Justitieutskottets betänkande

2019/20:JuU9

 

Ny lag om Säkerhetspolisens behandling av personuppgifter

Sammanfattning

Utskottet föreslår att riksdagen antar regeringens förslag till en ny lag om Säkerhetspolisens behandling av personuppgifter som ersätter den tidigare regleringen i polisdatalagen.

Den nya lagen föreslås innehålla bestämmelser om bl.a. grundläggande krav på personuppgiftsbehandling, den personuppgiftsansvariges skyldig­heter, enskildas rättigheter, skadestånd, överklagande och överföring av personuppgifter till tredjeland. Dessa överensstämmer i stort sett med brottsdatalagens bestämmelser.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. När Säkerhetspolisen behandlar personuppgifter som inte rör nationell säkerhet i syfte att bekämpa och lagföra brott, ska myndigheten tillämpa brottsdatalagen och polisens brottsdatalag. Vidare föreslås följdändringar i ett antal andra lagar.

Den nya lagen och övriga lagändringar föreslås träda i kraft den 1 januari 2020.

Behandlade förslag

Proposition 2018/19:163 Ny lag om Säkerhetspolisens behandling av personuppgifter.


Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Lag om Säkerhetspolisens behandling av personuppgifter m.m.

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

 

 

Utskottets förslag till riksdagsbeslut

 

 

Lag om Säkerhetspolisens behandling av personuppgifter m.m.

Riksdagen antar regeringens förslag till

1. lag om Säkerhetspolisens behandling av personuppgifter,

2. lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet,

3. lag om ändring i offentlighets- och sekretesslagen (2009:400),

4. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete,

5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning,

6. lag om ändring i säkerhetsskyddslagen (2018:585),

7. lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.

Därmed bifaller riksdagen proposition 2018/19:163 punkterna 1–7.

 

Stockholm den 14 november 2019

På justitieutskottets vägnar

Fredrik Lundh Sammeli

Följande ledamöter har deltagit i beslutet: Fredrik Lundh Sammeli (S), Andreas Carlson (KD), Petter Löberg (S), Magdalena Schröder (M), Adam Marttinen (SD), Maria Strömkvist (S), Johan Hedin (C), Ellen Juntti (M), Katja Nyberg (SD), Joakim Sandell (S), Carina Ödebrink (S), Johan Pehrson (L), Bo Broman (SD), Ingemar Kihlström (KD), Mikael Damsgaard (M), Jessica Thunander (V) och Karolina Skog (MP).

 

 

 

 

Redogörelse för ärendet

I betänkandet behandlar utskottet regeringens proposition 2018/19:163 Ny lag om Säkerhetspolisens behandling av personuppgifter. I propositionen lämnar regeringen förslag som ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. Vidare föreslås följdändringar i ett antal andra lagar.

Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.

Inga motioner har väckts med anledning av propositionen.

Utskottets överväganden

Lag om Säkerhetspolisens behandling av personuppgifter m.m.

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till bl.a. en ny lag om Säkerhets­polisens behandling av personuppgifter som ersätter den tidigare regleringen i polisdatalagen. Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

Jämför det särskilda yttrandet (V).

Bakgrund

EU:s dataskyddsreform

Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen (EU) finns numera i två rättsliga instrument. Det är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande kallad dataskyddsförord­ningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i det följande kallad dataskyddsdirektivet. Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpnings­områden. Det gäller personuppgifts­behand­ling i verksamhet som inte omfattas av unionsrätten, däribland nationell säkerhet. 

Dataskyddsförordningen

Dataskyddsförordningen trädde i kraft den 25 maj 2018 och utgör den generella regleringen av personuppgiftsbehandling inom EU. I förordningen regleras bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgifts­behand­ling och rätten för enskilda att få tillgång till rättsmedel.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. person­uppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Vidare gäller förordningen inte för en sådan personuppgiftsbehandling som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff (2017/18:JuU38). En sådan personuppgiftsbehandling omfattas i stället av dataskyddsdirektivets tillämpningsområde.

