1 kap. Inledande bestämmelser
1 § Denna lag genomför Europaparlamentets och rådets
direktiv (EU) 2016/681 av den 27 april 2016 om användning av
passageraruppgiftssamlingar (PNR-uppgifter) för att
förebygga, förhindra, upptäcka, utreda och lagföra
terroristbrott och grov brottslighet, här benämnt
PNR-direktivet. Med PNR-uppgifter avses i lagen uppgifter om
varje enskild passagerare som har lämnats vid bokning av en
flygresa och vid incheckning.
Lagen innehåller bestämmelser om lufttrafikföretags
överföring av PNR-uppgifter till enheten för
passagerarinformation och om behandling av PNR-uppgifter i
verksamhet för att förebygga, förhindra, upptäcka, utreda
eller lagföra terroristbrottslighet eller annan allvarlig
brottslighet.
Med terroristbrottslighet avses i lagen brott enligt
artiklarna 3-12 och 14 i Europaparlamentets och rådets
direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av
terrorism, om ersättande av rådets rambeslut 2002/475/RIF och
om ändring av rådets beslut 2005/671/RIF.
Med annan allvarlig brottslighet avses i lagen de brott som
anges i bilaga II till PNR-direktivet och för vilka det i
Sverige eller andra medlemsstater är föreskrivet fängelse i
tre år eller mer.
2 § Syftet med lagen är att tillgodose behovet av tillgång
till PNR-uppgifter i verksamhet för att förebygga, förhindra,
upptäcka, utreda eller lagföra terroristbrottslighet eller
annan allvarlig brottslighet och att skydda människor mot att
deras personliga integritet kränks vid behandlingen av
uppgifterna om dem.
3 § I lagen används följande uttryck med nedan angiven
betydelse.
Uttryck Betydelse
Behörighetsbegränsade
PNR-uppgifter Personuppgifter som har gjorts
otillgängliga för en användare
som saknar särskild behörighet
för att få tillgång till
uppgifterna.
Behörig mottagare En behörig myndighet i Sverige,
en enhet för passagerarinformation
i en annan medlemsstat, en
myndighet som har utsetts som
behörig i en annan medlemsstat
eller Europol.
Behörig myndighet En myndighet utsedd av regeringen
som har behörighet att behandla
PNR-information i verksamhet för
att förebygga, förhindra, upptäcka,
utreda eller lagföra
terroristbrottslighet eller annan
allvarlig brottslighet.
Lufttrafikföretag Ett företag som har giltig operativ
licens eller motsvarande som ger
rätt att mot ersättning utföra
lufttransporter av passagerare,
och som i sin normala verksamhet
samlar in och behandlar
PNR-uppgifter i ett elektroniskt
system för hantering av
reservationer.
Medlemsstat En stat som är medlem i Europeiska
unionen och har antagit
PNR-direktivet.
Passagerare Alla personer, förutom
besättningsmedlemmar, som
transporteras eller ska
transporteras med ett flygplan och
som finns upptagna i
passagerarförteckningen.
PNR-information PNR-uppgifter och resultatet av en
enhet för passagerarinformations
behandling av sådana uppgifter.
Tredjeland En stat som inte är en medlemsstat.
Enhet för passagerarinformation
4 § Det ska vid Polismyndigheten finnas en enhet för
passagerarinformation. Enheten ska ansvara för att
1. samla in PNR-uppgifter från lufttrafikföretag, bevara och
i övrigt behandla uppgifterna, och
2. överföra PNR-information till behöriga mottagare och
tredjeländer.
5 § PNR-information får endast behandlas i syfte att
förebygga, förhindra, upptäcka, utreda eller lagföra
terroristbrottslighet eller annan allvarlig brottslighet, om
inte annat anges i 6 § eller 5 kap. 3 §.
6 § Lagens bestämmelser om behandling av personuppgifter
gäller inte för behöriga myndigheter i verksamhet som rör
nationell säkerhet.
Enheten för passagerarinformation får behandla
PNR-information när det är nödvändigt för att tillhandahålla
uppgifter som behövs för sådan verksamhet.
7 § PNR-uppgifter som utgör sådana personuppgifter som
avslöjar ras, etniskt ursprung, politiska åsikter, religiös
eller filosofisk övertygelse eller medlemskap i fackförening
eller som rör hälsa, sexualliv eller sexuell läggning får
inte behandlas enligt lagen.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av PNR-uppgifter till enheten för
passagerarinformation
1 § Lufttrafikföretag ska till enheten för
passagerarinformation inför varje flygning som ankommer till
eller avgår från Sverige överföra sådana PNR-uppgifter som
anges i bilagan till lagen. PNR-uppgifterna ska endast
överföras i de fall lufttrafikföretagen samlar in uppgifterna
som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera
andra lufttrafikföretag, ska det lufttrafikföretag som utför
flygningen överföra PNR-uppgifter om samtliga passagerare.
