Regeringens proposition 2018/19:163

Ny lag om Säkerhetspolisens behandling av	Prop.
personuppgifter	2018/19:163

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 september 2019

Stefan Löfven

Mikael Damberg (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att det införs en ny lag om Säkerhetspolisens behandling av personuppgifter som ersätter den tidigare regleringen i polisdatalagen. Den nya lagen föreslås innehålla bestämmelser om bl.a. grundläggande krav på personuppgiftsbehandling, den personuppgifts- ansvariges skyldigheter, enskildas rättigheter, skadestånd, överklagande och överföring av personuppgifter till tredjeland. Dessa överensstämmer i stort sett med brottsdatalagens bestämmelser.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksam- het. När Säkerhetspolisen behandlar personuppgifter som inte rör nationell säkerhet i syfte att bekämpa och lagföra brott, ska myndigheten tillämpa brottsdatalagen och polisens brottsdatalag. Vidare föreslås följdändringar i ett antal andra lagar.

Den nya lagen och övriga lagändringar föreslås träda i kraft den

1 januari 2020.

1

	8.2	Dagens primära ändamålsbestämmelser är		Prop. 2018/19:163
		bestämmelser om rättslig grund.......................................		62
	8.3	Rättslig grund för behandling..........................................		64
		8.3.1	Rättslig grund för behandling –
			huvudregeln ....................................................	64
		8.3.2	Rättslig grund i undantagsfall för
			diarieföring och handläggning........................	66
	8.4	Ändamål för behandling ..................................................		67
		8.4.1	Behandling bara för särskilda, uttryckligt
			angivna och berättigade ändamål....................	67
		8.4.2	Allmänt om behandling för nya ändamål .......	68
		8.4.3	Behandling för ändamål i annan
			verksamhet......................................................	69
		8.4.4	Behandling för vetenskapliga, statistiska
			och historiska ändamål ...................................	71
9	Behandling av personuppgifter ......................................................			72
	9.1	Grundläggande krav på behandlingen .............................		72
		9.1.1	Krav på författningsenlig och korrekt
			behandling ......................................................	72
		9.1.2	Personuppgifter ska vara korrekta,
			adekvata och relevanta....................................	72
	9.2	Känsliga personuppgifter.................................................		75
		9.2.1	Känsliga personuppgifter får behandlas i
			samma utsträckning som i dag........................	75
		9.2.2	Ett sökförbud med undantag...........................	78

9.3Åtgärder för att säkerställa personuppgifternas

	kvalitet.............................................................................	82
9.4	Personuppgifter från transportföretag..............................	83
10 Gemensamt tillgängliga uppgifter..................................................		86

10.1Samma reglering av vad som får göras gemensamt

	tillgängligt .......................................................................		86
10.2	Särskilda upplysningar ....................................................		87
10.3	Undantag från kravet på särskild upplysning ..................		91
	10.3.1	Behandling av personuppgifter i
		ostrukturerad information ...............................	91
	10.3.2	Det befintliga undantaget bör justeras ............	92
11 Informationsutbyte		.........................................................................	94
11.1	Behovet av att kommunicera elektroniskt har ökat .........		94
	11.1.1	Olika former av elektroniskt utlämnande .......	94
	11.1.2	Nuvarande möjligheter till elektroniskt
		utlämnande .....................................................	96
	11.1.3	Ett effektivare informationsutbyte är
		nödvändigt ......................................................	96

11.2Elektroniskt utlämnande på annat sätt än genom

	direktåtkomst ...................................................................		97
11.3	Direktåtkomst ..................................................................		98
	11.3.1	Behovet av direktåtkomst ...............................	98

11.3.2Direktåtkomst för vissa svenska

myndigheter..................................................	100
	3

21.7	Förslag till lag om ändring i lagen (2018:1693) om	Prop. 2018/19:163
	polisens behandling av personuppgifter inom
	brottsdatalagens område ................................................	267
Bilaga 1	Sammanfattning av betänkandet Brottsdatalag –
	kompletterande lagstiftning (SOU 2017:74) .................	268
Bilaga 2	Betänkandets lagförslag.................................................	270
Bilaga 3	Förteckning över remissinstanserna ..............................	297
Bilaga 4	Lagrådsremissens lagförslag..........................................	298
Bilaga 5	Lagrådets yttrande .........................................................	325
Utdrag ur protokoll vid regeringssammanträde den 5 september
	2019 ....................................................................................	326

7

Prop. 2018/19:163 1

Förslag till riksdagsbeslut

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om Säkerhetspolisens behandling av personuppgifter.

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

3.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

4.Riksdagen antar regeringens förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete.

5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning.

6.Riksdagen antar regeringens förslag till lag om ändring i säkerhets- skyddslagen (2018:585).

7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdata- lagens område.

8

2

Lagtext

Prop. 2018/19:163

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om Säkerhetspolisens behandling av personuppgifter

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verk- samhet.

Lagen gäller vid Polismyndighetens behandling av personuppgifter när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Avvikande bestämmelser i annan författning

4 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Definitioner

5 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination av
	åtgärder som vidtas i fråga om per-
	sonuppgifter eller uppsättningar av
	personuppgifter, oavsett	om det
	görs automatiserat eller inte, t.ex.
	insamling, registrering,	organise-

9

Prop. 2018/19:163	ring, strukturering, lagring, bear-
	betning eller ändring, framtagning,
	läsning, användning, utlämnande,
	spridning eller tillhandahållande på
	annat sätt, justering, sammanföring,
	begränsning,			radering		eller
	förstöring.
Biometriska uppgifter	Personuppgifter som rör en persons
	fysiska,		fysiologiska			eller
	beteendemässiga kännetecken, som
	tagits fram genom särskild teknisk
	behandling och som möjliggör eller
	bekräftar		unik	identifiering		av
	personen.
Dataskyddsombud	Den fysiska person som utses av
	den personuppgiftsansvarige för att
	självständigt			kontrollera		att
	personuppgifter			behandlas		för-
	fattningsenligt och på ett korrekt
	sätt enligt vad som närmare anges i
	lagen.
Genetiska uppgifter	Personuppgifter som rör en per-
	sons	nedärvda		eller	förvärvade
	genetiska		kännetecken		och	som
	härrör från analys av ett spår av eller
	ett prov från personen.
Internationell organisation	En organisation och dess under-
	ställda organ som lyder under folk-
	rätten eller ett annat organ som in-
	rättats genom eller på grundval av
	en överenskommelse				mellan	två
	eller flera stater.
Mottagare	Den	till	vilken personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av för-
	fattning utövar tillsyn, kontroll eller
	revision.
Personuppgift	Varje upplysning om en identifierad
	eller identifierbar fysisk person som
	är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsammans
	med	andra	bestämmer		ändamålen
	med och medlen för behandlingen
	av personuppgifter.
Personuppgiftsbiträde	Den som behandlar personupp-
	gifter för den personuppgiftsansva-
	riges räkning.
Registrerad	Den fysiska person som person-
	uppgiften gäller.
Tredjeland	En stat som inte är medlem i
10	Europeiska			unionen		eller

	Europeiska ekonomiska samarbets- Prop. 2018/19:163
	området och som inte heller på
	grund av avtal med Europeiska
	unionen	har	en	motsvarande
	ställning.
Tredje man	Någon annan än den registrerade,
	den personuppgiftsansvarige, data-
	skyddsombudet,			personuppgifts-
	biträdet och sådana personer som
	under	den	personuppgiftsan-
	svariges	eller		personuppgifts-
	biträdets direkta ansvar har rätt att
	behandla personuppgifter.
Uppgift som rör hälsa	Personuppgift som rör en persons
	fysiska	eller	psykiska hälsa,
	inklusive information om tillhanda-
	hållande av hälso- och sjuk-
	vårdstjänster som			ger upplysning
	om personens hälsostatus.

Personuppgiftsansvar

6 § Säkerhetspolisen respektive Polismyndigheten är personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför.

Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.

Behandling av uppgifter om juridiska personer

7 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.6 § om personuppgiftsansvar,

2.2 kap. 1 och 2 §§ om rättsliga grunder för behandling av person- uppgifter,

3.3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,

4.4 kap. 1–4 och 6–10 §§ om längsta tid som personuppgifter får behandlas, och

5.5 kap. 5 § om tillgången till personuppgifter.

2 kap. Behandling av personuppgifter

Grundläggande krav på behandlingen

Rättsliga grunder

1 § Personuppgifter får behandlas om det är nödvändigt för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som inne- fattar

a) brott mot Sveriges säkerhet, b) terrorbrott, eller

c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främ- lingsfientliga motiv,

11

Prop. 2018/19:163 2. utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter

a)i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

b)enligt säkerhetsskyddslagen (2018:585), eller

c)enligt utlännings- och medborgarskapslagstiftningen,

4.fullgöra någon annan uppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller

5.fullgöra förpliktelser som följer av internationella åtaganden.

2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande och behandlingen är nödvändig för handläggningen.

Ändamål

3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. De får inte behandlas för något ändamål som är oförenligt med det ändamål de ursprungligen behandlades för.

4 § Personuppgifter som behandlas med stöd av 1 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:1177) hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyn- digheten, Tullverket, Kustbevakningen eller Skatteverket,

2.i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3.i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrättelseverk- samhet, om det finns särskilda skäl att tillhandahålla informationen,

4.i en myndighets verksamhet om Säkerhetspolisen enligt lag eller för- ordning ska bistå myndigheten med en viss uppgift,

5.i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation, eller

6.i verksamhet hos utländsk underrättelse- eller säkerhetstjänst. Personuppgifter som behandlas med stöd av 1 § får även behandlas om

det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen och, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas med stöd av 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

5 § Säkerhetspolisen får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

12

Författningsenlig och korrekt behandling

Prop. 2018/19:163

6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter

9 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket om det är absolut nödvändigt för ändamålet med behandlingen.

10 § Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Genetiska uppgifter får inte behandlas.

11 § Personuppgifter som avses i 9 och 10 §§ (känsliga personuppgifter) får alltid behandlas med stöd av 2 §.

12 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Första stycket hindrar inte att brottsrubriceringar, uppgifter om till- vägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Första stycket hindrar inte heller sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som anges i 1 §.

Rättelse, uppdatering och radering

13 § Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

13

Prop. 2018/19:163 14 § Alla rimliga åtgärder ska vidtas för att personuppgifter som be- handlas i strid med någon av 1–6, 8–10 eller 12 §§, 4 kap. 1 § första stycket eller någon av 2–4 eller 7–10 §§ utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behand- lingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

Utlämnande av personuppgifter

15 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan sta- tistik.

16 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till

1.Interpol eller Europol, eller till en polismyndighet eller åklagarmyn- dighet i en stat som är ansluten till Interpol, om det behövs för att mottagaren ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott, eller

2.en utländsk underrättelse- eller säkerhetstjänst.

Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

17 § Polismyndigheten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § 1–3 a och c, om myndigheten behöver uppgifterna för ett syfte som anges i 2 kap. 1 § 1 eller 2 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller för att fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (1991:572) om särskild utlänningskontroll.

18 § Försvarsmakten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § 1 eller 2, om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst. Detsamma gäller Försvarets radioanstalt, om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den ut- sträckning som anges i 3 kap. 5–7 §§.

14

Personuppgifter från transportföretag	Prop. 2018/19:163
20 § Personuppgifter som tillhandahålls av transportföretag enligt 25 §
polislagen (1984:387) får behandlas för att utföra en uppgift som anges i

1§.

Personuppgifter som avses i första stycket får endast i ett enskilt fall

behandlas för nya ändamål.

21 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får person- uppgifterna inte ändras eller bearbetas på annat sätt.

Rätt att meddela föreskrifter

22 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får lämnas ut i andra fall än som anges i 15–18 §§,

och

2.begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 19 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter

Allmän bestämmelse

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av

2 kap. 2 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Personuppgifter får göras gemensamt tillgängliga om det behövs för att utföra någon av de uppgifter som anges i 2 kap. 1 §.

Särskilda upplysningar

3 § Om det ändamål som de gemensamt tillgängliga personuppgifterna behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet som avses i 2 kap. 1 § 1 eller 2, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 kap. 1 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

Någon upplysning enligt andra stycket behöver inte heller lämnas om

15

Prop. 2018/19:163 1. uppgifterna ingår i en uppgiftssamling som har skapats för att be- arbeta och analysera information och som enbart särskilt angivna tjänste- män har åtkomst till, och

2. bearbetningen av uppgifterna inte har genomförts.

Direktåtkomst

5 § Polismyndigheten får för något av de syften som anges i 2 kap. 1 § 1 eller 2 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller för att fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (1991:572) om särskild utlänningskontroll medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1–3 a och c. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

6 § Försvarsmakten får i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 eller 2. Detsamma gäller Försvarets radioanstalt i försvarsunderrättelseverksamheten. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

7 § En underrättelse- eller säkerhetstjänst i en medlemsstat i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 b om det behövs för samarbetet mot terrorism. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhets- tjänst ska Säkerhetspolisen informera regeringen.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomst enligt 5–7 §§ och om behörighet och säkerhet vid sådan åtkomst.

4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse

1 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Vid automatiserad behandling gäller också de begränsningar som följer

	av 2–10 §§.
	Personuppgifter som inte har gjorts gemensamt tillgängliga
	2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte
16	behandlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, Prop. 2018/19:163 eller

2.ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.

Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av denna paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott

3 § Om en brottsanmälan avskrivs på grund av att den påstådda gär- ningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolspröv- ning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifter i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

6 § Andra personuppgifter än de som anges i 3 eller 4 § och som har gjorts gemensamt tillgängliga får som längst behandlas under den tid som anges i 7–10 §§.

Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av 7– 10 §§.

7 § Personuppgifter får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unge. Om en ny

17

Prop. 2018/19:163 registrering avseende personen görs efter det att han eller hon fyllt 18 år, gäller i stället den tidsfrist som anges i första stycket för samtliga personuppgifter.

Första och andra styckena gäller inte sådana personuppgifter som avses i 8 och 9 §§.

8 § Personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket får inte behandlas längre än tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.

9 § Personuppgifter som hänför sig till sådan säkerhetshotande verk- samhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt, får inte behandlas längre än 40 år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet. För personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket gäller 8 §.

10 § Om det finns särskilda skäl får Säkerhetspolisen besluta att per- sonuppgifter får behandlas under längre tid än vad som anges i 7–9 §§, om uppgifterna fortfarande behövs för det ändamål som de behandlas för. Om personuppgifter behandlas med stöd av ett sådant beslut ska frågan om fortsatt behandling prövas på nytt senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i 8 §, senast vid utgången av det tredje kalenderåret efter beslutet. Tiden som personuppgifterna får behandlas får vid varje tillfälle förlängas med längst tio år eller, om det är fråga om uppgifter som avses i 8 §, med längst tre år.

Rätt att meddela föreskrifter

11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3 och 4 §§.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller någon av 7–10 §§, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

18

6 kap. Enskildas rättigheter

Prop. 2018/19:163

Rätten till information

Allmän information

1 § Säkerhetspolisen ska göra följande allmänna information tillgänglig för den registrerade:

1.myndighetens identitet och kontaktuppgifter,

2.dataskyddsombudets kontaktuppgifter,

3.kategorier av ändamål för behandlingen,

4.rätten enligt 2 § att begära att få information om behandling av per- sonuppgifter och att få del av uppgifterna, och

5.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§.

Personrelaterad information

2 § Säkerhetspolisen ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och få följande skriftliga information:

1.vilka personuppgifter om sökanden som behandlas,

2.varifrån personuppgifterna kommer,

3.den rättsliga grunden för behandlingen,

4.ändamålen med behandlingen,

5.mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,

6.hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och

7.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§.

Utlämnande av personuppgifter enligt första stycket behöver inte om- fatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personupp- gifterna i fråga behandlas.

Begränsning av rätten till information

3 § Informationsskyldigheten i 2 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

Om förutsättningarna i första stycket är uppfyllda, är Säkerhetspolisen inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 6 eller 7 §.

4 § Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna

21

Prop. 2018/19:163 1. har lämnats ut till tredje man, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision,

2.behandlas enbart för vetenskapliga, statistiska eller historiska ända- mål, eller

3.har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

5 § Om en begäran enligt 2 § är orimlig eller uppenbart ogrundad får Säkerhetspolisen avslå den.

Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall får ta ut avgift i stället för att avslå begäran.

Rätten till rättelse, radering och begränsning av behandlingen

6 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne, om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om Säkerhetspolisen inte kan fastställa att personuppgifterna är kor- rekta, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

7 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne, om de behandlas i strid med någon av 2 kap. 1–6, 8–10 eller 12 §§, 4 kap. 1 § första stycket eller någon av 2–4 eller 7–10 §§. Detsamma gäller om det krävs radering för att Säkerhetspolisen ska utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska Säkerhetspolisen på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

8 § Säkerhetspolisen avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information

9 § Information enligt 1 § ska lämnas utan avgift. Information och uppgifter enligt 2 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 2 § oftare än en gång per år, får Säkerhetspolisen ta ut en rimlig avgift eller avslå begäran enligt 5 § första stycket.

7 kap. Tillsyn

	Tillsynsmyndighetens uppgifter
	1 § Tillsynsmyndigheten ska
	1. utöva allmän tillsyn över personuppgiftsbehandling, och
	2. vid förhandssamråd enligt 5 kap. 6 § och när det i övrigt är påkallat
	ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras
22	skyldigheter enligt lag eller annan författning.

Prop. 2018/19:163 8 kap. Skadestånd och överklagande

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Överklagande

Överklagande av den personuppgiftsansvariges beslut

2 § Beslut i fråga om rättelse eller komplettering enligt 6 kap. 6 § första stycket, radering enligt 6 kap. 7 § första stycket, eller begränsning av be- handlingen enligt 6 kap. 6 § andra stycket eller 6 kap. 7 § andra stycket, som har meddelats av den personuppgiftsansvarige, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 6 kap. 2 § eller att ta ut avgift enligt 6 kap. 9 § andra stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndig- heten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.

9 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Förutsättningar för överföring

1 § Säkerhetspolisen får överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1.riktas till en brottsbekämpande myndighet eller en underrättelse- eller säkerhetstjänst i ett tredjeland eller en internationell organisation med brottsbekämpande uppdrag och

2.omfattas av

a)ett beslut om adekvat skyddsnivå enligt 2 §,

b)tillräckliga skyddsåtgärder enligt 3 §, eller

c)ett undantag för särskilda situationer enligt 4 §.

