredning som kommer att fĂ„ i uppdrag att genomföra det nya dataskyddsdirektivet.
PĂ„verkar
Enligt bilaga I till direktivet omfattar flygpassageraruppgifter bl.a. förhandsuppgifter om passagerare (Advance Passenger Information, API). InhÀmtandet av sÄdana uppgifter regleras i direktiv 2004/82/EG om skyldighet för transportörer att lÀmna uppgifter om passagerare
I regeringens skrivelse Förebygga, förhindra, försvĂ„ra â den svenska strategin mot terrorism (skr. 2014/15:146) anges att syste- met för hantering av flygpassageraruppgifter bör samordnas med systemet för
Utredaren ska dÀrför
âąanalysera hur
âąföreslĂ„ hur systemet för flygpassageraruppgifter ska möjliggöra hantering av bĂ„de
526
SOU 2017:57 |
Bilaga 1 |
⹠föreslÄ de författningsÀndringar som bedöms nödvÀndiga.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för de behöriga brottsbekÀmpande myndigheterna och konsekven- serna i övrigt av förslagen. Om förslagen kan förvÀntas leda till kost- nadsökningar för det allmÀnna, ska utredaren föreslÄ hur dessa ska finansieras. Utredaren ska Àven bedöma vilka konsekvenser förslagen fÄr för enskilda.
SamrÄd och redovisning av uppdraget
Utredaren ska inhÀmta synpunkter frÄn berörda myndigheter, sÀr- skilt Polismyndigheten, SÀkerhetspolisen, Tullverket, Ekobrotts- myndigheten, Transportstyrelsen, SÀkerhets- och integritetsskydds- nÀmnden och Datainspektionen. I lÀmplig omfattning ska utredaren Àven inhÀmta synpunkter frÄn berörda flygbolag, andra ekonomiska aktörer och branschorganisationer. Utredaren ska vidare hÄlla sig informerad om arbetet med att genomföra det nya dataskyddsdirek- tivet och Polismyndighetens arbete med att genomföra
Uppdraget ska redovisas senast den 31 maj 2017.
(Justitiedepartementet)
527
Bilaga 2
529
Bilaga 2 |
SOU 2017:57 |
530
SOU 2017:57 |
Bilaga 2 |
531
Bilaga 2 |
SOU 2017:57 |
532
SOU 2017:57 |
Bilaga 2 |
533
Bilaga 2 |
SOU 2017:57 |
534
SOU 2017:57 |
Bilaga 2 |
535
Bilaga 2 |
SOU 2017:57 |
536
SOU 2017:57 |
Bilaga 2 |
537
Bilaga 2 |
SOU 2017:57 |
538
SOU 2017:57 |
Bilaga 2 |
539
Bilaga 2 |
SOU 2017:57 |
540
SOU 2017:57 |
Bilaga 2 |
541
Bilaga 2 |
SOU 2017:57 |
542
SOU 2017:57 |
Bilaga 2 |
543
Bilaga 2 |
SOU 2017:57 |
544
SOU 2017:57 |
Bilaga 2 |
545
Bilaga 2 |
SOU 2017:57 |
546
Bilaga 3
547
Bilaga 4
549
L 119/132 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
EUROPAPARLAMENTETS OCH RĂ DETS DIREKTIV (EU) 2016/681
av den 27 april 2016
om anvÀndning av passageraruppgiftssamlingar
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RĂ D HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssÀtt, sÀrskilt artiklarna 82.1 d och 87.2 a,
med beaktande av Europeiska kommissionens förslag,
efter översÀndande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
efter att ha hört Regionkommittén,
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skÀl:
(1)Den 6 november 2007 antog kommissionen ett förslag till rÄdets rambeslut om anvÀndning av passagerarupp giftssamlingar
(2)I Stockholmsprogrammet â ett öppet och sĂ€kert Europa i medborgarnas tjĂ€nst och för deras skydd (3) uppmanades kommissionen att lĂ€gga fram ett förslag om anvĂ€ndning av
(3)I sitt meddelande av den 21 september 2010 om en övergripande strategi nÀr det gÀller överföring av passagera ruppgiftssamlingar
(4)I rÄdets direktiv 2004/82/EG (4) regleras transportörers översÀndande av förhandsinformation om passagerare
(5)MÄlen för detta direktiv Àr bland annat att trygga sÀkerheten, skydda personers liv och sÀkerhet och att inrÀtta en rÀttslig ram för skydd av
(6)En effektiv anvÀndning av
(7)Bedömningen av
delaktighet i terroristbrott eller grov brottslighet innan en sÄdan bedömning görs och som bör undersökas
(1) EUT C 218, 23.7.2011, s. 107.
(2) Europaparlamentets stÄndpunkt av den 14 april 2016 (Ànnu ej offentliggjord i EUT) och rÄdets beslut av den 21 april 2016. (3) EUT C 115, 4.5.2010, s. 1.
(4) RÄdets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lÀmna uppgifter om passagerare (EUT L 261, 6.8.2004, s. 24).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/133 |
 |
 |
 |
 |
nÀrmare av de behöriga myndigheterna. Genom att anvÀnda
(8)Redan nu samlar lufttrafikföretagen in och behandlar
(9)Vissa lufttrafikföretag lagrar insamlade
(10)För att det ska gÄ att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet Àr det av största vikt att alla medlemsstater inför bestÀmmelser om skyldigheter för lufttrafikföretag som tillhandahÄller
f lygförbindelser utanför EU att överföra de
(11)Behandlingen av personuppgifter bör stÄ i proportion till de sÀrskilda sÀkerhetsmÄl som detta direktiv syftar till att uppfylla.
(12)Den definition av terroristbrott som tillÀmpas i detta direktiv bör vara densamma som i rÄdets rambeslut 2002/475/RIF (1). Definitionen av allvarlig brottslighet bör omfatta de brottskategorier som förtecknas i bilaga II till detta direktiv.
(13)
(14)Medlemsstaterna bör betala kostnaderna för anvÀndning, lagring och utbyte av
(15)En förteckning över
(16)Det finns för nÀrvarande tvÄ möjliga metoder för överföring av uppgifter: direktÄtkomstmetoden
(1) RÄdets rambeslut 2002/475/RIF av den 13 juni 2002 om bekÀmpande av terrorism (EGT L 164, 22.6.2002, s. 3).