2 § PNR-uppgifterna ska överföras
1. 24-48 timmar före flygningens avgång, och
2. omedelbart efter det att gatens dörrar har stängts.
Den andra överföringen får begränsas till uppdateringar och
kompletteringar av de uppgifter som överfördes vid det första
tillfället.
3 § Lufttrafikföretag ska på begäran av enheten för
passagerarinformation överföra PNR-uppgifter även vid andra
tidpunkter än de som anges i 2 §, om enheten bedömer att det
i ett enskilt fall är nödvändigt med tillgång till
PNR-uppgifter för att avvärja en specifik och faktisk fara
med anknytning till terroristbrottslighet eller annan
allvarlig brottslighet.
4 § Lufttrafikföretag ska överföra PNR-uppgifterna
elektroniskt. Enheten för passagerarinformation får inte
medges direktåtkomst till PNR-uppgifter som behandlas vid
lufttrafikföretagen.
5 § Lufttrafikföretag som är skyldiga att överföra
PNR-uppgifter får anlita ett personuppgiftsbiträde för att
utföra överföringen.
6 § Lufttrafikföretag ska informera passagerare om
överföringen av PNR-uppgifter till enheten för
passagerarinformation och om skälen till överföringen.
7 § Regeringen eller den myndighet som regeringen
bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om lufttrafikföretagens överföring av
PNR-uppgifter till enheten för passagerarinformation.
3 kap. Behandling av PNR-information vid enheten för
passagerarinformation
1 § PNR-uppgifter som har överförts från ett
lufttrafikföretag ska bevaras i en databas vid enheten för
passagerarinformation.
2 § Enheten för passagerarinformation ska behandla
PNR-informationen i Sverige.
3 § Polismyndigheten är personuppgiftsansvarig för den
behandling av personuppgifter som utförs vid enheten för
passagerarinformation.
4 § Enheten för passagerarinformation får, om inte 1 kap.
6 § är tillämplig, endast behandla PNR-uppgifter som har
överförts från ett lufttrafikföretag för att
1. göra en förhandsbedömning av passagerare före deras
beräknade ankomst till eller avresa från Sverige i syfte att
välja ut personer som behöver utredas ytterligare av behöriga
myndigheter eller Europol, på grund av att dessa personer kan
vara inblandade i terroristbrottslighet eller annan allvarlig
brottslighet,
2. fullgöra sina uppgifter att överföra PNR-information till
behöriga mottagare eller tredjeländer, eller
3. göra analyser för att uppdatera eller skapa nya kriterier
som ska användas vid förhandsbedömningar.
5 § Vid en förhandsbedömning får PNR-uppgifter
1. jämföras med register eller andra uppgiftssamlingar som är
relevanta för att förebygga, förhindra, upptäcka, utreda
eller lagföra terroristbrottslighet eller annan allvarlig
brottslighet, och
2. behandlas enligt på förhand utformade och fastställda
kriterier som är riktade, proportionella och avgränsade och
som inte grundas på sådana känsliga personuppgifter som avses
i 1 kap. 7 §.
6 § Om enheten för passagerarinformation har mottagit
PNR-information från motsvarande enheter i andra
medlemsstater får enheten bara behandla informationen för att
vidarebefordra den till behöriga myndigheter.
7 § Endast den som tjänstgör vid enheten för
passagerarinformation och den som fullgör uppgifter enligt
lagen får ha tillgång till PNR-information som behandlas vid
enheten. Tillgången ska begränsas till vad han eller hon
behöver för att kunna fullgöra sina arbetsuppgifter.
8 § Direktåtkomst till PNR-information som behandlas vid
enheten för passagerarinformation får inte medges.
9 § PNR-uppgifter som behandlas vid enheten för
passagerarinformation ska bevaras i fem år från det att de
kommit in från ett lufttrafikföretag. Därefter ska de
förstöras.
10 § PNR-uppgifter som inte anges i bilagan till lagen
eller som utgör sådana känsliga personuppgifter som avses i
1 kap. 7 § ska omedelbart förstöras om de kommer in till
enheten för passagerarinformation.