24

Prop. 2018/19:163 2. Bestämmelsen i 5 kap. 4 § om loggning tillämpas från och med den

1oktober 2024 i fråga om automatiserade behandlingssystem som inrättats före ikraftträdandet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

26

2.2 Förslag till lag om ändring i lagen (2007:980) Prop. 2018/19:163 om tillsyn över viss brottsbekämpande

verksamhet

Härigenom föreskrivs att 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsme- del och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn				Nämnden ska även utöva tillsyn
över den behandling av person-				över den behandling av person-
uppgifter som utförs av Polis-				uppgifter som utförs av Polis-
myndigheten, Säkerhetspolisen och				myndigheten,			Säkerhetspolisen
Ekobrottsmyndigheten		enligt		och Ekobrottsmyndigheten enligt
brottsdatalagen	(2018:1177)		och	brottsdatalagen			(2018:1177)		och
lagen (2018:1693) om polisens be-				lagen	(2018:1693) om polisens
handling av personuppgifter inom				behandling		av	personuppgifter
brottsdatalagens	område	för	de	inom brottsdatalagens område för
syften som anges i 1 kap. 1 § i den				de syften som anges i 1 kap. 1 § i
sistnämnda lagen. Tillsynen			ska	den sistnämnda lagen, och lagen
särskilt avse sådan behandling som				(2019:000) om Säkerhetspolisens
avses i 2 kap. 11 § brottsdatalagen.				behandling		av	personuppgifter.
				Tillsynen		ska	särskilt		avse
				behandling		enligt		2 kap.	11 §
				brottsdatalagen			och	2 kap.	9 §
				lagen	om		Säkerhetspolisens
				behandling av personuppgifter.

Nämnden ska också utöva tillsyn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första, andra och tredje styckena bedrivs i enlighet med lag eller annan författning.

1.Denna lag träder i kraft den 1 januari 2020.

2.Äldre föreskrifter gäller fortfarande för nämndens tillsyn över personuppgiftsbehandling som utförts före ikraftträdandet.

1 Senaste lydelse 2019:548.

27

Prop. 2018/19:163 2.3	Förslag till lag om ändring i offentlighets- och
	sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att punkt 2 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:1708) om ändring i den lagen ska upphöra att gälla,

dels att 18 kap. 2 § och 35 kap. 1 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

18 kap.

2 §1

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § 1 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i

1.2 kap. 1 § 1 lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,

2. 2 kap. 1 § 1 lagen (2018:1695)	2. 2 kap. 1 § 1 lagen (2018:1695)
om Kustbevakningens behandling	om Kustbevakningens behandling
av personuppgifter inom brotts-	av personuppgifter inom brotts-
datalagens område, eller	datalagens område,
3. 2 kap. 1 § 1 lagen (2018:1696)	3. 2 kap. 1 § 1 lagen (2018:1696)
om Skatteverkets behandling av	om Skatteverkets behandling av
personuppgifter inom brottsdata-	personuppgifter inom brottsdata-
lagens område.	lagens område, eller
	4. 2 kap. 1 § 1 lagen (2019:000)
	om Säkerhetspolisens behandling
	av personuppgifter.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

35 kap.

1 §2

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

28	1	Senaste lydelse 2018:1708.
	2	Senaste lydelse 2019:434.

Prop. 2018/19:163 – lagen (1998:621) om misstankeregister,

–lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1695) om Kustbevakningens behandling av person- uppgifter inom brottsdatalagens område,

–lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1697) om – lagen (2018:1697) om åklagarväsendets behandling av åklagarväsendets behandling av personuppgifter inom brottsdata- personuppgifter inom brottsdata-

lagens område, eller	lagens område,
	–	lagen	(2019:000)	om
	Säkerhetspolisens behandling			av
	personuppgifter, eller

–förordningar som har stöd i dessa lagar. Denna lag träder i kraft den 1 januari 2020.

30

2.4	Förslag till lag om ändring i lagen (2017:496)		Prop. 2018/19:163
	om internationellt polisiärt samarbete
Härigenom föreskrivs att 6 kap. 1 § lagen (2017:496) om internationellt
polisiärt samarbete ska ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

6kap. 1 §1

Om inte annat följer av denna lag

Om inte annat följer av denna lag

eller

föreskrifter som

regeringen

eller

föreskrifter

som

regeringen

har meddelat i anslutning till lagen

har meddelat i anslutning till lagen

gäller brottsdatalagen (2018:1177)

gäller brottsdatalagen (2018:1177)

och

följande

författningar

för

och

följande

författningar

för

respektive myndighet för be-

respektive myndighet för be-

handling av personuppgifter

vid

handling av personuppgifter

vid

internationellt polisiärt samarbete:

internationellt polisiärt samarbete:

– lagen (2018:1693) om polisens

– lagen (2018:1693) om polisens

behandling

av

personuppgifter

behandling

av

personuppgifter

inom brottsdatalagens område,

inom brottsdatalagens område,

– lagen

(2018:1694)

om Tull-

– lagen

(2018:1694)

om Tull-

verkets behandling av person-

verkets behandling av person-

uppgifter

inom

brottsdatalagens

uppgifter

inom

brottsdatalagens

område, eller

område,

– lagen

(2018:1695)

om

– lagen

(2018:1695)

om

Kustbevakningens behandling

av

Kustbevakningens

behandling

av

personuppgifter

inom

brottsdata-

personuppgifter

inom

brottsdata-

lagens område.

lagens område, eller

– lagen

(2019:000)

om

Säkerhetspolisens

behandling

av

personuppgifter.

Denna lag träder i kraft den 1 januari 2020.

1 Senaste lydelse 2018:1714.

31

Prop. 2018/19:163 2.5	Förslag till lag om ändring i lagen (2018:218)
	med kompletterande bestämmelser till EU:s
	dataskyddsförordning

Härigenom föreskrivs att 1 kap. 3 § lagen (2018:218) med komplet- terande bestämmelser till EU:s dataskyddsförordning ska ha följande

lydelse.
Nuvarande lydelse	Föreslagen lydelse
	1 kap.
	3 §

Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1.lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,

2.lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller

3. 6 kap.	polisdatalagen	3. lagen	(2019:000)	om
(2010:361).		Säkerhetspolisens behandling		av
		personuppgifter.

Denna lag träder i kraft den 1 januari 2020.

32

Prop. 2018/19:163 behandlas	hos	Säkerhetspolisen	behandlas		hos	Säkerhetspolisen
med stöd av lagen om polisens			med stöd av lagen om polisens
behandling	av	personuppgifter	behandling		av	personuppgifter
inom brottsdatalagens område			inom brottsdatalagens område eller
hämtas.			lagen	om		Säkerhetspolisens
			behandling		av	personuppgifter

hämtas.

Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.

Denna lag träder i kraft den 1 januari 2020.

34

Prop. 2018/19:163 3

Ärendet och dess beredning

Europeiska unionens genomgripande dataskyddsreform omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upphä- vande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i det följande dataskyddsdirektivet.

Regeringen beslutade den 17 mars 2016 kommittédirektiv om genom- förande av dataskyddsdirektivet (dir. 2016:21). I utredningens uppdrag ingick, förutom att föreslå hur direktivet ska genomföras i svensk rätt, att bedöma om det fanns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag. Utredningen om 2016 års dataskyddsdirektiv redovisade den 5 april 2017 delbetän- kandet Brottsdatalag (SOU 2017:29), i vilket utredningen föreslog att direktivet i huvudsak skulle genomföras genom en ny ramlag, brottsdata- lagen. Regeringen beslutade den 19 april 2018 propositionen Brottsdatalag (prop. 2017/18:232). Lagändringarna trädde i kraft den 1 augusti 2018.

Utredningen redovisade den 4 oktober 2017 slutbetänkandet Brottsdatalag – kompletterande lagstiftning (SOU 2017:74). Den 14 juni 2018 beslutades propositionen Brottsdatalag – kompletterande lagstiftning (prop. 2017/18:269), som behandlar slutbetänkandets förslag till anpassningar och ändringar i de brottsbekämpande myndigheternas registerförfattningar. Lagändringarna trädde i kraft den 1 januari 2019. I denna proposition behandlas slutbetänkandets lagförslag om Säkerhetspolisens behandling av personuppgifter.

En sammanfattning av betänkandet i den del som gäller Säkerhets- polisens behandling av personuppgifter finns i bilaga 1. Utredningens förslag till en ny lag för Säkerhetspolisens personuppgiftsbehandling finns

ibilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/07698/L4).

Lagrådet

Regeringen beslutade den 29 maj 2019 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslagen utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.

36

Prop. 2018/19:163 säkerhetsärenden ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar att vissa beslut ska meddelas, exempelvis att en utlänning ska avvisas eller utvisas eller att en utlännings ansökan om uppehållstillstånd ska avslås. Säkerhetspolisen har rätt att överklaga Migrationsverkets beslut i sådana ärenden. Säkerhetspolisen är också verkställande myndighet i säkerhets- ärenden, vilket ger myndigheten rätt att fatta beslut i frågor om förvar och uppsikt. Säkerhetspolisen har även uppgifter enligt lagen (1991:572) om särskild utlänningskontroll. Med stöd av den lagen kan myndigheten ansöka om att en utlänning ska utvisas ur landet. Säkerhetspolisen ansvarar för att beslut om utvisning enligt lagen verkställs. Enligt lagen (2001:82) om svenskt medborgarskap kan Säkerhetspolisen förorda att en ansökan om svenskt medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Myndigheten har även rätt att överklaga sådana beslut.

Säkerhetspolisen arbetar även med frågor som rör ickespridning. Den verksamheten syftar till att förhindra spridning och anskaffning av pro- dukter som kan användas för att producera massförstörelsevapen. Arbetet går främst ut på att förhindra att kunskaper, produkter, ämnen eller mikroorganismer förs från eller via Sverige till aktörer som har ambitioner att anskaffa eller vidareutveckla massförstörelsevapen.

Säkerhetspolisen samverkar med Polismyndigheten inom vissa områ- den, exempelvis verkställighet av hemlig rumsavlyssning och hemliga tvångsmedel på teleområdet.

4.2Säkerhetspolisens organisation

Säkerhetspolisen blev den 1 januari 2015 en fristående myndighet. Myn- digheten leds av en säkerhetspolischef, som är generaldirektör, och en biträdande säkerhetspolischef. De biträds av generaldirektörens stab.

Sedan den 1 oktober 2016 är Säkerhetspolisens kärnverksamhet upp- delad i två avdelningar; säkerhetsunderrättelseavdelningen och säkerhets- avdelningen. Den förstnämnda ansvarar för myndighetens säkerhets- underrättelseverksamhet, dvs. arbetet med att bedöma och reducera hot- aktörers avsikt och förmåga att bedriva säkerhetshotande verksamhet. Avdelningen ansvarar även för brottsutredningar och ärenden enligt ut- lännings- och medborgarskapslagstiftningen. Där bedrivs också underrät- telsearbete med främsta syfte att förse myndigheten med beslutsunderlag för säkerhetsåtgärder. Säkerhetsavdelningen ansvarar för verksamhet inom områdena säkerhetsskydd och personskydd och för det interna säkerhetsarbetet och den interna riskhanteringen.

Det finns också en inhämtningsavdelning, en informations- och utveck- lingsavdelning och en avdelning för verksamhetsstöd. Inhämtningsavdel- ningen utför på uppdrag av säkerhets- eller säkerhetsunderrättelseav- delningen inhämtnings- eller åtgärdsuppdrag. Avdelningen ansvarar för operativ stödverksamhet avseende bl.a. hemliga tvångsmedel. Vid avdel- ningen finns också myndighetens funktion för finansiella underrättelser och Säkerhetspolisens ledningscentral. Informations- och ut- vecklingsavdelningen ansvarar för myndighetens samlade informations- försörjning genom att registrera och grundbearbeta den information som

38

kommer in till myndigheten och göra den tillgänglig för övriga delar av Prop. 2018/19:163 myndigheten. Avdelningen samordnar utvecklingsarbetet avseende bl.a. systemförvaltning. Avdelningen för verksamhetsstöd ansvarar för Säker-

hetspolisens administrativa verksamhet som rör bl.a. personal och eko- nomi.

5Dagens reglering av behandling av personuppgifter

5.1Grundläggande reglering om skydd av den personliga integriteten

Regeringsformen och Europakonventionen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i detta skydd får enligt 2 kap. 20 och 21 §§ regeringsformen enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.

Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgif- ternas karaktär vid bedömningen av hur ingripande intrånget i den per- sonliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga för- hållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lag- stiftningsärenden som rört myndigheters personuppgiftsbehandling fram- hållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

Den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna

39

Prop. 2018/19:163 säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00, dom den 6 juni 2006).

Även Europeiska unionens (EU) stadga om de grundläggande rättig- heterna (rättighetsstadgan) innehåller bestämmelser om behandling av personuppgifter.

Dataskyddskonventionen

Europarådets ministerkommitté antog 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. data- skyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. I syfte att modernisera konventionen har en översyn av den pågått inom Europarådet. Förhandlingarna resulterade i maj 2018 i att ett ändringsprotokoll antogs och Sverige tillhörde de första konventionsstaterna att underteckna protokollet. Processen för att ändringsprotokollet ska träda i kraft har därmed inletts. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.

I konventionen anges krav på de personuppgifter som är föremål för automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.

Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.

Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till konventionen.

5.2Regleringen av Säkerhetspolisens personuppgiftsbehandling

Polisdatalagen

Säkerhetspolisens personuppgiftsbehandling regleras i 6 kap. polisdatalagen (2010:361). Lagen upphörde att gälla den 1 januari 2019, men gäller för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet genom en övergångsreglering (avsnitt 6.3). I

40

som kan antas ha samband med misstänkt brottslig verksamhet ska förses Prop. 2018/19:163 med upplysning om uppgiftslämnarens trovärdighet och uppgifternas

riktighet i sak. Sådana upplysningar behöver dock inte lämnas om det på grund av särskilda omständigheter är onödigt eller om uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och bearbetningen och analysen befinner sig i ett inledande skede.

Vid sökning i gemensamt tillgängliga uppgifter får Säkerhetspolisen enligt 6 kap. 11 § polisdatalagen använda känsliga personuppgifter som sökbegrepp endast om det är absolut nödvändigt.

Bevarande och gallring

I 6 kap. 6 § polisdatalagen föreskrivs att Säkerhetspolisen inte får bevara personuppgifter under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. I 6 kap. 7 och 12–14 §§ regleras hur länge uppgifter längst får bevaras.

Personuppgifter som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter att ärendet avslutats. Om uppgifterna inte kan hänföras till ett ärende ska de gallras senast ett år efter att de behandlades automatiserat första gången.

Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Särskilda regler gäller för personuppgifter som behandlas i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har tillgång till. Sådana personuppgifter ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får bevaras längre tid om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas.

Annan tillämplig lagstiftning

Säkerhetspolisen tillämpar också lagen (2017:496) om internationellt polisiärt samarbete och föreskrifter som har meddelats i anslutning till den lagen. Lagen tillämpas på polisiärt samarbete mellan Sverige och andra stater i den utsträckning som Sverige i en internationell överenskommelse har gjort sådana åtaganden som avses i lagen. För Säkerhetspolisen behandling av personuppgifter vid internationellt polisiärt samarbete gäller polisdatalagen, om inte annat följer av lagen om internationellt polisiärt samarbete eller förskrifter som regeringen har meddelat i anslutning till den lagen.

I 7–9 kap. lagen om internationellt polisiärt samarbete regleras infor- mationsutbyte enligt vissa EU-rättsakter; Prümrådsbeslutet, CBE-direk- tivet och VIS-rådsbeslutet. I 10 kap. regleras uppgiftsutbyte enligt avtalet med USA.

43

Prop. 2018/19:163 6

Europeiska unionens dataskyddsreform

6.1Två nya rättsliga instrument

Den allmänna regleringen av behandling av personuppgifter inom EU har sedan länge funnits i 1995 års dataskyddsdirektiv, vilket genomfördes genom personuppgiftslagen (1998:204). Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument. Det ena är dataskyddsförordningen och det andra är dataskyddsdirektivet. Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpnings- områden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

6.2Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen utgör sedan den 25 maj 2018 den generella reg- leringen av personuppgiftsbehandling inom EU. Förordningen ersätter 1995 års dataskyddsdirektiv och baseras till stor del på den struktur och reglering som finns i det direktivet. I förordningen regleras bl.a. grund- läggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel. Genom dataskydds- förordningen införs ett nytt system med administrativa sanktionsavgifter som ska tas ut vid överträdelser av förordningen.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. per- sonuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspo- litiken. Vidare gäller förordningen inte för sådan behandling av person- uppgifter som utförs av behöriga myndigheter för ändamålen att före- bygga, utreda, upptäcka eller lagföra brott eller verkställa straff. Sådan personuppgiftsbehandling omfattas i stället av dataskyddsdirektivets till- lämpningsområde.

När dataskyddsförordningen började tillämpas upphörde personupp- giftslagen (1998:204) att gälla. Samtidigt trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (i det föl- jande dataskyddslagen) i kraft. Enligt 1 kap. 2 § ska bestämmelserna i dataskyddsförordningen och dataskyddslagen gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säker- het. Det gäller dock enligt 1 kap. 3 § 3 inte Säkerhetspolisens brottsbe- kämpande verksamhet. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i registerförfattningar. Dataskyddslagen gäller på samma sätt som data- skyddsförordningen inte när dataskyddsdirektivet är tillämpligt.

44

6.3

Genomförandet av dataskyddsdirektivet

Prop. 2018/19:163

Brottsdatalagen

Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Direktivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018.

Brottsdatalagen drar upp gränsen mellan å ena sidan den särskilda reg- leringen av behandling av personuppgifter vid brottsbekämpning, lag- föring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Lagen ska tillämpas av dem som är behöriga myndigheter enligt lagen, om syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är alltså syftet med behandlingen av personuppgifter i det enskilda fallet som blir avgörande för när lagen ska tillämpas, inte i vilken verksamhet behandlingen utförs.

