Brottsdatalag

– kompletterande lagstiftning

Slutbetänkande av Utredningen om 2016 års dataskyddsdirektiv

Stockholm 2017

SOU 2017:74

Innehåll

SOU 2017:74

1.12	Förslag till lag om ändring i lagen (2001:617) om
	behandling av personuppgifter inom kriminalvården ..........	78
1.13	Förslag till lag om ändring i lagen (2005:321) om
	tillträdesförbud vid idrottsarrangemang ...............................	84
1.14	Förslag till lag om ändring i lagen (2007:980) om tillsyn
	över viss brottsbekämpande verksamhet ..............................	85
1.15	Förslag till lag om ändring i offentlighets- och
	sekretesslagen (2009:400) ......................................................	87
1.16	Förslag till lag om ändring i polisdatalagen (2010:361) .......	93
1.17	Förslag till lag om ändring i kustbevakningsdatalagen
	(2012:145) .............................................................................	121
1.18	Förslag till lag om ändring i lagen (2014:400) om
	Polismyndighetens elimineringsdatabas .............................	133
1.19	Förslag till lag om ändring i lagen (2015:51) om register
	över tillträdesförbud vid idrottsarrangemang .....................	137
1.20	Förslag till lag om ändring i åklagardatalagen
	(2015:433) .............................................................................	141
1.21	Förslag till lag om ändring i utlänningsdatalagen
	(2016:27) ...............................................................................	150
1.22	Förslag till lag om ändring i tullagen (2016:253)................	151
1.23	Förslag till lag om ändring i tullbrottsdatalagen
	(2017:447) .............................................................................	152
1.24	Förslag till lag om ändring i skattebrottsdatalagen
	(2017:452) .............................................................................	170
1.25	Förslag till lag om ändring i lagen (2017:496) om
	internationellt polisiärt samarbete.......................................	184
1.26	Förslag till lag om ändring i brottsdatalagen (2018:000) ...	189
1.27	Förslag till Säkerhetspolisens dataförordning
	(2018:000) .............................................................................	193
1.28	Förslag till domstolarnas brottsdataförordning
	(2018:000) .............................................................................	204

6

SOU 2017:74 Innehåll

1.29	Förslag till förordning (2018:000) om
	underrättelseskyldighet för Kriminalvården .......................	207
1.30	Förslag till förordning om ändring i förordningen
	(1970:517) om rättsväsendets informationssystem ............	211
1.31	Förslag till förordning om ändring i förordningen
	(1977:937) om allmänna förvaltningsdomstolars
	behörighet m.m. ....................................................................	212
1.32	Förslag till förordning om ändring i
	folkbokföringsförordningen (1991:749) .............................	213
1.33	Förslag till förordning om ändring i förordningen
	(1995:238) om totalförsvarsplikt .........................................	214
1.34	Förslag till förordning om ändring i förordningen
	(1995:1301) om handläggning av skadeståndsanspråk
	mot staten..............................................................................	215
1.35	Förslag till förordning om ändring i vapenförordningen
	(1996:70) ...............................................................................	217
1.36	Förslag till förordning om ändring i förordningen
	(2001:682) om behandling av personuppgifter inom
	kriminalvården.......................................................................	218
1.37	Förslag till förordning om ändring i förordningen
	(2005:323) om tillträdesförbud vid idrottsarrangemang ....	241

1.38Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och

	integritetsskyddsnämnden ...................................................	243
1.39	Förslag till förordning om ändring i offentlighets- och
	sekretessförordningen (2009:641) .......................................	245
1.40	Förslag till förordning om ändring i
	polisdataförordningen (2010:1155) .....................................	250
1.41	Förslag till förordning om ändring i
	kustbevakningsdataförordningen (2012:146) .....................	261
1.42	Förslag till förordning om ändring i förordningen
	(2014:405) om Polismyndighetens elimineringsdatabas ....	267

7

Innehåll

SOU 2017:74

1.43	Förslag till förordning om ändring i förordningen
	(2014:1103) med instruktion för Säkerhetspolisen ............	268
1.44	Förslag till förordning om ändring i förordningen
	(2015:54) om register över tillträdesförbud vid
	idrottsarrangemang...............................................................	269

1.45Förslag till förordning om ändring i förordningen (2015:476) om behandling av personuppgifter i

	Nationellt forensiskt centrums uppdragsverksamhet ........		270
1.46	Förslag till förordning om ändring i
	åklagardataförordningen (2015:575) ...................................		271
1.47	Förslag till förordning om ändring i
	tullbrottsdataförordningen (2017:450) ...............................		275
1.48	Förslag till förordning om ändring i
	skattebrottsdataförordningen (2017:458)...........................		282
1.49	Förslag till förordning om ändring i förordningen
	(2017:504) om internationellt polisiärt samarbete .............		288
1.50	Förslag till förordning om ändring i
	brottsdataförordningen (2018:000).....................................		294
2	Utredningens uppdrag och arbete..............................		295
2.1	Utredningsuppdraget ...........................................................		295
2.2	Genomförandet av uppdraget ..............................................		296
3	Brottsdatalagens innehåll .........................................		299
3.1	Ny reglering av dataskyddet ................................................		299
	3.1.1	Dataskyddsreformen.............................................	299
	3.1.2	Genomförandet av dataskyddsdirektivet.............	300
3.2	Innehållet i brottsdatalagen .................................................		301
	3.2.1	Regler om behandlingen av personuppgifter.......	301
	3.2.2	Personuppgiftsansvarigas skyldigheter................	305
	3.2.3	Enskildas rättigheter .............................................	308
	3.2.4	Tillsyn ....................................................................	309
	3.2.5	Sanktioner, skadestånd och rättsmedel................	312

8

SOU 2017:74

Innehåll

3.2.6Överföring av personuppgifter till tredjeland

		och internationella organisationer ........................	314
	3.2.7	Ikraftträdande och övergångsbestämmelser ........	316
4	Framtida utformning av registerförfattningarna ...........		317
4.1	Utgångspunkter ....................................................................		317

4.2Det krävs anpassningar till den nya

dataskyddsregleringen ..........................................................

318

4.3Merparten av bestämmelserna är förenliga med

dataskyddsdirektivet .............................................................		319
4.4 Lagarnas tillämpningsområden ............................................		320
4.4.1	Tillämpningsområdet ska regleras ........................	320

4.4.2Vad innebär det ändrade

tillämpningsområdet?............................................

323

4.5Ska registerförfattningarna reglera frågor som inte rör

	dataskydd? .............................................................................		324
5	Generella ändringar .................................................		327
5.1	Registerförfattningarna har likartat innehåll .......................		327
5.2	En ny lagteknisk struktur .....................................................		328
5.3	Bestämmelser som inte längre behövs .................................		329
	5.3.1	Hänvisningar till personuppgiftslagen .................	329
	5.3.2	Hänvisningar till 2013 års lag................................	332
	5.3.3	Syftet med lagarna .................................................	332
	5.3.4	Automatiserad behandling ....................................	333
	5.3.5	Bestämmelser om lagarnas uppbyggnad...............	334
	5.3.6	Personuppgiftsombud ...........................................	335
	5.3.7	Behandling för diarieföring...................................	335
	5.3.8	Behandling av känsliga personuppgifter...............	336
	5.3.9	Tillgången till personuppgifter .............................	339
	5.3.10	Särskilda upplysningar...........................................	341
	5.3.11	Längsta tid för behandling ....................................	346

5.3.12Upplysning om regleringen i offentlighets-

och sekretesslagen .................................................

347

9

Innehåll

SOU 2017:74

5.4	Behov av nya bestämmelser och anpassningar....................		348
	5.4.1	Uppgifter om juridiska personer..........................	348
	5.4.2	Administrativa sanktionsavgifter .........................	349
	5.4.3	Skadestånd .............................................................	352
	5.4.4	Överklagande ........................................................	353
	5.4.5	Uppgifter till rättsstatistiken................................	354
	5.4.6	Terminologin anpassas..........................................	355
5.5	Särskilt om längsta tid för behandling.................................		356
	5.5.1	Regleringen samlas................................................	356

5.5.2Bestämmelser om längsta tid för behandling

oavsett ändamål .....................................................

359

5.5.3Bestämmelser om längsta tid för behandling

för ändamål inom tillämpningsområdet...............

363

5.5.4Omständigheter som påverkar längsta tid för

	behandling i underrättelseverksamhet .................	365
5.6 Särskilt om elektroniskt utlämnande...................................		366
5.6.1	Olika former av elektroniskt utlämnande ...........	366
5.6.2	Behovet av att kommunicera elektroniskt...........	367
5.6.3	Utlämnande genom direktåtkomst ......................	370

5.6.4Annat elektroniskt utlämnande tillåts i större

		utsträckning...........................................................	371
5.7	Frågor om föreskriftsrätt m.m. ...........................................		376
6	Tillåtna rättsliga grunder och behandling
	för nya ändamål.......................................................		379
6.1	Ändamål eller tillåtna rättsliga grunder? .............................		379
	6.1.1	Dagens ändamålsbestämmelser ............................	379
	6.1.2	Bestämmelser om rättslig grund...........................	381

6.1.3Primära och sekundära ändamålsbestämmelser

är bestämmelser om rättslig grund.......................	383
6.2 Ny utgångspunkt i brottsdatalagen .....................................	386

6.3Behandling för ändamål inom brottsdatalagens

tillämpningsområde ..............................................................		387
6.3.1	Tillåtna rättsliga grunder för behandling .............	387
6.3.2	Behandling för nya ändamål .................................	390

10

SOU 2017:74

Innehåll

6.4Behandling för ändamål utanför brottsdatalagens

tillämpningsområde ..............................................................		394
6.4.1	Tillämpningen av dataskyddsförordningen..........	394

6.4.2En prövning ska göras innan personuppgifter

		lämnas ut ................................................................	397
	6.4.3	Utformningen av regleringen ...............................	400
6.5	Uppgiftsskyldighet ersätter prövningen..............................		404
7	Polisdatalagen ........................................................		407
7.1	Polisdatalagen behöver anpassas ..........................................		407
	7.1.1	Nuvarande reglering ..............................................	407
	7.1.2	Polisdatalagen ges ett nytt namn ..........................	408
7.2	Allmänna bestämmelser........................................................		409
	7.2.1	Tillämpningsområdet ............................................	409
	7.2.2	Personuppgiftsansvar ............................................	416
	7.2.3	En bestämmelse om hur lagen är uppbyggd ........	418
7.3	Grundläggande bestämmelser om behandling ....................		418

7.3.1Tillåtna rättsliga grunder och behandling för

nya ändamål............................................................

418

7.3.2Behandling av biometriska och genetiska

	uppgifter.................................................................	420
7.3.3	Sökning på känsliga personuppgifter ...................	423
7.4 Personuppgifter från transportföretag ................................		427

7.4.1Personuppgiftsbehandlingen bör regleras i

polisens brottsdatalag............................................

427

7.4.2Begränsningar i möjligheterna att behandla

personuppgifter .....................................................

430

7.4.3Uppgifter från transportföretag får göras

	gemensamt tillgängliga ..........................................	432
7.4.4	Hur länge personuppgifterna får behandlas.........	433
7.5 Gemensamt tillgängliga uppgifter........................................		434

7.5.1Nya kategorier av personuppgifter får göras

	gemensamt tillgängliga ..........................................	434
7.5.2	Sökning i gemensamt tillgängliga uppgifter.........	436
7.6 Längsta tid för behandling....................................................		441

11

Innehåll

SOU 2017:74

7.7	Personuppgiftsbehandling i särskilda register ....................		442
	7.7.1	Dna-register...........................................................	442
	7.7.2	Fingeravtrycks- och signalementsregister ...........	442
7.8	Personuppgiftsbehandling för forensiska ändamål ............		443
	7.8.1	Vad är forensiska ändamål? ..................................	443
	7.8.2	Regleringen av forensiska ändamål behålls..........	444
	7.8.3	Behandling för nya ändamål .................................	445
	7.8.4	Behandling av känsliga personuppgifter ..............	447
8	Tullbrottsdatalagen ..................................................		451
8.1	Tullbrottsdatalagen behöver anpassas .................................		451
	8.1.1	Nuvarande reglering..............................................	451
	8.1.2	Tullbrottsdatalagen ges ett nytt namn.................	451
8.2	Tillämpningsområdet ...........................................................		452
8.3	Grundläggande bestämmelser om behandling....................		453

8.3.1Tillåtna rättsliga grunder och behandling för

nya ändamål ...........................................................

