|
|
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform
Sammanfattning
Utskottet ställer sig bakom regeringens förslag till kustbevakningsdatalag och förslag till ändringar i ett antal andra lagar som reglerar personuppgiftsbehandling i verksamhet som rör allmän ordning och säkerhet. Syftet med förslagen är att anpassa lagstiftningen till EU:s dataskyddsreform. Förslagen innebär även en förenklad reglering av den behandling av personuppgifter som sker vid uppbörd av böter, t.ex. när en person frivilligt betalar utdömda böter.
Den nya lagen och lagändringarna föreslås träda i kraft den 30 juni 2019.
Behandlade förslag
Proposition 2018/19:65 Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform.
Utskottets förslag till riksdagsbeslut
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
|
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform |
Riksdagen antar regeringens förslag till
1. kustbevakningsdatalag,
2. lag om ändring i vapenlagen (1996:67),
3. lag om ändring i lagen (1998:620) om belastningsregister med den ändringen att SFS-numret ”(2018:1177)” ska föras in efter ”brottsdatalagen” i 5 a § och i 22 § första stycket,
4. lag om ändring i lagen (1998:621) om misstankeregister med den ändringen att SFS-numret ”(2018:1177)” ska föras in efter ”brottsdatalagen” i 4 a § och i 16 § första stycket,
5. lag om ändring i lagen (2000:344) om Schengens informationssystem med den ändringen att SFS-numret ”(2018:1177)” ska föras in efter ”brottsdatalagen” i 17 § första stycket,
6. lag om ändring i offentlighets- och sekretesslagen (2009:400),
7. lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,
8. lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,
9. lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
Därmed bifaller riksdagen proposition 2018/19:65 punkterna 1–9.
Stockholm den 16 maj 2019
På justitieutskottets vägnar
Fredrik Lundh Sammeli
Följande ledamöter har deltagit i beslutet: Fredrik Lundh Sammeli (S), Andreas Carlson (KD), Johan Forssell (M), Petter Löberg (S), Louise Meijer (M), Adam Marttinen (SD), Maria Strömkvist (S), Linda Westerlund Snecker (V), Ellen Juntti (M), Katja Nyberg (SD), Joakim Sandell (S), Juno Blom (L), Henrik Vinge (SD), Rasmus Ling (MP), Ingemar Kihlström (KD), Gustaf Lantz (S) och Jonny Cato Hansson (C).
I betänkandet behandlar utskottet proposition 2018/19:65 Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform. I propositionen föreslår regeringen en ny kustbevakningsdatalag samt ändringar av vissa andra lagar som reglerar personuppgiftsbehandling i verksamhet som rör allmän ordning och säkerhet.
Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.
Inga motioner har väckts med anledning av propositionen.
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform
Utskottets förslag i korthet
Riksdagen antar regeringens förslag till kustbevakningsdatalag och förslag till ändringar i ett antal andra lagar som reglerar personuppgiftsbehandling i verksamhet som rör allmän ordning och säkerhet. Syftet med förslagen är att anpassa lagstiftningen till EU:s dataskyddsreform. Förslagen innebär även en förenklad reglering av den behandling av personuppgifter som sker vid uppbörd av böter.
Bakgrund
EU:s dataskyddsreform
Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning (dataskyddsförordningen[1]), dels ett direktiv med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn (dataskyddsdirektivet[2]).
Dataskyddsförordningen utgör fr.o.m. den 25 maj 2018 grunden för generell personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig i alla EU:s medlemsstater men både förutsätter och medger samtidigt kompletterande och specificerande nationella bestämmelser av olika slag.
Dataskyddsdirektivet innehåller bestämmelser om skydd för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även en sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde (artikel 2.2 d i dataskyddsförordningen).
Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) trädde i kraft den 25 maj 2018. Samtidigt upphävdes personuppgiftslagen (1998:204).