Lagen gäller enbart för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

I brottsdatalagen regleras frågor som är gemensamma för alla behöriga myndigheter. Där finns de grundläggande bestämmelserna om hur per- sonuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbe- handling. Brottsdatalagen innehåller vidare bestämmelser om administra- tiva sanktionsavgifter, skadestånd och rättsmedel. Brottsdatalagen fyller inom sitt tillämpningsområde i stort sett samma funktion som personupp- giftslagen tidigare gjort. Det finns, precis som tidigare, särskilda registerförfattningar för flertalet av de myndigheter som tillämpar brottsdatalagen. Där finns de bestämmelser som är specifika för respektive myndighet.

Ändringar i myndigheternas registerförfattningar

Tillämpningsområdet för registerförfattningarna

Registerförfattningarna för myndigheterna i rättskedjan utgick tidigare från personuppgiftslagen, antingen genom att registerförfattningen gällde i stället för personuppgiftslagen, men hänvisade till bestämmelser i den eller genom att registerförfattningen gällde utöver personuppgiftslagen. Regeringen föreslog i propositionen Brottsdatalag – kompletterande lag- stiftning (prop. 2017/18:269) de ändringar i registerförfattningarna som föranleds av införandet av brottsdatalagen. Lagändringarna trädde i kraft

45

Prop. 2018/19:163 den 1 januari 2019. Registerförfattningarna bytte då också namn. Registerförfattningarna gäller utöver brottsdatalagen och innehåller bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i den lagen.

Som nyss nämnts är det syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Detsamma gäller registerförfattningarnas tillämpningsområde. Tidigare reglerade registerförfattningarna personuppgiftsbehandling såväl i myndigheternas kärnverksamhet som för att lämna uppgifter till andra – oavsett för vilket ändamål det gjordes. I dag reglerar registerförfattningarna enbart den personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde. Det är en direkt effekt av att olika regelverk gäller för personuppgiftsbehandling inom brottsdatalagens respektive dataskyddsförordningens tillämpningsområden.

Övergångsreglering styr Säkerhetspolisens personuppgiftsbehandling

Den 1 januari 2019 upphävdes polisdatalagen samtidigt som lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, hädanefter polisens brottsdatalag, trädde i kraft. I förarbetena till polisens brottsdatalag ansåg regeringen att Säkerhetspolisens behandling av personuppgifter på området för nationell säkerhet inte skulle regleras i den lagen utan regleras på annat sätt (prop. 2017/18:269 s. 285). I avvaktan på ett sådant regelverk, gäller polisdatalagen i dess äldre lydelse för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. I de delar polisdatalagen hänvisar till personuppgiftslagen fortsätter även den lagen att gälla för Säkerhetspolisen. Även vissa äldre bestämmelser i offentlighets- och sekretesslagen (2009:400), säkerhetsskyddslagen (2018:585) och lagen (2017:496) om internationellt polisiärt samarbete fortsätter övergångsvis att gälla för Säkerhetspolisen (prop. 2017/18:269 s. 285).

7 En ny lag och dess tillämpningsområde

7.1En särskild lag för Säkerhetspolisens personuppgiftsbehandling

Regeringens förslag: Det ska införas en ny lag om Säkerhetspolisens behandling av personuppgifter. När personuppgifter behandlas enligt den nya lagen ska lagen med kompletterande bestämmelser till EU:s dataskyddsförordning inte gälla.

Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Utredningen föreslår att den nya lagen ska benämnas Säkerhets- polisens datalag och att den nya lagen ska innehålla en bestämmelse om förhållandet till dataskyddförordningen och dataskyddslagen.

46

Prop. 2018/19:163 på och förstadier av brottslig verksamhet. När Säkerhetspolisen identifie- rar brottslig verksamhet i ett så tidigt skede kan brottsligheten normalt förhindras. Då kan konkreta brottsliga gärningar vara svåra att urskilja. Säkerhetspolisens polisiära verksamhet fokuserar alltså på att förebygga och förhindra brott. Det innebär att det finns avgörande skillnader i Säkerhetspolisens verksamhet och arbetsmetoder jämfört med Polismyn- dighetens.

I motsats till vad som gäller för Polismyndigheten är Säkerhetspolisens brottsutredande verksamhet mycket liten och initieras endast undantagsvis genom anmälningar om brott. Vid misstanke om brott inleds för- undersökning, som bedrivs enligt samma regler som gäller för Polismyn- digheten. Vid misstanke om vissa brott ska utredningen alltid skötas av Säkerhetspolisen. Det gäller bl.a. spioneri, grovt spioneri, obehörig be- fattning med hemlig uppgift, grov obehörig befattning med hemlig upp- gift, olovlig underrättelseverksamhet och vissa tryckfrihets- och yttrande- frihetsbrott. Förundersökningen leds alltid av åklagare. Säkerhetspolisen får även utreda vissa andra brott, men kan avstå från det och överlämna frågan till Polismyndigheten. Under en förundersökning har Säkerhets- polisen samma befogenheter som Polismyndigheten och kan genomföra exempelvis husrannsakan och förhör i syfte att få fram ett tillräckligt beslutsunderlag för åklagaren.

Brottsdatalagen gäller inte Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet

Brottsdatalagen ska enligt 1 kap. 2 § gälla vid behandling av personupp- gifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Enligt 1 kap. 4 § gäller lagen dock inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbets- uppgift som rör nationell säkerhet från Säkerhetspolisen.

Till Säkerhetspolisens huvuduppgifter hör som nyss nämnts att före- bygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet och terrorbrott och att utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för personskyddet av den centrala statsledningen. De uppgifterna avser nationell säkerhet. Säkerhetspolisen har även andra uppgifter som avser nationell säkerhet eller som har mycket nära samband med sådan verksamhet. Den absoluta merparten av Säkerhetspolisens behandling av personuppgifter ligger härigenom utanför brottsdatalagens tillämpningsområde (jfr Brottsdatalag, prop. 2017/18:232 s. 103).

En ny lag bör införas

Det nationella regelverket för personuppgiftsbehandling har förändrats. Brottsdatalagen har införts och myndigheternas registerförfattningar har anpassats till denna. Vidare har polisdatalagen upphävts. Säkerhetspolisen tillämpar därför i dag en övergångsreglering för behandling av personuppgifter som rör nationell säkerhet (avsnitt 6.3). Varken brottsdatalagen eller polisens brottsdatalag gäller för Säkerhetspolisens

48

Prop. 2018/19:163 Att reglerna så långt möjligt stämmer överens underlättar tillämpningen både för Säkerhetspolisen och för tillsynsmyndigheten.

Den EU-rättsliga regleringen, som brottsdatalagen och polisdatalagen härrör från, bygger också på och vidareutvecklar dataskyddskonventionen. Konventionen gäller även i verksamhet som rör nationell säkerhet och Sverige är folkrättsligt bundet av konventionen med dess tilläggsprotokoll. En särreglering av Säkerhetspolisens personuppgiftsbehandling får således inte strida mot bestämmelserna i dataskyddskonventionen. Genom att den nya lagen utgår från polisdatalagen och brottsdatalagen bedöms regleringen vara förenlig med dataskyddskonventionen och dess tilläggsprotokoll.

Förhållandet till dataskyddsförordningen

Dataskyddsförordningen ska enligt artikel 2.2 a inte tillämpas på behand- ling av personuppgifter som utgör ett led i en verksamhet som inte om- fattas av unionsrätten. I skäl 16 anges verksamhet rörande nationell säkerhet som exempel på sådan verksamhet. Enligt 1 kap. 2 § data- skyddslagen utsträcks emellertid tillämpningen av dataskyddsförordning- en och dataskyddslagen till att gälla även i verksamhet som inte omfattas av unionsrätten. I förarbetena till bestämmelsen anges det dock att det med hänsyn till rikets säkerhet inte är lämpligt att låta dataskyddsförordningen bli tillämplig även inom de mest känsliga verksamhetsområdena innan den pågående översynen av författningarna på försvarsområdet och

beredningen av förslagen rörande Säkerhetspolisens personuppgiftsbehandling har avslutats (Ny dataskyddslag, prop. 2017/18:105, s. 31 f.). Mot den bakgrunden undantas enligt 1 kap. 3 § dataskyddslagen bl.a. verksamhet som omfattas av 6 kap. polisdatalagen från det utsträckta tillämpningsområdet.

Säkerhetspolisens verksamhet är sådan att myndighetens personupp- giftsbehandling bör regleras särskilt i en ny lag. Undantaget i dataskydds- lagen bör därför hänvisa till verksamhet som omfattas av den nya lagen. Med hänsyn till att förhållandet mellan den nya lagen och dataskyddsför- ordningen och dataskyddslagen tydliggörs i dataskyddslagen finns det inte behov av att, som utredningen föreslår, i den nya lagen ange hur den förhåller sig till dataskyddsförordningen och dataskyddslagen.

7.2Lagens syfte

Regeringens förslag: Syftet med lagen ska vara att skydda fysiska personers grundläggande rättigheter och friheter i samband med be- handling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att ett syfte med lagen ska vara ”att skydda fysiska personer grundläggande fri- och rättigheter i samband med behandling av personuppgifter”.

50

Remissinstanserna: Endast Datainspektionen yttrar sig i denna del och Prop. 2018/19:163 anser att det bör tydliggöras att ett syfte särskilt ska vara att skydda fysiska

personers personliga integritet vid behandling av personuppgifter. Skälen för regeringens förslag: I registerförfattningar förekommer

ibland bestämmelser som anger lagens övergripande syfte. Enligt 1 kap.

1 § brottsdatalagen är syftet med lagen att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Bestämmelser om syftet med en reglering saknar normalt egentligt materiellt innehåll. Det har dock inte enbart en symbolisk eller informativ betydelse att uttryckligen slå fast en lags syfte. Att en lags syfte ut- tryckligen anges kan få relevans i rättstillämpningen genom att det ger vägledning för tolkningen av de materiella bestämmelserna i lagen (prop. 2017/18:232 s. 73 f.). Regeringen delar därför utredningens bedömning att det finns skäl att i den nya lagen ta in en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften.

Att fysiska personers grundläggande rättigheter och friheter ska skyddas vid behandling av personuppgifter är en central målsättning för regle- ringen. Samtidigt är vissa intrång i den personliga integriteten nödvändiga för att Säkerhetspolisen ska kunna utföra sitt uppdrag och sina uppgifter. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att Säkerhetspolisen kan behandla personuppgifter i den verksamhet som omfattas av lagens tillämpningsområde. Regeringen anser därför, till skillnad från Datainspektionen, att den dubbla målsätt- ningen och balansen mellan de olika intressena bäst tillgodoses och ut- trycks genom en bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande rättigheter och friheter vid be- handling av personuppgifter och att samtidigt säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter.

7.3Avgränsning av tillämpningsområdet

Regeringens förslag: Lagen ska gälla vid behandling av personupp- gifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

Lagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten efterfrågar en definition av ut-

trycket nationell säkerhet. Datainspektionen anser att begreppet nationell säkerhet bör ersättas med ett tydligare begrepp av vilket framgår att det rör Sveriges säkerhet såväl direkt som indirekt. Dataskydd.net anser att begreppet nationell säkerhet bör snävas in.

51

Prop. 2018/19:163 gälla personuppgiftsbehandling som rör nationell säkerhet i Säker- hetspolisens brottsbekämpande och lagförande verksamhet.

Intern och administrativ verksamhet bör inte omfattas

Säkerhetspolisen har tidigare tillämpat personuppgiftslagen i sin interna och administrativa verksamhet. Som exempel på interna åtgärder är framtagande av interna föreskrifter, handböcker och policydokument Exempel på administrativ verksamhet kan nämnas personalfrågor och ekonomihantering. I dag ska Säkerhetspolisen tillämpa dataskydds- förordningen och dataskyddslagen vid personuppgiftsbehandling i den interna och administrativa verksamheten. Detta eftersom endast personuppgiftsbehandling i verksamhet som omfattas av 6 kap. polisdatalagen undantas från dataskyddsförordningen och dataskyddslagen utvidgade tillämpningsområde (1 kap. 3 § dataskyddslagen). Frågan är om det finns skäl att låta den nya lagen omfatta personuppgiftsbehandling i intern och administrativ verksamhet om behandlingen rör nationell säkerhet? Viss behandling av personuppgifter som utförs i Säkerhetspolisens interna eller administrativa verksamhet kan nämligen vara av sådan karaktär att den gäller nationell säkerhet. Eftersom det inte ska vara möjligt för en annan stat att med hjälp av offentliga uppgifter kunna kartlägga Säkerhetspolisens organisation gäller dock sekretess i större utsträckning än normalt för uppgifter som rör Säkerhetspolisens personal (se t.ex. 15 kap. 2 § och 18 kap. 2 och 5 §§ offentlighets- och sekretesslagen).

Merparten av den personuppgiftsbehandling som sker i intern och administrativ verksamhet hos Säkerhetspolisens får dock antas inte vara av sådan karaktär att den rör nationell säkerhet. Med beaktande av detta och med hänsyn till den sekretessreglering som finns, föreligger inte skäl att låta den nya lagen omfatta personuppgiftsbehandling i intern och administrativ verksamhet ens om behandlingen rör nationell säkerhet.

Helt eller delvis automatiserad behandling

Den nya lagen bör på samma sätt som i dag gälla för behandling av per- sonuppgifter som är helt eller delvis automatiserad och för annan be- handling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

7.4Polismyndigheten ska tillämpa lagen i vissa fall

Regeringens förslag: Polismyndigheten ska tillämpa den nya lagen när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Endast Polismyndigheten yttrar sig i denna del och

ser behov av att tydliggöra när myndigheten ska tillämpa den nya lagen.

54

Skälen för regeringens förslag: Enligt 28 § förordningen (2014:1102) Prop. 2018/19:163 med instruktion för Polismyndigheten ska myndigheten bistå vid polis-

verksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Polismyndigheten ska vidare, i den utsträckning som myndigheterna kommer överens om, lämna tekniskt biträde och annan hjälp till Säkerhetspolisen. Enligt 15 § instruktionen (2014:1103) för Säkerhetspolisen får biträdande säkerhetspolischefen i samråd med chefen för Nationella operativa av- delningen, trots den ansvarsfördelning som annars gäller mellan myndig- heterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska lämnas över till Polis- myndigheten för fortsatt handläggning.

Eftersom det är fråga om en arbetsuppgift som rör nationell säkerhet när Säkerhetspolisen begär biträde av Polismyndigheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § instruktionen för Säkerhetspolisen, har regeringen ansett att Polismyndigheten inte ska tillämpa brottsdatalagen i vidare utsträckning än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där (prop. 2017/18:232 s. 105 f.). I dessa fall bör Polismyndigheten i stället tillämpa den särreglering som gäller för Säkerhetspolisen. Det bör därför framgå av den nya lagen att den gäller för Polismyndigheten när myndigheten har övertagit en uppgift som rör nationell säkerhet från Säkerhetspolisen. Polismyndigheten har efter- frågat ett klargörande av när myndigheten ska tillämpa lagen. Med hänsyn till att det enbart kan bli fråga om att tillämpa lagen i situationer där Säkerhetspolisen begär bistånd av Polismyndigheten eller annars kommer överens med Polismyndigheten om att den myndigheten ska överta en uppgift från Säkerhetspolisen bör det inte råda någon tvekan om när Polismyndigheten ska tillämpa lagen. Något tydliggörande behöver därför inte göras.

7.5Säkerhetspolisen ska även tillämpa brottsdatalagen

Regeringens bedömning: Det behöver inte framgå av den nya lagen att Säkerhetspolisen i vissa fall ska tillämpa brottsdatalagen med kom- pletterande lagstiftning.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen föreslår att den nya lagen ska innehålla en upplysning om att det i brottsdatalagen och polisens brottsdatalag finns bestämmelser om Säkerhetspolisens personuppgiftsbehandling i frågor som inte rör nationell säkerhet.

Remissinstanserna: Endast Säkerhetspolisen yttrar sig i denna del och anser att det finns skäl att överväga om inte hela deras brottsbekämpande verksamhet borde undantas från brottsdatalagen.

55

7.6

Förhållandet till annan lagstiftning

Prop. 2018/19:163

Regeringens förslag: Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den nya lagen, ska den bestäm- melsen tillämpas.

Utredningens förslag överensstämmer inte med regeringens. Utred- ningen lämnar inget förslag till generell subsidiaritetsbestämmelse men föreslår en bestämmelse om att den nya lagen inte ska tillämpas om det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen och en bestämmelse om hur lagen förhåller sig till lagen om internationellt polisiärt samarbete.

Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt i denna del.

Skälen för regeringens förslag: I det straffprocessuella regelverket finns det åtskilliga bestämmelser om enskildas rätt till insyn i brottsutredningar och straffrättsliga förfaranden. Av särskild betydelse är 23 kap. rättegångsbalken som reglerar den misstänktes insyn under en förundersökning, 20 kap. rättegångsbalken som rör målsäganden och förundersökningskungörelsen (1947:948) som framför allt reglerar underrättelseskyldigheter till misstänkt, målsägande och andra som berörs av en förundersökning. Brottsförebyggande arbete, underrättelse- verksamhet, förundersökningar och brottmålsprocesser kan i dag genomföras på ett ändamålsenligt sätt, eftersom dessa regler tillsammans med bestämmelser om sekretess och tystnadsplikt – när det finns skäl för det – begränsar enskildas rätt till information. Dessa regler kan dock komma i konflikt med reglerna om enskildas rätt till information (avsnitt 14.2). För att det ska vara tydligt att de straffprocessuella reglerna har företräde i en sådan situation bör det tas in en bestämmelse i den nya lagen om att den är subsidiär i förhållande till bestämmelser i en annan lag eller en förordning (jfr prop. 2017/18:232 s. 220). Bestämmelsen bör vara generell och inte begränsad enbart till förhållandet till straffprocessuella regler. Mot den bakgrunden saknas det behov av en särskild bestämmelse om hur den nya lagen förhåller sig till lagen och förordningen om internationellt polisiärt samarbete. Eftersom bestämmelser i grundlag alltid har företräde framför bestämmelser på lägre normgivningsnivå behövs det inte heller någon bestämmelse om förhållandet till 2 kap. tryckfrihetsförordningen. Hur lagen förhåller sig till annan dataskyddsreglering utvecklas i avsnitt 7.1.

7.7Uttryck i lagen

Regeringens förslag: Vissa av de uttryck som används i den nya lagen ska definieras.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt i

denna del.