L 119/134 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
(17)Kommissionen stöder Internationella civila luftfartsorganisationens (Icao) riktlinjer om PNR. Dessa riktlinjer bör dÀrför fungera som underlag vid antagandet av understödda dataformat för överföring av
(18)Medlemsstaterna bör vidta alla nödvÀndiga ÄtgÀrder för att göra det möjligt för lufttrafikföretagen att uppfylla sina skyldigheter enligt detta direktiv. Medlemsstaterna bör faststÀlla effektiva, proportionella och avskrÀckande sanktioner, Àven ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende pÄ överföring av
(19)Varje medlemsstat bör ansvara för att bedöma potentiella hot frÄn terroristbrott och grov brottslighet.
(20)Med fullt beaktande av rÀtten till skydd av personuppgifter och rÀtten till
(21)Medlemsstaterna bör under inga omstÀndigheter anvÀnda resultatet av behandlingen av
(22)Med fullt beaktande av principerna i aktuell relevant rÀttspraxis frÄn Europeiska unionens domstol bör tillÀmpningen av detta direktiv sÀkerstÀlla full respekt för de grundlÀggande rÀttigheterna, rÀtten till skydd av privatlivet och proportionalitetsprincipen. Den bör Àven till fullo vara förenlig med vad som Àr nödvÀndigt och proportionellt för att de mÄl av allmÀnt intresse som erkÀnts av unionen ska uppnÄs och med behovet att skydda andras rÀttigheter och friheter i kampen mot terroristbrott och grov brottslighet. TillÀmpningen av detta direktiv bör vara vederbörligen motiverad och nödvÀndiga skyddsÄtgÀrder bör vidtas för att sÀkerstÀlla att all lagring, analys, överföring eller anvÀndning av
(23)Medlemsstaterna bör utbyta
(24)Ett sÀkert informationsutbyte om
(1) Europaparlamentets och rÄdets förordning (EU) nr 182/2011 av den 16 februari 2011 om faststÀllande av allmÀnna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(2) RĂ„dets beslut 2009/371/RIF av den 6 april 2009 om inrĂ€ttande av Europeiska polisbyrĂ„n (Europol) (EUT L 121, 15.5.2009, s. 37). (3) RĂ„dets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrĂ€ttelseutbyte mellan de brottsbeÂ
kÀmpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/135 |
 |
 |
 |
 |
(25)Lagringstiden för
(26)Om specifika
(27)Den behandling av
(28)Med hÀnsyn till rÀtten till skydd för personuppgifter Àr det viktigt att de registrerades rÀttigheter vid behandling av
(29)Med hÀnsyn till passagerares rÀtt att bli informerade om behandlingen av personuppgifter bör medlemsstaterna se till att passagerare förses med korrekt, lÀttÄtkomlig och lÀttbegriplig information om insamlingen av
(30)Detta direktiv pÄverkar inte tillÀmpningen av unionsrÀtt och nationell rÀtt om principen om allmÀnhetens tillgÄng till officiella handlingar.
(31)Ăverföring av
(32)Den nationella tillsynsmyndighet som har inrÀttats enligt rÄdets rambeslut 2008/977/RIF bör Àven ansvara för att meddela riktlinjer för och utöva tillsyn över tillÀmpningen av de bestÀmmelser som medlemsstaterna antar i enlighet med detta direktiv.
(33)Detta direktiv pÄverkar inte medlemsstaternas möjligheter att i enlighet med nationell rÀtt tillhandahÄlla ett system för insamling och behandling av
(34)Detta direktiv pÄverkar inte gÀllande unionsbestÀmmelser om formerna för utförande av grÀnskontroller eller unionsbestÀmmelser om in- och utresa frÄn unionens territorium.
(35)PÄ grund av rÀttsliga och tekniska skillnader mellan olika nationella bestÀmmelser om behandling av personuppgifter, dÀribland
(1) RÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrÀttsligt samarbete (EUT L 350, 30.12.2008, s. 60).
L 119/136 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
myndigheterna. Dessa skillnader kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna för att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet. Det Àr dÀrför nödvÀndigt att pÄ unionsnivÄ inrÀtta en gemensam rÀttslig ram för överföring och behandling av
(36)Detta direktiv stÄr i överensstÀmmelse med de grundlÀggande rÀttigheterna och principerna i stadgan, sÀrskilt rÀtten till skydd av personuppgifter, rÀtten till respekt för privatlivet och rÀtten till
(37)TillÀmpningsomrÄdet för detta direktiv Àr sÄ begrÀnsat som möjligt eftersom det föreskriver att
(38)Eftersom mÄlen för detta direktiv, nÀmligen lufttrafikföretags överföring av
(39)I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands stÀllning med avseende pÄ omrÄdet med frihet, sÀkerhet och rÀttvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssÀtt, har Förenade kungariket och Irland meddelat att de önskar delta i antagandet och tillÀmpningen av detta direktiv.
(40)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks stÀllning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssÀtt, deltar Danmark inte i antagandet av detta direktiv, som inte Àr bindande för eller tillÀmpligt pÄ Danmark.
(41)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rÄdets förordning (EG) nr 45/2001 (1) och avgav ett yttrande den 25 mars 2011.
HĂRIGENOM FĂRESKRIVS FĂLJANDE.
KAPITEL I
AllmÀnna bestÀmmelser
Artikel 1
Syfte och tillÀmpningsomrÄde
1.Detta direktiv innehÄller bestÀmmelser om
a)lufttrafikföretags överföring av passageraruppgiftssamlingar
b)behandlingen av de uppgifter som avses i led a, inbegripet medlemsstaternas insamling, anvÀndning, lagring och inbördes utbyte av dessa uppgifter.
(1) Europaparlamentets och rÄdets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda dÄ gemenskapsinstitu tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sÄdana uppgifter (EGT L 8, 12.1.2001, s. 1).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/137 |
 |
 |
 |
 |
2.
Artikel 2
Detta direktivs tillÀmpning pÄ f lygningar inom EU
1.Om en medlemsstat beslutar att tillÀmpa detta direktiv pÄ f lygningar inom EU, ska denna medlemsstat skriftligen meddela kommissionen detta. En medlemsstat fÄr nÀr som helst lÀmna eller Äterkalla ett sÄdant meddelande. Kommissionen ska offentliggöra detta meddelande, och en eventuell Äterkallelse av det, i Europeiska unionens officiella tidning.