453

8.3.2Behandling av biometriska och genetiska

		uppgifter ................................................................	455
	8.3.3	Sökning på känsliga personuppgifter ...................	456
8.4	Personuppgifter från transportföretag................................		460
	8.4.1	Reglerna om personuppgiftsbehandling samlas ..	460
	8.4.2	En i huvudsak oförändrad reglering.....................	464
8.5	Gemensamt tillgängliga uppgifter .......................................		467
	8.5.1	Sökning i gemensamt tillgängliga uppgifter ........	467

8.5.2Uppgifter från transportföretag får göras

		gemensamt tillgängliga..........................................	469
8.6	Längsta tid för behandling ...................................................		470
8.7	Övergångsbestämmelser till tullbrottsdatalagen ................		471
9	Kustbevakningsdatalagen .........................................		473
9.1	Kustbevakningsdatalagen behöver anpassas .......................		473
	9.1.1	Nuvarande reglering..............................................	473
	9.1.2	Kustbevakningsdatalagen delas upp.....................	473

12

SOU 2017:74 Innehåll

9.2	Tillämpningsområdet............................................................		475
9.3	Grundläggande bestämmelser om behandling ....................		478
	9.3.1	Tillåtna rättsliga grunder och behandling för
		nya ändamål............................................................	478

9.3.2Behandling av biometriska och genetiska

	uppgifter.................................................................	480
9.3.3	Sökning på känsliga personuppgifter ...................	481
9.4 Gemensamt tillgängliga uppgifter........................................		484
9.4.1	Behandling för diarieföring ska undantas ............	484

9.4.2En ny kategori av personuppgifter får göras

		gemensamt tillgängliga ..........................................	484
	9.4.3	Sökning i gemensamt tillgängliga uppgifter.........	485
10	Skattebrottsdatalagen ..............................................		489
10.1	Skattebrottsdatalagen behöver anpassas ..............................		489
	10.1.1	Nuvarande reglering ..............................................	489
	10.1.2	Skattebrottsdatalagen ges ett nytt namn..............	489
10.2	Tillämpningsområdet............................................................		490
10.3	Grundläggande bestämmelser om behandling ....................		491

10.3.1Tillåtna rättsliga grunder och behandling för

nya ändamål............................................................

491

10.3.2Behandling av biometriska och genetiska

		uppgifter.................................................................	492
	10.3.3 Sökning på känsliga personuppgifter ...................		493
10.4	Gemensamt tillgängliga uppgifter........................................		495
10.5	Övergångsbestämmelser till skattebrottsdatalagen ............		497
11	Åklagardatalagen.....................................................		499
11.1	Åklagardatalagen behöver anpassas .....................................		499
	11.1.1	Nuvarande reglering ..............................................	499
	11.1.2	Åklagardatalagen delas upp ...................................	500
11.2	Tillämpningsområdet............................................................		501
11.3	Grundläggande bestämmelser om behandling ....................		504

13

Innehåll

SOU 2017:74

11.3.1Tillåtna rättsliga grunder och behandling för

		nya ändamål ...........................................................	504
	11.3.2 Behandling av biometriska och genetiska
		uppgifter ................................................................	506
	11.3.3 Sökning på känsliga personuppgifter ...................		507
11.4	Gemensamt tillgängliga uppgifter .......................................		508
12	Domstolsdatalagen...................................................		511
12.1	Behovet av ny reglering ........................................................		511
	12.1.1	Nuvarande reglering..............................................	511
	12.1.2 Regleringen för domstolarna kräver särskilda
		överväganden .........................................................	511
	12.1.3 En särskild registerlagstiftning inom
		brottsdatalagens tillämpningsområde ..................	512
12.2	Utgångspunkter för regleringen ..........................................		513
	12.2.1 Den nya lagen ska gälla utöver brottsdatalagen ..		513
	12.2.2 Domstolsdatalagen kan bilda mönster.................		514
	12.2.3 Vissa bestämmelser i domstolsdatalagen
		behövs inte.............................................................	514
12.3	Allmänna bestämmelser .......................................................		516
	12.3.1	Tillämpningsområdet ............................................	516
	12.3.2	Personuppgiftsansvar............................................	519
	12.3.3 Ska domstolarna utse dataskyddsombud? ...........		520
	12.3.4 Uppgifter om juridiska personer..........................		521
12.4	Grundläggande bestämmelser om behandling....................		522
	12.4.1 Tillåtna rättsliga grunder för behandling .............		522
	12.4.2 Behandling för nya ändamål .................................		524
	12.4.3	Särskilda upplysningar ..........................................	526
	12.4.4	Behandling av personnummer ..............................	527

12.4.5Behandling av biometriska och genetiska

	uppgifter ................................................................	528
12.5 Sökning..................................................................................		529
12.5.1 Sökförbudet i brottsdatalagen ska inte gälla........		529
12.5.2	Särskilda sökförbud...............................................	531
12.5.3	Tillåtna sökningar..................................................	534

14

SOU 2017:74 Innehåll

12.6	Utlämnande av personuppgifter ..........................................		535
	12.6.1	Direktåtkomst .......................................................	535
	12.6.2	Elektroniskt utlämnande.......................................	536
12.7	Frågor om föreskriftsrätt .....................................................		537
12.8	Administrativa sanktionsavgifter .........................................		539
12.9	Skadestånd .............................................................................		540
12.10	Överklagande ........................................................................		541
12.11	Övergångsbestämmelser.......................................................		542
13	Lagen om behandling av personuppgifter inom
	kriminalvården ........................................................		545
13.1	Lagen om behandling av personuppgifter inom
	kriminalvården behöver anpassas .........................................		545
	13.1.1	Lagens nuvarande struktur....................................	545
	13.1.2	En omodern lagstiftning .......................................	546
	13.1.3 Två olika registerlagar för kriminalvården ...........		547
13.2	Allmänna bestämmelser........................................................		549
	13.2.1	Tillämpningsområdet ............................................	549
	13.2.2	Personuppgiftsansvar ............................................	552
13.3	Grundläggande bestämmelser om behandling ....................		553

13.3.1Tillåtna rättsliga grunder och behandling för

nya ändamål............................................................

553

13.3.2Behandling av biometriska och genetiska

		uppgifter.................................................................	558
	13.3.3	Utlämnande av personuppgifter ...........................	559
13.4	Kriminalvårdens register.......................................................		560
	13.4.1	Nuvarande reglering ..............................................	560
	13.4.2 Hur bör den framtida regleringen se ut?..............		562
13.5	Säkerhetsregistret..................................................................		563
	13.5.1	Reglering i lag ........................................................	563
	13.5.2 Registrering av häktade och intagna.....................		565
	13.5.3 Registrering av den som utövar våld eller hot .....		569
	13.5.4	Registrering avseende andra..................................	570
	13.5.5 Sökning på känsliga personuppgifter ...................		571

15

Innehåll

SOU 2017:74

13.5.6 Direktåtkomst och annat utlämnande .................		572
13.5.7 Längsta tid som personuppgifter får behandlas ..		574
13.5.8	Föreskrifter............................................................	574
13.6 Bestämmelser som inte längre behövs.................................		575
13.6.1 Sökning på känsliga personuppgifter ...................		575
13.6.2	Tillgången till personuppgifter.............................	575
13.6.3	Omprövning ..........................................................	576
13.6.4	Överklagande ........................................................	577
13.7 Anpassningar av förordningen om behandling av
personuppgifter inom kriminalvården ................................		579
13.7.1	Behovet av översyn ...............................................	579

13.7.2Anpassningar till brottsdatalagen och

		kriminalvårdens brottsdatalag ..............................	579
	13.7.3 Andra ändringar i förordningen ...........................		581
14	Säkerhetspolisens behandling av personuppgifter........		585
14.1	Bakgrund ...............................................................................		585
	14.1.1 Säkerhetspolisens uppdrag och verksamhet ........		585
	14.1.2	Säkerhetspolisens organisation ............................	587
	14.1.3	Regleringen av personuppgiftsbehandlingen.......	588
14.2	En ny lag för Säkerhetspolisens
	personuppgiftsbehandling....................................................		592
	14.2.1	Allmänna utgångspunkter ....................................	592

14.2.2En särskild lag för Säkerhetspolisens

	personuppgiftsbehandling ....................................	596
14.2.3	Lagens syfte ...........................................................	599
14.3 Lagens tillämpningsområde .................................................		600
14.3.1	Avgränsningen av tillämpningsområdet ..............	600
14.3.2 Ska andra myndigheter tillämpa lagen?................		604

14.3.3Säkerhetspolisen ska även tillämpa

		brottsdatalagen ......................................................	606
14.4	Regleringen ska utgå från regleringen i polisdatalagen ......		606
14.5	Allmänna bestämmelser .......................................................		607
	14.5.1	Förhållandet till annan lagstiftning ......................	607
	14.5.2	Personuppgiftsansvar............................................	608

16

SOU 2017:74	Innehåll
14.5.3 Definitioner ...........................................................	609
14.5.4 Uppgifter om juridiska personer ..........................	610
14.6 Ändamål och rättsliga grunder för behandlingen ...............	611
14.6.1 Ändamål för behandling av personuppgifter .......	611

14.6.2Primära och sekundära ändamålsbestämmelser

är bestämmelser om rättslig grund .......................	614
14.6.3 Rättslig grund för behandling – huvudregeln ......	617

14.6.4Rättslig grund i undantagsfall för diarieföring

	och handläggning...................................................	619
14.6.5	Rättslig grund för behandling genom
	utlämnande.............................................................	620
14.7 Grundläggande krav på behandlingen..................................		622
14.7.1	Författningsenlig och korrekt behandling ...........	622

14.7.2Personuppgifter ska vara korrekta, adekvata

och relevanta ..........................................................	622
14.7.3 Känsliga personuppgifter ......................................	625

14.7.4Åtgärder för att säkerställa

		personuppgifternas kvalitet...................................	631
14.8	Uppgifter från transportföretag...........................................		633
14.9	Gemensamt tillgängliga uppgifter........................................		634
	14.9.1	Allmänt om regleringen ........................................	634
	14.9.2	Särskilda upplysningar...........................................	635
14.10	Behandling av personuppgifter i ostrukturerad
	information............................................................................		638
	14.10.1	Behovet av reglering ..............................................	638
	14.10.2	Undantag från kravet på särskilda
		upplysningar...........................................................	640
14.11	Elektroniskt utlämnande ......................................................		643
	14.11.1	Elektroniskt utlämnande på annat sätt än
		genom direktåtkomst ............................................	643
	14.11.2	Behovet av direktåtkomst .....................................	644
	14.11.3	Direktåtkomst för vissa svenska myndigheter ....	648
	14.11.4	Direktåtkomst för underrättelse- och
		säkerhetstjänster inom EU och EES ....................	655