57

uppgifter kan användas för att skapa en referensmall eller för att jämföra Prop. 2018/19:163 med tidigare lagrade referensmallar i syfte att kontrollera en persons

identitet.

Biometriska uppgifter definieras i brottsdatalagen som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga känne- tecken, som tagits fram genom särskild teknisk behandling och som möj- liggör eller bekräftar unik identifiering av personen i fråga. Definitionen bör användas även i den nya lagen.

Fotografier och filmer som inte bearbetas tekniskt i syfte att åstad- komma unik identifiering faller utanför definitionen. Bearbetning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande omfattas alltså inte. Om bilder däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram i syfte att identifiera personer omfattas de av definitionen. Det kan även anmärkas att sådana personuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter däremot inte i sig utgör biometriska uppgifter.

Definitionen omfattar Säkerhetspolisens hantering av fingeravtryck. Fingeravtryck som har tagits med stöd av rättegångsbalken eller lagen (1991:572) om särskild utlänningskontroll får behandlas i de fingerav- trycks- och signalementsregister som Polismyndigheten för enligt 5 kap.

11 § polisens brottsdatalag. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får också behandlas om uppgiften kommit fram vid utredning om brott. Även oidentifierade fingeravtryck omfattas således av definitionen av biometriska uppgifter, eftersom det är möjligt att med hjälp av dem identifiera personen som har avsatt dem.

Genetiska uppgifter

Genetiska uppgifter definieras inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Med genetiska uppgifter avses i brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga. All information som rör en persons nedärvda eller för- värvade genetiska kännetecken och som kan tas fram ur ett spår från t.ex. en brottsplats eller ett prov från människokroppen omfattas av definitio- nen. En motsvarande definition bör tas in i den nya lagen.

Genetiska uppgifter behandlas vid dna-analyser i forensisk verksamhet för att ta fram dna-profiler eller forensiska uppslag. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Eftersom nedärvda eller förvärvade genetiska kännetecken för en person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Själva dna-profilen, som behandlas i framför allt Polismyndighetens dna-register, är endast en sifferkombination och därmed ingen genetisk uppgift. Den är däremot en biometrisk uppgift, eftersom det är möjligt att med hjälp av den unikt identifiera en person.

59

Prop. 2018/19:163 Mottagare

I 3 § personuppgiftslagen, som genomförde artikel 2 g i 1995 års data- skyddsdirektiv, anges att en myndighet inte ska anses som mottagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som avses kommenteras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma inne- börd som motsvarande uttryck i direktivet (Personuppgiftslag, prop. 1997/98:44, s. 116). Ett motsvarande undantag har ansetts behövas i brottsdatalagen (prop. 2017/18:232 s. 89). Mottagare definieras därför i brottsdatalagen som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Definitionen bör användas även i den nya lagen.

Personuppgift

Personuppgifter är enligt brottsdatalagen varje upplysning om en identi- fierad eller identifierbar fysisk person som är i livet. En motsvarande definition bör tas in i den nya lagen.

All information som kan hänföras till en fysisk person är en person- uppgift. Det gäller även information som kan hänföras till en individ om en fysisk person kan identifieras med hjälp av informationen. Det krävs inte att den personuppgiftsansvarige ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att t.ex. oidentifierade finger- avtryck och dna-profiler är personuppgifter, eftersom det är möjligt att identifiera en person med hjälp av dem. Även bild- eller ljudupptagningar kan utgöra personuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptagningen avser. Uppgifter om avlidna personer omfattas inte av definitionen.

Registrerad

I brottsdatalagen avses med registrerad den fysiska person som person- uppgiften gäller. En motsvarande definition bör tas in i den nya lagen.

Uppgift som rör hälsa

Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen definierade vad som avses med uppgift om hälsa. I brottsdatalagen definieras uttrycket som en personuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus. En motsvarande definition bör tas in i den nya lagen.

7.8Uppgifter om juridiska personer

Regeringens förslag: Lagen ska i viss utsträckning tillämpas vid be- handling av uppgifter om juridiska personer.

Utredningens förslag överensstämmer med regeringens.

60

Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt i Prop. 2018/19:163 denna del.

Skälen för regeringens förslag: I 1 kap. 6 § polisdatalagen föreskrivs att vissa bestämmelser i lagen även ska tillämpas på uppgifter om juridiska personer. För Säkerhetspolisens del gäller det bestämmelserna om ändamålen med behandlingen, tillgången till personuppgifter, bevarande och gallring och gemensamt tillgängliga uppgifter. Vid den översyn av registerförfattningarna som gjorts med anledning av införandet av brotts- datalagen har bestämmelser om skydd för uppgifter om juridiska personer behållits (prop. 2017/18:269 s. 112 f.). Regeringen anser att det bör gälla även för Säkerhetspolisen och en motsvarande reglering bör därför tas in i den nya lagen.

8Rättslig grund och ändamål för behandlingen av personuppgifter

8.1Skillnad mellan ändamålsbestämmelser och bestämmelser om rättslig grund

En grundläggande princip för all personuppgiftsbehandling är att person- uppgifter får samlas in bara för särskilda, uttryckligt angivna och berätti- gade ändamål. Principen kommer i dag till uttryck i både dataskydds- förordningen och brottsdatalagen (2018:1177). Både förordningen och lagen utgår också från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså endast om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas. Kravet är inte nytt utan framgår av artikel 7 i 1995 års dataskyddsdirektiv och kom till uttryck i bl.a. 10 § personuppgiftslagen (1998:204). Det fördes dock inga resonemang kring kravet på rättslig grund i förarbetena till de registerförfattningar som tidigare gällde för de brottsbekämpande myndigheterna. I förarbetena till brottsdatalagen tog regeringen därför upp frågan om hur kravet på rättslig grund förhöll sig till de s.k. primära och sekundära ändamålsbestämmelserna i registerförfattningarna.

Regeringen konstaterade med hänvisning till Informationshanterings- utredningen att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman (SOU 2015:39 s. 277 f.). Det kan leda till att tillämparen förväxlar ändamål med rättslig grund och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet. Det borde därför göras tydligare skillnad mellan bestämmelser om rättslig grund och ändamåls- bestämmelser (Brottsdatalag, prop. 2017/18:232, s. 115). I myndigheter- nas registerförfattningar på brottsdatalagens område ersattes därefter de primära ändamålsbestämmelserna med bestämmelser om rättslig grund, se t.ex. 2 kap. 1 § polisens brottsdatalag, som ersatte 2 kap. 7 § polisdata- lagen (2010:361).

61

Prop. 2018/19:163 I detta kapitel diskuteras först hur man bör se på ändamålsbestämmelser- na i 6 kap. 1 och 2 §§ polisdatalagen (avsnitt 8.2). Hur regleringen bör utformas diskuteras i avsnitt 8.3 och hur ändamålen för behandling av personuppgifter ska bestämmas finns i avsnitt 8.4.

8.2Dagens primära ändamålsbestämmelser är bestämmelser om rättslig grund

Regeringens bedömning: Det som i dag kallas primära ändamåls– bestämmelser är en del av den rättsliga grunden för behandling av personuppgifter. Det som kallas sekundära ändamålsbestämmelser bör dock fortfarande anses vara ändamålsbestämmelser. Regleringen bör ha i huvudsak samma innehåll som i dag.

Utredningens bedömning överensstämmer delvis med regeringens. Utredningen föreslår att även det som i dag kallas sekundära ändamålsbestämmelser ska vara en del av den rättsliga grunden för behandlingen av personuppgifter.

Remissinstanserna: Endast Säkerhetspolisen yttrar sig i denna del och anser att 6 kap. 1 polisdatalagen är tillräckligt preciserad för att utgöra en ändamålsbestämmelse och att det därför saknas skäl att ändra den gällande ordningen.

Skälen för regeringens bedömning

Dagens reglering

I 6 kap. 1 och 2 §§ polisdatalagen föreskrivs för vilka ändamål Säker- hetspolisen får behandla personuppgifter i sin brottsbekämpande verk- samhet. Ändamålen delas upp i primära och sekundära. De primära ända- målen reglerar behandlingen av de personuppgifter som behövs i Säker- hetspolisens egen brottsbekämpande verksamhet. Myndigheten får t.ex. behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar bl.a. brott mot rikets säkerhet och terroristbrott. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra för att tillgodose deras behov. Säkerhetspolisen får t.ex. behandla redan insamlade uppgifter när det är nödvändigt för att tillhandahålla information som behövs i brotts- bekämpande verksamhet hos vissa andra myndigheter.

Primära ändamålsbestämmelser är bestämmelser om rättslig grund

Som framgår i avsnitt 8.1 anser regeringen att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det kan leda till att tillämparen förväxlar ändamål med rättslig grund och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet. Det bör därför göras tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestäm-

62melser.

Prop. 2018/19:163 utredningens bedömning att regleringen bör i huvudsak ha samma sakliga innehåll som i dag, vilket utvecklas i avsnitt 8.4.3.

8.3Rättslig grund för behandling

8.3.1Rättslig grund för behandling – huvudregeln

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att Säkerhetspolisen ska kunna

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot Sveriges säkerhet, b) terrorbrott, eller

c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2.utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3.fullgöra uppgifter

a)i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

b)enligt säkerhetsskyddslagen (2018:585), eller

c)enligt utlännings- och medborgarskapslagstiftningen,

4.fullgöra annan uppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller

5.fullgöra förpliktelser som följer av internationella åtaganden.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår också att det i lagen uttryckligen ska anges att uppgiften ska framgå av lag, förordning eller av ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

Remissinstanserna: Endast Säkerhetspolisen uttalar sig i denna del och anser att rekvisitet nödvändigt ska ersättas med behövs som i 6 kap. 1 § polisdatalagen.

	Skälen för regeringens förslag
	En bestämmelse om rättsliga grunder behövs
	Som framgår av avsnitt 8.1 utgår både dataskyddsdirektivet och data-
	skyddsförordningen från att varje behandling måste vila på en rättslig
	grund för att vara laglig. I artikel 6.1 i förordningen finns det en uttöm-
	mande uppräkning av de rättsliga grunderna för behandling av person-
	uppgifter enligt förordningen. Någon motsvarande uppräkning finns inte i
	direktivet. Däremot anges förutsättningarna för att en behandling ska vara
	laglig i artikel 8.1.
	Brottsdatalagen innehåller bestämmelser om rättsliga grunder. Enligt
	2 kap. 1 § får personuppgifter behandlas om det är nödvändigt för att en
	behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra
	eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa
	straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
64	Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften Prop. 2018/19:163 (prop. 2017/18:232 s. 116–118). För att personuppgiftsbehandling ska

vara tillåten enligt brottsdatalagen krävs det således både en reglerad arbetsuppgift och bestämmelser om att personuppgifter får behandlas för att utföra uppgiften. Detsamma bör gälla för Säkerhetspolisen. Regeringen delar därför utredningens bedömning att det bör finnas en bestämmelse i den nya lagen som anger de rättsliga grunderna för personuppgifts- behandlingen.

Utformningen av bestämmelsen

Regleringen i 6 kap. 1 § polisdatalagen korresponderar i princip med 3 § polislagen (1984:387) som anger Säkerhetspolisens huvudsakliga uppgif- ter. Bestämmelsen har endast förändrats marginellt sedan polisdatalagens tillkomst. Den bedömning av Säkerhetspolisens behov av att behandla personuppgifter som gjordes då gör sig fortfarande gällande (Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 255 f.). Den nya lagen bör i huvudsak innehålla samma reglering.

Utredningen föreslår att det särskilt ska anges att uppgifterna ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Att ett sådant krav infördes i brottsdatalagen var en följd av regleringen i dataskyddsdirektivet. En förutsättning för att Säkerhetspolisen ska få behandla personuppgifter är att Säkerhetspolisens har ålagts att utföra en viss arbetsuppgift. Vilka arbetsuppgifter Säkerhetspolisen har framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Ett motsvarande krav behöver därför inte särskilt anges i förevarande paragraf.

Säkerhetspolisen förespråkar att ordet ”behövs” används i lagtexten för att det inte ska framstå som att kravet för att få behandla personuppgifter har höjts. Eftersom ”nödvändigt” är det ord som finns i artikeln om rättslig grund i dataskyddsförordningen valdes det ordet även i brottsdatalagens bestämmelse om rättslig grund. Även om det inte finns något som hindrar att den nya lagen i detta avseende utformas på annat sätt än brottsdatalagen anser regeringen att skälen för en enhetlig terminologi överväger. Samma uttryckssätt som i brottsdatalagen bör därför användas i den nya lagen. Som anges i förarbetena till brottsdatalagen bör ordet ”nödvändigt” i detta sammanhang tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra uppgiften (prop. 2017/18:232 s. 117). Trots att terminologin ändras blir det därför inte fråga om någon ändring i förhållande till vad som krävs enligt dagens reglering.

Enligt 6 kap. 1 § 5 polisdatalagen får Säkerhetspolisen behandla per- sonuppgifter om det behövs för att lämna tekniskt biträde till vissa andra brottsbekämpande myndigheter. Den uppgiften omfattas i dag av brottsdatalagens tillämpningsområde (prop. 2017/18:232 s. 105). Person- uppgiftsbehandling för sådant biträde bör därför inte regleras i den nya lagen.

65

Prop. 2018/19:163 Uppgifter enligt utlännings- och medborgarskapslagstiftningen

Säkerhetspolisen har vissa uppgifter enligt utlännings- och medborgar- skapslagstiftningen (avsnitt 4.1). Det framgår inte av förarbetena till polis- datalagen hur lagstiftaren ser på personuppgiftsbehandling för sådana ändamål.

I förarbetena till utlänningsdatalagen (2016:27) konstaterar regeringen att all verksamhet hos Säkerhetspolisen i någon mening är brottsbekäm- pande. Mot den bakgrunden och då Säkerhetspolisens uppgifter på utlän- nings- och medborgarskapsområdet är förhållandevis begränsade ansågs det inte vara ändamålsenligt att låta Säkerhetspolisen omfattas av utlän- ningsdatalagens reglering. Konsekvensen blev att Säkerhetspolisen i stäl- let antingen ska tillämpa de särskilda regler om personuppgiftsbehandling som gäller för myndigheten enligt polisdatalagen eller personupp- giftslagen (Utlänningsdatalag, prop. 2015/16:65, s. 40). Mot bakgrund av förarbetsuttalandena och att personuppgiftslagen har upphävts är det nöd- vändigt att reglera myndighetens personuppgiftsbehandling på området.

Säkerhetspolisens arbetsuppgifter enligt utlännings- och medborgar- skapslagstiftningen syftar till att förhindra att individer som är eller kan bli ett säkerhetshot mot Sverige etablerar sig i landet. Utifrån vad som är känt om personens bakgrund, kontakter eller egna aktiviteter gör Säker- hetspolisen en bedömning av om han eller hon kan komma att ägna sig åt säkerhetshotande verksamhet. Säkerhetsskälen kan exempelvis bestå av kopplingar till personer som antas syssla med olovlig underrättelseverk- samhet eller terrorism. Mot den bakgrunden anser regeringen, i likhet med utredningen, att Säkerhetspolisens uppgifter enligt utlännings- och medborgarskapslagstiftningen är ett led i uppgifterna som rör nationell säkerhet och därför bör anges som en tillåten rättslig grund för behandling av personuppgifter i den nya lagen.

8.3.2 Rättslig grund i undantagsfall för diarieföring och handläggning

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande och behand- lingen är nödvändig för myndighetens handläggning.

	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna yttrar sig inte särskilt i denna del.
	Skälen för regeringens förslag: Säkerhetspolisen tar dagligen emot
	stora mängder information, ofta i elektronisk form. De inkommande upp-
	gifterna kan vara en del av en allmän handling i tryckfrihetsförordningens
	mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400) ska
	som huvudregel allmänna handlingar som kommit in till en myndighet
	registreras, dvs. diarieföras, så snart som möjligt. En myndighet måste
	därför alltid ha möjlighet att behandla personuppgifter för att diarieföra
	och handlägga inkommande handlingar. Det gäller även i de fall där
	myndigheten inte behöver behandla personuppgifterna för att utföra sina
	uppgifter (prop. 2009/10:85 s. 112 f.) I 6 kap. 3 § polisdatalagen
66	föreskrivs att Säkerhetspolisen får behandla personuppgifter om det är

nödvändigt för diarieföring eller om uppgifterna har lämnats i en anmälan Prop. 2018/19:163 eller liknande och behandlingen är nödvändig för handläggningen. Det bör

tas in en motsvarande bestämmelse i den nya lagen som tydliggör att det är en tillåten rättslig grund för behandling.

8.4Ändamål för behandling

8.4.1Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål

Regeringens förslag: Säkerhetspolisen ska få behandla personuppgif- ter bara för särskilda, uttryckligt angivna och berättigade ändamål.