Dataskyddslagen innehåller kompletterande bestämmelser av generell karaktär till dataskyddsförordningen och reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, begränsningar av vissa rättigheter och skyldigheter, administrativa sanktionsavgifter samt skadestånd och överklagande.
Dataskyddslagen är subsidiär till annan författning. I den mån dataskyddsförordningen medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till dataskyddslagen.
Brottsdatalagen
Dataskyddsdirektivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Brottsdatalagen innehåller bestämmelser bl.a. om rättslig grund och ändamål för behandling av personuppgifter, känsliga personuppgifter, längsta tid som personuppgifter får behandlas, personuppgiftsansvarigas skyldigheter, enskildas rättigheter, administrativa sanktionsavgifter samt skadestånd och överklagande. Även brottsdatalagen är subsidiär till annan författning.
Propositionen
Inledning
I propositionen finns förslag till en ny kustbevakningsdatalag som kompletterar dataskyddsförordningen samt förslag till anpassningar till EU:s dataskyddsreform genom bl.a. ändringar i vapenlagen (1996:67) och lagen om belastningsregister (1998:620). Förslagen innebär att merparten av bestämmelserna i de behandlade författningarna kvarstår oförändrade och att flera bestämmelser anpassas till dataskyddsförordningen och brottsdatalagen utan att det sakliga innehållet förändras på ett avgörande sätt.
Gränsdragningen mellan dataskyddsförordningen och brottsdatalagen
Flera av de registerförfattningar som omfattas av förslagen reglerar behandling av personuppgifter för syften som ligger i gränsområdet mellan dataskyddsförordningens och brottsdatalagens tillämpningsområden.
Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att den som behandlar personuppgifterna är en myndighet som fullgör arbetsuppgifter inom brottsdatalagens tillämpningsområde eller annars anförtrotts myndighetsutövning i samma syften. Utöver kravet på att personuppgiftsbehandlingen görs av en sådan myndighet uppställer brottsdatalagen också krav på att behandlingen i det enskilda fallet sker för vissa syften, för att den behandlande myndigheten ska anses vara en behörig myndighet och lagen ska bli tillämplig. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas. En myndighets behandling av samma personuppgift kan därför antingen styras av brottsdatalagens eller dataskyddsförordningens regler.
Att syftet i det enskilda fallet är avgörande för om personuppgifts-behandling omfattas av brottsdatalagen eller inte innebär att det är möjligt att en registerförfattning, som tidigare kompletterat personuppgiftslagen, framöver både kommer att gälla utöver brottsdatalagen och komplettera dataskyddsförordningen.
En ny kustbevakningsdatalag
Kustbevakningen är den myndighet som har det övergripande ansvaret för myndighetsutövning till sjöss i det svenska territoriet. Tidigare har kustbevakningsdatalagen (2012:145) gällt vid all behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör brottsbekämpning, övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. I proposition 2017/18:269 bedömde regeringen att Kustbevakningens personuppgiftsbehandling, som en följd av dataskyddsreformen, fortsättningsvis bör regleras i två olika registerförfattningar. Den del av Kustbevakningens personuppgiftsbehandling som omfattas av brottsdatalagen regleras därför sedan den 1 januari 2019 i stället i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Samma datum upphävdes kustbevakningsdatalagen formellt, men ska enligt en övergångsbestämmelse till Kustbevakningens brottsdatalag fortsätta att gälla vid behandling av personuppgifter utanför brottsdatalagens tillämpningsområde. I det följande benämns den upphävda kustbevakningsdatalagen 2012 års kustbevakningsdatalag; vad som avses är då lagen i dess utformning före den 1 januari 2019.