17

Innehåll

SOU 2017:74

14.12 Sekretessbrytande bestämmelser .........................................		660
14.12.1	Uppgiftsskyldighet gällande rättsstatistik ...........	660
14.12.2	Sekretessgenombrott gentemot svenska
	myndigheter...........................................................	660
14.12.3	Sekretessgenombrott i övrigt ...............................	664
14.13 Längsta tid som personuppgifter får behandlas..................		665
14.13.1 Innebörden av nuvarande reglering......................		665
14.13.2 Hur länge får personuppgifter behandlas? ..........		667
14.13.3 Personuppgifter som inte har gjorts
	gemensamt tillgängliga..........................................	668
14.13.4 Personuppgifter som har gjorts gemensamt
	tillgängliga..............................................................	669
14.13.5 Personuppgifter som rör viss
	säkerhetshotande verksamhet ..............................	671
14.13.6 Ärenden om utredning av eller lagföring för
	brott .......................................................................	676
14.13.7 Möjlighet att förlänga tiden för behandling ........		677
14.13.8	Föreskrifter............................................................	678
14.14 Skyldigheter som personuppgiftsansvarig ..........................		680
14.15 Enskildas rättigheter.............................................................		685
14.16 Sanktioner, skadestånd och rättsmedel ...............................		688
14.16.1 Ingen straffbestämmelse i den nya lagen .............		688
14.16.2 Sanktionsavgift bör inte få tas ut .........................		689
14.16.3	Skadestånd .............................................................	692
14.16.4	Överklagande ........................................................	693
14.17 Överföring av personuppgifter till tredjeland och
internationella organisationer ..............................................		694
14.17.1	Utgångspunkter ....................................................	694
14.17.2 Grundläggande förutsättningar för överföring ...		697
14.17.3 Tillåtna grunder för överföring ............................		699
14.17.4 Överföring till andra mottagare ...........................		702
14.17.5 Villkor för användningen av personuppgifter .....		704
14.17.6	Dokumentationskrav ............................................	705

18

SOU 2017:74 Innehåll

15	Tillsyn över Säkerhetspolisen ....................................		707
15.1	Det behövs en särskild reglering ..........................................		707
15.2	Vem ska utöva tillsyn över Säkerhetspolisen?.....................		711
	15.2.1 För- och nackdelar med parallell tillsyn...............		711
	15.2.2 Bör den parallella tillsynen bestå? ........................		713
15.3	Tillsynsområdet.....................................................................		717
15.4	Tillsynen enligt Säkerhetspolisens datalag ..........................		718
	15.4.1	Allmän tillsyn.........................................................	718
	15.4.2 Förhandssamråd och annat råd och stöd .............		720
15.5	Befogenheter vid tillsynen enligt den nya lagen..................		722
	15.5.1	Undersökningsbefogenheter ................................	722

15.5.2Både förebyggande och korrigerande

		befogenheter behövs .............................................	723
	15.5.3	Förebyggande befogenheter .................................	724
	15.5.4	Korrigerande befogenheter ...................................	725
15.6	Handläggningen av tillsynsfrågor ........................................		726
	15.6.1	Kommunikationsskyldighet..................................	726
	15.6.2	Överklagande .........................................................	727
	15.6.3	Anmälningsskyldighet...........................................	728
15.7	Säkerhets- och integritetsskyddsnämndens tillsyn.............		728
	15.7.1	Nämndens allmänna tillsyn...................................	728
	15.7.2 Kontroll på begäran av enskild .............................		730
	15.7.3	Anmälningsskyldighet...........................................	732
16	Register över tillträdesförbud vid idrottsarrangemang .. 735
16.1	Nuvarande reglering .............................................................		735
	16.1.1	Tillträdesförbudsregistret .....................................	735
	16.1.2	Polismyndighetens roll..........................................	736
	16.1.3	Idrottsorganisationernas roll ................................	737
16.2	Två olika regleringar .............................................................		738
16.3	Regleringen för Polismyndigheten ......................................		742
16.4	Regleringen för idrottsorganisationerna .............................		744
16.5	Följdändringar.......................................................................		744

19

Innehåll

SOU 2017:74

17	Övriga författningsändringar......................................		747
17.1	Tystnadsplikt för dataskyddsombud...................................		747
17.2	Sekretessfrågor......................................................................		749
	17.2.1	Följdändringar i offentlighets- och
		sekretesslagen ........................................................	749
	17.2.2 Sekretess för uppgifter i verksamhet för
		teknisk bearbetning och lagring ...........................	750
	17.2.3 Sekretess för uppgifter som behandlas i strid
		med personuppgiftsregleringen............................	751
	17.2.4	Sekretess för personuppgiftsincidenter ...............	752
17.3	Lagen om internationellt polisiärt samarbete .....................		753
17.4	Lagen om Polismyndighetens elimineringsdatabas............		755
17.5	Hänvisningar till 2013 års lag ska upphävas........................		756

18	Ikraftträdande och övergångsbestämmelser ................		759
18.1	Ikraftträdande .......................................................................		759
18.2	Samma övergångsbestämmelser för flertalet
	författningar..........................................................................		759
	18.2.1	Behovet av övergångsbestämmelser .....................	759
	18.2.2	Skadestånd .............................................................	760
	18.2.3	Sanktioner..............................................................	760
18.3	Övergångsbestämmelser till Säkerhetspolisens datalag
	och domstolarnas brottsdatalag...........................................		761
	18.3.1	Ärendehandläggning m.m. ...................................	761
	18.3.2	Övergångsbestämmelser i övrigt..........................	762
18.4	Särskilda övergångsproblem.................................................		764

18.4.1Den nya dataskyddsregleringen medför

särskilda övergångsproblem..................................	764
18.4.2 Problemen med olika

ikraftträdandetidpunkter ......................................

764

18.4.3Problem om genomförandet av direktivet

fördröjs ..................................................................

767

20

SOU 2017:74 Innehåll

19	Konsekvenser..........................................................		769
19.1	Allmänt om konsekvenserna ................................................		769
	19.1.1	Anpassningar av registerförfattningarna..............	769
	19.1.2 Två nya lagar men inga nya arbetsuppgifter.........		770
	19.1.3 Modernisering av vissa författningar....................		771
19.2	Ekonomiska konsekvenser ...................................................		773
	19.2.1	Konsekvenser för staten........................................	773
	19.2.2 Konsekvenser för kommuner, landsting och
		enskilda...................................................................	774
19.3	Konsekvenser för det brottsförebyggande arbetet .............		774
19.4	Konsekvenser i övrigt ...........................................................		775

20	Författningskommentar ............................................	777
20.1	Förslaget till Säkerhetspolisens datalag (2018:000) ............	777
20.2	Förslaget till domstolarnas brottsdatalag (2018:000).........	832
20.3	Förslaget till lag om ändring i rättegångsbalken .................	844
20.4	Förslaget till lag om ändring i polislagen (1984:387) .........	845
20.5	Förslaget till lag om ändring i säkerhetsskyddslagen
	(1996:627)..............................................................................	845

20.6Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett

	annat land inom Europeiska unionen ..................................	845
20.7	Förslaget till lag om ändring i lagen (2000:344) om
	Schengens informationssystem ............................................	846
20.8	Förslaget till lag om ändring i lagen (2001:185) om
	behandling av uppgifter i Tullverkets verksamhet ..............	846
20.9	Förslaget till lag om ändring i lagen (2001:617) om
	behandling av personuppgifter inom kriminalvården .........	847
20.10	Förslaget till lag om ändring i lagen (2005:321) om
	tillträdesförbud vid idrottsarrangemang..............................	861

21

Innehåll

SOU 2017:74

20.11	Förslaget till lag om ändring i lagen (2007:980) om
	tillsyn över viss brottsbekämpande verksamhet .................	861
20.12	Förslaget till lag om ändring i offentlighets- och
	sekretesslagen (2009:400) ....................................................	863
20.13	Förslaget till lag om ändring i polisdatalagen (2010:361) ..	865
20.14	Förslaget till lag om ändring i kustbevakningsdatalagen
	(2012:145) .............................................................................	901
20.15	Förslaget till lag om ändring i lagen (2014:400) om
	Polismyndighetens elimineringsdatabas .............................	918
20.16	Förslaget till lag om ändring i lagen (2015:51) om
	register över tillträdesförbud vid idrottsarrangemang .......	920
20.17	Förslaget till lag om ändring i åklagardatalagen
	(2015:433) .............................................................................	922
20.18	Förslaget till lag om ändring i utlänningsdatalagen
	(2016:27) ...............................................................................	936
20.19	Förslaget till lag om ändring i tullagen (2016:253) ............	936
20.20	Förslaget till lag om ändring i tullbrottsdatalagen
	(2017:447) .............................................................................	936
20.21	Förslaget till lag om ändring i skattebrottsdatalagen
	(2017:452) .............................................................................	957
20.22	Förslaget till lag om ändring i lagen (2017:496) om
	internationellt polisiärt samarbete.......................................	972
20.23	Förslaget till lag om ändring i brottsdatalagen
	(2018:000) .............................................................................	975
Bilaga 1 Kommittédirektiv 2016:21...........................................		979

22

Sammanfattning

SOU 2017:74

ningen gäller i stället för personuppgiftslagen men hänvisar till be- stämmelser i den eller genom att registerförfattningen gäller utöver personuppgiftslagen. Utredningen föreslår att registerförfattning- arna ska gälla utöver brottsdatalagen och innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestäm- melserna i den lagen. Bestämmelser i registerförfattningarna om bl.a. syfte, automatiserad behandling, personuppgiftsombud, be- handling av känsliga personuppgifter och tillgången till personupp- gifter ska därför upphävas. Det föranleder omfattande redaktionella ändringar i registerförfattningarna.

De registerförfattningar som reglerar personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde ren- odlas så att de bara gäller vid personuppgiftsbehandling inom till- lämpningsområdet. Det gäller lagen om behandling av personupp- gifter inom kriminalvården, kustbevakningsdatalagen och åklagar- datalagen. För domstolarna skapas i stället en ny lag för den per- sonuppgiftsbehandling som ligger inom tillämpningsområdet. För att det ska vara tydligt att registerförfattningarna gäller utöver brottsdatalagen ges de nya namn.

Anpassningar och andra ändringar i de brottsbekämpande myndigheternas registerförfattningar

Tillämpningsområdet

I dag utgår tillämpningsområdet i de brottsbekämpande myndighe- ternas registerförfattningar från i vilken verksamhet personupp- giftsbehandlingen utförs. Det som kommer att bli avgörande för tillämpningen är i stället dels om myndigheten agerar i egenskap av behörig myndighet enligt brottsdatalagen, dels i vilket syfte per- sonuppgifterna behandlas. Tillämpningsområdet blir därmed sma- lare än i dag, eftersom inte all personuppgiftsbehandling som utförs inom ramen för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet omfattas, t.ex. utlämnande av allmänna handlingar enligt tryckfrihetsförordningen eller för ändamål utanför brottsdatalagens tillämpningsområde.

24

SOU 2017:74

Sammanfattning

Tillåtna rättsliga grunder och behandling för nya ändamål

Regleringen av för vilka ändamål de brottsbekämpande myndig- heterna får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen föreslås i stort sett vara oför- ändrad när det gäller de primära ändamålen men det tydliggörs att det är fråga om bestämmelser om rättslig grund.

Innan personuppgifter behandlas för nya ändamål inom brotts- datalagens tillämpningsområde ska det enligt brottsdatalagen alltid prövas om det finns en tillåten rättslig grund för den nya be- handlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprungliga. När personuppgifter behandlas för ändamål utanför tillämpningsområdet ska data- skyddsförordningen tillämpas. Utredningen föreslår att en pröv- ning av nödvändighet och proportionalitet ska göras även innan personuppgifter behandlas för ändamål utanför brottsdatalagens tillämpningsområde. Någon prövning behöver dock inte göras om skyldighet att lämna uppgifter följer av lag eller förordning. Upp- räkningen i de sekundära ändamålsbestämmelserna av i vilka situa- tioner personuppgifter får tillhandahållas ersätts alltså av en sär- skild prövning både vid behandling för ändamål inom och utanför brottsdatalagens tillämpningsområde.