Utredningens förslag överensstämmer med regeringens.
Remissinstanserna Endast Säkerhetspolisen yttrar sig i denna del och
anför att om 6 kap. 1 § polisdatalagen är att anse som en bestämmelse om
rättslig grund och inte en ändamålsbestämmelse, måste det i det fortsatta
lagstiftningsarbetet klarläggas hur ändamålen ska utformas.
Skälen för regeringens förslag: I 9 § första stycket c personuppgifts-
lagen finns det grundläggande kravet på att personuppgifter bara får sam-
las in för särskilda, uttryckligt angivna och berättigade ändamål. Kravet
gäller för Säkerhetspolisen genom hänvisningar i 2 kap.	2 § första
stycket 3 och 6 kap. 4 § 1 polisdatalagen. Det är dock inte bara när per-
sonuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet
och berättigat ändamål för behandlingen. I brottsdatalagen har det tydlig-
gjorts genom att det i 2 kap. 3 § föreskrivs att all behandling ska utföras
för särskilda, uttryckligt angivna och berättigade	ändamål
(prop. 2017/18:232 s. 120–122). En motsvarande bestämmelse bör tas in i
den nya lagen.
Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt
specificerade för att ge ledning för bedömningen av vilka uppgifter som är
adekvata och relevanta för den aktuella behandlingen och för att det ska
kunna avgöras att inte för många uppgifter behandlas (avsnitt 9.1.4).
Något hinder mot att ange flera parallella ändamål för behandlingen finns
inte. Ändamålen ska anges uttryckligen redan när personuppgifterna
samlas in.
Att ändamålen ska vara berättigade innebär en koppling till den rättsliga
grunden. Personuppgifter får således inte behandlas för ett ändamål som
inte är berättigat i förhållande till den tillämpliga rättsliga grunden. Kravet
på att ändamålet för behandlingen ska vara berättigat kan också sägas
innebära ett krav på att behandlingen ska vara förenlig med kon-
stitutionella och andra rättsliga principer.
En särskild fråga är vad som avses med att ändamålen ska vara uttryck-
ligt angivna. Regeringen återkommer till den frågan i samband med att
frågan om att ändamålen i vissa fall ska framgå genom en särskild upp-
lysning behandlas (avsnitt 10.2).
Säkerhetspolisen anför att det måste klarläggas hur ändamålen ska
utformas om de primära ändamålsbestämmelserna är att anse som
bestämmelser om rättslig grund (jfr avsnitt 8.2). En mycket stor del av den
information som Säkerhetspolisen behandlar är underrättelseinformation.		67

för ändamål utanför brottsdatalagens tillämpningsområde ska någon Prop. 2018/19:163 prövning mot det ursprungliga ändamålet inte göras då heller. Det beror

på att den behandlingen blir den första behandlingen enligt förordningen och att det därför inte är fråga om någon behandling för nya ändamål där finalitetsprincipen ska tillämpas (prop. 2017/18:232 s. 126 och 132). Finalitetsprincipen regleras därför inte i brottsdatalagen.

Säkerhetspolisen behöver i likhet med andra brottsbekämpande myn- digheter kunna behandla personuppgifter för nya ändamål, t.ex. använda information från en förundersökning för att förebygga nya brott. Frågan är om prövningen enligt finalitetsprincipen bör ersättas av samma prövning av nödvändighet och proportionalitet som för övriga brottsbekämpande myndigheter.

Kraven på nödvändighet och proportionalitet i brottsdatalagen har sin grund i direktivet. Direktivets krav gäller dock inte på den nya lagens område eftersom behandling av personuppgifter som rör nationell säkerhet undantas från direktivets tillämpningsområde. Det finns därför inget som hindrar att en reglering som bygger på finalitetsprincipen väljs för Säkerhetspolisen. Regeringen anser i likhet med utredningen att det med tanke på Säkerhetspolisens uppdrag finns fördelar med att behålla den inarbetade ordningen. Finalitetsprincipen bör därför fortsätta att gälla för Säkerhetspolisens behandling av personuppgifter för nya ändamål.

När Säkerhetspolisen ska behandla personuppgifter för nya ändamål bör myndigheten alltid pröva om det nya ändamålet är förenligt med det ändamål som personuppgifterna samlades in för. Eftersom verksamheten är inriktad på att bekämpa brott som är systemhotande kan Säkerhetspo- lisens behandling av personuppgifter för nya ändamål för den egna verk- samheten i de allra flesta fall anses förenlig med ursprungsändamålet. Vad som bör gälla när myndigheten behandlar personuppgifter för att tillhandahålla information som behövs i annan verksamhet tas upp i av- snitt 8.4.3.

8.4.3Behandling för ändamål i annan verksamhet

Regeringens förslag: Personuppgifter som Säkerhetspolisen behandlar ska även få behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.för brottsbekämpning, lagföring, straffverkställighet eller upprätt- hållande av allmän ordning och säkerhet hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kust- bevakningen och Skatteverket,

2.i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

3.i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrättelse- verksamhet, om det finns särskilda skäl att tillhandahålla informationen,

4.i en myndighets verksamhet om Säkerhetspolisen enligt lag eller förordning ska bistå myndigheten med en viss uppgift,

5.i brottsbekämpande verksamhet hos en utländsk myndighet eller

mellanfolklig organisation, eller	69

samarbetspartner och utbyter kontinuerligt information med dem. I av- Prop. 2018/19:163 snitt 11.3.3 föreslås att Säkerhetspolisen ska kunna medge underrättelse-

och säkerhetstjänster i EU och EES direktåtkomst till vissa uppgifter. Även om Säkerhetspolisen i de flesta fall lämnar informationen till dem för den egna verksamhetens behov, kan det inte uteslutas att Säkerhetspolisen även kan behöva lämna information för att tillgodose de utländska tjänsternas behov. Det kan t.ex. gälla misstanke om ett förestående attentat som uteslutande berör en annan stat. I 6 kap. 2 § polisdatalagen anges endast brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation som mottagare. Utländska underrättelse- och säkerhetstjänster har inte alltid den uppgiften. För att det ska vara tydligt att Säkerhetspolisen får lämna information om det behövs för sådana tjänsters behov bör det införas rättsligt stöd för det.

8.4.4Behandling för vetenskapliga, statistiska och historiska ändamål

Regeringens förslag: Säkerhetspolisen ska få behandla personuppgif- ter för vetenskapliga, statistiska eller historiska ändamål inom den nya lagens tillämpningsområde.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Enligt 9 § andra stycket person- uppgiftslagen ska behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ändamål för vilka personuppgifterna samlades in. Bestämmelsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 3 och 6 kap. 4 § 1 polisdata- lagen och innebär att personuppgifter som regel får behandlas för sådana ändamål.

I 2 kap. 5 § brottsdatalagen föreskrivs att en behörig myndighet får be- handla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Genom att det lyfts fram att behandling av personuppgifter kan inbegripa vetenskaplig, statistisk eller historisk användning blir det tydligt att lagens övriga bestämmelser ska tillämpas även vid behandling för sådana ändamål (prop. 2017/18:232 s. 139). Behandling för vetenskapliga, statistiska och historiska ändamål bör vara tillåten även enligt den nya lagen. Bestämmelsen bör formuleras på samma sätt som motsvarande bestämmelse i brottsdatalagen.

71

Prop. 2018/19:163 9

Behandling av personuppgifter

9.1Grundläggande krav på behandlingen

9.1.1Krav på författningsenlig och korrekt behandling

Regeringens förslag: Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för utredningens förslag: I 9 § personuppgiftslagen regleras de grundläggande principerna för personuppgiftsbehandling. I brottsdata- lagen (2018:1177) har de grundläggande principerna i stället delats upp och behandlas tillsammans med regleringen av de frågor som respektive princip tar sikte på (Brottsdatalag, prop. 2017/18:232, s. 141 f.). Samma lösning bör väljas i den nya lagen.

Enligt 9 § första stycket a och b personuppgiftslagen (1998:204) får personuppgifter behandlas bara om det är lagligt. Personuppgifterna ska vidare behandlas på ett korrekt sätt och i enlighet med god sed. Bestäm- melserna gäller genom hänvisningar i 2 kap. 2 § första stycket 3 och 6 kap. 4 § 1 polisdatalagen (2010:361) för Säkerhetspolisen. Att en myndighet ska agera i enlighet med lag framstår som en självklarhet och är djupt för- ankrat i den svenska förvaltningstraditionen. Det gäller också att handlägg- ningen ska ske på ett korrekt sätt. Det bör emellertid tydliggöras i den nya lagen att personuppgifter alltid ska behandlas lagligt och på ett korrekt sätt.

I 2 kap. 6 § brottsdatalagen föreskrivs att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt. Skälet till att ordet författ- ningsenlig används i stället för laglig är enligt förarbetena att ordet laglig lätt kan leda till motsatsslut och att det i andra bestämmelser i lagen regleras att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer (prop. 2017/18:232 s. 142 f.). Samma överväganden gör sig gällande i förhållande till Säkerhetspolisen och en motsvarande bestämmelse bör tas in även i den nya lagen.

Att personuppgifter ska behandlas författningsenligt innebär att det ska finnas en rättslig grund för behandlingen (avsnitt 8.3.1). Att personuppgif- terna ska behandlas korrekt innefattar att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.

9.1.2Personuppgifter ska vara korrekta, adekvata och relevanta

Regeringens förslag: De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får

72

förhållande till ändamålet, vara nödvändigt att utöver behoven i det kon- Prop. 2018/19:163 kreta ärendet ta hänsyn till andra aspekter, framför allt hur säkra de system

som Säkerhetspolisen har direktåtkomst till är. Säkerhetspolisen kan t.ex. i vissa situationer behöva begära uppgifter om fler personer än den som är misstänkt för att inte avslöja vem eller vilka personer som myndigheten intresserar sig för i sitt underrättelsearbete eller i en brottsutredning. Regeringen delar utredningens bedömning att kravet på att uppgifterna ska vara adekvata och relevanta och inte för många i förhållande till ändamålet med behandlingen ändå bör anses vara uppfyllt vid själva sökningen. Behovet av att behandla sådana uppgifter är mycket kortvarigt och ska givetvis upphöra så snart syftet med sökningen är uppnått. Regeringen anser därför, till skillnad från Datainspektionen, att det inte finns skäl att förena den här typen av sökningar med några särskilda krav på skyddsåtgärder.

Särskilt om material från användning av hemliga tvångsmedel

Säkerhetspolisen behandlar i stor utsträckning material som inhämtats genom hemliga tvångsmedel. Det beror dels på att Säkerhetspolisen biträder andra brottsbekämpande myndigheter med tekniska åtgärder, dels på att sådana tvångsmedel förekommer i Säkerhetspolisens egen verksamhet. För behandling av uppgifter som inhämtas genom hemliga tvångsmedel gäller dels reglerna i rättegångsbalken eller motsvarande lagstiftning, dels myndighetens registerlagstiftning (Integritet och effektivitet i polisen brottsbekämpande verksamhet, prop. 2009/10:85,

s.78). Material av nu aktuellt slag kan både behöva bearbetas tekniskt eller på annat sätt, och i vissa fall även tolkas eller översättas, innan det kan granskas på det sätt som förutsätts i rättegångsbalken och annan motsvarande lagstiftning. Det ligger i sakens natur att kravet på granskning av det materiella innehållet inte kan uppfyllas innan det har gjorts tillgängligt på sådant sätt att en åklagare eller den utredningspersonal som biträder honom eller henne kan ta del av det. Det innebär att personuppgifter måste kunna behandlas för att den granskningen ska kunna komma till stånd. Kravet på att sådant material som härrör från hemliga tvångsmedel och som är ovidkommande ska tas bort så snabbt som möjligt måste därför ses i ljuset av möjligheterna att på ett tidigt stadium kunna bedöma värdet av informationen.

9.2Känsliga personuppgifter

9.2.1Känsliga personuppgifter får behandlas i samma utsträckning som i dag

Regeringens förslag: Säkerhetspolisen ska inte få behandla person- uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Om uppgifter om en person be- handlas ska de dock få kompletteras med sådana uppgifter när det är absolut nödvändigt för ändamålet med behandlingen.

75

Prop. 2018/19:163 genetisk uppgift. Den är däremot en biometrisk uppgift som Säkerhets- polisen föreslås få rätt att behandla om det är absolut nödvändigt. Det har således inte framkommit att Säkerhetspolisen har något konkret behov av att behandla genetiska uppgifter. Regeringen delar därför utredningens bedömning att Säkerhetspolisen inte bör ges rätt att behandla genetiska uppgifter.

Att biometriska uppgifter behandlas särskilt är en lagteknisk fråga och innebär inte att de ska betraktas på något annat sätt än övriga kategorier av känsliga personuppgifter.

Behandling för diarieföring eller liknande

Enligt 2 kap. 10 § andra stycket och 6 kap. 4 § 4 polisdatalagen får Säkerhetspolisen behandla känsliga personuppgifter om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till myndigheten i en anmälan eller liknande och behandlingen är nödvändig för handlägg- ningen. Som framgår av avsnitt 8.3.2 måste Säkerhetspolisen alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga in- kommande anmälningar, ansökningar och andra liknande handlingar. Det bör gälla även i de fall där sådana handlingar innehåller känsliga per- sonuppgifter, eftersom det ligger utanför Säkerhetspolisens kontroll om sådana uppgifter finns i handlingarna. Det bör därför framgå av den nya lagen att sådan behandling är tillåten. Bestämmelsen bör formuleras på motsvarande sätt som 2 kap. 13 § brottsdatalagen.

	9.2.2	Ett sökförbud med undantag
	Regeringens förslag: Det ska vara förbjudet att utföra sökningar i syfte
	att få fram ett urval av personer grundat på känsliga personuppgifter.
	Sökförbudet ska inte hindra att brottsrubriceringar, uppgifter om till-
	vägagångssätt vid brott eller uppgifter som beskriver en persons
	utseende används vid sökning. Det ska inte heller hindra sökning i syfte
	att få fram ett personurval grundat på etniskt ursprung, politiska åsikter,
	religiös eller filosofisk övertygelse eller uppgifter som rör hälsa,
	sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för
	något av de syften som Säkerhetspolisen får behandla personuppgifter
	för.
	Regeringens bedömning: Någon förändring av den sekretessregle-
	ring som är tillämplig i Säkerhetspolisens verksamhet behövs inte när
	det gäller uppgifter i sammanställningar av känsliga personuppgifter.
	Utredningens förslag överensstämmer delvis med regeringens förslag
	och bedömning. Utredningen föreslår att det införs en regel om absolut
	sekretess till skydd för enskilda i offentlighets- och sekretesslagen
	(2009:400). Den absoluta sekretessen föreslås gälla hos Säkerhetspolisen
	för uppgift i en sammanställning av känsliga personuppgifter. Enligt för-
	slaget ska sekretessen gälla i högst 70 år.
	Remissinstanserna: Säkerhetspolisen förordar att bestämmelsen om
	sökning i syfte att få fram ett personurval grundat på känsliga personupp-
	gifter utformas på motsvarande sätt som i 6 kap. 11 § första stycket
78	polisdatalagen. Journalistförbundet anser att undantaget i den föreslagna

2 kap. 12 § tredje stycket om att sökning på känsliga personuppgifter får Prop. 2018/19:163 göras om sökningen är absolut nödvändig för något av de syften som anges

i 1 §, är för brett. Journalistförbundet avstyrker vidare förslaget om absolut sekretess och föreslår i stället att bestämmelsen förses med ett omvänt skaderekvisit. Även Tidningsutgivarna avstyrker förslaget om absolut sekretess och förordar att bestämmelsen utformas med ett rakt skaderekvisit.

Skälen för utredningens förslag och bedömning

Ny utformning av sökförbudet

Enligt 6 kap. 11 § polisdatalagen får Säkerhetspolisen använda känsliga personuppgifter som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga endast om det är absolut nödvändigt för de ändamål som myndigheten får behandla personuppgifter för. Brottsrubri- ceringar och uppgifter som beskriver en persons utseende får dock an- vändas som sökbegrepp utan några begränsningar. Några begränsningar gäller inte heller vid sökning i personuppgifter som endast ett fåtal har tillgång till.

I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud som förbjuder sökningar i syfte att få fram ett personurval grundat på känsliga per- sonuppgifter. Regeringen föreslog att det i övriga registerförfattningar skulle föreskrivas undantag från sökförbudet som är anpassade till de behov som respektive myndighet har (prop. 2017/18:232 s. 155–157 och t.ex. prop. 2017/18:269 s. 154–157). Frågan är om samma systematik bör väljas även för Säkerhetspolisen.

Vid polisdatalagens tillkomst ansåg regeringen att verksamhetsskäl talade för att Säkerhetspolisen inte borde förbjudas att använda känsliga personuppgifter som sökbegrepp, eftersom uppgifter av det slaget kan ha stor betydelse i myndighetens verksamhet. Regeringen framhöll samtidigt att verksamhetsintresset måste vägas mot intresset av att skydda de personer vilkas uppgifter behandlas mot intrång i den personliga integri- teten. Vidare framhölls att utformningen av bestämmelsen om sökning gör att känsliga personuppgifter inte rutinmässigt kan användas som sök- begrepp utan först sedan det vid en prövning av behovet i det enskilda fallet konstaterats att det finns ett påtagligt behov (prop. 2009/10:85

s.266).

Säkerhetspolisen har alltjämt behov av att kunna använda känsliga

personuppgifter vid sökning. I arbetet med att förebygga och upptäcka
terroristbrott kan t.ex. uppgifter om en persons politiska åsikter eller reli-
giösa övertygelse vara viktiga. Vid brott mot Sveriges säkerhet kan upp-
gifter av det slaget bidra till att fastställa motivet för gärningen. Säker-
hetspolisen bör därför ges i huvudsak samma möjligheter som i dag att
använda känsliga personuppgifter vid sökning.
Det skulle kunna hävdas att ett generellt sökförbud skulle bli
innehållslöst då det skulle behöva förses med så många undantag.
Regeringen anser dock att en reglering som bygger på ett generellt förbud
med undantag som är anpassade för verksamheten ger en tydligare signal
om att känsliga personuppgifter ska användas restriktivt. Det finns också
fördelar med att regleringen för alla brottsbekämpande myndigheter
överensstämmer i den delen. Regeringen anser därför, till skillnad mot	79

sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är Prop. 2018/19:163 inaktuella ska uppdateras om det är nödvändigt. När personuppgifter

lämnas ut till en behörig myndighet, ska mottagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga. Enligt

2 kap. 16 § ska alla rimliga åtgärder vidtas för att personuppgifter som behandlas på ett otillåtet sätt utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse. I stället för att radera personuppgifterna ska den personuppgiftsansvarige utan onödigt dröjsmål begränsa behandlingen av dem, om de behöver finnas kvar av bevisskäl. Regleringen i brottsdatalagen utgår alltså från att felaktiga personuppgifter ska rättas och att personuppgifter som behandlas på ett otillåtet sätt ska raderas.

Regleringen ska i huvudsak motsvara regleringen i brottsdatalagen

När det gäller skyldigheten att på eget initiativ rätta, radera eller begränsa behandlingen av felaktiga eller ofullständiga personuppgifter eller per- sonuppgifter som behandlats på ett otillåtet sätt anser regeringen, i likhet med utredningen, att i princip samma krav bör ställas på Säkerhetspolisen som på övriga brottsbekämpande myndigheter. Det gäller även ansvaret att se till att felaktiga eller ofullständiga uppgifter inte lämnas ut eller görs tillgängliga. Det bör därför i den nya lagen tas in bestämmelser med samma innebörd som 2 kap. 15 och 16 §§ brottsdatalagen.