2.NÀr ett meddelande som avses i punkt 1 lÀmnas, ska alla bestÀmmelser i detta direktiv gÀlla för flygningar inom EU som om de vore f lygningar utanför EU och för
3.En medlemsstat fÄr besluta att endast tillÀmpa detta direktiv pÄ valda f lygningar inom EU. NÀr medlemsstaten fattar ett sÄdant beslut, ska den vÀlja de flygningar som den anser vara nödvÀndiga för att efterfölja mÄlen för detta direktiv. Medlemsstaten fÄr nÀr som helst besluta att Àndra urvalet av f lygningar inom EU.
Artikel 3
Definitioner
I detta direktiv avses med
1.lufttrafikföretag: ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rÀtt att bedriva passagerar f lygtrafik,
2.flygning utanför EU: varje reguljÀr eller
3.flygning inom EU: varje reguljÀr eller
4.passagerare: alla personer, inbegripet personer i transfer eller transit förutom besÀttningsmedlemmar, som transporteras eller ska transporteras med ett f lygplan med lufttrafikföretagets godkÀnnande, vilket godkÀnnande framgÄr av att denna person stÄr med pÄ passagerarförteckningen,
5.passageraruppgiftssamling eller
6.reservationssystem: lufttrafikföretagets interna system, dÀr
7.sÀndmetod: den metod varigenom lufttrafikföretagen överför de
L 119/138 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
8.terroristbrott: de brott enligt nationell rÀtt som avses i artiklarna
9.grov brottslighet: brott som förtecknas i bilaga II vilka bestraffas med fÀngelse eller annan frihetsberövande ÄtgÀrd i minst tre Är enligt en medlemsstats nationella rÀtt,
10.avidentifiering genom maskering av uppgifter: att göra de uppgifter som kan anvÀndas för att omedelbart identifiera den registrerade osynliga för en anvÀndare.
KAPITEL II
Medlemsstaternas skyldigheter
Artikel 4
Enhet för passagerarinformation
1.Varje medlemsstat ska inrÀtta eller utse en myndighet med behörighet att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sÄdan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation.
2.Enheten för passagerarinformation ska ansvara för att
a)samla in
b)utbyta bÄde
3.Personal vid enheten för passagerarinformation kan utgöras av tjÀnstemÀn som avdelats frÄn behöriga myndigheter. Medlemsstaterna ska ge enheterna för passagerarinformation tillrÀckliga resurser för att de ska kunna utföra sina uppgifter.
4.TvÄ eller f lera medlemsstater (nedan kallade de deltagande medlemsstaterna) fÄr inrÀtta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. En sÄdan enhet för passagerarinformation ska inrÀttas i en av de deltagande medlemsstaterna och fungera som nationell enhet för passagerarinformation för alla deltagande medlemsstater. De deltagande medlemsstaterna ska tillsammans enas om nÀrmare bestÀmmelser för driften av enheten för passagerarinformation utan att avvika frÄn kraven i detta direktiv.
5.Varje medlemsstat ska inom en mÄnad frÄn inrÀttandet eller utseendet av sin enhet för passagerarinformation meddela kommissionen detta och fÄr nÀr som helst Àndra detta meddelande. Kommissionen ska offentliggöra meddelandet och eventuella Àndringar dÀrav i Europeiska unionens officiella tidning.
Artikel 5
Dataskyddsombud vid enheten för passagerarinformation
1.Enheten för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av
2.Medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter i enlighet med denna artikel pÄ ett effektivt och oberoende sÀtt.
3.Medlemsstaterna ska se till att en registrerad har rÀtt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frÄgor som rör behandlingen av den registrerades
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/139 |
 |
 |
 |
 |
Artikel 6
Behandling av
1.
2.Enheten för passagerarinformation ska enbart behandla
a)Göra en bedömning av passagerare före deras berÀknade ankomst till eller avresa frÄn den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, pÄ grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
b)I enskilda fall, besvara en vederbörligen motiverad förfrÄgan som bygger pÄ tillrÀckliga skÀl frÄn de behöriga myndigheterna om att tillhandahÄlla och behandla
c)Analysera
3.NÀr enheten för passagerarinformation utför den bedömning som avses i punkt 2 a fÄr den:
a)JÀmföra
b)behandla
4.En bedömning av passagerare före planerad ankomst till eller avresa frÄn medlemsstaten som görs enligt punkt 3 b i enlighet med pÄ förhand faststÀllda kriterier ska utföras pÄ ett
5.Medlemsstaterna ska se till att eventuella trÀffar i samband med automatisk behandling av
6.Enheten för passagerarinformation i en medlemsstat ska översÀnda
7.Medlemsstaterna ska se till att dataskyddsombudet har Ätkomst till alla uppgifter som enheten för passagerarin formation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hÀnskjuta Àrendet till den nationella tillsynsmyndigheten.
8.Lagring, behandling och analys av
L 119/140 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
9. Konsekvenserna av de bedömningar av passagerare som avses i punkt 2 a i denna artikel fÄr inte Àventyra rÀtten för personer som Ätnjuter fri rörlighet enligt unionsrÀtten att resa in pÄ den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rÄdets direktiv 2004/38/EG (1). NÀr bedömningarna sker i samband med f lygningar inom EU mellan medlemsstater för vilka Europaparlamentets och rÄdets förordning (EG) nr 562/2006 (2) Àr tillÀmplig, ska konsekvenserna av sÄdana bedömningar vara förenliga med den förordningen.
Artikel 7
Behöriga myndigheter
1.Varje medlemsstat ska faststÀlla en förteckning över de behöriga myndigheter som har befogenhet att begÀra eller motta
2.De myndigheter som avses i punkt 1 ska vara myndigheter som Àr behöriga att förebygga, förhindra, upptÀcka, utreda och lagföra terroristbrott eller grov brottslighet.
3.Med avseende pÄ tillÀmpningen av artikel 9.3 ska varje medlemsstat senast den 25 maj 2017 meddela kommissionen förteckningen över sina behöriga myndigheter och fÄr nÀr som helst Àndra sitt meddelande. Kommissionen ska offentliggöra meddelandet och eventuella Àndringar dÀrav i Europeiska unionens officiella tidning.
4.
5.Punkt 4 ska inte pÄverka de brottsbekÀmpande eller rÀttsliga myndigheternas befogenheter pÄ nationell nivÄ, om andra brott eller indikationer pÄ sÄdana upptÀcks i samband med brottsbekÀmpande insatser som görs till följd av sÄdan behandling av
6.De behöriga myndigheterna fÄr inte fatta nÄgra beslut som har negativa rÀttsliga konsekvenser för en person eller pÄ annat sÀtt allvarligt pÄverkar en person endast pÄ grund av den automatiska behandlingen av
Artikel 8
Lufttrafikföretagens skyldigheter vad gÀller överföring av uppgifter
1. Medlemsstaterna ska anta de ÄtgÀrder som Àr nödvÀndiga för att se till att lufttrafikföretag genom sÀndmetoden överför de
(1) Europaparlamentets och rÄdets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rÀtt att fritt röra sig och uppehÄlla sig inom medlemsstaternas territorier och om Àndring av förordning (EEG) nr 1612/68 och om upphÀvande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 30.4.2004, s. 77).