Behandling av känsliga personuppgifter

Brottsdatalagen förbjuder sökningar i personuppgifter i syfte att få fram ett personurval grundat på känsliga personuppgifter. I regis- terförfattningarna ska det göras undantag från förbudet som är anpassade till respektive myndighets behov av att kunna behandla känsliga personuppgifter. Brottsbekämpande myndigheter ska få använda t.ex. uppgifter som beskriver en persons utseende eller brottsrubriceringar ska vara tillåtet vid sökning i alla slags person- uppgifter. Vid sökning i uppgifter som inte är gemensamt tillgäng- liga, dvs. som bara ett fåtal personer har tillgång till, ska sökning i syfte att ta fram personurval grundade på vissa känsliga person- uppgifter få göras.

25

Sammanfattning

SOU 2017:74

Längsta tid för behandling

I registerförfattningarna finns det bestämmelser om bevarande och gallring. De syftar till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. De ska därför formuleras om så att det framgår att det är fråga om data- skyddsbestämmelser. Regleringen ska utgå från hur länge person- uppgifter får behandlas. Någon ändring av hur länge olika typer av personuppgifter får behandlas görs i princip inte.

Utökade möjligheter till elektroniskt utlämnande

Regleringen av i vilken utsträckning personuppgifter får lämnas ut på medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. Det blir tillåtet att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Viss reglering flyttas till registerförfattningarna

Bestämmelserna om Polismyndighetens behandling av personupp- gifter i registret över tillträdesförbud vid idrottsarrangemang flyt- tas till polisens brottsdatalag. Lagen om register över tillträdesför- bud vid idrottsarrangemang renodlas så att den bara reglerar idrottsorganisationernas personuppgiftsbehandling.

Regleringen av Polismyndighetens, Säkerhetspolisens och Tull- verkets behandling av personuppgifter som tillhandahålls av trans- portföretag flyttas till respektive myndighets registerförfattning.

En ny lag för domstolarna

Domstolsdatalagen reglerar i dag personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde i domsto- larnas rättskipande och rättsvårdande verksamhet. Den del av dom- stolarnas personuppgiftsbehandling som ligger inom tillämpnings- området ska regleras i en ny lag, domstolarnas brottsdatalag. Den nya lagen utformas med domstolsdatalagen som mönster men an- passas till den systematik och terminologi som finns i övriga regis-

26

SOU 2017:74

Sammanfattning

terförfattningar inom brottsdatalagens tillämpningsområde. Vissa frågor som hittills reglerats i förordning lyfts upp i lagen.

Allmän domstol ska tillämpa lagen när personuppgifter behand- las i syfte att handlägga mål och ärenden om utredning av eller lag- föring för brott, ändring eller verkställighet av straffrättsliga påfölj- der eller upprätthållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol ska tillämpa lagen när personuppgifter be- handlas i syfte att handlägga mål och ärenden om verkställighet av häktning eller straffrättsliga påföljder. Till skillnad från i dag om- fattar tillämpningsområdet inte personuppgiftsbehandling i den administrativa verksamheten som avser att på begäran lämna ut uppgifter ur mål eller ärenden.

Innan domstolar behandlar personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde ska de pröva om be- handlingen är nödvändig och proportionerlig för det nya ändamå- let. Vid behandling för nya ändamål utanför brottsdatalagens till- lämpningsområde gäller dataskyddsförordningen. Någon prövning av om behandlingen är nödvändig och proportionerlig behöver inte göras om domstolsdatalagen ska tillämpas. En sådan prövning krävs däremot i andra fall, om inte skyldighet att lämna uppgifter följer av lag eller förordning.

Domstolarna ska inte tillämpa sökförbudet i brottsdatalagen. I stället ska motsvarande sökförbud som i domstolsdatalagen, som förbjuder användningen av uppgifter som avslöjar känsliga person- uppgifter och uppgifter om brott eller misstanke om brott och nationell anknytning som sökbegrepp, gälla. Samma undantag från förbudet som finns i domstolsdatalagen ska gälla.

Regleringen av Kriminalvårdens personuppgiftsbehandling

Kriminalvårdens reglering har en annan struktur än övriga register- författningar, eftersom större delen finns i förordning. Regleringen anpassas till brottsdatalagen och blir mer lik övriga registerförfatt- ningar. Utredningens uppdrag har dock inte omfattat att göra en total översyn av regleringen och någon ny lag föreslås därför inte, trots att alla bestämmelser ändras och lagen får en helt ny struktur.

Lagen ska tillämpas när kriminalvården behandlar personuppgif- ter i syfte att verkställa häktning eller straffrättsliga påföljder eller

27

Sammanfattning

SOU 2017:74

biträda andra behöriga myndigheter när de utför arbetsuppgifter som omfattas av brottsdatalagens tillämpningsområde eller för att fullgöra internationella åtaganden. På samma sätt som för de brottsbekämpande myndigheterna ska behandling för nya ändamål föregås av en prövning av om behandlingen är nödvändig och pro- portionerlig för det nya ändamålet, oavsett om ändamålet ligger inom eller utanför brottsdatalagens tillämpningsområde.

Regleringen av säkerhetsregistret flyttas till lagen, moderniseras och görs mer generell. Uppgifter om den som är häktad eller verk- ställer fängelsestraff ska få registreras om personen utgör en säker- hetsrisk. Även uppgifter om personer som en registrerad har viss anknytning till ska få behandlas om det är absolut nödvändigt. Om det finns risk för att någon som verkställer en påföljd inom krimi- nalvården utövar våld eller hot mot personer i kriminalvårdens lokaler ska uppgifter om honom eller henne också få behandlas i säkerhetsregistret. Det görs undantag från sökförbudet i brotts- datalagen för sökningar i säkerhetsregistret i syfte att få fram per- sonurval grundat på vissa känsliga personuppgifter.

Bestämmelserna om Kriminalvårdens underrättelseskyldighet bryts ut ur registerförordningen och placeras i en ny förordning.

En ny lag för Säkerhetspolisen

Regleringen utgår från dagens reglering och brottsdatalagen

Utredningen föreslår att det ska införas en ny lag om Säkerhets- polisens behandling av personuppgifter, Säkerhetspolisens datalag, som ersätter regleringen i polisdatalagen. Den regleringen ska bilda mönster för den nya lagen, som ska vara heltäckande och därför blir betydligt mer omfattande än dagens reglering. Den nya lagen följer i princip brottsdatalagens systematik och innehåll. Det inne- bär att bestämmelserna om grundläggande krav på behandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skade- stånd, rättsmedel och överföring av personuppgifter till tredjeland i stort sett överensstämmer med brottsdatalagens bestämmelser.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lag- förande verksamhet. När Säkerhetspolisen behandlar personuppgif- ter som inte rör nationell säkerhet i syfte att bekämpa och lagföra

28

SOU 2017:74 Sammanfattning

brott ska myndigheten tillämpa brottsdatalagen och polisens brottsdatalag.

Rättslig grund för behandling av personuppgifter

Regleringen av för vilka ändamål Säkerhetspolisen får behandla per- sonuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen behålls i stort sett oförändrad men det tydliggörs att det är fråga om bestämmelser om rättslig grund – rättslig grund för behandling och rättslig grund för utlämnande.

Behandling av känsliga personuppgifter

Huvudregeln är att Säkerhetspolisen på samma sätt som i dag inte ska få behandla känsliga personuppgifter. Om uppgifter om en person redan behandlas ska de dock få kompletteras med känsliga personuppgifter om det är absolut nödvändigt.

Säkerhetspolisen får i dag använda uppgifter som avslöjar käns- liga personuppgifter som sökbegrepp om det är absolut nödvän- digt. Utredningen föreslår att samma sökförbud som i brottsdata- lagen ska gälla för Säkerhetspolisen, dvs. att det ska vara förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Från förbudet görs det undantag. Det ska vara tillåtet att använda brottsrubriceringar, uppgifter om tillväga- gångssätt vid brott och uppgifter som beskriver en persons utseen- de vid sökning. Även sökningar i syfte att få fram personurval grundat på flertalet känsliga personuppgifter ska tillåtas, om sök- ningen är absolut nödvändig.

Elektroniskt utlämnande

Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Säkerhetspolisen ska få medge Polismyndigheten, Försvarsmak- ten och Försvarets radioanstalt direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften. Även underrättelse- och säkerhetstjäns-

29

Sammanfattning

SOU 2017:74

ter inom EU och EES ska få medges direktåtkomst till uppgifter som Säkerhetspolisen behandlar för vissa syften om det behövs för samarbetet mot terrorism. Sådan direktåtkomst ska dock endast få medges till personuppgifter i en avskild uppgiftssamling och rege- ringen ska underrättas innan direktåtkomst medges.

Längsta tid för behandling

Personuppgifter ska inte få behandlas under längre tid än vad som behövs för något eller några av de syften för vilka Säkerhetspolisen får behandla personuppgifter. Huvudregeln ska på samma sätt som i dag vara att personuppgifter som har gjorts gemensamt tillgäng- liga inte får behandlas längre än tio år efter det år då den senaste registreringen avseende personen gjordes. Uppgifter om personer som ännu inte fyllt 18 år ska dock inte få behandlas längre än fem år från den senaste registreringen. Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken ska inte få behandlas längre än 40 år efter det år då den senaste registreringen gjordes. På samma sätt som i dag ska Säkerhetspolisen kunna besluta att personuppgifter får behandlas under längre tid om det finns särskilda skäl.

Tillsyn över Säkerhetspolisens personuppgiftsbehandling

Både Datainspektionen och Säkerhets- och integritetsskyddsnämn- den ska på i huvudsak samma sätt som i dag utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling.

Datainspektionen ska utöva allmän tillsyn över personuppgifts- behandling enligt den nya lagen och ge råd och stöd till Säkerhets- polisen. Inspektionen ska i huvudsak ha samma befogenheter som enligt brottsdatalagen. Säkerhetspolisen ska dock inte kunna påfö- ras administrativ sanktionsavgift.

Säkerhets- och integritetsskyddsnämnden ska utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling och på begäran av en- skild kontrollera om behandlingen av personuppgifter är författ- ningsenlig.

30

SOU 2017:74

Sammanfattning

Ikraftträdande och övergångsbestämmelser

De nya registerförfattningarna och ändringarna i de befintliga registerförfattningarna föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser för det nya sanktionssys- temet och för ersättning för skador som har vållats före ikraftträ- dandet. Till de nya lagarna krävs det övergångsbestämmelser dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före ikraftträdandet men inte hunnit slutföras, dels för mål som har överklagats men som inte har hunnit slutföras inom den tiden.

31

Författningsförslag

SOU 2017:74

samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till annan reglering

4 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

5 § Bestämmelserna i denna lag ska inte tillämpas i den utsträck- ning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter.

6 § I brottsdatalagen (2018:000) och polisens brottsdatalag (2010:361) finns det bestämmelser om Säkerhetspolisens behand- ling av personuppgifter i frågor som inte rör nationell säkerhet.

Personuppgiftsansvar

7 § Säkerhetspolisen är personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför.

Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under respektive myndighets ledning eller på dess vägnar.

8 § Säkerhetspolisen får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förord- ning eller om regeringen i ett enskilt fall beslutar om det.

34

SOU 2017:74

Författningsförslag

Uttryck i lagen

9 § I denna lag används följande uttryck med nedan angiven bety- delse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination
	av åtgärder som vidtas i fråga
	om personuppgifter eller upp-
	sättningar		av personuppgifter,
	oavsett om det görs automatise-
	rat eller inte, t.ex. insamling,
	registrering, organisering, struk-
	turering,		lagring,		bearbetning
	eller ändring, framtagning, läs-
	ning, användning,				utlämnande,
	spridning eller tillhandahållande
	på annat sätt, justering, sam-
	manföring, begränsning, rader-
	ing eller förstöring.
Biometriska uppgifter	Personuppgifter				som rör en
	persons fysiska, fysiologiska eller
	beteendemässiga				kännetecken,
	som tagits fram genom särskild
	teknisk	behandling och				som
	möjliggör		eller	bekräftar		unik
	identifiering av personen i fråga.
Dataskyddsombud	En fysisk person som utses
	av den personuppgiftsansvarige
	för att självständigt se till att
	personuppgifter			behandlas		för-
	fattningsenligt och på ett kor-
	rekt sätt.
Genetiska uppgifter	Personuppgifter som rör en
	persons	nedärvda			eller förvär-

vade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från per- sonen i fråga.