När dataskyddsförordningen började tillämpas trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (i det följande kallad dataskyddslagen) i kraft. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen och dataskyddslagen gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet. Det gäller dock enligt 1 kap. 3 § 3 inte Säkerhetspolisens brottsbekämpande verksamhet. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i registerförfattningar. Dataskyddslagen och dataskydds­förord­ningen gäller inte när dataskyddsdirektivet är tillämpligt.

Dataskyddsdirektivet

Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Brottsdatalagen drar upp gränsen mellan å ena sidan den särskilda regleringen av behandling av personuppgifter vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Lagen ska tillämpas av dem som är behöriga myndigheter enligt lagen, om syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är alltså syftet med behandlingen av personuppgifter i det enskilda fallet som blir avgörande för när lagen ska tillämpas, inte i vilken verksamhet behandlingen utförs.

I brottsdatalagen regleras frågor som är gemensamma för alla behöriga myndigheter. Där finns de grundläggande bestämmelserna om hur personuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgifts­behandling. Brottsdatalagen innehåller vidare bestämmelser om administra­tiva sanktionsavgifter, skadestånd och rättsmedel. Det finns, precis som tidigare, särskilda registerförfattningar för flertalet av de myndigheter som tillämpar brottsdatalagen. Där finns de bestämmelser som är specifika för respektive myndighet.

Genom den aktuella propositionen genomförs dataskyddsdirektivet i de delar som berör Säkerhetspolisens behandling av personuppgifter.

Propositionen

En ny lag och dess tillämpningsområde

Regeringen föreslår att en ny lag om Säkerhetspolisens behandling av personuppgifter ska införas. När personuppgifter behandlas enligt den nya lagen ska lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddsslagen) inte gälla. Syftet med den nya lagen ska vara att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.

Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. Även polismyndigheten ska tillämpa den nya lagen när myndigheten övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Lagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Den nya lagen föreslås innehålla bestämmelser om bl.a. grundläggande krav på personuppgiftsbehandling, den personuppgiftsansvariges skyldig­heter, enskildas rättigheter, skadestånd, överklagande och överföring av personuppgifter till tredjeland. Dessa överensstämmer i stort sett med brottsdatalagens bestämmelser.

Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den nya lagen ska den bestämmelsen tillämpas. 

Definitionerna i den nya lagen bör så långt möjligt överensstämma med brottsdatalagens definitioner. Personuppgifter är varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.

Rättslig grund och ändamål för behandlingen av personuppgifter

En grundläggande princip för all personuppgiftsbehandling är enligt propositionen att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Principen kommer i dag till uttryck i både dataskyddsförordningen och brottsdatalagen (2018:1177). Både förordningen och lagen utgår också från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig.

Regleringen bör enligt regeringen ha i huvudsak samma innehåll som i dag. I den nya lagen anges därför den rättsliga grunden för behandling av personuppgifter (2 kap. 1 §). Det handlar bl.a. om att personuppgifter ska få behandlas om det är nödvändigt för att Säkerhetspolisen ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet, terrorbrott, tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv samt utreda eller lagföra sådana brott.

Personuppgifter ska även få behandlas om det är nödvändigt för att Säkerhetspolisen ska kunna fullgöra vissa andra uppgifter, t.ex. i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer, enligt säkerhetsskyddslagen (2018:585) eller enligt utlännings- och medborgar­skaps­lagstiftningen.

Vidare gäller att Säkerhetspolisen ska få behandla personuppgifter bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna ska dessutom inte få behandlas för något ändamål som är oförenligt med det ändamål som personuppgifterna ursprungligen behandlades för.

Personuppgifter som Säkerhetspolisen behandlar ska i vissa fall även få behandlas om det är nödvändigt för att tillhandahålla information som behövs för att tillgodose andras informationsbehov. Det kan t.ex. handla om information som tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen och till andra, om skyldighet att lämna uppgifter följer av lag eller förordning. I ett enskilt fall ska personuppgifter få behandlas för att tillhandahålla information för något annat ändamål än de ovan uppräknade, om det nya ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Behandling av personuppgifter

De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Känsliga uppgifter får behandlas i samma utsträckning som i dag.

Det ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer som är grundat på känsliga personuppgifter. Sökförbudet ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning. Det ska inte heller hindra sökning i syfte att få fram ett personurval som är grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som Säkerhetspolisen får behandla personuppgifter för.