(2) Europaparlamentets och rÄdets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om grÀnspassage för personer (kodex om SchengengrÀnserna) (EUT L 105, 13.4.2006, s. 1).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/141 |
 |
 |
 |
 |
2.Om lufttrafikföretagen har samlat in sÄdan förhandsinformation om passagerare
3.Lufttrafikföretagen ska överföra
a)
b)omedelbart efter det att gatens dörrar stÀngts, det vill sÀga nÀr passagerarna har stigit ombord pÄ planet inför avgÄng och passagerare inte lÀngre tillÄts stiga ombord eller stiga av.
4.Medlemsstaterna ska tillÄta lufttrafikföretag att begrÀnsa den överföring som avses i punkt 3 b till uppdateringar av sÄdana överföringar som avses i punkt 3 a.
5.I situationer dÀr Ätkomst till
Artikel 9
Utbyte av information mellan medlemsstaterna
1.NÀr personer identifieras av en enhet för passagerarinformation i enlighet med artikel 6.2, ska medlemsstaterna se till att enheten översÀnder alla relevanta och nödvÀndiga
2.Enheten för passagerarinformation i en medlemsstat ska ha rÀtt att vid behov begÀra att en enhet för passagerarin formation i en annan medlemsstat tillhandahÄller
3.Endast i nödfall och enligt de villkor som faststÀllts i punkt 2 fÄr en medlemsstats behöriga myndigheter vÀnda sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begÀran om utlÀmnande av
4.Om Ă„tkomst till
5.Informationsutbyte enligt denna artikel fÄr göras via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det sprÄk som anvÀnds i samband med begÀran och informationsutbytet ska vara det som gÀller
L 119/142 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
för den kanal som anvÀnds. Medlemsstaterna ska i samband med att de lÀmnar meddelanden i enlighet med artikel 4.5 Àven meddela kommissionen uppgifter om de kontaktpunkter till vilka framstÀllningar kan sÀndas i nödfall. Kommissionen ska underrÀtta medlemsstaterna om dessa uppgifter.
Artikel 10
Villkor för Europols Ätkomst till
1.Europol ska inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rÀtt att begÀra
2.Europol fÄr frÄn fall till fall via Europols nationella enhet lÀmna in en elektronisk, vederbörligen motiverad begÀran till enheten för passagerarinformation i en medlemsstat om översÀndande av specifika
3.Europol ska informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den hÀr artikeln.
4.Informationsutbyte enligt denna artikel ska Àga rum via Siena och i enlighet med beslut 2009/371/RIF. Det sprÄk som anvÀnds för framstÀllningen och informationsutbytet ska vara det som gÀller för Siena.
Artikel 11
Ăverföring av uppgifter till tredjelĂ€nder
1. En medlemsstat fÄr överföra
a)de villkor som faststÀlls i artikel 13 i rambeslut 2008/977/RIF Àr uppfyllda,
b)överföringen Àr nödvÀndig för detta direktivs syften enligt artikel 1.2,
c)det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det Àr strikt nödvÀndigt för detta direktivs ÀndamÄl enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och
d)samma villkor som de som faststÀlls i artikel 9.2 Àr uppfyllda.
2. Trots vad som sÀgs i artikel 13.2 i rambeslut 2008/977/RIF ska överföring av
a)överföringen Àr absolut nödvÀndig för att reagera pÄ ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och
b)förhandssamtycke inte kan erhÄllas i tid.
Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmÄl och överföringen ska vederbörligen registreras samt genomgÄ efterhandskontroll.
3.Medlemsstaterna ska överföra
4.Dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/143 |
 |
 |
 |
 |
Artikel 12
Lagringstid för uppgifter och avidentifiering
1.Medlemsstaterna ska se till att
2.Vid utgÄngen av en period pÄ sex mÄnader efter överföringen av de
a)Namn, inklusive namn pÄ andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans.
b)Adress och kontaktuppgifter.
c)Alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehÄller uppgifter som kan anvÀndas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer.
d)Uppgifter om bonusprogram.
e)AllmÀnna anmÀrkningar, om dessa innehÄller uppgifter som kan anvÀndas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser.
f)Alla
3. Vid utgÄngen av den sexmÄnadersperiod som avses i punkt 2 ska utlÀmnande av de fullstÀndiga
a)om det rimligen kan antas vara nödvÀndigt för de ÀndamÄl som avses i artikel 6.2 b, och
b)efter tillstÄnd frÄn
i)en rÀttslig myndighet, eller
ii)en annan nationell myndighet som i enlighet med nationell rÀtt Àr behörig att kontrollera om villkoren för tillgÄng Àr uppfyllda, under förutsÀttning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvÀrdering.
4.Medlemsstaterna ska se till att
5.Resultaten av den behandling som avses i artikel 6.2 a ska bevaras endast av enheten för passagerarinformation sĂ„ lĂ€nge som krĂ€vs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en trĂ€ff. Ăven om automatisk behandling som utförs efter en sĂ„dan individuell
Artikel 13
Skydd av personuppgifter
1. Medlemsstaterna ska föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med detta direktiv har samma rÀtt till skydd av sina personuppgifter, rÀtt till Ätkomst, rÀttelse, radering och begrÀnsning samt rÀtt till ersÀttning och tillgÄng till rÀttsmedel som faststÀlls i unionsrÀtten och nationell rÀtt och för genomförande av artiklarna 17, 18, 19 och 20 i rambeslut 2008/977/RIF. Dessa artiklar ska dÀrför tillÀmpas.
L 119/144 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
2.Medlemsstaterna ska föreskriva att de nationella bestÀmmelser om konfidentiell behandling och datasÀkerhet som har antagits för genomförande av artiklarna 21 och 22 i rambeslut 2008/977/RIF Àven Àr tillÀmpliga pÄ all behandling av personuppgifter i enlighet med detta direktiv.
3.Detta direktiv pÄverkar inte tillÀmpligheten av Europaparlamentets och rÄdets direktiv 95/46/EG (1) pÄ lufttrafik företags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda personuppgifters sÀkerhet och konfidentialitet.