35

Författningsförslag

SOU 2017:74

Internationell organisation En organisation och dess un-

	derställda organ som lyder under
	folkrätten eller ett annat organ
	som inrättats genom eller på
	grundval av en överenskommelse
	mellan två eller flera stater.
Mottagare	Den till vilken personupp-

gifter lämnas ut, med undantag av en myndighet som med stöd

av	författning utövar				tillsyn,
kontroll eller revision.
Personuppgift	Varje	upplysning			om	en
identifierad			eller	identifierbar
fysisk person som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsam-
mans med			andra	bestämmer
ändamålen med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde	Den	som,	med	stöd av		ett

	skriftligt avtal eller annan skrift-
	lig överenskommelse, behandlar
	personuppgifter för den per-
	sonuppgiftsansvariges räkning.
Registrerad	Den fysiska person som per-
	sonuppgiften rör.
Tillsynsmyndighet	Den myndighet som rege-
	ringen utser att enligt denna lag
	utöva tillsyn över personupp-
	giftsbehandling.
Tredjeland	En stat som inte är medlem i
	Europeiska unionen eller Euro-
	peiska ekonomiska samarbets-
	området och som inte heller på
	grund av avtal med Europeiska
	unionen	har	en motsvarande
	ställning.
Tredje man	Någon annan än den regist-
	rerade,	den	personuppgiftsan-
	svarige,	dataskyddsombudet,

36

SOU 2017:74

Författningsförslag

personuppgiftsbiträdet och så- dana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla per- sonuppgifter.

Uppgift som rör hälsa Personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälso- status.

Lagens tillämpning på uppgifter om juridiska personer

10 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.7 § om personuppgiftsansvar,

2.2 kap. 1–3 §§ om tillåtna rättsliga grunder för behandling av personuppgifter,

3.3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,

4.4 kap. 1–4 och 6–11 §§ om längsta tid som personuppgifter får behandlas, och

5.5 kap. 5 § om tillgången till personuppgifter.

2 kap. Behandling av personuppgifter

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a)brott mot rikets säkerhet,

b)terrorbrott, eller

c)tryckfrihetsbrott eller yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

37

Författningsförslag

SOU 2017:74

2.utreda eller lagföra sådana brott som avses i 1, eller, efter sär- skilt beslut, annat brott,

3.fullgöra uppgifter

a)i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

b)enligt säkerhetsskyddslagen (1996:627), eller

c)enligt utlännings- och medborgarskapslagstiftningen,

4.fullgöra annan arbetsuppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller

5.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en lag, en förordning eller ett

särskilt beslut i vilket regeringen uppdragit åt myndigheten att an- svara för en sådan uppgift.

2 § Personuppgifter som behandlas med stöd av 1 § får även be- handlas om det är nödvändigt för att tillhandahålla information som behövs

1.för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) hos Polismyndigheten, Ekobrottsmyndigheten, Åkla- garmyndigheten, Tullverket, Kustbevakningen och Skatteverket,

2.i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3.i Försvarsmaktens försvarsunderrättelseverksamhet och mili- tära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrät- telseverksamhet, om det finns särskilda skäl att tillhandahålla infor- mationen,

4.i en myndighets verksamhet om Säkerhetspolisen enligt lag eller förordning ska bistå myndigheten med viss uppgift,

5.i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation, eller

6.i verksamhet hos utländsk underrättelse- eller säkerhetstjänst. Personuppgifter som behandlas med stöd av 1 § får även be-

handlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen och, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas med stöd av 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under

38

SOU 2017:74

Författningsförslag

förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

3 § Personuppgifter får även behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till Säkerhetspolisen i en anmälan, an- sökan eller liknande och behandlingen är nödvändig för handlägg- ningen.

Ändamål för behandling av personuppgifter

4 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprung- ligen behandlades.

5 § Säkerhetspolisen får behandla personuppgifter för vetenskap- liga, statistiska eller historiska ändamål inom denna lags tillämp- ningsområde.

Grundläggande krav på behandling av personuppgifter

Laglig och korrekt behandling

6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

39

Författningsförslag

SOU 2017:74

8 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhållande till ändamålen med behandlingen. Fler person- uppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter

9 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket om det är absolut nödvändigt för ändamålet med behandlingen.

10 § Säkerhetspolisen får behandla biometriska uppgifter endast om det är absolut nödvändigt för ändamålet med behandlingen. Genetiska uppgifter får inte behandlas.

11 § Personuppgifter som avses i 9 och 10 §§ betecknas som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 3 §.

12 § Det är förbjudet att utföra sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Första stycket hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning.

Första stycket hindrar inte heller sökning i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som anges i 1 §.

40

SOU 2017:74

Författningsförslag

Åtgärder för att säkerställa personuppgifternas kvalitet

13 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med be- handlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

14 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1–6, 8–10 eller 12 § eller 4 kap. 1 § första stycket, 2–4 eller 7–11 § utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Det- samma gäller om radering krävs för att utföra en rättslig förplik- telse.

Om förutsättningarna i första stycket för att radera personupp- gifter är uppfyllda men de behöver finnas kvar som bevisning, ska Säkerhetspolisen i stället utan onödigt dröjsmål begränsa behand- lingen av uppgifterna.

Uppgiftsskyldighet och utlämnande av personuppgifter

15 § Personuppgifter som är nödvändiga för att framställa rätts- statistik ska lämnas till den myndighet som ansvarar för att fram- ställa sådan statistik.

16 § Om det är förenligt med svenska intressen, får personupp- gifter lämnas ut till

1.Interpol eller Europol, eller till en polismyndighet eller åkla- garmyndighet i en stat som är ansluten till Interpol, om det behövs för att myndigheten eller organisationen ska kunna förebygga, för- hindra, upptäcka, utreda eller lagföra brott, eller

2.utländsk underrättelse- eller säkerhetstjänst.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en inter- nationell överenskommelse som Sverige har tillträtt efter riksda- gens godkännande.

41

Författningsförslag

SOU 2017:74

17 § Polismyndigheten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekre- tesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § första stycket 1–3 a, om myndigheten behöver uppgifterna för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2 polisens brottsdatalag (2010:361).

18 § Försvarets radioanstalt och Försvarsmakten har, trots sekre- tess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretsslagen (2009:400), rätt att ta del av per- sonuppgifter som har gjorts gemensamt tillgängliga och som be- handlas med stöd av 1 § första stycket 1 eller 2, om den mottagande myndigheten behöver uppgifterna i sin försvarsunderrättelseverk- samhet eller militära säkerhetstjänst.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5–7 §§.

Personuppgifter från transportföretag

20 § Personuppgifter som tillhandahålls Säkerhetspolisen enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1–3 a.

Personuppgifter som avses i första stycket får endast i ett en- skilt fall behandlas för nya ändamål.

21 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får Säkerhetspolisen inte ändra eller på annat sätt bearbeta personupp- gifterna.

42

SOU 2017:74

Författningsförslag

Föreskrifter

22 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 15–18 §§,

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 19 § första stycket,

3.underrättelseskyldighet, och

4.sökning i personuppgifter.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

1 § Detta kapitel innehåller särskilda bestämmelser för behand- ling av personuppgifter som görs eller har gjorts gemensamt till- gängliga. Personuppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 3 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Personuppgifter får göras gemensamt tillgängliga om det be- hövs för något av de syften som anges i 2 kap. 1 §.

Särskilda upplysningar

3 § Om det inte framgår av sammanhanget eller på något annat sätt för vilket ändamål som gemensamt tillgängliga personuppgifter behandlas, ska det tydliggöras genom en särskild upplysning.

4 § Om uppgifter som är gemensamt tillgängliga direkt kan hän- föras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet, ska det genom en särskild upplysning eller på något annat sätt framgå att personen

43

Författningsförslag

SOU 2017:74

inte är misstänkt för brott eller brottslig verksamhet som avses i 2 kap. 1 § första stycket 1 eller 2.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 kap. 1 § första stycket 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Någon upplysning behöver dock inte lämnas om det på grund av omständigheterna är onödigt.

Någon upplysning enligt andra stycket behöver inte heller läm- nas om

1.uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till och

2.bearbetningen av uppgifterna inte har genomförts.

Direktåtkomst

5 § Polismyndigheten får för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2 polisens brottsdatalag (2010:361) medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1–3 a. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

6 § Försvarets radioanstalt och Försvarsmakten får i försvars- underrättelseverksamheten och den militära säkerhetstjänsten med- ges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1 eller 2. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

7 § Om det behövs för samarbetet mot terrorism får en underrät- telse- eller säkerhetstjänst i en medlemsstat i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet medges direktåt- komst till personuppgifter i en avskild uppgiftssamling som Säker- hetspolisen upprättat i syfte att dela information med sådana mot- tagare. Uppgiftssamlingen får endast innehålla personuppgifter som behandlas med stöd av 2 kap. 1 § första stycket 1 b och har gjorts gemensamt tillgängliga.

44

SOU 2017:74

Författningsförslag

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst enligt första stycket ska Säkerhetspolisen under- rätta regeringen.

Föreskrifter

8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om underrättelseskyldighet vid direktåtkomst.

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomst enligt 5–7 §§ och om behörig- het och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas

Allmän bestämmelse

1 § Personuppgifter får inte behandlas under längre tid än vad som behövs för något eller några av de syften som anges i 2 kap. 1– 3 §§.

Det som sägs i första stycket hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Vid automatiserad behandling gäller också de begränsningar som följer av 2–11 §§.

Personuppgifter som inte har gjorts gemensamt tillgängliga

2 § Trots det som sägs i 1 § andra stycket får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än

1.ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Första stycket gäller inte personuppgifter i ärenden om utred- ning av eller lagföring för brott.

45

Författningsförslag

SOU 2017:74

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte be- handlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifterna i förundersökningen inte behand- las för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller för- undersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rätte- gångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Trots det som sägs i 1 § andra stycket får andra personupp- gifter än de som anges i 3 och 4 §§ och som har gjorts gemensamt tillgängliga som längst behandlas under den tid som anges i 7– 11 §§.

46

SOU 2017:74

Författningsförslag

7 § Personuppgifter som behandlas för något av de syften som anges i 2 kap. 1 § första stycket 1 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjor- des avseende personens anknytning till brottslig verksamhet.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unges anknytning till brottslig verksamhet, om någon ny registrering inte gjorts efter det att han eller hon fyllt 18 år.

8 § Personuppgifter som behandlas för något av de syften som anges i 2 kap. 1 § första stycket 3–5 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unge, om någon ny registrering inte gjorts efter det att han eller hon fyllt 18 år.

9 § Personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket får inte behandlas längre än

1.tre år efter utgången av det kalenderår då den senaste registre- ringen gjordes avseende personens anknytning till brottslig verk- samhet, om uppgifterna behandlas för något av de syften som anges

i2 kap. 1 § första stycket 1, och

2.tre år efter utgången av det kalenderår då den senaste regis- treringen gjordes avseende personen, om uppgifterna behandlas för något av de syften som anges i 2 kap. 1 § första stycket 3–5.

10 § Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken som utövas av främmande makt, får inte behandlas längre än 40 år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet. För per- sonuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket gäller 9 §.