Alla rimliga åtgärder ska vidtas för att, utan onödigt dröjsmål, rätta personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga.

Informationsutbyte

Säkerhetspolisen har stora behov av att utbyta information med såväl andra myndigheter som utländska samarbetspartner. Utbytet sker i dag huvud­sakligen manuellt, både i förhållande till svenska och utländska myndigheter.

Regeringen föreslår, bl.a. med hänsyn till behovet av snabb och effektiv kommunikation, att Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på ett annat sätt än genom direktåtkomst om det inte är olämpligt.

Vidare föreslår regeringen att det i vissa fall ska vara möjligt att lämna ut information elektroniskt genom direktåtkomst. Säkerhetspolisen utbyter redan en stor mängd information med både nationella och utländska myndigheter. En möjlighet att medge direktåtkomst innebär inte att Säkerhetspolisen får behandla eller lämna ut fler eller andra personuppgifter än i dag. Det ligger också i sakens natur att Säkerhetspolisen lägger särskild vikt vid att pröva om information ska delas med andra. Myndigheten har ett starkt intresse av att se till att inte fler uppgifter än nödvändigt tillgängliggörs för andra. En möjlighet att medge direktåtkomst förändrar ingenting i det avseendet. Myndigheten har också redan i dag möjlighet att lämna ut uppgifter genom direktåtkomst till Försvarets radioanstalt och Försvarsmakten inom ramen för samarbetet vid Nationellt centrum för terrorhotbedömning. Möjligheten till direktåtkomst ska dock begränsas till de fall som uttryckligen anges i den nya lagen.

Regeringen konstaterar vidare att det behövs vissa sekretessbrytande bestämmelser och föreslår sådana.

Längsta tid som personuppgifter får behandlas

Bestämmelser om bevarande och gallring som motsvarar befintliga bestämmelser i polisdatalagen ska tas in i den nya lagen. De ska formuleras så att det tydligt framgår att det är fråga om dataskyddsbestämmelser.

Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Personuppgiftsansvar

Personuppgiftsansvarig ska i den nya lagen vara den som ensam eller tillsammans med andra bestämmer ändamålen med eller medlen för behandlingen av personuppgifter. Säkerhetspolisen ska vara personuppgifts­ansvarig för den personuppgiftsbehandling som Säkerhetspolisen utför. Polismyndigheten ska vara personuppgiftsansvarig för den behandling som Polismyndigheten utför.

Personuppgiftsansvaret ska omfatta all behandling av personuppgifter som utförs under respektive myndighets ledning eller på dess vägnar. Den nya lagen bör inte innehålla någon särskild bestämmelse om gemensamt personuppgiftsansvar.

Enskildas rättigheter

Regeringen anför att merparten av bestämmelserna om enskildas rättigheter bör tillämpas av Säkerhetspolisen. Mot den bakgrunden bör huvuddelen av bestämmelserna i brottsdatalagen som reglerar enskildas rättigheter ha sin motsvarighet i den nya lagen.

Säkerhetspolisen ska således göra viss allmän information tillgänglig för den registrerade. Bland annat ska kategorier av ändamål för behandlingen göras tillgänglig.

Säkerhetspolisen ska vidare utan onödigt dröjsmål lämna skriftligt besked, till den som begär det, om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av uppgifterna och få viss skriftlig information om behandlingen.

Skyldigheten att lämna personrelaterad information ska inte gälla i den utsträckning det är särskilt föreskrivet i lag eller annan författning att uppgifter inte får lämnas ut till den registrerade. Detsamma gäller om det framgår av ett beslut som har meddelats med stöd av en författning. Om det finns grund för att begränsa informationen ska Säkerhetspolisen inte heller vara skyldig att lämna ut skälen för beslut att begränsa informationen eller för beslut i fråga om begäran om rättelse, radering eller begränsning av behandlingen.

Tillsyn

Tillsynen över Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet ska regleras i Säkerhetspolisens datalag. Tillsynen över Säkerhetspolisens behandling av personuppgifter bör utövas av både Datainspektionen och Säkerhets- och integritetsskyddsnämnden. Deras tillsyn bör i huvudsak vara densamma som i dag.