4.Medlemsstaterna ska förbjuda behandling av
5.Medlemsstaterna ska se till att enheten för passagerarinformation bevarar dokumentation om alla system och förfaranden för uppgiftsbehandling inom deras ansvarsomrÄde. Dokumentationen ska minst innehÄlla
a)namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av
b)begÀran frÄn behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater,
c)begÀran om och överföring av
Enheten för passagerarinformation ska pÄ begÀran göra all dokumentation tillgÀnglig för den nationella tillsynsmyndighe ten.
6. Medlemsstaterna ska se till att enheten för passagerarinformation för loggar över Ätminstone följande typer av behandling: insamling, lÀsning, utlÀmning och radering. Loggarna över lÀsning och utlÀmning ska sÀrskilt visa ÀndamÄl, datum och tidpunkt för sÄdan behandling och i möjligaste mÄn identitetsuppgifter för den person som har lÀst eller lÀmnat ut
Loggarna ska bevaras i fem Ă„r.
7.Medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lÀmpliga tekniska och organisatoriska ÄtgÀrder och förfaranden för att sÀkerstÀlla en sÄ hög sÀkerhetsnivÄ som Àr lÀmplig med tanke pÄ de risker som Àr förknippade med behandlingen och arten av
8.Om ett en personuppgiftsincident kan antas medföra ett avsevÀrt hot mot skyddet av den registrerades personuppgifter eller negativt pÄverka dennes integritet, ska medlemsstaterna se till att enheten för passagerarinformation utan onödigt dröjsmÄl informerar den registrerade och den nationella tillsynsmyndigheten för dataskydd om incidenten.
Artikel 14
Sanktioner
Medlemsstaterna ska faststÀlla regler om sanktioner för övertrÀdelse av nationella bestÀmmelser som antagits enligt detta direktiv och vidta alla nödvÀndiga ÄtgÀrder för att se till att de genomförs.
Medlemsstaterna ska sÀrskilt faststÀlla bestÀmmelser om sanktioner, inklusive ekonomiska sanktioner, mot lufttrafikföretag som inte översÀnder uppgifter i enlighet med artikel 8 eller som inte översÀnder uppgifterna i det faststÀllda formatet.
Sanktionerna ska vara effektiva, proportionella och avskrÀckande.
(1) Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria f lödet av sÄdana uppgifter (EGT L 281, 23.11.1995, s. 31).
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/145 |
 |
 |
 |
 |
Artikel 15
Nationell tillsynsmyndighet
1.Varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som avses i artikel 25 i rambeslut 2008/977/RIF ska ansvara för att inom sitt territorium ge riktlinjer för och övervaka tillÀmpningen av de bestÀmmelser som medlemsstaterna antar i enlighet med detta direktiv. Artikel 25 i rambeslut 2008/977/RIF ska tillÀmpas.
2.De nationella tillsynsmyndigheterna ska utföra sina uppgifter enligt punkt 1 i syfte att skydda grundlÀggande rÀttigheter i samband med behandling av personuppgifter.
3.Varje nationell tillsynsmyndighet ska
a)hantera klagomÄl frÄn en registrerad, undersöka Àrendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomÄl,
b)kontrollera att uppgiftsbehandlingen Àr laglig, genomföra utredningar, inspektioner och revision i enlighet med nationell rÀtt, antingen pÄ eget initiativ eller pÄ grundval av ett klagomÄl som avses i led a.
4. Varje nationell tillsynsmyndighet ska pÄ begÀran ge registrerade rÄd om hur de kan utöva de rÀttigheter som faststÀlls i de bestÀmmelser som antas i enlighet med detta direktiv.
KAPITEL III
GenomförandeÄtgÀrder
Artikel 16
Gemensamma protokoll och understödda dataformat
1.All överföring av
2.Ett Är frÄn den dag dÄ kommissionen för första gÄngen antar gemensamma protokoll och understödda dataformat i enlighet med punkt 3, ska all överföring av
3.En förteckning över gemensamma protokoll och understödda dataformat ska upprÀttas och vid behov anpassas av kommissionen genom genomförandeakter. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2.
4.Punkt 1 ska tillÀmpas sÄ lÀnge som de gemensamma protokoll och understödda dataformat som avses i punkterna 2 och 3 inte finns tillgÀngliga.
5.Inom ett Är frÄn den dag dÄ de gemensamma protokoll och understödda dataformat som avses i punkt 2 antas, ska medlemsstaterna vidta de tekniska ÄtgÀrder som krÀvs för att dessa gemensamma protokoll och dataformat ska kunna börja anvÀndas.
L 119/146 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
Artikel 17
Kommittéförfarande
1.Kommissionen ska bitrÀdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i Europaparlamentets och rÄdets förordning (EU) nr 182/2011.
2.NÀr det hÀnvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillÀmpas.
Om kommittén inte avger nÄgot yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillÀmpas.
KAPITEL IV
SlutbestÀmmelser
Artikel 18
Införlivande
1. Medlemsstaterna ska sÀtta i kraft de bestÀmmelser i lagar och andra författningar som Àr nödvÀndiga för att följa detta direktiv senast den 25 maj 2018. De ska genast underrÀtta kommissionen om detta.
NÀr en medlemsstat antar dessa bestÀmmelser ska de innehÄlla en hÀnvisning till detta direktiv eller Ätföljas av en sÄdan hÀnvisning nÀr de offentliggörs. NÀrmare föreskrifter om hur hÀnvisningen ska göras ska varje medlemsstat sjÀlv utfÀrda.
2. Medlemsstaterna ska till kommissionen överlÀmna texterna till de centrala bestÀmmelser i nationell rÀtt som de antar inom det omrÄde som omfattas av detta direktiv.
Artikel 19
Ăversyn
1.PÄ grundval av information som medlemsstaterna tillhandahÄllit, inbegripet de statistiska uppgifter som avses i artikel 20.2, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av detta direktiv och överlÀmna till och lÀgga fram en rapport för Europaparlamentet och rÄdet.
2.Kommissionen ska, nÀr den utför sin översyn, lÀgga sÀrskild vikt vid
a)efterlevnaden av de tillÀmpliga standarderna för skydd av personuppgifter,
b)nödvÀndigheten och proportionaliteten i insamlingen och behandlingen av
c)lÀngden pÄ den period som uppgifterna lagras,
d)ÀndamÄlsenligheten i informationsutbytet mellan medlemsstaterna, och
e)kvaliteten pÄ bedömningarna, Àven med hÀnsyn till den statistik som samlats in i enlighet med artikel 20.