Kravet på information i samband med utlämnande eller tillgängliggö- rande av personuppgifter som regleras i 2 kap. 15 § andra stycket brotts- datalagen har sin grund i dataskyddsdirektivet. Något sådant krav ställs inte på Säkerhetspolisen i dag. Det ligger i sakens natur att Säkerhetspo- lisen inte i samma utsträckning som andra brottsbekämpande myndigheter kan avslöja vilken information som ligger till grund för t.ex. en misstanke om någons delaktighet i brottslig verksamhet. Någon motsvarande bestämmelse bör därför inte tas in i den nya lagen.

Om det upptäcks att felaktiga personuppgifter eller personuppgifter som behandlas på ett otillåtet sätt har lämnats ut är det naturligt att den som har fått uppgifterna underrättas, så att uppgifterna kan rättas eller raderas eller behandlingen av dem begränsas (prop. 2017/18:232 s. 162). Under- rättelseskyldigheten kan regleras i förordning.

9.4Personuppgifter från transportföretag

Regeringens förslag: Bestämmelserna om behandling av personupp- gifter som tillhandahålls av transportföretag enligt polislagen ska tas in i den nya lagen. Sådana personuppgifter ska endast i enskilda fall få behandlas för nya ändamål.

Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Utredningen föreslår dock att personuppgifter från transportföre- tag endast ska få behandlas för vissa syften.

83

Prop. 2018/19:163 Remissinstanserna: Endast Säkerhetspolisen yttrar sig i denna del och avstyrker bestämmelsen om att uppgifter från transportföretag endast får behandlas för vissa syften eftersom det innebär en begränsning i förhål- lande till vad som gäller i dag.

Skäl för regeringens förslag

Nuvarande reglering

Enligt 25 § polislagen (1984:387) är transportföretag skyldiga att på be- gäran skyndsamt lämna vissa personuppgifter till Polismyndigheten och Säkerhetspolisen. Det rör sig bl.a. om uppgifter om resenärers namn, medresenärers namn och transportmedel.

Personuppgifterna får tillhandahållas genom terminalåtkomst till tran- sportföretagens bokningssystem där polisen får läsa uppgifterna. Terminalåtkomst tillåts enligt 26 § polislagen bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna får även lämnas på annat sätt om transportföretaget anser att det är bättre. Uppgifterna lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper.

Personuppgiftsbehandlingen bör regleras i den nya lagen

I polislagen reglerades tidigare inte bara transportföretagens uppgifts- skyldighet utan även på vilket sätt och hur länge polisen fick behandla personuppgifterna. Regeringen föreslog i propositionen Brottsdatalag – kompletterande lagstiftning att bestämmelserna om hur personuppgifter från transportföretag får behandlas skulle föras över till polisens brottsdatalag. Bakgrunden till det var att det inte fanns någon reglering av behandling av personuppgifter från transportföretag i polisdatalagen. Inom brottsdatalagens tillämpningsområde är dock utgångspunkten att myndigheternas personuppgiftsbehandling i så stor utsträckning som möjligt ska regleras i respektive myndighets registerförfattning. En annan ordning, med enstaka bestämmelser om personuppgiftsbehandling i andra lagar, skulle innebära att regleringen blir mer svåröverskådlig för enskilda (prop. 2017/18:232 s. 158). Dessa skäl har även giltighet för Säkerhetspolisen. Regleringen av hur Säkerhetspolisen får behandla personuppgifter som transportföretag på begäran tillhandahåller myndigheten enligt polislagen bör därför tas in i den nya lagen. Transportföretagens skyldigheter bör dock, på samma sätt som för Polismyndighetens del, fortfarande regleras i polislagen.

Hur får uppgifterna behandlas?

Utredningen föreslår att Säkerhetspolisen på samma sätt som Polis- myndigheten ska få behandla personuppgifter från transportföretag endast för vissa syften. Säkerhetspolisen har invänt att det innebär en begränsning i förhållande till vad som gäller i dag och att behovet av uppgifter från transportföretag kan förekomma i hela myndighetens verksamhet. Enligt 25 § andra stycket polislagen är Polismyndighetens möjligheter att begära uppgifter från transportföretag begränsade till uppgifter som kan antas ha betydelse för den brottsbekämpande verksamheten. Av förarbetena till den

84

Prop. 2018/19:163 om hur länge personuppgifter från transportföretag får behandlas behövs därför inte.

Behandling för nya ändamål

I dag finns det ingen bestämmelse om vidarebehandling av personupp- gifter som transportföretag tillhandahåller. Regeringen konstaterar i för- arbetena till polisens brottsdatalag att riksdagen nyligen har ställt sig bakom att Tullverket ska få behandla personuppgifter av nu aktuellt slag för nya ändamål endast om det behövs i enskilda fall. Mot den bakgrunden ansåg regeringen att polisens rätt att behandla personuppgifter som tillhandahålls av transportföretag för nya ändamål bör begränsas på mot- svarande sätt (prop. 2017/18:269 s. 160 f.). Det bör gälla även för Säkerhetspolisen.

Det bör inte regleras vilka sökbegrepp som får användas

I dag gäller inga begränsningar i polisens möjligheter att söka i uppgifter från transportföretag. Utredningen föreslog att sådana begränsningar skulle införas för Polismyndigheten men inte för Säkerhetspolisen. I för- arbetena till polisens brottsdatalag konstaterade regeringen att den före- slagna sökbegränsningen kunde riskera att försämra Polismyndighetens möjligheter att bekämpa den organiserade gränsöverskridande brottslig- heten och någon sökbegränsning infördes därför inte (prop. 2017/18:269 s. 159 f.). Säkerhetspolisens användning av direkta personuppgifter vid sökning i uppgifter från transportföretag bör därför inte heller begränsas.

Lagen om flygpassageraruppgifter i brottsbekämpningen har företräde

Lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen innehåller bl.a. bestämmelser om personuppgiftsbehandling i enlighet med kraven i det s.k. PNR-direktivet. Där regleras skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till särskilda enheter för passagerarinformation i medlemsstaterna, för vilka ändamål personupp- gifterna får behandlas, hur länge de får lagras och under vilka förutsätt- ningar de får lämnas ut. Lagen om flygpassageraruppgifter i brottsbe- kämpningen kommer att ha företräde framför bestämmelserna i den nya lagen (avsnitt 7.6).

10 Gemensamt tillgängliga uppgifter

10.1Samma reglering av vad som får göras gemensamt tillgängligt

Regeringens förslag: Särskilda bestämmelser ska gälla för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga.

Personuppgifter ska få göras gemensamt tillgängliga om det behövs för någon av de uppgifter som Säkerhetspolisen får behandla person- uppgifter för.

86

Bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla	Prop. 2018/19:163
när personuppgifter behandlas med stöd av bestämmelsen om behand-
ling av personuppgifter för diarieföring eller för att utföra andra nöd-
vändiga handläggningsuppgifter.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag: I 6 kap. polisdatalagen (2010:361)
finns särskilda bestämmelser som gäller vid behandling av person-
uppgifter som görs eller har gjorts gemensamt tillgängliga. Med
gemensamt tillgängliga uppgifter avses uppgifter som inte enbart ett fåtal
har tillgång till. För behandling av sådana uppgifter ställs det t.ex. krav på
särskilda upplysningar och vidare begränsas möjligheten till sökning.
Sådana bestämmelser bör finnas även i den nya lagen. För att få en enhetlig
systematik bör regleringen om gemensamt tillgängliga uppgifter finnas i
ett särskilt kapitel.
Av 6 kap. 8 § polisdatalagen framgår att personuppgifter får göras
gemensamt tillgängliga i Säkerhetspolisens verksamhet om det behövs för
något av de ändamål för vilka personuppgifter får behandlas. I förarbetena
till polisdatalagen konstaterar regeringen att de intressen som
Säkerhetspolisen har till uppgift att skydda motiverar att myndigheten ges
större handlingsfrihet i fråga om vilka uppgifter som får göras gemensamt
tillgängliga. Skälet till det är bl.a. att Säkerhetspolisens verksamhet är
inriktad mot brottslighet som till sin natur är svår att upptäcka och att
tyngdpunkten i dess brottsbekämpande arbete ligger på underrättelsearbete
och renodlat förebyggande arbete. Det konstateras vidare att det är svårt
att förutse och i lag uttrycka de olika kategorier av personuppgifter som
bör få göras gemensamt tillgängliga hos Säkerhetspolisen och att
myndighetens verksamhet till sin natur är sådan att informationen sprids i
mindre utsträckning än inom polisen i övrigt (Integritet och effektivitet i
polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 264).
Enligt regeringens mening är de skäl som anges i förarbetena till polis-
datalagen fortfarande aktuella. Regleringen av när personuppgifter får
göras gemensamt tillgängliga bör därför i princip tas in oförändrad i den
nya lagen. Den bör dock knytas till bestämmelsen om rättslig grund och
de uppgifter för vilka Säkerhetspolisen får behandla personuppgifter,
i stället för till ändamålen med behandlingen.
I 6 kap. 8 § andra stycket polisdatalagen föreskrivs att bestämmelserna
om gemensamt tillgängliga uppgifter inte gäller när personuppgifter be-
handlas med stöd av den särskilda bestämmelsen om behandling av per-
sonuppgifter för diarieföring eller för att utföra andra nödvändiga hand-
läggningsuppgifter. En motsvarande bestämmelse bör tas in i den nya
lagen.

10.2 Särskilda upplysningar

Regeringens förslag: Om det ändamål som gemensamt tillgängliga personuppgifter behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

87

Prop. 2018/19:163 Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet som omfattas av lagens tillämpningsområde, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med brottslig verksamhet ska som regel förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen avstyrker utredningens förslag

att kravet på särskilda upplysningar enbart ska gälla om personuppgifterna har gjorts gemensamt tillgängliga. Behoven av undantag kan regleras på motsvarande sätt som i 2 kap. 9 § brottsdatalagen genom att det anges att kravet gäller ”så långt det är möjligt”. Inspektionen anser vidare att det i stället för en upplysning om att någon inte är misstänkt bör föreskrivas att olika kategorier av registrerade, t.ex. misstänkta, brottsoffer och vittnen, ska särskiljas. Datainspektionen anser också att kravet på särskilda upplysningar ska gälla när uppgifter såväl ”direkt som indirekt kan hänföras till en person som inte är misstänkt”. Säkerhets- och integritets- skyddsnämnden föreslår att bestämmelsen om särskilda upplysningar om misstanke ska formuleras på ett annat sätt för att det ska bli tydligare när kravet gäller.

Skälen för regeringens förslag

Särskild upplysning om ändamålet med behandlingen

Enligt 6 kap. 9 § polisdatalagen ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifter som har gjorts gemensamt tillgängliga behandlas. Både av hänsyn till verksamheten och till den personliga integriteten är det viktigt att det framgår för vilket ändamål en personuppgift behandlas. Från integritets- synpunkt har det betydelse bl.a. för möjligheterna att genom tekniska för- faranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. Att ändamålet med behandlingen framgår kan vidare vara en förutsättning för att en tillsynsmyndighet ska kunna kontrollera om viss behandling är berättigad och utförs i enlighet med lagens bestämmelser. Information om ändamålet med behandlingen behövs också för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål. En bestämmelse som föreskriver att det ska framgå för vilket ändamål personuppgifter be- handlas bör därför tas in i den nya lagen. På samma sätt som i dag bör dock särskilda upplysningar krävas endast om ändamålet inte framgår av sammanhanget eller på något annat sätt. Bestämmelsen bör formuleras på samma sätt som 2 kap. 3 § andra stycket brottsdatalagen.

88

Prop. 2018/19:163 och uppgifternas riktighet i sak. Någon upplysning krävs dock inte om det på grund av särskilda omständigheter är onödigt eller om uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och bearbetningen och analysen befinner sig i ett inledande skede.

På samma sätt som det är viktigt att det framgår om en uppgift rör en icke misstänkt person, är det viktigt att det framgår hur tillförlitlig en underrättelseuppgift bedöms vara. Syftet med en sådan bestämmelse är dels att stärka skyddet för den enskildes integritet, dels att förhindra att uppgifter, vilkas tillförlitlighet och trovärdighet är begränsad, läggs till grund för bedömningar och åtgärder som inte är sakligt motiverade (Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 265). En motsvarande bestämmelse bör därför tas in i den nya lagen.

Kravet på upplysning om uppgiftslämnarens trovärdighet och uppgif- ternas riktighet i sak bör endast avse uppgifter om den som kan antas utöva eller komma att utöva den brottsliga verksamheten. Eftersom det krav som gäller för anknytningen till den brottsliga verksamheten således är mycket lågt ställt träffar regleringen en relativt vid personkrets. Så snart det finns något som stöder ett antagande om att en person har direkt samband med brottslig verksamhet och det är fråga om uppgifter som görs gemensamt tillgängliga bör således uppgifterna om personen förses med särskild upplysning. Det är vidare endast sådana uppgifter som belyser på vilket sätt personen är knuten till brottsligheten som bör förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det kan, förutom anknytningen till den brottsliga verksamheten, t.ex. röra sig om uppgifter om brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas (jfr Brottsdatalag – kompletterande lagstiftning, prop. 2017/18:269, s. 111).

På samma sätt som i dag bör det göras undantag från kravet på särskild upplysning om det inte finns något behov av en sådan därför att det framgår av sammanhanget vem som är uppgiftslämnare och hur trovärdig uppgiften är eller det av annat skäl är onödigt med en sådan upplysning. Den nuvarande formuleringen av bestämmelsen innebär att det krävs särskild upplysning om det inte på grund av särskilda omständigheter är onödigt. Det har framkommit att det anses vara oklart vilka särskilda omständigheter som kan föranleda avsteg från huvudregeln och att det har lett till en omotiverat restriktiv tillämpning. Regeringen har därför i propositionen Brottsdatalag – kompletterande lagstiftning föreslagit att regleringen ska ändras så att det ställs krav på särskilda upplysningar om det inte på grund av omständigheterna är onödigt. Med en sådan formulering undviker man den osäkerhet som kan finnas om vilken typ av omständigheter som kan göra behovet av särskilda upplysningar överflödigt. Om de samlade omständigheterna gör att trovärdigheten och riktigheten kan bedömas bör det vara tillräckligt (prop. 2017/18:269 s. 111 f.). Samma formulering bör användas i den nya lagen. Regeringen återkommer i avsnitt 10.3 till undantaget för ostrukturerad underrättelse- information.

90

Särskilda upplysningar bara om uppgifterna är gemensamt tillgängliga	Prop. 2018/19:163
Kraven på särskilda upplysningar i 6 kap. 9 och 10 §§ gäller enligt nuva-
rande reglering endast uppgifter som har gjorts gemensamt tillgängliga. I
förarbetena till polisdatalagen diskuteras ingående skälen för att ha sådana
bestämmelser och när särskilda upplysningar inte behövs (prop.
2009/10:85 s. 145 f.). När ett fåtal personer behandlar uppgifterna och är
införstådda med varför det görs finns det inget behov av särskilda upp-
lysningar. I dessa fall tillgodoses integritetsskyddet som de särskilda
upplysningarna syftar till att skapa på annat sätt. Behovet av särskilda
upplysningar gör sig således framför allt gällande om personuppgifter be-
handlas utanför sitt ursprungliga sammanhang. Regeringen anser därför,
till skillnad från Datainspektionen, att kravet på särskilda upplysningar på
samma sätt som i dag enbart ska gälla vid behandling av personuppgifter
som har gjorts gemensamt tillgängliga.

10.3Undantag från kravet på särskild upplysning

10.3.1 Behandling av personuppgifter i ostrukturerad information

Informationsmängden ökar ständigt

Säkerhetspolisen tar varje dag emot stora mängder information i olika former och från olika källor. Informationsflödet påverkas av vad som händer i omvärlden och är av naturliga skäl som mest intensivt i samband med särskilda händelser. Som exempel kan nämnas när media publicerade information om en person som vistades i Sverige och som befarades inom kort skulle utföra ett terroristattentat. Det resulterade i en oerhört stor mängd tips från allmänheten. Samtidigt var informationsutbytet intensivt både nationellt och internationellt. Motsvarande kraftiga informations- flöde uppkom vid attentatet på Drottninggatan i Stockholm i april 2017. Även händelser utomlands kan periodvis generera stora mängder information. Säkerhetspolisen kan också förväntas få ta emot allt större informationsmängder generellt.

Bearbetning och analys av underrättelseinformation
Alla handlingar som kommer in till eller upprättas vid Säkerhetspolisen
diarieförs i myndighetens dokument- och ärendehanteringssystem. Den
första bedömningen av uppgifterna görs så snart som möjligt av ansvarig
handläggare i det systemet. Om uppgifterna behöver behandlas i Säker-
hetspolisens underrättelseverksamhet förs de därefter som regel över till
it-systemet för bearbetning och analys. Det systemet innehåller två delar.
Den ena delen är en uppgiftssamling med uppgifter för bearbetning och
analys och den andra en uppgiftssamling med bedömd information.
När en handling har tillförts uppgiftssamlingen för bearbetning och
analys bedöms den även av en särskild granskningsfunktion. Granskning-
en syftar bl.a. till att säkerställa att Säkerhetspolisen överhuvudtaget får
behandla uppgifterna. Behovet av att behandla känsliga personuppgifter
prövas särskilt. Känsliga personuppgifter som inte får behandlas tas bort
genom maskning. Därefter bearbetas informationen genom att uppgifterna	91

Prop. 2018/19:163 bryts ut och kopplas samman med annan information, tematiseras och tillförs särskilda upplysningar om det krävs.

När bearbetningen är klar kan uppgifterna föras över till uppgiftssam- lingen med bedömd information eller tas bort. Det förekommer dock att uppgifterna ligger kvar i uppgiftssamlingen med uppgifter under bearbet- ning och analys även en tid efter det att bearbetningen är färdig. Det framgår dock att bearbetningen av uppgifterna är klar.

Särskilda bestämmelser för gemensamt tillgängliga uppgifter

När det gäller ostrukturerad information dvs. uppgifter som är under bearbetning och analys, kan det vara svårt för Säkerhetspolisen att uppfylla vissa av de krav som ställs på gemensamt tillgängliga uppgifter. Svårigheten gäller främst kravet i 6 kap. 10 § andra stycket polisdatalagen på upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (avsnitt 10.2). Uppgifterna kan normalt inte förses med sådana upplysningar förrän de har bearbetats. Därför görs det i 6 kap. 10 § andra stycket undantag från kravet på sådan upplysning, om person- uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och bearbetningen och analysen befinner sig i ett inledande skede. Enligt förarbetena ska det vara fråga om en kortare period (prop. 2009/10:85 s. 370 f.).