11 § Följande PNR-uppgifter ska behörighetsbegränsas sex
månader efter att de har kommit in från ett lufttrafikföretag
om de kan användas för att identifiera en person:
1. namn på passagerare,
2. antal passagerare som reser tillsammans,
3. adress och kontaktuppgifter,
4. alla former av betalningsinformation, inklusive
faktureringsadress,
5. uppgifter om bonusprogram,
6. allmänna anmärkningar, och
7. uppgifter enligt punkt 18 i bilagan till lagen.
12 § Polismyndigheten ska utse ett dataskyddsombud för
enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgång till alla uppgifter som
behandlas vid enheten.
13 § Dataskyddsombudet vid enheten för
passagerarinformation ansvarar för att fullgöra de uppgifter
som anges i 3 kap. 14 § brottsdatalagen (2018:177).
En enskild ska ha rätt att kontakta dataskyddsombudet i alla
frågor som rör behandling av hans eller hennes PNR-uppgifter
enligt denna lag.
14 § Om dataskyddsombudet vid enheten för
passagerarinformation anser att den personuppgiftsansvarige
bryter mot bestämmelser för behandling av PNR-uppgifter, ska
han eller hon anmäla det till tillsynsmyndigheten.
15 § Regeringen eller den myndighet som regeringen
bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om enheten för passagerarinformations behandling
av PNR-information och dataskyddsombudets uppgifter.
4 kap. Överföring av PNR-information från enheten
för passagerarinformation
1 § Enheten för passagerarinformation ska så snart som
möjligt överföra PNR-information till en eller flera behöriga
myndigheter för att
1. en vidare granskning ska göras av PNR-information
beträffande passagerare som har valts ut vid en
förhandsbedömning,
2. besvara en begäran från en behörig myndighet om att ta del
av PNR-information, eller
3. vidarebefordra PNR-information som har mottagits från en
motsvarande enhet i en annan medlemsstat.
En befattningshavare vid enheten ska före överföring enligt
första stycket 1 bedöma om PNR-informationen är relevant för
vidare granskning av den behöriga myndigheten.
2 § Enheten för passagerarinformation ska så snart som
möjligt överföra PNR-information till en motsvarande enhet i
en annan medlemsstat för att
1. en vidare granskning ska göras av PNR-information
beträffande passagerare som har valts ut vid en
förhandsbedömning, eller
2. besvara en begäran från enheten i den andra medlemsstaten
om att ta del av PNR-information.
En befattningshavare vid enheten ska före överföring enligt
första stycket 1 bedöma om PNR-informationen är relevant för
vidare granskning i den andra medlemsstaten.
3 § När det i ett enskilt brådskande fall är absolut
nödvändigt ska enheten för passagerarinformation besvara en
begäran från en myndighet som har utsetts som behörig i en
annan medlemsstat och överföra PNR-information direkt till
den myndigheten.
4 § När det i ett enskilt fall är nödvändigt med tillgång
till PNR-uppgifter för att avvärja en specifik och faktisk
fara med anknytning till terroristbrottslighet eller annan
allvarlig brottslighet, ska enheten för passagerarinformation
på begäran av en motsvarande enhet i en annan medlemsstat
inhämta PNR-uppgifter vid andra tidpunkter än de som anges i
2 kap. 2 § och överföra dessa till den enhet som har begärt
dem.
5 § Enheten för passagerarinformation ska så snart som
möjligt överföra PNR-information till Europol för att
1. en vidare granskning ska göras av PNR-information
beträffande passagerare som har valts ut vid en
förhandsbedömning, eller
2. besvara en begäran från Europol om att ta del av
PNR-information.
En befattningshavare vid enheten ska före överföring enligt
första stycket 1 bedöma om PNR-informationen är relevant för
vidare granskning av Europol.
6 § Överföring enligt 1 § första stycket 2, 2 § första
stycket 2, 3 § och 5 § första stycket 2 får endast ske om det
av begäran framgår att PNR-informationen ska användas i syfte
att förebygga, förhindra, upptäcka, utreda eller lagföra
terroristbrottslighet eller annan allvarlig brottslighet.
7 § Enheten för passagerarinformation får besvara en
begäran och överföra PNR-information till en myndighet i ett
tredjeland som är behörig att bedriva verksamhet för att
förebygga, förhindra, upptäcka, utreda eller lagföra
terroristbrottslighet eller annan allvarlig brottslighet.