3. Den rapport som avses i punkt 1 ska ocksÄ innefatta en översyn av nödvÀndigheten, proportionaliteten och ÀndamÄlsenligheten i att i detta direktivs tillÀmpningsomrÄde inbegripa obligatorisk insamling och överföring av
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/147 |
 |
 |
 |
 |
4. Mot bakgrund av den översyn som genomförs i enlighet med denna artikel, ska kommissionen om lÀmpligt lÀgga fram ett lagstiftningsförslag för Europaparlamentet och rÄdet i syfte att Àndra detta direktiv.
Artikel 20
Statistik
1.Medlemsstaterna ska Ärligen tillhandahÄlla kommissionen statistik om
2.Statistiken ska Ätminstone omfatta följande:
a)Det totala antalet passagerare vars
b)Antalet passagerare som identifierats för ytterligare undersökning.
Artikel 21
FörhÄllande till andra instrument
1.Medlemsstaterna fÄr fortsÀtta att sinsemellan tillÀmpa de bilaterala eller multilaterala avtal eller ordningar som Àr i kraft den 24 maj 2016 pÄ utbyte av uppgifter mellan behöriga myndigheter, förutsatt att dessa avtal eller ordningar Àr förenliga med detta direktiv.
2.Detta direktiv pÄverkar inte tillÀmpligheten av direktiv 95/46/EG pÄ lufttrafikföretags behandling av personuppgifter.
3.Detta direktiv pÄverkar inte medlemsstaternas eller unionens eventuella skyldigheter och Ätaganden enligt bilaterala eller multilaterala avtal med tredjelÀnder.
Artikel 22
IkrafttrÀdande
Detta direktiv trÀder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning. Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.
UtfÀrdat i Bryssel den 27 april 2016. |
 |
 |
PÄ Europaparlamentets vÀgnar |
 |
PÄ rÄdets vÀgnar |
M. SCHULZ |
 |
J.A. |
Ordförande |
 |
Ordförande |
 |
 |
 |
L 119/148 |
SV |
Europeiska unionens officiella tidning |
4.5.2016 |
 |
 |
 |
 |
BILAGA I
1.
2.Datum för bokning/utfÀrdande av biljett.
3.Planerat/planerade resdatum.
4.Namn.
5.Adress och kontaktuppgifter (telefonnummer och
6.Alla former av betalningsinformation, inbegripet faktureringsadress.
7.Hela resrutten för aktuell passageraruppgiftssamling.
8.Uppgifter om bonusprogram.
9.ResebyrÄ/resebyrÄtjÀnsteman.
10.Passagerarens resestatus, inbegripet resebekrÀftelser, incheckningsstatus, no show (passagerare som inte infinner sig) eller go show (passagerare utan bokning).
11.Delade
12.AllmÀnna anmÀrkningar (inklusive alla tillgÀngliga uppgifter om ensamkommande barn under 18 Är, sÄsom namn och kön, Älder, sprÄkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhÄllande till barnet, namn och kontaktuppgifter för den person som hÀmtar barnet vid ankomsten och denna persons förhÄllande till barnet, f lygplatsanstÀlld som ledsagar barnet vid avresan respektive ankomsten).
13.Biljettinformation, inbegripet biljettnummer, datum för utfÀrdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14.Platsnummer och annan platsinformation.
15.Information om gemensam linjebeteckning.
16.All bagageinformation.
17.Antal medresenÀrer i
18.Eventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens
nummer, utfÀrdandeland och sista giltighetsdag, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, f lygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid).
19. Alla Àndringar som gjorts av de
4.5.2016 |
SV |
Europeiska unionens officiella tidning |
L 119/149 |
 |
 |
 |
 |
BILAGA II
Förteckning över brott enligt artikel 3.9
1.Deltagande i en kriminell organisation.
2.MĂ€nniskohandel.
3.Sexuellt utnyttjande av barn samt barnpornografi.
4.Olaglig handel med narkotika och psykotropa Àmnen.
5.Olaglig handel med vapen, ammunition och sprÀngÀmnen.
6.Korruption.
7.BedrÀgeri, inbegripet riktat mot unionens finansiella intressen.
8.PenningtvÀtt och penningförfalskning, inklusive förfalskning av euron.
9.
10.Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade vÀxtarter och vÀxtsorter.
11.HjÀlp till olovlig inresa och olovlig vistelse.
12.Mord, grov misshandel.
13.Olaglig handel med mÀnskliga organ och vÀvnader.
14.MÀnniskorov, olaga frihetsberövande och tagande av gisslan.
15.Organiserad stöld och vÀpnat rÄn.
16.Olaglig handel med kulturföremÄl, inbegripet antikviteter och konstverk.
17.VarumÀrkesförfalskning och piratkopiering.
18.Förfalskning av administrativa dokument och handel med sÄdana förfalskningar.
19.Olaglig handel med hormonsubstanser och andra tillvÀxtsubstanser.
20.Olaglig handel med nukleÀra och radioaktiva Àmnen.
21.VÄldtÀkt.
22.Brott som omfattas av den internationella brottmÄlsdomstolens behörighet.
23.Kapning av f lygplan eller fartyg.
24.Sabotage.
25.Handel med stulna fordon.
26.Industrispionage.
19.11.2016 |
SV |
Europeiska unionens officiella tidning |
L 313/59 |
 |
 |
 |
 |
RĂTTELSER
RÀttelse till Europaparlamentets och rÄdets direktiv (EU) 2016/681 av den 27 april 2016 om anvÀndning av passageraruppgiftssamlingar
(Europeiska unionens officiella tidning L 119 av den 4 maj 2016)
1.Sidan 138, artikel 3.9
I stĂ€llet för: â9. grov brottslighet: brott som förtecknas i bilaga II vilka bestraffas med fĂ€ngelse eller annan frihetsberövande Ă„tgĂ€rd i minst tre Ă„r enligt en medlemsstats nationella rĂ€tt,â
ska det stĂ„: â9. grov brottslighet: brott som förtecknas i bilaga II som kan leda till fĂ€ngelse eller annan frihetsberövande Ă„tgĂ€rd i minst tre Ă„r enligt en medlemsstats nationella rĂ€tt,â.