Till grund för införandet av Kustbevakningens brottsdatalag ligger bedömningen att en ordning med två separata regleringar blir tydligare och enklare att tillämpa för Kustbevakningens del, än en lösning som innebär att dataskyddsförordningens och dataskyddsdirektivets krav regleras i en och samma lag. Regeringen föreslår därför att en ny kustbevakningsdatalag införs. Den nya lagen ska innehålla i huvudsak den reglering som fanns i 2012 års kustbevakningsdatalag och som omfattas av dataskyddsförordningens tillämpningsområde. Förslaget innebär bl.a. följande anpassningar till EU:s dataskyddsreform i förhållande till 2012 års kustbevakningsdatalag.
Den nya kustbevakningsdatalagen ska gälla vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. Från tillämpningsområdet undantas sådan personuppgiftsbehandling som omfattas av Kustbevakningens brottsdatalag. Lagen ska även innehålla upplysande bestämmelser som anger att den kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt kustbevakningsdatalagen, om inte något annat följer av kustbevakningsdatalagen eller föreskrifter som meddelats i anslutning till denna.
Regeringen framhåller att begreppet känsliga personuppgifter i dataskyddsförordningen har utvidgats till att avse fler kategorier av personuppgifter än vad som hittills gällt enligt både personuppgiftslagen och 2012 års kustbevakningsdatalag. Regleringen av behandlingen av känsliga personuppgifter i den nya kustbevakningsdatalagen bör enligt regeringen omfatta även de nya kategorierna av personuppgifter, vilket åstadkoms genom att regleringen i den föreslagna lagen hänvisar till artikel 9.1 i dataskyddsförordningen. Känsliga personuppgifter ska få behandlas under samma förutsättningar som i dag, och förbudet mot att använda känsliga personuppgifter som sökbegrepp ska behållas. Bestämmelsen om förbud mot att använda känsliga personuppgifter som sökbegrepp ska enligt förslaget anpassas språkligt till regleringen i dataskyddsförordningen och brottsdatalagen. Den nuvarande bestämmelsen om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt ska föras in i den nya lagen, men placeras i en egen paragraf eftersom signalementsuppgifter i de flesta fall inte är känsliga personuppgifter.
I enlighet med vad som gäller enligt Kustbevakningens brottsdatalag ska det även i kustbevakningsdatalagen föreskrivas att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. I övrigt ska regleringen av utlämnande av personuppgifter och direktåtkomst i den nya kustbevakningsdatalagen i huvudsak motsvara bestämmelserna om detta i 2012 års kustbevakningsdatalag.
När det gäller information till den registrerade föreslår regeringen att Kustbevakningen inte ska vara skyldig att lämna sådan information enligt artikel 13 i dataskyddsförordningen när insamling av personuppgifter görs genom bilder eller ljud (t.ex. vid spaning med kustbevakningsflyg), såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. Sådan information ska inte heller behöva lämnas när det i larmsituationer inte finns tid för det.
Bestämmelser om gallring, bevarande och digital arkivering som rör personuppgiftsbehandling på dataskyddsförordningens område överförs från 2012 års kustbevakningsdatalag till den nya lagen. Formuleringen om bevarande för historiska, statistiska eller vetenskapliga ändamål ändras, i enlighet med dataskyddsförordningens terminologi, till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Lagen om belastningsregister
I lagen (1998:620) om belastningsregister föreskrivs en skyldighet för Polismyndigheten att med hjälp av automatiserad behandling föra ett belastningsregister som myndigheten är personuppgiftsansvarig för. Registret innehåller framför allt uppgifter om begångna brott och påföljderna för dessa, men även uppgifter om bl.a. kontaktförbud och tillträdesförbud.
I lagens inledning finns bestämmelser om belastningsregistrets ändamål (2 §) och om förhållandet till personuppgiftslagen (1 a §). Lagen innehåller till största delen bestämmelser om belastningsregistrets innehåll (3–5 §§), utlämnande av uppgifter ur registret (6–15 §§) och gallring (16–18 §§). När det gäller rättigheter för den registrerade innehåller lagen dels bestämmelser om rätt till utdrag från registret till den registrerade själv, dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (9 § respektive 20 §).