PNR-information får överföras under förutsättning att
1. överföringen omfattas av ett beslut om adekvat skyddsnivå,
tillräckliga skyddsåtgärder eller ett undantag för särskilda
situationer enligt 8 kap. 1 § första stycket 3
brottsdatalagen (2018:177),
2. överföringen är nödvändig för att förebygga, förhindra,
upptäcka, utreda eller lagföra terroristbrottslighet eller
annan allvarlig brottslighet, och
3. tredjelandet har godtagit att uppgifterna får
vidareöverföras till ett annat tredjeland endast om det är
absolut nödvändigt för att förebygga, förhindra, upptäcka,
utreda eller lagföra terroristbrottslighet eller annan
allvarlig brottslighet och efter det att ett uttryckligt
medgivande till vidareöverföringen har inhämtats från enheten
för passagerarinformation.
8 § Enheten för passagerarinformation ska vid överföring
av PNR-information till ett tredjeland ställa upp villkor som
begränsar möjligheten att använda informationen i strid med
lagens syften.
9 § Om enheten för passagerarinformation har fått
PNR-information från en annan medlemsstat krävs ett
medgivande från den medlemsstaten till överföringen enligt
8 kap. 2 § första stycket brottsdatalagen (2018:177).
Om medgivande till överföringen på grund av tidsbrist inte
kan hämtas in i förväg, får informationen ändå överföras om
det är absolut nödvändigt för att avvärja en specifik och
faktisk fara med anknytning till terroristbrottslighet eller
annan allvarlig brottslighet.
10 § Regeringen eller den myndighet som regeringen
bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om uppställande av villkor vid överföring till
tredjeland och om information till en annan medlemsstat när
PNR-information har överförts utan förhandsmedgivande.
Överföring av behörighetsbegränsade PNR-uppgifter i sin
fullständiga form
11 § PNR-uppgifter som är behörighetsbegränsade enligt
3 kap. 11 § får endast överföras i sin fullständiga form till
behöriga mottagare eller ett tredjeland om det rimligen kan
antas vara nödvändigt för att förebygga, förhindra, upptäcka,
utreda eller lagföra terroristbrottslighet eller annan
allvarlig brottslighet.
Om en förundersökning pågår ska en begäran från en behörig
myndighet om att få tillgång till fullständiga PNR-uppgifter
beslutas av en åklagare.
I de fall som inte omfattas av andra stycket krävs att
tillstånd till överföringen har lämnats av Polismyndigheten.
5 kap. Behöriga myndigheters behandling av PNR-information
1 § En behörig myndighet som har mottagit PNR-information
från enheten för passagerarinformation efter enhetens
förhandsbedömning ska omedelbart förstöra informationen om
den visar sig sakna betydelse för att förebygga, förhindra,
upptäcka, utreda eller lagföra terroristbrottslighet eller
annan allvarlig brottslighet.
2 § Om en behörig myndighet mottar PNR-uppgifter som utgör
sådana känsliga personuppgifter som avses i 1 kap. 7 § ska
uppgifterna omedelbart förstöras.
3 § Om det har kommit fram uppgifter om ett annat brott än
terroristbrottslighet eller annan allvarlig brottslighet i
samband med en brottsbekämpande åtgärd som en behörig
myndighet vidtar till följd av behandling av PNR-information,
får informationen, utöver vad som anges i 1 kap. 5 §,
användas för att förhindra, utreda eller lagföra brottet.
4 § Ett beslut som har rättsliga följder för en fysisk
person eller annars i betydande grad påverkar honom eller
henne får inte enbart grundas på en automatiserad behandling
av PNR-uppgifter.
5 § Regeringen eller den myndighet som regeringen
bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om behöriga myndigheters inhämtande av
PNR-information.
6 kap. Sanktionsavgifter
1 § En sanktionsavgift ska tas ut av ett lufttrafikföretag
som inte har överfört PNR-uppgifter enligt bestämmelserna i
denna lag eller föreskrifter som har meddelats i anslutning
till lagen.
2 § Sanktionsavgiften ska för varje flygning som har
utförts utan att lufttrafikföretaget har fullgjort sin
överföringsskyldighet bestämmas till lägst 20 000 kronor och
högst 100 000 kronor. När sanktionsavgiftens storlek
fastställs ska särskild hänsyn tas till antal passagerare på
flygningen och om lufttrafikföretaget tidigare har begått en
överträdelse.
Sanktionsavgiften får sättas ned helt eller delvis om
överträdelsen är ursäktlig eller om det annars med hänsyn
till omständigheterna skulle vara oskäligt att ta ut
avgiften.
3 § Polismyndigheten beslutar om sanktionsavgift för
lufttrafikföretag.
Sanktionsavgiften tillfaller staten.