47

Författningsförslag

SOU 2017:74

11 § Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får behandlas under längre tid än vad som anges i 7–10 §§, om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas. Om personuppgifter behandlas med stöd av ett sådant beslut ska frågan om fortsatt behandling prövas på nytt senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i 9 §, senast vid utgången av det tredje kalenderåret efter beslutet. Tiden som personupp- gifterna får behandlas får vid varje tillfälle förlängas med längst tio år eller, om det är fråga om uppgifter som avses i 9 §, med längst tre år.

Föreskrifter

12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpnings- område under längre tid än vad som anges i 3 och 4 §§.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter, med avvikelse från 2 § första stycket och 7–11 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Skyldigheter som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

1 § Säkerhetspolisen ska, genom lämpliga tekniska och organi- satoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättig- heter skyddas.

48

SOU 2017:74

Författningsförslag

2 § Både vid beslut om hur behandlingen ska utföras och vid be- handlingen ska Säkerhetspolisen, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).

3 § Säkerhetspolisen ska säkerställa att det i automatiserade be- handlingssystem som regel endast är möjligt att behandla de per- sonuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

4 § Säkerhetspolisen ska säkerställa att det i automatiserade be- handlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

5 § Säkerhetspolisen ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd

6 § Kan en typ av ny behandling, eller betydande förändringar av- seende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga integritet, ska Säkerhetspolisen innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av be- handling innebär särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen på- börjas eller betydande förändringar genomförs.

49

Författningsförslag

SOU 2017:74

Säkerheten för personuppgifter

7 § Säkerhetspolisen ska vidta lämpliga tekniska och organisato- riska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Samarbete med tillsynsmyndigheten

8 § Säkerhetspolisen ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har med- delats i anslutning till den.

Dataskyddsombud

9 § Säkerhetspolisen ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när data- skyddsombud utses och entledigas.

10 § Dataskyddsombud ska

1.självständigt kontrollera att Säkerhetspolisen behandlar per- sonuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Säkerhetspolisen och de som be- handlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.på begäran ge Säkerhetspolisen råd vid en konsekvensbedöm- ning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och

5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.

11 § Om Säkerhetspolisen bryter mot bestämmelser för behand- ling av personuppgifter och rättelse inte vidtas, ska dataskydds- ombudet anmäla det till tillsynsmyndigheten.

50

SOU 2017:74

Författningsförslag

Personuppgiftsbiträden

12 § Säkerhetspolisen får, om det är lämpligt, anlita personupp- giftsbiträden. När ett personuppgiftsbiträde anlitas, ska Säkerhets- polisen försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättig- heter.

13 § Det ska finnas ett skriftligt avtal eller annan skriftlig över- enskommelse om personuppgiftsbiträdets behandling av person- uppgifter för Säkerhetspolisens räkning.

Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av Säkerhetspolisen anlita ett annat personuppgiftsbiträde.

14 § Ett personuppgiftsbiträde och de som arbetar under biträ- dets ledning får behandla personuppgifter bara i enlighet med in- struktioner från Säkerhetspolisen.

Om ett personuppgiftsbiträde i strid med Säkerhetspolisens in- struktioner fastställer ändamålen med och medlen för behand- lingen, ska biträdet anses vara personuppgiftsansvarig för den be- handlingen.

15 § Det som sägs om Säkerhetspolisens skyldigheter i 4, 5, 7 och 8 §§ gäller även för personuppgiftsbiträden som Säkerhetspolisen anlitar.

Föreskrifter

16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.åtgärder som avses i 1–4, 6 och 7 §§,

2.tillgången till personuppgifter,

3.skyldigheten att föra register över kategorier av behandling av personuppgifter,

4.skyldigheten att införa interna rutiner för anmälan av överträ- delser, och

5.innehållet i avtal och överenskommelser enligt 13 §.

51

Författningsförslag

SOU 2017:74

6 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Säkerhetspolisen ska göra följande allmänna information till- gänglig för registrerade.

1.Myndighetens identitet och kontaktuppgifter.

2.Dataskyddsombudets kontaktuppgifter.

3.Ändamålen med behandlingen.

4.Rätten enligt 2 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av be- handlingen enligt 6 och 7 §§.

Personrelaterad information

2 § Säkerhetspolisen ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om sökanden som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av be- handlingen enligt 6 och 7 §§.

Utlämnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon be- gär det. Det ska dock framgå av informationen att personuppgif- terna i fråga behandlas.

52

SOU 2017:74

Författningsförslag

Begränsning av rätten till information

3 § Informationsskyldigheten i 2 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

Om förutsättningarna i första stycket är uppfyllda, är Säker- hetspolisen inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 6 eller 7 §.

4 § Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjor- des eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har läm- nats ut till tredje man, behandlas enbart för vetenskapliga, statis- tiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utform- ning, om uppgifterna har behandlats längre än ett år.

5 § Om en begäran enligt 2 § är orimlig eller uppenbart ogrundad får Säkerhetspolisen avslå den.

Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall får ta ut avgift i stället för att avslå begäran.

Rätten till rättelse, radering och begränsning av behandlingen

6 § Säkerhetspolisen ska på begäran av den registrerade utan onö- digt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hän- syn till ändamålet med behandlingen.

Om Säkerhetspolisen inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

7 § Säkerhetspolisen ska på begäran av den registrerade utan onö- digt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1–6, 8–10 eller 12 § eller 4 kap.

53

Författningsförslag

SOU 2017:74

1 § första stycket, 2–4 eller 7–11 §. Detsamma gäller om radering krävs för att Säkerhetspolisen ska utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personupp- gifter är uppfyllda men de behöver finnas kvar som bevisning, ska Säkerhetspolisen på begäran av den registrerade i stället utan onö- digt dröjsmål begränsa behandlingen av uppgifterna.

8 § Säkerhetspolisen avgör vilken åtgärd som ska vidtas med an- ledning av en begäran om rättelse, radering eller begränsning av be- handlingen.

Avgiftsfri information

9 § Information enligt 1 § ska lämnas utan avgift. Information och uppgifter enligt 2 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 2 § oftare än en gång per år, får Säkerhetspolisen ta ut en rimlig avgift eller avslå begäran enligt 5 § första stycket.

Föreskrifter

10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.information enligt 1 och 2 §§,

2.avgift för information som avses i 2 §, och

3.kraven på en begäran enligt 2, 6 eller 7 §.

7 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling, och

2.ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträ- den om deras skyldigheter enligt lag eller annan författning vid förhandssamråd eller när det i övrigt är påkallat.

54

SOU 2017:74

Författningsförslag

2 § Bestämmelser om tillsyn över Säkerhetspolisens behandling av personuppgifter finns även i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Befogenheter

Undersökningsbefogenheter

3 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen eller ett personuppgiftsbiträde på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som Säkerhetspolisen eller ett personupp- giftsbiträde disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Förebyggande befogenheter

4 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personupp- giftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att pla- nerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Säkerhets- polisen eller ett personuppgiftsbiträde annars inte fullgör sina skyl- digheter, får tillsynsmyndigheten

1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgär-

55

Författningsförslag

SOU 2017:74

der för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2.förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter, eller

3.förbjuda fortsatt behandling om bristen är allvarlig.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Kommunikation

6 § Innan tillsynsmyndigheten fattar ett beslut enligt 5 § första stycket 2 eller 3, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som be- handling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den, har orsakat.

Överklagande

Överklagande av Säkerhetspolisens beslut

2 § Beslut i fråga om rättelse eller komplettering enligt 6 kap. 6 § första stycket, radering enligt 6 kap. 7 § första stycket eller be- gränsning av behandlingen enligt 6 kap. 6 § andra stycket eller 6 kap. 7 § andra stycket, som har meddelats av Säkerhetspolisen i egenskap av personuppgiftsansvarig, får överklagas till allmän för- valtningsdomstol. Detsamma gäller beslut att inte lämna informa- tion enligt 6 kap. 2 § eller att ta ut avgift enligt 6 kap. 9 § andra stycket.

56

SOU 2017:74

Författningsförslag

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut enligt denna lag eller enligt före- skrifter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som inte får överklagas

4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.

9 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Grundläggande förutsättningar för överföring

1 § Säkerhetspolisen får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1.riktas till en brottsbekämpande myndighet eller en underrät- telse- eller säkerhetstjänst i ett tredjeland eller en internationell organisation med brottsbekämpande uppdrag och

2.omfattas av

a)ett beslut om adekvat skyddsnivå enligt 3 §, eller

b)tillräckliga skyddsåtgärder enligt 4 §, eller

c)ett undantag för särskilda situationer enligt 5 §.

2 § Personuppgifter som Säkerhetspolisen har fått från en annan stat får överföras till ett tredjeland eller en internationell organi- sation endast om den stat som lämnat uppgifterna till Säkerhetspo- lisen har medgett att de överförs.

57

Författningsförslag

SOU 2017:74

Tillåtna grunder för överföring

Beslut om adekvat skyddsnivå

3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personupp- gifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Tillräckliga skyddsåtgärder

4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en inter- nationell organisation om

1.skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller

2.den myndighet eller organisation som uppgifterna ska överfö- ras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får personuppgifter över- föras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

1.skydda den registrerades eller en annan fysisk persons vitala intressen, eller andra berättigade intressen för den registrerade,

2.i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott,

3.i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en

internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre

58

SOU 2017:74

Författningsförslag

än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Överföring till andra mottagare

6 § Säkerhetspolisen får i ett enskilt fall överföra personuppgifter till någon annan mottagare än som anges i 1 § i ett tredjeland. Per- sonuppgifterna får överföras endast om

1.det är absolut nödvändigt för att Säkerhetspolisen ska kunna utföra en arbetsuppgift enligt 2 kap. 1 eller 2 § och

2.det skulle vara ineffektivt eller olämpligt att överföra dem till en mottagare som anges i 1 § i det tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.

Villkor om användningsbegränsning

7 § Om Säkerhetspolisen har fått personuppgifter från ett tredje- land eller en internationell organisation och det på grund av en överenskommelse med det tredjelandet eller den internationella organisationen gäller villkor som begränsar möjligheten att använda uppgifterna, ska Säkerhetspolisen följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

8 § Säkerhetspolisen får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs från allmän synpunkt eller med hänsyn till enskilds rätt.

Föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om dokumentation av överföringar.

59

Författningsförslag

SOU 2017:74

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelsen i 5 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före ikraftträ- dandet förrän den 1 maj 2023.

3.Ärenden om tillsyn över Säkerhetspolisens personuppgiftsbe- handling som rör nationell säkerhet i myndighetens brottsbekäm- pande eller lagförande verksamhet och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

4.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som meddelats före ikraftträdandet och som rör behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

5.Bestämmelsen om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter som rör natio- nell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

60

SOU 2017:74

Författningsförslag

1.2Förslag till

domstolarnas brottsdatalag (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följan- de domstolar i egenskap av behöriga myndigheter behandlar per- sonuppgifter.

1.Allmän domstol, om uppgifterna behandlas i syfte att hand- lägga mål eller ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätt- hållande av allmän ordning och säkerhet.

2.Allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straff- rättsliga påföljder.

Personuppgiftsansvar

2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt och syf- tet är att handlägga mål eller ärenden om

1.utredning av eller lagföring för brott,

2.verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder, eller

3.upprätthållande av allmän ordning och säkerhet.

61

Författningsförslag

SOU 2017:74

Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstol att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som be- handlas med stöd av 1 §, för nya ändamål inom denna lags tillämp- ningsområde regleras i 2 kap. 4 § brottsdatalagen (2018:000).

Förutsättningarna för att behandla personuppgifter, som be- handlas med stöd av 1 §, för nya ändamål utanför denna lags till- lämpningsområde regleras i 2 kap. 22 § brottsdatalagen. Någon prövning enligt 2 kap. 22 § andra stycket brottsdatalagen krävs inte när domstolsdatalagen (2015:728) ska tillämpas.