Regeringen gör i propositionen bedömningen att förandet av belastningsregistret och behandling av personuppgifter för utlämnanden ur registret i brottsbekämpande syfte omfattas av brottsdatalagen. När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter ur belastningsregistret som underlag för olika slag av lämplighets- och tillståndsprövningar, ska dataskyddsförordningen tillämpas.
Bestämmelserna om skyldighet att föra belastningsregistret, om personuppgiftsansvar och om registrets innehåll bör enligt regeringen inte ändras som en följd av dataskyddsreformen. Ändamålen med belastningsregistret ska emellertid anpassas till brottsdatalagens terminologi.
När det gäller förhållandet till andra bestämmelser om personuppgiftsbehandling föreslår regeringen att hänvisningen till personuppgiftslagen ersätts med en upplysning om att lagen om belastningsregister gäller utöver brottsdatalagen. Vidare införs en bestämmelse som innebär att sökförbudet i brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar och om verkställighet av påföljd används vid sökning i belastningsregistret. En ny bestämmelse införs också som anger att lagen om belastningsregister kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för sådan behandling, om inte något annat följer av lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den lagen.
Regeringen föreslår vidare att det av bestämmelsen om enskildas rätt till utdrag ur belastningsregistret ska framgå att den enskildes rätt till utdrag även omfattar viss övrig information som anges i brottsdatalagen, t.ex. information om varifrån uppgifterna kommer och den rättsliga grunden för behandlingen. Kravet på ett egenhändigt undertecknande av en begäran om utdrag ur belastningsregistret ersätts med att Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Regeringen föreslår även att det av lagen om belastningsregister ska framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den. I övrigt regleras inte frågor om rättelse och skadestånd i lagen om belastningsregister eftersom sådana bestämmelser finns i dataskyddsförordningen och brottsdatalagen.
Slutligen införs en bestämmelse om att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring av personuppgifter, om överträdelsen skett vid personuppgiftsbehandling som omfattas av brottsdatalagens tillämpningsområde. Sanktionsavgiften ska vara högst 10 000 000 kronor.
Lagen om misstankeregister
I lagen (1998:621) om misstankeregister föreskrivs en skyldighet för Polismyndigheten att med hjälp av automatiserad behandling föra ett register med uppgifter om dem som är skäligen misstänkta för brott. Polismyndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i registret.
Regeringen gör i propositionen bedömningen att förandet av misstankeregistret och behandling av personuppgifter för utlämnanden ur registret i brottsbekämpande syfte omfattas av brottsdatalagen. När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter om misstankar som underlag för olika slag av lämplighets- och tillståndsprövningar, ska dataskyddsförordningen tillämpas.
När det gäller behovet av anpassningar till EU:s dataskyddsreform gör regeringen i huvudsak samma bedömningar som för lagen om belastningsregister.
Vapenlagen
Vapenlagen (1996:67) gäller skjutvapen och ammunition samt vissa därmed jämställda föremål. I lagen regleras en mängd olika frågor som rör vapen, bl.a. frågor om tillstånd att inneha vapen och om hanteringen av vapen.
Enligt 1 a kap. 7 § vapenlagen ska Polismyndigheten med hjälp av automatiserad behandling föra fyra separata register: vapeninnehavarregistret, vapenregistret, vapenhandlarregistret och registret över auktoriserade sammanslutningar för jakt- eller målskytte. Även resterande bestämmelser i kapitlet innehåller regler om personuppgiftsbehandling, både sådan som sker i vapenregistren och sådan som sker i vapenärenden.
Regeringen gör i propositionen bedömningen att behandling av personuppgifter i vapenärenden samt förandet av vapenregistren och behandling av personuppgifter för utlämnande ur registren i annat än brottsbekämpande syfte omfattas av dataskyddsförordningen. Behandling av personuppgifter för utlämnande ur registren i brottsbekämpande syfte omfattas av brottsdatalagen.