10.3.2Det befintliga undantaget bör justeras

Regeringens förslag: Gemensamt tillgängliga personuppgifter ska inte behöva förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak om

1.uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till, och

2.bearbetningen av uppgifterna inte har genomförts.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Endast Säkerhets- och integritetsskyddsnämnden

yttrar sig i denna del och anför att det inte av betänkandet går att läsa ut när bearbetningen av uppgifterna kan anses genomförd. Som undantaget är formulerat finns det därför en risk att kravet på särskild upplysning inte kommer att uppfyllas i uppgiftssamlingar för bearbetning och analys.

	Skälen för regeringens förslag
	Bör undantaget justeras?
	Som framgår av avsnitt 10.3.1 är det inte meningen att ostrukturerad
	underrättelseinformation ska behandlas i en uppgiftssamling för bearbet-
	ning och analys någon längre tid utan att den bearbetas. Utgångspunkten
	är att analysen av den ostrukturerade informationen ska genomföras så
	snabbt som möjligt. På grund av den omfattande mängd information som
	periodvis kan komma in till Säkerhetspolisen har myndigheten dock inte
	alltid möjlighet att strukturera de uppgifter som förs in i uppgiftssamlingen
92	för bearbetning och analys så snabbt som förutsätts i 6 kap. 10 § andra

Prop. 2018/19:163 Säkerhetspolisens behov av ett något generösare undantag från kravet på särskilda upplysningar. Utgångspunkten är dock fortfarande att Säkerhetspolisen ska genomföra bearbetningen och analysen av den ostrukturerade informationen så snart som möjligt.

Det är viktigt att understryka att hela uppgiftssamlingen för bearbetning och analys inte undantas från kravet på särskilda upplysningar. Undantaget omfattar endast sådana uppgifter i uppgiftssamlingen som inte har hunnit bearbetas. Så snart bearbetningen är genomförd och informationen strukturerad är undantaget inte längre tillämpligt. Personuppgifterna ska då förses med särskilda upplysningar om det behövs.

När ska behandlingen senast upphöra?

I avsnitt 12.2.3 föreslås att personuppgifter i en uppgiftssamling för bearbetning och analys som längst ska få behandlas tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Som framgår av avsnitt 12.2.1 får personuppgifter dock aldrig behandlas under längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Behandlingen ska således upphöra även om tidsfristen om tre år inte har löpt ut om uppgiften inte längre behövs för ändamålet med behandlingen. Det förutsätter dock att det går att bedöma om behandlingen är nödvändig för ändamålet. Huvudregeln ger således stöd för fortsatt behandling så länge uppgifterna behövs för något av de tillåtna ändamålen. Det finns därför stöd för fortsatt behandling om Säkerhetspolisen t.ex. bedömer att uppgifterna allmänt är värdefulla för att förebygga, förhindra och upptäcka brottslig verksamhet (prop. 2009/10:85 s. 327 och 367 f.).

När det gäller ostrukturerad underrättelseinformation ligger det i sakens natur att det är svårt att bedöma det fortsatta behovet av behandling. Bedömningen måste innan bearbetningen och analysen är klar göras på ett mer övergripande plan och i större utsträckning utgå från sannolikheten att uppgifterna kan komma att behövas i verksamheten än en reell bedömning av den enskilda uppgiften. Enligt regeringens mening kan det vid en sådan övergripande bedömning ofta finnas behov av fortsatt behandling av den ostrukturerade informationen för något av de ändamål som är tillåtna enligt lagen.

11 Informationsutbyte

11.1Behovet av att kommunicera elektroniskt har ökat

11.1.1Olika former av elektroniskt utlämnande

Direktåtkomst

Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som vanligtvis avses med direktåtkomst är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter

94

Prop. 2018/19:163 uppgifter typiskt sett blir tillgängliga för fler personer i de verksamheter som har åtkomst och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar (Utlänningsdatalag, prop. 2015/16:65, s. 89 f.).

Viss sekretessreglering har införts för att minska de risker som ökat elektroniskt utlämnande medför. Enligt 11 kap. 4 § offentlighets- och sekretesslagen (2009:400) gäller att om en myndighet har elektronisk till- gång till en upptagning för automatiserad behandling hos en annan myn- dighet och en uppgift i denna upptagning är sekretessreglerad, blir sekre- tessbestämmelsen tillämplig även hos den mottagande myndigheten.

11.1.2Nuvarande möjligheter till elektroniskt utlämnande

I 2 kap. 20 § polisdatalagen (2010:361) föreskrivs att enstaka personupp- gifter får lämnas ut på medium för automatiserad behandling. Bestäm- melsen gäller för Säkerhetspolisen genom hänvisning i 6 kap. 4 § 7 polis- datalagen. Regeringen kan meddela föreskrifter om att uppgifter får läm- nas ut på sådant medium även i andra fall. Sådana föreskrifter finns i bl.a. 18 § polisdataförordningen (2010:1155).

I förarbetena till polisdatalagen konstaterar regeringen att en ordning som innebär informationsutbyte enbart genom manuell behandling skapar praktiska problem, eftersom brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna utföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Därför infördes regler om direktåtkomst i polisdatalagen. Regeringen an- såg dock att det inte borde vara möjligt att medge direktåtkomst till per- sonuppgifter som behandlas av Säkerhetspolisen, eftersom myndigheten behandlar särskilt känsliga uppgifter. Några skäl för att ge möjlighet till direktåtkomst till sådana personuppgifter framkom varken under det ut- redningsarbete som låg till grund för lagstiftningen eller under remissbe- handlingen (Integritet och effektivitet i polisens brottsbekämpande verk- samhet, prop. 2009/10:85, s. 178 f.). Säkerhetspolisen fick därför inte någon möjlighet att tillhandahålla personuppgifter genom direktåtkomst vid polisdatalagens tillkomst.

Sedan den 1 mars 2018 har Säkerhetspolisen dock enligt 6 kap. 11 a § polisdatalagen möjlighet att medge Försvarets radioanstalt och Försvars- makten direktåtkomst till personuppgifter som gjorts gemensamt till- gängliga i Säkerhetspolisens brottsbekämpande verksamhet och som be- hövs för att dessa myndigheter, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen. Bestämmelsen tillkom för att effektivisera informationsutbytet inom ramen för Nationellt centrum för terrorhotbedömningar (Ett effektivare informationsutbyte vid Nationellt centrum för terrorhotbedömningar, prop. 2017/18:36).

	11.1.3	Ett effektivare informationsutbyte är nödvändigt
	Det största terrorhotet mot Sverige kommer enligt Säkerhetspolisen från
96	våldsbejakande islamistiska grupper. Flera hundra personer har rest från

Sverige till konfliktområden för att ansluta sig till al-Qaidainspirerade Prop. 2018/19:163 grupper eller till Daesh. De som rest till ett konfliktområde utomlands och

tränat eller stridit för våldsfrämjande grupper har förvärvat förmågor och skapat kontakter med individer som kan hjälpa dem att begå terroristattentat eller radikalisera eller rekrytera andra efter hemkomsten. Sammantaget bedöms hotet från våldsbejakande islamister mot Sverige vara förhöjt.

Säkerhetspolisen har stora behov av att utbyta information med såväl andra myndigheter som utländska samarbetspartners. Utbytet sker i dag huvudsakligen manuellt, både i förhållande till svenska och utländska myndigheter. Begränsningarna när det gäller elektroniskt utlämnande medför att myndigheten måste delge operativ information antingen i pap- persform eller elektroniskt i enskilda handlingar. Eftersom Säkerhetspo- lisen dagligen utbyter mellan 50 och 100 meddelanden med enbart andra staters underrättelse- och säkerhetstjänster innebär det en avsevärd be- gränsning. Information som andra myndigheter har behov av kommer enligt Säkerhetspolisen inte myndigheterna till del i den utsträckning som är önskvärd på grund av att sätten för utlämnande är ineffektiva och resurskrävande. Det finns därför risk att viktig och brådskande information inte når fram i tid.

Säkerhetspolisens behov av effektivare informationsutbyte har ökat markant under de senaste åren. Det politiska läget i Sverige och i omvärl- den, med bl.a. omfattande flyktingströmmar och ett ständigt terrorhot, ställer nya krav på samarbete och effektivt informationsutbyte med både svenska och utländska myndigheter. Mot den bakgrunden finns det skäl att se över Säkerhetspolisens möjligheter till elektroniskt utlämnande av uppgifter.

11.2Elektroniskt utlämnande på annat sätt än genom direktåtkomst

Regeringens förslag: Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Endast Datainspektionen yttrar sig i denna del och

avstyrker förslaget. Utan en närmare analys av vilka effekter på den personliga integriteten som utvidgningen får eller kan få går det inte att avgöra om utvidgningen kan anses proportionerlig i förhållande till en- skildas personliga integritet.

Skälen för regeringens förslag: Bestämmelsen i 2 kap. 20 § polisdatalagen om att bara enstaka personuppgifter får lämnas ut på medium för automatiserad behandling har kritiserats då den ansetts otidsenlig och i alltför hög grad begränsade möjligheten att utnyttja de fördelar som elektronisk kommunikation kan ge. Mot bl.a. den bakgrunden föreslog regeringen i propositionen Brottsdatalag – kompletterande lagstiftning att begränsningen till enstaka personuppgifter skulle tas bort och att personuppgifter ska få lämnas ut elektroniskt på

97

Prop. 2018/19:163 direktåtkomst tillåtet bara i den utsträckning som följer av lagen. I för- arbetena till polisdatalagen framhålls att det från integritetssynpunkt finns fördelar med en lösning där det i lagen framgår i vilken utsträckning direktåtkomst får medges. Det underlättar för tillämparen om det anges i vilken utsträckning direktåtkomst får förekomma (prop. 2009/10:85 s. 172). En motsvarande bestämmelse bör därför införas i den nya lagen. Genom det säkerställs att riksdagen beslutar om i vilken utsträckning det är tillåtet att medge direktåtkomst.

11.3.2Direktåtkomst för vissa svenska myndigheter

Regeringens förslag: Polismyndigheten ska för att kunna förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott eller för att kunna fullgöra sina uppgifter enligt utlänningslagen eller lagen om särskild utlänningskontroll få medges direktåtkomst till personuppgifter som Säkerhetspolisen behandlar för vissa syften.

Försvarets radioanstalt ska i sin försvarsunderrättelseverksamhet få medges direktåtkomst till personuppgifter som Säkerhetspolisen be- handlar för vissa syften. Detsamma ska gälla Försvarsmakten i dess försvarsunderrättelseverksamhet och militära säkerhetstjänst.

Direktåtkomsten ska endast få avse personuppgifter som har gjorts gemensamt tillgängliga.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag till direktåtkomst för Polismyndigheten omfattar inte personuppgifter som behandlas för att fullgöra uppgifter enligt utlännings- och medborgarskapslagstiftningen. Enligt förslaget får direktåtkomst medges i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten hos både Försvarsmakten och Försvarets radioanstalt.

Remissinstanserna: Datainspektionen anser att riskerna och effekterna av att medge de aktuella myndigheterna direktåtkomst behöver utredas ytterligare och avstyrker därför förslaget. Justitiekanslern anser att det i betänkandet redovisas utförliga analyser både av behovet av att införa en möjlighet till direktåtkomst och det integritetsintrång det kan förväntas medföra. Det görs också tydliga överväganden kring säkerhetsåtgärder som minskar riskerna för den personliga integriteten och det finns inte skäl att invända mot den huvudsakliga intresseavvägningen som betänkandet presenterat. Säkerhetspolisen anser att möjligheten att medge Polismyndigheten direktåtkomst även bör omfatta personuppgifter enligt utlännings- och medborgarskapslagstiftningen. Myndigheten anser vidare att det bör tydliggöras om den föreslagna möjligheten att medge För- svarsmakten och Försvarets radioanstalt direktåtkomst även omfattar sådana uppgifter som regleras i 6 kap. 11 a § polisdatalagen. Försvarets radioanstalt påpekar att det bör tydliggöras att direktåtkomsten för myn- digheten endast avser dess försvarsunderrättelseverksamhet.

100

Prop. 2018/19:163 är att det finns risk att de uppgifter som Säkerhetspolisen överför till uppgiftssamlingen inte uppdateras när uppgifterna uppdateras i verksamheten. Det kan därför vara lämpligare att medge direktåtkomst till viss information i Säkerhetspolisens it-system och i stället begränsa tillgången till informationen genom tilldelning av behörighet eller på annat sätt. Möjligheten att begränsa tillgången är i stort sett densamma oavsett vilken teknisk lösning som väljs. Bestämmelserna om direktåtkomst i den nya lagen bör mot den bakgrunden inte begränsas till en uppgiftssamling eller någon liknande teknisk lösning.

Det bör framgå av lagen att regeringen eller den myndighet som rege- ringen bestämmer kan meddela föreskrifter om omfattningen av direktåt- komsten och om behörighet och säkerhet vid sådan åtkomst.

Direktåtkomst inom ramen för samarbetet vid Nationellt centrum för terrorhotbedömning behöver inte regleras särskilt

Enligt 6 kap. 11 a § första stycket polisdatalagen har Säkerhetspolisen möjlighet att medge Försvarets radioanstalt och Försvarsmakten direkt- åtkomst inom ramen för samarbetet vid Nationellt centrum för terror- hotbedömning. Den möjlighet att medge Försvarets radioanstalt och För- svarsmakten direktåtkomst till uppgifter som behandlas inom bl.a. områ- det kontraterrorism som nu föreslås omfattar uppgiftsutbytet inom ramen för samarbetet vid Nationellt centrum för terrorhotbedömning. Någon bestämmelse som motsvarar 6 kap. 11 a § första stycket polisdatalagen behövs därför inte i den nya lagen.

Enligt 6 kap. 11 a § andra stycket ansvarar en myndighet som har medgetts direktåtkomst för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sin arbetsuppgift. I 1 kap. 16 § lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst och 1 kap. 16 § lagen (2007:259) om behandling av personuppgifter

iFörsvarets radioanstalts försvarsunderrättelse- och utvecklingsverk- samhet, föreskrivs motsvarande begränsning. Även i brottsdatalagen har det införts en generell bestämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen är tillämplig för Polismyndigheten. Att aktuella myndigheter är skyldiga att vid direktåtkomst begränsa tillgången till uppgifter är således redan reglerat. En bestämmelse som motsvarar 6 kap. 11 a § andra stycket behövs därför inte i den nya lagen.

Risken för integritetsintrång ska minimeras

Direktåtkomst innebär som nyss nämnts inte att fler eller andra person- uppgifter får behandlas eller tillhandahållas. För att det ska vara accepta- belt att tillåta direktåtkomst måste det emellertid säkerställas att det finns ett tillfredsställande skydd för den personliga integriteten.

En första viktig aspekt är vilket sekretesskydd personuppgifterna har hos den mottagande myndigheten. Sekretessregleringen ger i princip samma skydd för uppgifter i den brottsbekämpande verksamheten och i försvarsunderrättelseverksamheten. Uppgifter hos Säkerhetspolisen om- fattas som regel av sekretess enligt 15 kap. 1 och 2 §§ och 18 kap. 1 och

104

2 §§ offentlighets- och sekretesslagen, dvs. utrikessekretess, försvarssek- Prop. 2018/19:163 retess och sekretess till skydd för brottsbekämpning. Dessa sekretessbe-

stämmelser gäller även hos Polismyndigheten, Försvarsmakten och Försvarets radioanstalt. Skyddet för enskildas personliga och ekonomiska förhållanden regleras i olika kapitel i offentlighets- och sekretesslagen för myndigheterna i fråga. För Säkerhetspolisen och Polismyndigheten finns reglerna i 35 kap. och 37 kap. offentlighets- och sekretesslagen, medan de för Försvarsmakten och Försvarets radioanstalt finns i 38 kap. Regleringen ger dock i princip samma skydd.

En annan viktig fråga är hur uppgifterna kommer att användas hos den mottagande myndigheten. Om kretsen av personer som får tillgång till uppgifterna kan begränsas är risken för integritetsintrång generellt sett mindre. Av respektive myndighets registerförfattning framgår att till- gången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Det är således endast de tjänstemän som har behov av uppgifterna som får ges tillgång till dem.

Informationssäkerheten hos den mottagande myndigheten är också en viktig fråga. Är den säkerheten hög, så att det kan garanteras att informa- tionen endast når dem som har rätt till den, inger möjlighet till direktåt- komst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet (jfr prop. 2009/10:85 s. 176). Polismyndigheten, Försva- rets radioanstalt och Försvarsmakten har generellt en mycket hög säkerhet när det gäller hantering av information.

I förarbetena till polisdatalagen framhålls att det i fråga om direktåt- komst bör vara den myndighet som ansvarar för datasystemen som avgör i vilken utsträckning en annan myndighet kan anses tillgodose kraven på tillräcklig säkerhet. Den som medger direktåtkomst ska kunna ha kontroll över att det egna datasystemet alltjämt har tillräcklig säkerhet även efter det att andra myndigheter fått tillgång till det (prop. 2009/10:85 s. 178). Den närmare bedömningen av tekniska och andra förutsättningar för direktåtkomst bör därför göras av Säkerhetspolisen. Innan Säkerhetspoli- sen medger direktåtkomst bör myndigheten således försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå. Det kan exempelvis vara fråga om system för utlämnande av behörighet, loggning av transaktioner och annan intern kontroll. Säkerhetspolisen bör kunna ställa upp villkor som rör sådana frågor. Det kan regleras i förordning.

Datainspektionen anser att riskerna och effekterna av att ge aktuella myndigheter direktåtkomst behöver utredas ytterligare. Regeringen anser dock, i likhet med Justitiekanslern, att utredningen ingående analyserar både behovet av direktåtkomst och de ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra och hur dessa kan motverkas genom reglering av annat slag, som bestämmelser om sekretess, tillgång till uppgifter, informationssäkerhet och en effektiv tillsyn. Mot den bakgrunden anser regeringen att Säkerhetspolisen bör få möjlighet att medge vissa svenska myndigheter direktåtkomst.