2.Sidan 148, bilaga I, punkt 18
I stĂ€llet för: â18. ⊠(inklusive typ av identitetshandling, identitetshandlingens nummer, utfĂ€rdandeland och sista giltighetsdag, efternamn, förnamn, âŠâ
ska det stĂ„: â18. ⊠(inklusive typ av identitetshandling, identitetshandlingens nummer, utfĂ€rdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, âŠâ.
Europeiska unionens rÄd
Interinstitutionellt Àrende: 2011/0023 (COD)
Bryssel den 18 april 2016 (OR. en)
7829/16 ADD 1
CODEC 422
GENVAL 47
AVIATION 63
DATAPROTECT 29
ENFOPOL 104
frÄn: |
RĂ„dets generalsekretariat |
till: |
StÀndiga representanternas kommitté (Coreper)/rÄdet |
Ărende: |
Utkast till Europaparlamentets och rÄdets direktiv om anvÀndning av |
 |
passageraruppgiftssamlingar (PNR) för att förebygga, förhindra, upptÀcka, |
 |
utreda och lagföra terroristbrott och grov brottslighet (första |
 |
behandlingen) |
 |
- Antagande av lagstiftningsakten (L + U) |
 |
= Uttalande |
 |
Uttalande frÄn rÄdet |
Enligt artikel 2 i
Mot bakgrund av det aktuella sÀkerhetslÀget i Europa förklarar medlemsstaterna att de senast det datum för införlivande som anges i artikel 18 fullt ut kommer att utnyttja den möjlighet som föreskrivs i artikel 2, enligt de villkor som anges i direktivet.
Medlemsstaterna förklarar att de i enlighet med parlamentets önskemÄl Ätar sig1 att i enlighet med sin nationella lagstiftning utvidga insamlingen av
1 |
Med förbehÄll för parlamentsbehandling i vissa medlemsstater. |
 |
 |
 |
 |
 |
|
 |
 |
 |
|
7829/16 ADD 1 |
ek/EHE/np |
1 |
|
 |
DRI |
 |
SV |
Statens offentliga utredningar 2017
Kronologisk förteckning
1.För Sveriges landsbygder
âen sammanhĂ„llen politik för arbete, hĂ„llbar tillvĂ€xt och vĂ€lfĂ€rd. N.
2.Kraftsamling för framtidens energi. M.
3.Karens för statsrÄd och statssekreterare. Fi.
4.För en god och jÀmlik hÀlsa. En utveckling av det folkhÀlsopolitiska ramverket. S.
5.Svensk social trygghet i en globaliserad vÀrld. Del 1 och 2. S.
6.Se barnet! Ju.
7.Straffprocessens ramar och domstolens beslutsunderlag
i brottmĂ„l â en bĂ€ttre hantering av stora mĂ„l. Ju.
8.KunskapslĂ€get pĂ„ kĂ€rnavfallsomrĂ„det 2017. KĂ€rnavfallet â en frĂ„ga i stĂ€ndig förĂ€ndring. M.
9.Det handlar om oss.
âunga som varken arbetar eller studerar. U.
10.Ny ordning för att frÀmja god sed och hantera oredlighet i forskning. U.
11.VĂ€gskatt. Volym 1 och 2. Fi.
12.Att ta emot mÀnniskor pÄ flykt. Sverige hösten 2015. Ju.
13.Finansiering av infrastruktur med privat kapital? Fi.
14.MigrationsÀrenden
vid utlandsmyndigheterna. Ju.
15.Kvalitet och sÀkerhet
pÄ apoteksmarknaden. S.
16.Sverige i Afghanistan
17.Om oskuldspresumtionen och rÀtten att nÀrvara vid rÀttegÄngen. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.
18.En nationell strategi för validering. U.
19.Uppdrag: Samverkan. Steg pÄ vÀgen mot fördjupad lokal samverkan
för unga arbetslösa. A.
20.TilltrĂ€de för nybörjare â ett öppnare och enklare system för tilltrĂ€de till högskoleutbildning. U.
21.LÀs mig! Nationell kvalitetsplan för vÄrd och omsorg om Àldre personer. Del 1 och 2. S.
22.FrĂ„n vĂ€rdekedja till vĂ€rdecykel â sĂ„ fĂ„r Sverige en mer cirkulĂ€r ekonomi. M.
23.digitalforvaltning.nu. Fi.
24.Ett arbetsliv i förĂ€ndring â hur pĂ„verkas ansvaret för arbetsmiljön? A.
25.Samlad kunskap â stĂ€rkt handlĂ€ggning. S.
26.Delningsekonomi. PÄ anvÀndarnas villkor. Fi.
27.Vissa frÄgor inom fastighets- och stÀmpelskatteomrÄdet. Fi.
28.Ett nationellt centrum för kunskap om och utvÀrdering av arbetsmiljö. A.
29.Brottsdatalag. Ju
30.En omreglerad spelmarknad. Del 1 och 2. Fi.
31.StÀrkt konsumentskydd
pÄ bostadsrÀttsmarknaden. Ju.
32.Substitution i Centrum
âstĂ€rkt konkurrenskraft med kemikaliesmarta lösningar. M.
33.StÀrkt stÀllning för hyresgÀster. Ju.
34.Ekologisk kompensation â Ă tgĂ€rder för att motverka nettoförluster av biologisk mĂ„ngfald och ekosystem- tjĂ€nster, samtidigt som behovet av markexploatering tillgodoses. M.
35.Samling för skolan. Nationell strategi för kunskap och likvÀrdighet. U.
36.InformationssÀkerhet för samhÀlls viktiga och digitala tjÀnster. Ju.
37.Kvalificerad vÀlfÀrdsbrottslighet
âförebygga, förhindra, upptĂ€cka och beivra. Ju.
38.Kvalitet i vĂ€lfĂ€rden â bĂ€ttre upphandling och uppföljning. Fi.
39.Ny dataskyddslag. Kompletterande bestÀmmelser till EU:s dataskydds förordning. Ju.
40.För dig och för alla. S.
41.Meddelarskyddslagen â fler verksam- heter med stĂ€rkt meddelarskydd. Ju.
42.Vem har ansvaret? M.
43.PÄ lika villkor! Delaktighet, jÀmlikhet och effektivitet i hjÀlpmedelsförsörj- ningen. S.
44.Entreprenad, fjÀrrundervisning och distansundervisning. U.
45.Ny lag om företagshemligheter. Ju.
46.StÀrkt ordning och sÀkerhet i domstol. Ju.
47.NÀsta steg pÄ vÀgen mot en mer jÀmlik hÀlsa. Förslag för ett lÄngsiktigt arbete för en god och jÀmlik hÀlsa. S.