Regeringen föreslår att bestämmelsen i vapenlagen om skyldighet att utse personuppgiftsombud upphävs. I dataskyddsförordningen finns i stället bestämmelser om dataskyddsombud som är direkt tillämpliga.
En ny bestämmelse införs som upplyser om att bestämmelserna om personuppgiftsbehandling i vapenlagen kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för behandling som omfattas av dataskyddsförordningen, om inte något annat följer av bestämmelserna om personuppgiftsbehandling i vapenlagen eller av föreskrifter som har meddelats i anslutning till bestämmelserna. Vidare införs en ny bestämmelse som klargör att vapenlagens bestämmelser om personuppgiftsbehandling gäller utöver brottsdatalagen vid behandling av personuppgifter som omfattas av den lagen.
Som framgått ovan har begreppet känsliga personuppgifter i dataskyddsförordningen utvidgats till att omfatta ytterligare kategorier av uppgifter. Detsamma gäller enligt dataskyddslagen och brottsdatalagen. Enligt regeringen bör vapenlagens bestämmelser om behandling av känsliga personuppgifter anpassas till att omfatta även dessa kategorier av personuppgifter genom att regleringen i lagen hänvisar till artikel 9.1 i dataskyddsförordningen och 2 kap. 11–13 §§ brottsdatalagen. Av nämnda bestämmelser framgår även att känsliga personuppgifter som utgångspunkt inte får behandlas. Regeringen anser därför att det inte längre behövs någon uttrycklig bestämmelse om det i vapenlagen. Vidare ska bestämmelsen i vapenlagen om förbud mot att använda känsliga personuppgifter som sökbegrepp anpassas språkligt till regleringen i dataskyddsförordningen och brottsdatalagen.
Regeringen föreslår även att det, liksom i lagen om belastningsregister, införs en hänvisning till brottsdatalagens bestämmelse om skadestånd. I övrigt ska frågor om rättelse och skadestånd vid personuppgiftsbehandling inte regleras i vapenlagen.
Slutligen upphävs en bestämmelse om bevarande av personuppgifter i vapenregistren eftersom den har samma innehåll som artikel 5.1 e i dataskyddsförordningen.
Lagen om Schengens informationssystem
Schengens informationssystem (SIS) är ett datasystem som fungerar som ett efterlysningshjälpmedel och, i viss mån, även som ett spaningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer och om fordon eller andra föremål som är efterlysta eller eftersökta och samtidigt begära att en viss åtgärd ska vidtas om personen eller föremålet påträffas vid en gränskontroll eller i en annan Schengenstat. Det kan exempelvis vara fråga om att begära att en person som misstänks för brott ska gripas och omhändertas eller att uppgifter ska lämnas om var en försvunnen person befinner sig.
Tekniskt består SIS av dels en nationell enhet (SIS-registret), som är ett nationellt register för varje Schengenstat, dels en central teknisk stödfunktion. Med hjälp av den tekniska stödfunktionen innehåller varje Schengenstats nationella register uppgifter som är identiska med uppgifterna i de andra staternas nationella register.
I lagen (2000:344) om Schengens informationssystem föreskrivs en skyldighet för Polismyndigheten att med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS (dvs. SIS-registret) samt att behandla viss tilläggsinformation (1 §). Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. I lagens inledning finns bestämmelser om ändamålen med registret (2 §) och därefter om vilka uppgifter som får registreras och andra förutsättningar för att registrering ska få ske (3–7 §§). Lagen innehåller också bestämmelser om vilka myndigheter som kan få ut uppgifter ur registret, hur uppgifterna får användas och vad som gäller för gallring av uppgifterna (9–11 §§). Det finns även bestämmelser om rättelse, skadestånd och överklagande (15–17 §§).
Regeringen gör i propositionen bedömningen att behandlingen av personuppgifter i SIS-registret, såväl för förandet av registret som för utlämnande, omfattas antingen av brottsdatalagen eller av dataskyddsförordningen. Vilket regelverk som blir tillämpligt måste avgöras från fall till fall, beroende på syftet med registreringen.