Ikraftträdande

Säkerhetspolisens nya datalag och övriga författningsförslag ska träda i kraft den 1 januari 2020. Äldre föreskrifter ska fortsätta att gälla för överklagande av beslut som har meddelats före den nya lagens ikraftträdande.

I lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska en övergångsbestämmelse införas om att äldre föreskrifter fortfarande gäller för nämndens tillsyn över personuppgiftsbehandling som utförts före ikraftträdandet.

Utskottets ställningstagande

Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet anser att regeringens lagförslag är ändamålsenligt utformade och att de bör antas.


Särskilt yttrande

 

Lag om Säkerhetspolisens behandling av personuppgifter m.m. (V)

Jessica Thunander (V) anför:

 

Jag ställer mig visserligen bakom propositionen, men det finns enligt min mening likväl skäl att vara kritisk till vissa delar av förslaget. Jag delar i dessa delar flera av de invändningar som Datainspektionen och andra remissinstanser har haft mot förslagen. Invändningarna rör bl.a. frågor om informationsutbyte med Försvarets radioanstalt (FRA), högre krav vid insamling av uppgifter om andra än den misstänkte, sökning på känsliga personuppgifter, direktåtkomst och överföring av personuppgifter till tredje land.

De personuppgifter som Säkerhetspolisen behandlar ska, enligt förslaget, om det är nödvändigt även få behandlas för att tillhandahålla information som behövs i bl.a. Försvarets radioanstalts försvarsunderrättelse­verksamhet, om det finns särskilda skäl att tillhandahålla informationen. Detta kan enligt min uppfattning ifrågasättas eftersom det inte har konstaterats om det finns ett behov av ett sådant informationsutbyte.

När det gäller möjligheten att för Säkerhetspolisen att vid informations­inhämtning behandla uppgifter om andra än den misstänkte ifrågasätter jag inte att det kan finnas ett kortvarigt behov att göra detta för att inte avslöja vem misstanken riktas mot. De uppgifter som behandlas då får anses kunna vara både adekvata och relevanta under insamlingsfasen. Jag anser däremot att det måste ställas högre krav på insamlingen av uppgifter om andra än den misstänkte, t.ex. genom krav på särskilda beslutsfattare och att det garanteras att informationen raderas omgående.

Enligt den nya lagen ska det vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet ska dock inte hindra sökning i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som Säkerhetspolisen får behandla personuppgifter för. Jag anser att undantaget, om att sökning på känsliga personuppgifter får göras om sökningen är absolut nödvändig för något av dessa syften, är för brett.

Bestämmelsen att Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt borde ha analyserats ytterligare när det gäller vilka effekter på den personliga integriteten som utvidgningen får eller kan få. Utan en sådan analys går det inte att avgöra om utvidgningen kan anses proportionerlig i förhållande till enskildas personliga integritet.

Jag är också mycket tveksam till att Polismyndigheten, FRA och Försvarsmakten i vissa fall ska få medges direktåtkomst till personuppgifter som Säkerhetspolisen behandlar för vissa syften. Jag anser att riskerna och effekterna av att medge de aktuella myndigheterna direktåtkomst borde ha utretts ytterligare. Jag har samma invändning när det gäller att medge direktåtkomst för underrättelse- och säkerhetstjänster inom EU och EES. Det saknas därmed även skäl att införa en sådan möjlighet till sekretessgenombrott för Polismyndigheten, FRA och Försvarsmakten som föreslås.

Slutligen anser jag att en djupare analys av riskerna med att överföra personuppgifter till tredjeland och internationella organisationer borde ha gjorts.

Jag utgår från att regeringen noga följer hur den nya lagstiftningen kommer att tillämpas och vid behov vidtar nödvändiga åtgärder. Mot denna bakgrund avstår jag från att reservera mig trots de tveksamheter jag här redogjort för.

 

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2018/19:163 Ny lag om Säkerhetspolisens behandling av personuppgifter:

1.Riksdagen antar regeringens förslag till lag om Säkerhetspolisens behandling av personuppgifter.

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

3.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

4.Riksdagen antar regeringens förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete.

5.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

6.Riksdagen antar regeringens förslag till lag om ändring i säkerhetsskyddslagen (2018:585).

7.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.

 

 

 

Bilaga 2

Regeringens lagförslag