Behandling av personnummer

3 § Personnummer, samordningsnummer och liknande identi- tetsbeteckningar får endast behandlas när det är motiverat med hänsyn till vikten av en säker identifiering eller något annat beak- tansvärt skäl.

Bestämmelser om användning av sådana personuppgifter som anges i första stycket vid sökning finns i 8 §.

Sökning

Undantag från brottsdatalagens sökförbud

4 § Bestämmelserna i 5–10 §§ denna lag och föreskrifter som meddelats i anslutning till den gäller i stället för sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000).

Känsliga personuppgifter och nationell anknytning

5 § Vid sökning i personuppgifter är det förbjudet att som sökbe- grepp använda uppgifter som avslöjar sådana personuppgifter som anges i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller natio- nell anknytning.

62

SOU 2017:74

Författningsförslag

Brott eller misstanke om brott

6 § I allmän domstol får sökbegrepp som avslöjar brott eller miss- tanke om brott inte användas vid sökning i personuppgifter

1.i mål eller ärenden som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.i tvistemål.

7 § I allmän förvaltningsdomstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i person- uppgifter i mål som

1.har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.handläggs av Migrationsöverdomstolen eller en migrations- domstol.

Direkta personuppgifter

8 § Personnamn, personnummer, samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet får inte användas som sökbegrepp vid sökning i personupp- gifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgöran- det fick laga kraft.

Tillåtna sökningar

9 § Sökförbuden i 5–8 §§ hindrar inte sökning

1.i en viss handling eller i ett visst mål eller ärende, eller

2.med användande av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp.

10 § Sökförbudet i 5 § hindrar inte att allmän förvaltningsdom- stol använder uppgifter som avslöjar hälsa som sökbegrepp. Sådana uppgifter får dock inte användas vid sökning i personuppgifter i mål som

63

Författningsförslag

SOU 2017:74

1.har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller

2.handläggs av Migrationsöverdomstolen eller en migrations- domstol.

Utlämnande av personuppgifter

11 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt ut- lämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 12 § och föreskrifter som har meddelats i anslutning till denna lag.

12 § Direktåtkomst får endast medges

1.en allmän domstol,

2.en allmän förvaltningsdomstol, eller

3.en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse person-

uppgifter i partens mål eller ärende.

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsning av

1.möjligheten att använda de sökbegrepp som anges i 6, 7 och 10 §§,

2.direktåtkomst enligt 12 § första stycket och om behörighet och säkerhet vid sådan åtkomst,

3.möjligheten att lämna ut personuppgifter elektroniskt enligt 11 §, och

4.behandling av personuppgifter som hänför sig till mål eller ärenden som har avgjorts genom dom eller beslut som har fått laga kraft.

64

SOU 2017:74

Författningsförslag

3 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter, eller

2.2 kap. 5–8 §§ om sökning.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före- skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

4 § En hovrätts, en tingsrätts eller en förvaltningsrätts beslut som överklagas enligt 7 kap. 2 § första stycket brottsdatalagen (2018:000) överklagas till kammarrätt. En kammarrätts beslut i sådana frågor överklagas till Högsta förvaltningsdomstolen.

Har Högsta domstolen eller Högsta förvaltningsdomstolen meddelat beslut som avses i 7 kap. 2 § första stycket brottsdata- lagen får beslutet inte överklagas.

Kravet på prövningstillstånd i 7 kap. 2 § andra stycket brottsda- talagen gäller inte vid överklagande enligt första stycket.

1.Denna lag träder i kraft den 1 maj 2018.

2.Bestämmelserna i 2 kap. 6 § 1, 7 § 1, 8 § och 10 § 1 om be- gränsning av sökning i fråga om slutligt avgjorda mål och ärenden behöver inte tillämpas förrän den 1 januari 2019.

65

Författningsförslag

SOU 2017:74

3.Ärenden om tillsyn över personuppgiftsbehandling, som rör behandling av personuppgifter vid handläggningen av mål och ären- den som avses i 2 kap. 1 § första stycket, som Datainspektionen inte har avgjort före ikraftträdandet handläggs enligt äldre före- skrifter.

4.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses

i2 kap. 1 § första stycket.

5.Sanktionsavgift enligt 3 kap. 1 § får beslutas endast för över- trädelser som har begåtts efter ikraftträdandet.

6.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter vid handlägg- ningen av mål och ärenden som avses i 2 kap. 1 § första stycket.

66

SOU 2017:74

Författningsförslag

1.3Förslag till

lag om ändring i rättegångsbalken

Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	28 kap.
	12 a §1
Kroppsbesiktning	genom	Kroppsbesiktning	genom
tagande av salivprov får göras på		tagande av salivprov får göras på
den som skäligen kan misstän-		den som skäligen kan misstän-
kas för ett brott på vilket fäng-		kas för ett brott på vilket fäng-
else kan följa, om syftet är att		else kan följa, om syftet är att
göra en DNA-analys av provet		göra en dna-analys av provet
och registrera DNA-profilen i		och registrera dna-profilen i det
det DNA-register eller det ut-		dna-register eller det utrednings-
redningsregister som förs enligt		register som förs enligt polisens
polisdatalagen (2010:361).		brottsdatalag (2010:361).

12 b §2

Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om

1. syftet är att genom en	1. syftet är att genom en dna-
DNA-analys av provet under-	analys av provet underlätta iden-
lätta identifiering vid utredning	tifiering vid utredning av ett
av ett brott på vilket fängelse	brott på vilket fängelse kan
kan följa, och	följa, och

2. det finns synnerlig anledning att anta att det är av betydelse

för utredningen av brottet.
Analysresultatet får inte jäm-	Analysresultatet får inte jäm-
föras med de DNA-profiler som	föras med de dna-profiler som
finns registrerade i register över	finns registrerade i register över

1Senaste lydelse 2010:363.

2Senaste lydelse 2010:363.

67

Författningsförslag SOU 2017:74

DNA-profiler som förs enligt	dna-profiler som förs enligt
polisdatalagen (2010:361) eller i	polisens brottsdatalag (2010:361)
övrigt användas för annat ända-	eller i övrigt användas för annat
mål än det för vilket provet har	ändamål än det för vilket provet
tagits.	har tagits.

Första stycket gäller inte den som är under 15 år.

Denna lag träder i kraft den 1 maj 2018.

68

SOU 2017:74

Författningsförslag

1.4Förslag till

lag om ändring i polislagen (1984:387)

Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha föl- jande lydelse.

Nuvarande lydelse Föreslagen lydelse

26 §1

Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom

terminalåtkomst.
Polismyndigheten och Säker-			Polismyndigheten och Säker-
hetspolisen får ta del av uppgif-			hetspolisen får ta del av uppgif-
ter genom terminalåtkomst en-			ter genom terminalåtkomst en-
dast i den omfattning och under			dast i den omfattning och under
den tid som behövs för att kon-			den tid som behövs för att kon-
trollera	aktuella	transporter.	trollera aktuella transporter.
Uppgifter	som hålls	tillgängliga

på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller Säker- hetspolisen.

Uppgifter om enskilda perso- ner som lämnats på annat sätt än genom terminalåtkomst, ska ome- delbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:588.

69

Författningsförslag

SOU 2017:74

1.5Förslag till

lag om ändring i säkerhetsskyddslagen (1996:627)

Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		12 §1
Med registerkontroll		avses	Med		registerkontroll avses
att uppgifter hämtas från ett			att uppgifter hämtas från ett
register som omfattas av lagen			register som omfattas av lagen
(1998:620) om	belastningsregi-		(1998:620)			om belastningsregi-
ster, lagen (1998:621) om miss-			ster	eller		lagen (1998:621) om
tankeregister	eller	lagen	misstankeregister. Med register-
(2010:362) om polisens allmänna			kontroll avses också att uppgif-
spaningsregister. Med register-			ter hämtas som behandlas med
kontroll avses också att uppgif-			stöd	av	polisens		brottsdatalag
ter hämtas som behandlas med			(2010:361)			eller	Säkerhetspoli-
stöd av polisdatalagen (2010:361).			sens datalag (2018:000).

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2010:365.

70

SOU 2017:74

Författningsförslag

1.6Förslag till

lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen

Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europe- iska unionen ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

16 §1

Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst.

Tullverket får ta del av upp-		Tullverket får ta del av upp-
gifter	genom terminalåtkomst	gifter genom terminalåtkomst
endast i den omfattning och		endast i den omfattning och
under den tid som behövs för		under den tid som behövs för
att kontrollera aktuella tran-		att kontrollera aktuella tran-
sporter. Tullverket får inte ändra		sporter.
eller på annat sätt bearbeta eller
lagra uppgifter som hålls tillgäng-
liga på detta sätt.
Uppgifter om enskilda perso-
ner som lämnats på annat sätt än
genom	terminalåtkomst, skall

omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 1999:434.

71

Författningsförslag

SOU 2017:74

1.7Förslag till

lag om ändring i lagen (1998:620) om belastningsregister

Härigenom föreskrivs att 1 b § lagen (1998:620)1 om belast- ningsregister ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 b § 2013:331.

72

SOU 2017:74

Författningsförslag

1.8Förslag till

lag om ändring i lagen (1998:621) om misstankeregister

Härigenom föreskrivs att 1 b § lagen (1998:621)1 om misstanke- register ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 b § 2013:332.

73

Författningsförslag

SOU 2017:74

1.9Förslag till

lag om ändring i lagen (2000:344) om Schengens informationssystem

Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §1

Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive

stats nationella lagstiftning.
Polismyndigheten får föra in	Polismyndigheten får föra in
uppgifter i registret endast om	uppgifter i registret endast om
behandling av motsvarande slag	behandling av motsvarande slag
av uppgifter är tillåten enligt	av uppgifter är tillåten enligt
personuppgiftslagen (1998:204),	brottsdatalagen (2018:000), poli-
polisdatalagen (2010:361) eller	sens brottsdatalag (2010:361) eller
annan svensk författning.	annan svensk författning.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2014:595.

74

SOU 2017:74

Författningsförslag

1.10Förslag till

lag om ändring i lagen (2001:184) om behandling av personuppgifter

i Kronofogdemyndighetens verksamhet

Härigenom föreskrivs att 1 kap. 3 a § lagen (2001:184)1 om be- handling av personuppgifter i Kronofogdemyndighetens verksam- het ska upphöra att gälla vid utgången av april 2018.

1 Senaste lydelse av 1 kap. 3 a § 2013:336.

75

Författningsförslag

SOU 2017:74

1.11Förslag till

lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskivs att 1 kap. 1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §1

Denna lag tillämpas vid behandling av personuppgifter i Tull- verkets verksamhet, om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid be- handling av uppgifter om juridiska personer.

Bestämmelserna i			denna lag	Bestämmelserna i denna lag
gäller inte behandling av upp-				gäller inte vid behandling av per-
gifter	i den	brottsbekämpande		sonuppgifter i den brottsbekäm-
verksamhet som Tullverket be-				pande verksamhet som Tullver-
driver.	För	sådan	behandling	ket bedriver.
finns det särskilda bestämmelser i
tullbrottsdatalagen (2017:447).

4 §2

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverk- samhet,

1Senaste lydelse 2017:449.

2Senaste lydelse 2017:449.

76

SOU 2017:74

Författningsförslag

3.fullgörande av ett åliggande som följer av ett för Sverige bin- dande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Denna lag träder i kraft den 1 maj 2018.

77

Författningsförslag

SOU 2017:74

1.12Förslag till

lag om ändring i lagen (2001:617)

om behandling av personuppgifter inom kriminalvården

Härigenom föreskrivs i fråga om lagen (2001:617) om behand- ling av personuppgifter inom kriminalvården

dels att 1–16 §§ ska upphöra att gälla,

dels att rubrikerna före 1–10 §§ och 12 § ska utgå,

dels att det ska införas fyra nya kapitel, 1–4 kap., av följande lydelse,

dels att rubriken till lagen ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
Lag om behandling av person-	Kriminalvårdens brottsdatalag
uppgifter inom kriminalvården

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myn- dighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndig- het när den utför arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen.