Regeringen föreslår att en ny bestämmelse införs som anger att lagen om Schengens informationssystem gäller utöver brottsdatalagen. En ny bestämmelse införs också som anger att lagen kompletterar dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen också gäller för sådan behandling, om inte annat följer av lagen om Schengens informationssystem eller föreskrifter som har meddelats i anslutning till den lagen.
Regeringen föreslår även att det, liksom i lagen om belastningsregister, införs en hänvisning till brottsdatalagens bestämmelse om skadestånd. Frågor om skadestånd vid behandling av personuppgifter som omfattas av dataskyddsförordningen ska inte regleras i lagen om Schengens informationssystem. En bestämmelse om Polismyndighetens skyldighet att rätta, blockera eller utplåna personuppgifter upphävs också eftersom sådana bestämmelser finns i dataskyddsförordningen och brottsdatalagen. Även en bestämmelse om överklagande av Polismyndighetens beslut upphävs.
Slutligen införs en bestämmelse om administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen.
Personuppgiftsbehandling vid uppbörd av böter
Böter, som är en påföljd för brott, kan utgå i form av dagsböter, penningböter eller normerade böter och tillfaller staten. Ett bötesstraff bestäms antingen genom att en domstol dömer ut det eller genom att den enskilde godtar det påföljdsförslag som en brottsbekämpande myndighet har angett i ett strafföreläggande eller ett föreläggande av ordningsbot.
Bestämmelser om verkställighet av bötesstraff finns i bötesverkställighetslagen (1979:189) och bötesverkställighetsförordningen (1979:197). Bötesstraff verkställs i första hand genom uppbörd. Uppbörd innebär att den bötfällde får möjlighet att frivilligt betala böterna till en behörig myndighet. Polismyndigheten är central uppbördsmyndighet. Genom betalningen är straffet verkställt.
Förskottsbetalning av böter kan enligt bötesverkställighetsförordningen göras till Polismyndigheten eller, i vissa fall, till Tullverket. Om böter har betalats i förskott till Tullverket kan myndigheten ta medlen i anspråk för betalning av böterna. Det innebär att även Tullverket bedriver viss uppbördsverksamhet.
Regeringen gör i propositionen bedömningen att behandling av personuppgifter vid uppbörd av böter omfattas av brottsdatalagen och föreslår att lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag) ska gälla när Polismyndigheten behandlar personuppgifter i syfte att verkställa uppbörd. Vidare ska lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag) gälla när Tullverket behandlar personuppgifter i samma syfte. De båda lagarna gäller när Polismyndigheten respektive Tullverket, i egenskap av behörig myndighet, behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott eller, vad gäller Polismyndigheten, upprätthålla allmän ordning och säkerhet. Att tillämpningsområdet utökas till att omfatta även personuppgiftsbehandling i syfte att verkställa uppbörd ligger enligt regeringen i linje med utgångspunkten att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (se prop. 2017/18:269 s. 100).
Förslaget innebär även vissa ändringar i offentlighets- och sekretesslagen (2009:400).
Ikraftträdande
Den nya kustbevakningsdatalagen och övriga författningsförslag föreslås träda i kraft den 30 juni 2019.
Utskottets ställningstagande
Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet anser att regeringens lagförslag är ändamålsenligt utformade och att de bör antas. Utskottet föreslår även några mindre redaktionella ändringar i den föreslagna lagtexten.
Bilaga 1
Förteckning över behandlade förslag
Proposition 2018/19:65 Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform:
1.Riksdagen antar regeringens förslag till kustbevakningsdatalag.
2.Riksdagen antar regeringens förslag till lag om ändring i vapenlagen (1996:67).
3.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:620) om belastningsregister.
4.Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:621) om misstankeregister.
5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem.
6.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.
8.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
9.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
Bilaga 2