I avsnitt 11.4 behandlas frågan om hur sekretessregleringen förhåller sig till de föreslagna bestämmelserna om direktåtkomst.

105

Prop. 2018/19:163 11.3.3		Direktåtkomst för underrättelse- och
		säkerhetstjänster inom EU och EES
	Regeringens förslag: Om det behövs för samarbetet mot terrorism ska
	Säkerhetspolisen få medge en underrättelse- eller säkerhetstjänst i en
	medlemsstat i Europeiska unionen eller Europeiska ekonomiska
	samarbetsområdet direktåtkomst till personuppgifter som har gjorts
	gemensamt tillgängliga och som behandlas i syfte att förebygga, för-
	hindra eller upptäcka brottslig verksamhet som innefattar terrorbrott.
	Innan direktåtkomst medges en utländsk underrättelse- eller säker-
	hetstjänst ska Säkerhetspolisen underrätta regeringen.
	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Utredningen föreslår att direktåtkomst ska ges till en avskild uppgifts-
	samling som upprättats i syfte att dela information med utländska mot-
	tagare.
	Remissinstanserna: Datainspektionen avstyrker utredningens förslag
	av samma skäl som när det gäller möjligheten till direktåtkomst för sven-
	ska myndigheter. Justitiekanslern anser, som redovisas under direktåt-
	komst för svenska myndigheter, att det inte finns skäl att invända mot den
	intresseavvägning som gjorts i betänkandet. Säkerhets- och integritets-
	skyddsnämnden anför att man har förståelse för Säkerhetspolisens behov
	av att kunna effektivisera informationsutbytet genom direktåtkomst, men
	anser att det finns anledning att ytterligare analysera frågan hur de per-
	sonuppgifter som genom direktåtkomst sprids till utländska mottagare
	skyddas. Enligt nämnden bör i vart fall en liknande reglering beträffande
	villkor som föreslås gentemot svenska myndigheter övervägas även för
	utländska mottagare. Sveriges advokatsamfund anser att svenska myndig-
	heters möjlighet att utbyta underrättelseinformation och samarbeta med
	andra länders myndigheter i många fall är ett angeläget och berättigat
	intresse, men att de svenska myndigheterna i sådana situationer inte kom-
	mer att ha någon insyn i eller kontroll över hur de personuppgifter be-
	handlas hos de utländska myndigheterna och för vilka ändamål behand-
	lingen egentligen sker. Säkerhetspolisen förordar att möjligheten till
	direktåtkomst görs utan villkoret att personuppgifterna ska behandlas i en
	avskild uppgiftssamling.
	Skälen för utredningens förslag
	Viss reglering av direktåtkomst för utländska myndigheter finns
	Inom ramen för EU-samarbetet har olika lösningar skapats som ger
	möjligheter att överföra personuppgifter elektroniskt. Ett exempel är
	Schengen Information System (SIS), som regleras i lagen (2000:344) om
	Schengens informationssystem. Varje stat ansvarar för sin del av systemet
	och registrerar uppgifter som genom EU:s försorg är åtkomliga genom
	direktåtkomst i varje stat som är medlem i Schengensamarbetet. Inom
	ramen för samarbetet enligt Prümrådsbeslutet får medlemsstaterna medge
	varandra direktåtkomst till uppgifter i dna- och fingeravtrycksregister. Ett
	annat exempel är samarbetet med Europol. Europol ansvarar för olika
	databaser och uppgiftssamlingar och ger myndigheter i medlemsstaterna
106	tillgång till vissa uppgiftssamlingar genom direktåtkomst. Införlivandet av

Prop. 2018/19:163 des. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer be- gränsande reglerna om gemensamt tillgängliga uppgifter alltid tillämpas. På samma sätt som när det gäller direktåtkomst för Polismyndigheten, Försvarsmakten och Försvarets radioanstalt bör direktåtkomst därför bara kunna ges till uppgifter som har gjorts gemensamt tillgängliga.

Det är framför allt i samarbetet mot terrorism som det finns behov av att tillhandahålla information genom direktåtkomst. Direktåtkomsten för utländska underrättelse- och säkerhetstjänster bör därför begränsas till personuppgifter som Säkerhetspolisen behandlar i syfte att förebygga, förhindra eller upptäcka terrorbrott eller utreda sådana brott och som behövs för samarbetet mot terrorism.

För att förhindra att utländska myndigheter får del av fler uppgifter än vad de behöver har utredningen föreslagit att direktåtkomsten för underrättelse- och säkerhetstjänster inom EU eller EES endast ska få ges till uppgifter i en avskild uppgiftssamling som Säkerhetspolisen har upp- rättat i direkt syfte att dela information med sina utländska motsvarigheter. Säkerhetspolisen anser att det sätter upp onödiga och arbetskrävande begränsningar som inte kan motiveras av integritetsskäl.

Innan Säkerhetspolisen tillhandahåller personuppgifter till utländska myndigheter är Säkerhetspolisen skyldig att pröva dels om det finns sakliga skäl att låta en utländsk underrättelse- eller säkerhetstjänst få del av uppgifterna, dels de rättsliga förutsättningarna för att lämna ut dem. I det ingår att en sekretessprövning görs, om det inte finns någon sekre- tessbrytande bestämmelse som är tillämplig. Det gäller oavsett på vilket sätt uppgifterna tillhandahålls. När det konstaterats att uppgifterna kan lämnas ut kan de göras tillgängliga för direktåtkomst. Den faktiska till- gången till dem kan sedan begränsas genom tilldelning av behörigheter eller på annat sätt. Mot den bakgrunden anser regeringen att det inte bör krävas att direktåtkomsten för utländska mottagare begränsas till person- uppgifter som behandlas i en avskild uppgiftssamling

I avsnitt 11.4 behandlas frågan om hur sekretessregleringen förhåller sig till den föreslagna bestämmelsen om direktåtkomst.

Risken för integritetsintrång ska minimeras

En bestämmelse om direktåtkomst anger endast i vilken form uppgifterna får lämnas ut och innebär inte att andra uppgifter än de som i dag får lämnas ut kommer att lämnas ut. Det är viktigt att komma ihåg att det är fråga om en möjlighet för Säkerhetspolisen att medge en utländsk myn- dighet direktåtkomst, inte någon rätt för mottagaren att få sådan åtkomst. På samma sätt som vid annat utlämnande är det Säkerhetspolisen som avgör vilka uppgifter som ska tillgängliggöras för direktåtkomst.

Både Säkerhets- och integritetsskyddsnämnden och Sveriges advokat- samfund har haft synpunkter på hur de personuppgifter som genom direktåtkomst tillgängliggörs för utländska myndigheter ska skyddas. När personuppgifter lämnas ut till utländska myndigheter för behandling där kan det inte sällan vara svårt att avgöra vilket skydd uppgifterna får. Det gäller emellertid inte om utlämnandet begränsas till underrättelse- och säkerhetstjänster inom EU och EES. Där är regleringen av personupp- giftsbehandling och skyddet för personuppgifter, som utredningen fram-

108

håller, till stor del detsamma, eftersom alla stater är bundna av data- Prop. 2018/19:163 skyddskonventionen. För EU:s medlemsstater gäller även andra rättsakter

som skapar en enhetlig reglering. Som Säkerhets- och integritets- skyddsnämnden framhåller bör Säkerhetspolisen också, på samma sätt som när det gäller möjlighet till direktåtkomst för svenska myndigheter, försäkra sig om att den utländska mottagaren har en acceptabel säkerhetsnivå innan direktåtkomst medges. Säkerhetspolisen bör även kunna ställa upp villkor som rör sådana frågor. Det kan regleras i förordning.

Det är särskilt viktigt att ett beslut att medge en utländsk myndighet direktåtkomst föregås av noggranna överväganden. För att säkerställa att sådana överväganden görs och att det lämpliga i att en annan stats myn- dighet genom direktåtkomst får del av vissa uppgifter noga övervägs, bör det i den nya lagen tas in en bestämmelse som föreskriver att Säkerhets- polisen, innan direktåtkomst medges första gången, ska underrätta rege- ringen. En sådan underrättelse ger regeringen möjlighet att, om det skulle visa sig vara nödvändigt, kunna utfärda närmare föreskrifter om direktåt- komsten.

Datainspektionen anser även när det gäller direktåtkomst för utländska mottagare att riskerna och effekterna av att medge direktåtkomst behöver utredas ytterligare. Regeringen anser dock i likhet med Justitiekanslern att utredningen ingående analyserar både behovet av direktåtkomst och de ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra och hur dessa kan motverkas genom reglering av annat slag, som bestämmelser om underrättelseskyldighet och informationssäkerhet. Mot den bakgrunden anser regeringen att Säkerhetspolisen bör få möjlighet att medge utländska underrättelse- och säkerhetstjänster direktåtkomst.

11.4Sekretessbrytande bestämmelser

11.4.1	Varför behövs sekretessbrytande bestämmelser?
Sekretess hos Säkerhetspolisen
De personuppgifter som Säkerhetspolisen behandlar omfattas som regel
av sekretess enligt 15 kap. 1 och 2 §§ och 18 kap. 1 och 2 §§ offentlighets-
och sekretesslagen (2009:400). Där regleras utrikes- och försvars-
sekretessen och sekretessen till skydd för brottsbekämpningen. Bestäm-
melserna är tillämpliga på uppgifter som hänför sig till eller rör viss
verksamhet. Det innebär att de gäller i all verksamhet där sådana uppgifter
förekommer.
Uppgifter om enskilda i Säkerhetspolisens verksamhet omfattas som
regel av sekretess enligt 35 kap. 1 § offentlighets- och sekretesslagen.
Enligt paragrafen gäller sekretess för uppgifter som rör enskildas person-
liga och ekonomiska förhållanden och som förekommer i verksamhet för
att bl.a. förebygga brott. Uppgifter om enskilda kan även omfattas av
sekretess enligt 37 kap. 1 § och 21 kap. 3 och 5 §§. Enligt 37 kap. 1 §
gäller sekretess i verksamhet för kontroll över utlänningar och i ärenden
om svenskt medborgarskap. Enligt 21 kap. 3 § gäller sekretess för en-
skildas kontaktuppgifter i vissa situationer och enligt 5 § gäller sekretess
till skydd för utlännings säkerhet i vissa fall.		109

En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till Prop. 2018/19:163 uppgifter som, vid en sekretessprövning, den senare myndigheten inte med

säkerhet skulle ha rätt att ta del av (Utökat elektroniskt informationsutbyte, prop. 2007/08:160, s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en bestämmelse om uppgiftsskyldighet eller att det finns en annan sekretessbrytande bestämmelse som gör att uppgiften kan lämnas ut (prop. 2009/10:85 s. 189 f.) I flera av de brottsbekämpande myndigheternas registerför– fattningar finns det därför sekretessbrytande bestämmelser vid direktåtkomst.

11.4.2Sekretessbrytande bestämmelser gentemot svenska myndigheter

Regeringens förslag: Polismyndigheten ska, trots viss sekretess enligt offentlighets- och sekretesslagen, ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften, om Polismyndigheten behöver uppgifterna för brottsbekämpning eller lagföring eller för att fullgöra uppgifter enligt utlänningslagen eller lagen om särskild utlänningskontroll.

Försvarsmakten ska, trots viss sekretess enligt offentlighets- och sekretesslagen, ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften, om myndigheten behöver uppgifterna i sin försvars- underrättelseverksamhet eller militära säkerhetstjänst. Detsamma gäller för Försvarets radioanstalt om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Då utredningen inte föreslår att direktåtkomsten för Polismyndigheten ska omfatta personuppgifter som behandlas för att fullgöra uppgifter enligt utlännings- och medborgarskapslagstiftningen finns det inte med i den sekretessbrytande bestämmelsen för Polismyndigheten.

Remissinstanserna: Datainspektionen avstyrker förslaget då myndig- heten anser att Polismyndigheten, Försvarets radioanstalt och Försvars- makten inte ska medges direktåtkomst till uppgifter som Säkerhetspolisen behandlar. Det finns därmed inte skäl att utöka rätten för myndigheterna att ta del av uppgifter via föreslaget sekretessgenombrott. Säkerhetspolisen påpekar att den sekretessbrytande bestämmelsen för Polismyndigheten bör justeras så att den även omfattar personuppgifter som behandlas för att fullgöra uppgifter enligt utlännings- och medborgarskapslagstiftningen.

Skälen för utredningens förslag

Sekretessen måste brytas

I avsnitt 11.3.2 föreslås att Säkerhetspolisen ska ges möjlighet att lämna ut personuppgifter till Polismyndigheten, Försvarets radioanstalt och För- svarsmakten genom direktåtkomst. Eftersom de uppgifter som Säkerhets- polisen behandlar i sin brottsbekämpande verksamhet som regel omfattas av sekretess behövs det bestämmelser som bryter sekretessen för att

111

Säkerhets- och integritetsskyddsnämnden har vid en granskning uttalat Prop. 2018/19:163 sig om den bedömning som ska göras vid utlämnande med stöd av 2 kap.

15 § polisdatalagen. Nämnden hänvisar till förarbetena till den tidigare gällande sekretesslagen (1980:100), där det anges att det intresse som sekretessen ska skydda ska tas med i bedömningen av om ett utlämnande kan anses förenligt med svenska intressen. Nämnden konstaterar att Säkerhetspolisens behov av att lämna uppgifter alltid måste vägas mot sekretessintresset, t.ex. det integritetsintrång och de konsekvenser som det kan innebära för den enskilde, vid bedömningen av om känslig underrättelseinformation kan lämnas till utlandet (se uttalande den 22 maj 2013, dnr 205–2012 s. 3).

Säkerhetspolisen bör kunna lämna ut uppgifter till en utländsk myn- dighet eller mellanfolklig organisation i samma utsträckning som i dag. En bestämmelse om det bör därför tas in i den nya lagen. Det innebär att Säkerhetspolisen, innan uppgifter görs tillgängliga för direktåtkomst, måste pröva om utlämnandet är förenligt med svenska intressen.

Det bör påpekas att när Säkerhetspolisen lämnar personuppgifter till mottagare i tredjeland eller till internationella organisationer måste myn- digheten se till att utlämnandet är förenligt med bestämmelserna om överföring till sådana mottagare (avsnitt 17.3 och 17.4).

11.4.4Uppgiftsskyldighet när det gäller rättsstatistik

Regeringens förslag: Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag: Enligt 2 kap. 14 § polisdatalagen ska personuppgifter som är nödvändiga för att framställa rättsstatistik lämnas till den myndighet som ansvarar för att framställa sådan statistik. Be- stämmelsen gäller för Säkerhetspolisen genom en hänvisning i 6 kap. 4 § 6 polisdatalagen. Enligt 2 § förordningen (2016:1201) med instruktion för Brottsförebyggande rådet är rådet statistikansvarig myndighet. Av 24 kap.

8§ första stycket offentlighets- och sekretesslagen gäller absolut sekretess för uppgifter om en enskilds personliga och ekonomiska förhållanden i sådan särskild verksamhet hos en myndighet som avser framställning av statistik.

Skyldigheten att lämna uppgifter till rättsstatistiken regleras numera i

2kap. 21 § brottsdatalagen. En motsvarande bestämmelse bör finnas i den nya lagen.

115

Prop. 2018/19:163	12	Längsta tid som personuppgifter får
		behandlas
	12.1	Struktur och terminologi i den nya lagen
	Regeringens förslag: Bestämmelser som motsvarar befintliga be-
	stämmelser i polisdatalagen om bevarande och gallring ska tas in i den
	nya lagen. De ska formuleras så att det tydligt framgår att det är fråga
	om dataskyddsbestämmelser.
	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Kammarrätten i Stockholm påpekar att de olika
	tidsfristerna för hur länge personuppgifter får behandlas är mycket svår-
	överskådliga och att det skulle vara bra om det gick att hitta ett mer en-
	hetligt system. Riksarkivet ser positivt på att terminologin på området
	renodlas så att begreppen bevarande och gallring endast används i arkiv-
	lagens (1990:782) mening. Riksarkivet välkomnar att det slås fast att reg-
	leringen inte hindrar att en myndighet arkiverar och bevarar allmänna
	handlingar.
	Skälen för regeringens förslag
	Olika typer av bestämmelser
	Enligt huvudregeln i 6 kap. 6 § första stycket polisdatalagen (2010:361)
	får personuppgifter som Säkerhetspolisen behandlar inte bevaras under
	längre tid än vad som behövs för något eller några av de ändamål som
	anges i kapitlet. Därutöver finns det i 6 kap. polisdatalagen ytterligare två
	typer av bestämmelser om bevarande och gallring av personuppgifter. De
	gäller enbart personuppgifter som behandlas automatiserat.
	Den ena typen är bestämmelser om gallring och finns i 6 kap. 7 och
	12 §§. De gäller för personuppgifter som inte förekommer i ärenden om
	utredning av eller lagföring för brott. Regleringen innebär att personupp-
	gifterna inte får behandlas automatiserat efter vissa i lagen angivna tids-
	frister. De får alltså inte heller som utgångspunkt arkiveras digitalt. Det
	följer av att det i 2 kap. 2 § andra stycket polisdatalagen görs undantag från
	8 § andra stycket personuppgiftslagen (1998:204), som föreskriver att
	arkivlagstiftningen har företräde framför personuppgiftslagstiftningen.
	Bestämmelsen gäller för Säkerhetspolisen genom en hänvisning i 6 kap.
	4 § 1. Behandling för arkivändamål är dock tillåten om det med stöd av
	6 kap. 7 § tredje stycket eller 6 kap. 14 § har meddelats föreskrifter om att
	personuppgifterna får bevaras för historiska, statistiska eller vetenskapliga
	ändamål.
	Den andra typen av bestämmelser begränsar möjligheten att behandla
	personuppgifter i myndighetens brottsbekämpande verksamhet. De finns i
	6 kap. 13 § polisdatalagen, som hänvisar till 3 kap. 9–13 §§ samma lag.
	Bestämmelserna gäller för personuppgifter som har gjorts gemensamt
	tillgängliga i ärenden om utredning av eller lagföring för brott. De före-
	skriver hur länge personuppgifterna får behandlas i den brottsbekämpande
	verksamheten men det hindrar inte, till skillnad från bestämmelserna om
116	gallring,	att handlingarna arkiveras digitalt enligt arkivlagens