Personuppgiftsansvar

2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En övervakningsnämnd är personuppgiftsansvarig för den be- handling av personuppgifter som nämnden utför.

78

SOU 2017:74

Författningsförslag

2 kap. Grundläggande bestämmelser om behandling

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att

1.verkställa häktning eller straffrättsliga påföljder,

2.förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1,

3.biträda andra myndigheter när de fullgör arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller

4.fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller

av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som be- handlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Känsliga personuppgifter

3 § Kriminalvården får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000).

Utlämnande av personuppgifter

4 § Kriminalvården får till en utländsk myndighet eller internatio- nell organisation lämna ut de personuppgifter som behövs för

1.prövning och genomförande av överflyttning av straffverk- ställighet,

2.transitering och förvaring av en person som är frihetsberövad för brottsbekämpning, lagföring eller verkställighet av straff, eller

3.tillfällig överflyttning av en frihetsberövad person för brotts- bekämpning, lagföring eller straffverkställighet.

79

Författningsförslag

SOU 2017:74

Längsta tid som personuppgifter får behandlas

5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upp- hört.

I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas.

Föreskrifter

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.vilka personuppgifter som får behandlas enligt 1 §,

2.utlämnande av personuppgifter i andra fall än som anges i 4 §,

3.frågor som rör elektroniskt utlämnande genom direktåt- komst,

4.längsta tid som personuppgifter får behandlas, och

5.att personuppgifter, med avvikelse från 5 §, får behandlas under längre tid för arkivändamål av allmänt intresse och veten- skapliga, statistiska eller historiska ändamål.

3 kap. Säkerhetsregistret

Rätten att föra register

1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregi- stret får personuppgifter behandlas i syfte att

1.förebygga, förhindra eller upptäcka brott eller brottslig verk- samhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och

2.säkerställa ordning och säkerhet på häkten, i kriminalvårdsan- stalter och annan verksamhet som Kriminalvården bedriver.

80

SOU 2017:74

Författningsförslag

Innehåll

2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff och som är eller har varit placerad på säkerhetsavdelning.

I registret får även uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff, om det finns risk för att han eller hon

1.under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller deltar i brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver,

2.förbereder rymning eller försöker rymma,

3.blir föremål för fritagning,

4.medverkar i eller på annat sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsan- stalt, eller

5.utsätts för våld eller hot under verkställigheten.

3 § I säkerhetsregistret får även uppgifter behandlas om en per- son som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kri- minalvårdens lokaler.

4 § Om det är absolut nödvändigt för ändamålet med behand- lingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den förstnämnde inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning.

Sökning

5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

81

Författningsförslag

SOU 2017:74

Direktåtkomst

6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till personupp- gifter i säkerhetsregistret för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000).

Längsta tid som personuppgifter får behandlas

7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att den registrerade blivit villkorligt fri- given från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte.

Föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av person- uppgifter ur registret.

4 kap. Administrativa sanktionsavgifter och rättsmedel

Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1.2 kap. 1 § om tillåtna rättsliga grunder för behandling av per- sonuppgifter,

2.3 kap. 4 § om särskild upplysning, eller

3.2 kap. 5 § eller 3 kap. 7 § om längsta tid som personuppgifter får behandlas.

Sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplys- ning eller om längsta tid som personuppgifter får behandlas.

Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.

82

SOU 2017:74

Författningsförslag

Skadestånd

2 § Vid behandling av personuppgifter enligt denna lag eller före- skrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt.

Överklagande

3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000).

1.Denna lag träder i kraft den 1 maj 2018.

2.Sanktionsavgift enligt 4 kap. 1 § får beslutas endast för över- trädelser som har begåtts efter ikraftträdandet.

3.Äldre bestämmelser ska gälla för överträdelser som har be- gåtts före ikraftträdandet.

4.Äldre föreskrifter gäller fortfarande för överklagande av be- slut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter.

5.Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

83

Författningsförslag

SOU 2017:74

1.13Förslag till

lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang

Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdes- förbud vid idrottsarrangemang ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		8 a §1
En polisman eller annan an-			En polisman eller annan an-
ställd vid Polismyndigheten får			ställd vid Polismyndigheten får
fotografera en person som har			fotografera en person som har
eller skäligen kan antas få till-			eller skäligen kan antas få till-
trädesförbud enligt denna lag i			trädesförbud enligt denna lag i
syfte att fotografiet ska kunna			syfte att fotografiet ska kunna
tillföras det register som Polis-			tillföras det register som Polis-
myndigheten får	föra	enligt	myndigheten får	föra enligt
lagen (2015:51) om register över			5 kap. polisens	brottsdatalag
tillträdesförbud	vid	idrotts-	(2010:361).
arrangemang.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2015:55.

84

SOU 2017:74

Författningsförslag

1.14Förslag till

lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om till- syn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Lydelse enligt SOU 2016:65 Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hem- liga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva till- syn över behandlingen av per- sonuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361).

Nuvarande lydelse			Föreslagen lydelse
		3 §
Nämnden är skyldig att på			Nämnden är skyldig att på
begäran av en enskild kontrol-			begäran av en enskild kontrol-
lera om han eller hon har utsatts			lera om han eller hon
för	sådana	tvångsmedel eller	1. har utsatts för sådana
varit	föremål	för sådan person-	tvångsmedel som avses i 1 § och

85

Författningsförslag

SOU 2017:74

4 §

Nämnden har rätt att av för-	Nämnden har rätt att av för-
valtningsmyndigheter som om-	valtningsmyndigheter som om-
fattas av tillsynen få de uppgif-	fattas av tillsynen få de uppgif-
ter och det biträde som nämn-	ter och upplysningar, den infor-
den begär. Även domstolar samt	mation och det biträde som
de förvaltningsmyndigheter som	nämnden begär. Även domstolar
inte omfattas av tillsynen är	och de förvaltningsmyndigheter
skyldiga att lämna nämnden de	som inte omfattas av tillsynen är
uppgifter som den begär.	skyldiga att lämna nämnden de
	uppgifter som den begär.

Denna lag träder i kraft den 1 maj 2018.

86

SOU 2017:74

Författningsförslag

1.15Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 4 b §, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretess-

lagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse				Föreslagen lydelse
			18 kap.
			2 §1
	Sekretess gäller för uppgift			Sekretess gäller					för	uppgift
som hänför sig till sådan verk-				som hänför sig till sådan verk-
samhet som avses i 2 kap. 7 § 1				samhet som avses					i 2 kap. 1 §
eller 6 kap. 1 § 1 polisdatalagen				första	stycket 1			polisens			brotts-
(2010:361), om det inte står				datalag	(2010:361)				eller		2 kap.
klart att uppgiften kan röjas				1 § första		stycket 1			Säkerhetspo-
utan att syftet med beslutade				lisens datalag (2018:000), om det
eller förutsedda åtgärder mot-				inte står klart att uppgiften kan
verkas eller den framtida verk-				röjas utan att syftet med beslu-
samheten skadas.				tade eller			förutsedda			åtgärder
				motverkas			eller	den		framtida
				verksamheten skadas.
	Sekretess gäller, under mot-			Sekretess gäller, under mot-
svarande		förutsättningar som		svarande		förutsättningar					som
anges i första stycket, för upp-				anges i första stycket, för upp-
gift som hänför sig till				gift som hänför sig till sådan
				verksamhet som avses i
	1. sådan verksamhet som avses			1. 2 kap.			1 §	första		stycket 1
i	2 kap.	5 § 1	skattebrottsdata-	Kustbevakningens					brottsdatalag
lagen (2017:452),				(2012:145),
	2. sådan verksamhet som avses			2. 2 kap.			1 §	första		stycket 1
i	2 kap. 5 § 1 tullbrottsdatalagen			Tullverkets					brottsdatalag
(2017:447), eller				(2017:447), eller
	3. sådan verksamhet som avses			3. 2 kap.			1 §	första		stycket 1
i	3 kap.	2 § 1	kustbevaknings-	Skatteverkets					brottsdatalag

1 Senaste lydelse 2017:456.

87

Författningsförslag SOU 2017:74

datalagen (2012:145).

(2017:452).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjut- tio år.

18 §2

Sekretessen enligt 17 § andra stycket hindrar inte att en upp- gift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361).

Lydelse enligt prop. 2016/17:208

35 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga och eko- nomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brott-

mål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild person- utredning enligt säkerhetsskyddslagen (1996:627),

4.annan verksamhet som syftar till att förebygga, uppdaga, ut- reda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

2 Senaste lydelse 2010:369.

88

SOU 2017:74 Författningsförslag

annars behandlas med stöd av de			som annars behandlas med stöd
bestämmelserna eller uppgifter			av de bestämmelserna, eller upp-
som behandlas av Säkerhetspoli-			gifter som behandlas av Säker-
sen med stöd av 6 kap. samma			hetspolisen med stöd av Säker-
lag,			hetspolisens datalag (2018:000),
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skat-			7. register som förs av Skat-
teverket enligt skattebrottsdata-			teverket	enligt	Skatteverkets
lagen (2017:452) eller som annars			brottsdatalag (2017:452) eller som
behandlas där med stöd av			annars behandlas där med stöd av
samma lag,			samma lag,
8. särskilt ärenderegister över			8. särskilt ärenderegister över
brottmål som förs av åklagar-			brottmål som förs av åklagar-
myndighet, om uppgiften		inte	myndighet, om uppgiften			inte
hänför sig till registrering som			hänför sig till registrering som
avses i 5 kap. 1 §,			avses i 5 kap. 1 §, eller
9. register som förs av Tull-			9. register som förs av Tull-
verket enligt	tullbrottsdatalagen		verket enligt Tullverkets brotts-
(2017:447) eller som annars be-			datalag	(2017:447)	eller	som
handlas där med stöd av samma			annars behandlas där med stöd
lag, eller			av samma lag.
10. register	som förs	enligt

lagen (2010:362) om polisens all- männa spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rätt- skipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är miss- tänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

89

Författningsförslag SOU 2017:74

Nuvarande lydelse	Föreslagen lydelse
4 a §3
Sekretess gäller i verksamhet	Sekretess gäller i verksamhet
som avser förande av register	som avser förande av tillträdes-
enligt lagen (2015:51) om regis-	förbudsregistret enligt 5 kap. poli-
ter över tillträdesförbud vid	sens brottsdatalag (2010:361) för
idrottsarrangemang för uppgift	uppgift om en enskilds person-
om en enskilds personliga för-	liga förhållanden, om det inte
hållanden, om det inte står klart	står klart att uppgiften kan röjas
att uppgiften kan röjas utan att	utan att den enskilde eller någon
den enskilde eller någon närstå-	närstående till honom eller henne
ende till denne lider men.	lider men.

För uppgift i en allmän handling gäller sekretessen i högst

sjuttio år.
Lydelse enligt SOU 2017:29	Föreslagen lydelse
4 b §
Sekretess gäller hos en behö-	Sekretess gäller hos
rig myndighet enligt brotts-	1. en behörig myndighet en-
datalagen (2018:000) för uppgift	ligt	brottsdatalagen (2018:000)
i ett sådant personurval som	för uppgift i ett sådant person-
avses i 2 kap. 14 § samma lag.	urval	som avses i 2 kap. 14 §
	samma lag, och
	2. Säkerhetspolisen för uppgift
	i ett sådant personurval som avses
	i 2 kap. 12 § Säkerhetspolisens
	datalag (2018:000).
För uppgift i en allmän hand-	För uppgift i en allmän hand-
ling gäller sekretessen högst	ling gäller sekretessen i högst
sjuttio år.	sjuttio år.

3 Senaste lydelse 2015:53.