48.Kunskapsbaserad och jÀmlik vÄrd. FörutsÀttningar för en lÀrande hÀlso- och sjukvÄrd. S.
49.EU:s dataskyddsförordning och utbildningsomrÄdet. U.
50.Personuppgiftsbehandling för forskningsÀndamÄl. U.
51.Utbildning, undervisning och ledning
â reformvĂ„rd till stöd för en bĂ€ttre skola. U.
52.SÄ stÀrker vi den personliga integriteten. Ju.
53.God och nÀra vÄrd. En gemensam fÀrdplan och mÄlbild. S.
54.Fler nyanlÀnda elever ska uppnÄ behörighet till gymnasiet. U.
55.En ny kamerabevakningslag. Ju.
56.Jakten pÄ den perfekta ersÀttnings modellen. Vad hÀnder med med arbetarnas handlingsutrymme? Fi.
57.Lag om flygpassageraruppgifter i brottsbekÀmpningen. Ju.
Statens offentliga utredningar 2017
Systematisk förteckning
Arbetsmarknadsdepartementet
Uppdrag: Samverkan. Steg pÄ vÀgen mot fördjupad lokal samverkan för unga arbetslösa. [19]
Ett arbetsliv i förĂ€ndring â hur pĂ„verkas ansvaret för arbetsmiljön? [24]
Ett nationellt centrum för kunskap om och utvÀrdering av arbetsmiljö. [28]
Finansdepartementet
Karens för statsrÄd och statssekreterare. [3] VÀgskatt. Volym 1 och 2. [11]
Finansiering av infrastruktur med privat kapital? [13]
digitalforvaltning.nu. [23]
Delningsekonomi. PÄ anvÀndarnas villkor. [26]
Vissa frÄgor inom fastighets- och stÀmpel- skatteomrÄdet. [27]
En omreglerad spelmarknad. Del 1 och 2. [30]
Kvalitet i vĂ€lfĂ€rden â bĂ€ttre upphandling och uppföljning. [38]
Jakten pÄ den perfekta ersÀttningsmodel- len. Vad hÀnder med medarbetarnas handlingsutrymme? [56]
Justitiedepartementet
Se barnet! [6]
Straffprocessens ramar och domstolens beslutsunderlag i brottmÄl
â en bĂ€ttre hantering av stora mĂ„l. [7]
Att ta emot mÀnniskor pÄ flykt. Sverige hösten 2015. [12]
MigrationsÀrenden
vid utlandsmyndigheterna.[14]
Om oskuldspresumtionen och rÀtten att nÀrvara vid rÀttegÄngen. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]
Brottsdatalag. [29]
StÀrkt konsumentskydd
pÄ bostadsrÀttsmarknaden. [31] StÀrkt stÀllning för hyresgÀster. [33]
InformationssÀkerhet för samhÀllsviktiga och digitala tjÀnster. [36]
Kvalificerad vÀlfÀrdsbrottslighet
â förebygga, förhindra, upptĂ€cka och beivra. [37]
Ny dataskyddslag. Kompletterande bestÀmmelser till EU:s dataskydds förordning. [39]
Meddelarskyddslagen â fler verksam- heter med stĂ€rkt meddelarskydd. [41]
Ny lag om företagshemligheter. [45] StÀrkt ordning och sÀkerhet i domstol. [46] SÄ stÀrker vi den personliga integriteten. [52] En ny kamerabevakningslag. [55]
Lag om flygpassageraruppgifter i brotts- bekÀmpningen. [57]
Miljö- och energidepartementet
Kraftsamling för framtidens energi. [2]
KunskapslĂ€get pĂ„ kĂ€rnavfallsomrĂ„det 2017. KĂ€rnavfallet â en frĂ„ga i stĂ€ndig förĂ€ndring. [8]
FrĂ„n vĂ€rdekedja till vĂ€rdecykel â sĂ„ fĂ„r Sverige en mer cirkulĂ€r ekonomi. [22]
Substitution i Centrum
â stĂ€rkt konkurrenskraft med kemikaliesmarta lösningar. [32]
Ekologisk kompensation â Ă tgĂ€rder för att motverka nettoförluster av biologisk mĂ„ngfald och ekosystemtjĂ€nster, sam- tidigt som behovet av markexploatering tillgodoses. [34]
Vem har ansvaret? [42]
NĂ€ringsdepartementet
För Sveriges landsbygder
â en sammanhĂ„llen politik för
arbete, hÄllbar tillvÀxt och vÀlfÀrd. [1]
Socialdepartementet
För en god och jÀmlik hÀlsa. En utveckling av det
folkhÀlsopolitiska ramverket. [4]
Svensk social trygghet i en globaliserad vÀrld. Del 1 och 2.[5]
Kvalitet och sÀkerhet
pÄ apoteksmarknaden. [15]
LĂ€s mig! Nationell kvalitetsplan
för vÄrd och omsorg om Àldre personer. Del 1 och 2. [21]
Samlad kunskap â stĂ€rkt handlĂ€ggning. [25] För dig och för alla. [40]
PÄ lika villkor! Delaktighet, jÀmlikhet och effektivitet i hjÀlpmedelsförsörjningen. [43]
NÀsta steg pÄ vÀgen mot en mer jÀmlik hÀlsa. Förslag för ett lÄngsiktigt arbete för en god och jÀmlik hÀlsa. [47]
Kunskapsbaserad och jÀmlik vÄrd. FörutsÀttningar för en lÀrande hÀlso- och sjukvÄrd. [48]
God och nÀra vÄrd. En gemensam fÀrdplan och mÄlbild. [53]
Utbildningsdepartementet
Det handlar om oss.
â unga som varken arbetar eller studerar. [9]
Ny ordning för att frÀmja god sed
och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]
TilltrĂ€de för nybörjare â ett öppnare och enklare system för tilltrĂ€de till hög skoleutbildning. [20]
Samling för skolan.
Nationell strategi för kunskap och likvÀrdighet. [35]
Entreprenad, fjÀrrundervisning och distansundervisning. [44]
EU:s dataskyddsförordning och utbildningsomrÄdet. [49]
Personuppgiftsbehandling
för forskningsÀndamÄl.[50]
Utbildning, undervisning och ledning
â reformvĂ„rd till stöd för en bĂ€ttre skola. [51]
Fler nyanlÀnda elever ska uppnÄ behörighet till gymnasiet. [54]
Utrikesdepartementet
Sverige i Afghanistan