4 § En sanktionsavgift får endast beslutas om den som
avgiften ska tas ut av har fått tillfälle att yttra sig inom
två år från den dag då överträdelsen ägde rum.
5 § En sanktionsavgift ska betalas till Polismyndigheten
inom 30 dagar från det att beslutet om att ta ut avgiften
fick laga kraft eller inom den längre tid som anges i
beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i
första stycket, ska Polismyndigheten lämna den obetalda
avgiften för indrivning. Bestämmelser om indrivning finns i
lagen (1993:891) om indrivning av statliga fordringar m.m.
Vid indrivning får verkställighet ske enligt
utsökningsbalken.
Avgiften faller bort i den utsträckning verkställighet inte
har skett inom fem år från det att beslutet fick laga kraft.
6 § Polismyndighetens beslut om sanktionsavgift får
överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
7 § En sanktionsavgift får tas ut av en
personuppgiftsansvarig myndighet vid överträdelse av
bestämmelserna i
1. 1 kap. 5 eller 7 §,
2. någon av 3 kap. 2 eller 4-11 §§,
3. 4 kap. 7, 9 eller 11 §, eller
4. 5 kap. 1, 2 eller 4 §.
8 § Vad som anges i 6 kap. 3 § tredje stycket och 4-8 §§
brottsdatalagen (2018:177) ska tillämpas när en
sanktionsavgift tas ut enligt 7 §.
Sanktionsavgiften ska vara högst 10 000 000 kronor.
Det framgår av 7 kap. 3 § brottsdatalagen att
tillsynsmyndighetens beslut om sanktionsavgift kan
överklagas.
9 § Regeringen eller den myndighet som regeringen
bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
närmare föreskrifter om sanktionsavgifter enligt denna lag.
7 kap. Övriga bestämmelser
1 § Vid behandling i strid med 1 kap. 5 eller 7 § eller
3 kap. 9 § ska 4 kap. 10 § brottsdatalagen (2018:177) om en
registrerads rätt till radering eller begränsning av
behandling av personuppgifter tillämpas.
2 § Vid behandling i strid med bestämmelser till skydd för
personuppgifter i denna lag eller föreskrifter som har
meddelats i anslutning till lagen ska bestämmelsen om
skadestånd i 7 kap. 1 § brottsdatalagen (2018:177) tillämpas.
3 § Tillsyn över personuppgiftsbehandling enligt denna lag
ska utföras av den nationella tillsynsmyndigheten enligt
brottsdatalagen (2018:177) och i enlighet med bestämmelserna
om tillsyn i den lagen.
PNR-uppgifter som enligt 2 kap. 1 § ska överföras från
lufttrafikföretag till enheten för passagerarinformation:
2. datum för bokning och utfärdande av biljett,
3. planerat eller planerade resedatum,
4. namn,
5. adress och kontaktuppgifter (telefonnummer och
e-postadress),
6. all betalningsinformation, inklusive faktureringsadress,
7. fullständig resplan,
8. uppgifter om bonusprogram,
9. resebyrå eller reseagent,
10. passagerarens resestatus, inklusive resebekräftelser,
incheckningsstatus, upplysningar om passagerare som inte
infinner sig och passagerare utan bokning,
11. delade PNR-uppgifter,
12. allmänna anmärkningar, inklusive alla tillgängliga
uppgifter om ensamresande barn under 18 år, såsom namn, kön,
ålder, språkkunskaper, namn och kontaktuppgifter för den
person som följer barnet till incheckning för avresan och
denna persons förhållande till barnet, namn och
kontaktuppgifter för den person som hämtar barnet vid
ankomsten och denna persons förhållande till barnet samt
flygplatspersonal som ledsagar barnet vid avresan respektive
ankomsten,
13. biljettinformation, inklusive biljettnummer, datum för
utfärdande av biljetten, enkelbiljetter och automatisk
biljettprisuppgift,
14. platsnummer och annan platsinformation,
15. information om gemensam linjebeteckning,
16. all bagageinformation,
17. antal medresenärer och deras namn,
18. all eventuell förhandsinformation (API-uppgifter) som har
samlats in, inklusive typ av identitetshandling,
identitetshandlingens nummer, utfärdandeland, sista
giltighetsdag, nationalitet, efternamn, förnamn, kön,
födelsedatum, lufttrafikföretag, flygnummer, utresedatum,
ankomstdatum, avreseflygplats, ankomstflygplats, avresetid
och ankomsttid, och
19. alla ändringar som har gjorts av de PNR-uppgifter som
anges i punkt 1-18.