Förordning (2019:1235) om Säkerhetspolisens behandling av personuppgifter

Innehåll

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

2 kap. Behandling av personuppgifter

1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 13 § eller 14 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter har lämnats ut, ska mottagaren omedelbart underrättas om det. Om sådana personuppgifter har gjorts tillgängliga ska, så långt det är möjligt, även den som har tagit del av personuppgifterna omedelbart underrättas.

2 § Av information enligt 3 kap. 7 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska omfattningen av direktåtkomsten framgå.

3 § Säkerhetspolisen får ställa villkor i fråga om behörighet och säkerhet för att myndigheten ska medge direktåtkomst enligt 3 kap. 5-7 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

Direktåtkomst får inte medges innan Säkerhetspolisen har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

3 kap. Längsta tid som personuppgifter får behandlas

Rutiner för att säkerställa tidsfristerna

1 § Säkerhetspolisen ska se till att det finns rutiner för att säkerställa att de som behandlar personuppgifter respekterar tidsfristerna för när personuppgifter inte längre får behandlas.

Digital arkivering

2 § När uppgifter och handlingar arkiveras digitalt ska de avskiljas så att de inte kan behandlas för att utföra en uppgift som anges i 2 kap. 1 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

Fortsatt behandling av vissa personuppgifter

3 § I 4-6 §§ föreskrivs att vissa kategorier av personuppgifter i brottsanmälningar och avslutade förundersökningar får behandlas för ändamål som omfattas av tillämpningsområdet för lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, trots att den tid som anges i 4 kap. 3 och 4 §§ samma lag har löpt ut. Detsamma gäller personuppgifter i andra utredningar som handläggs enligt 23 kap. rättegångsbalken.

När personuppgifter får behandlas enligt 4-6 §§ får dessutom följande uppgifter behandlas:
1. ärendenummer eller liknande referensuppgifter,
2. brottskoder, och
3. uppgifter om omständigheterna kring brottet.

4 § Uppgifter om den dömde i en förundersökning som har lett till fällande dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter har löpt ut, om behandlingen av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister.

5 § Uppgifter om en person som har varit misstänkt i en förundersökning som har lagts ner eller avslutats på annat sätt än genom åtal, får i ett enskilt fall behandlas om det är nödvändigt för att kunna lagföra personen trots att den tid som anges i 4 kap. 4 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter har löpt ut.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast sjuttio år från den dag då brottet begicks.

6 § Uppgifter om personer som har dömts för, eller som har varit misstänkta för, brott där det finns en betydande risk för återfall i samma eller likartad brottslighet, får behandlas trots att den tid som anges i 4 kap. 3 och 4 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter har löpt ut, om behandlingen av särskilda skäl är nödvändig för att förebygga, förhindra eller upptäcka brott för vilket det är föreskrivet fängelse i fyra år eller mer.

I fråga om brott som har lett till fällande dom ska dock behandlingen upphöra senast i samband med att uppgifterna tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i övriga fall senast femton år efter det att förundersökningen lades ner eller avslutades på annat sätt.

Rätt att meddela föreskrifter

7 § Riksarkivet får, efter att ha gett Säkerhetspolisen tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som avses i 4 kap. 2 och 7-10 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål.

8 § Säkerhetspolisen får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska åtgärder

1 § De tekniska och organisatoriska åtgärder som Säkerhetspolisen ska vidta enligt 5 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När Säkerhetspolisen vidtar åtgärder enligt 5 kap. 2 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.

Dokumentationsskyldighet

Interna strategier

2 § De tekniska och organisatoriska åtgärder som avses i 5 kap. 1 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska innefatta antagande och dokumentation av interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning.

Förteckning över behandlingar

3 § Säkerhetspolisen ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla namnet på och kontaktuppgifter till myndigheten och dataskyddsombud. Förteckningen ska dessutom, för varje kategori av behandling, innehålla följande uppgifter:
1. den rättsliga grunden för behandlingen,
2. ändamålen med behandlingen,
3. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas,
4. de kategorier av mottagare som uppgifterna kan komma att lämnas ut till, även i tredjeland eller internationella organisationer,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer,
8. användning av profilering,
9. om det är möjligt, tidsfrister för hur länge kategorierna av personuppgifter får behandlas, och
10. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.

Loggning

4 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 5 kap. 4 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt det är möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.

Tillgången till personuppgifter

5 § Vid tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.

6 § Säkerhetspolisen ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Konsekvensbedömning och förhandssamråd

7 § Konsekvensbedömningar som avses i 5 kap. 6 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska dokumenteras och innehålla följande uppgifter:
1. en allmän beskrivning av den planerade behandlingen,
2. en bedömning av riskerna för intrång i registrerades personliga integritet,
3. vilka åtgärder som planeras för att hantera riskerna,
4. åtgärder och rutiner för att säkerställa skyddet av personuppgifterna, och
5. rutiner för att visa att tillämpliga dataskyddsregler följs.

8 § Vid förhandssamråd enligt 5 kap. 6 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska Säkerhetspolisen lämna in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär en sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan av överträdelser

9 § Säkerhetspolisen ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Säkerhetsåtgärder

10 § Säkerhetsåtgärder enligt 5 kap. 7 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska åstadkomma en skyddsnivå som är lämplig med hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.

Dataskyddsombud

11 § Säkerhetspolisen ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.

Säkerhetspolisen ska se till att dataskyddsombud kan utföra de uppgifter som anges i 5 kap. 10 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Säkerhetspolisen ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

12 § Ett avtal eller en annan överenskommelse enligt 5 kap. 11 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska ange vad behandlingen av personuppgifter ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och Säkerhetspolisens skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska
1. behandla personuppgifter bara enligt instruktioner från Säkerhetspolisen,
2. säkerställa att personer som har tillstånd att behandla personuppgifter antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa Säkerhetspolisen att säkerställa att bestämmelserna om registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till Säkerhetspolisen när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,
5. ge Säkerhetspolisen tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 13 § och 5 kap. 11-13 §§ lagen om Säkerhetspolisens behandling av personuppgifter följs, och
6. respektera de villkor som framgår av denna paragraf, 13 § och 5 kap. 12 § lagen om Säkerhetspolisens behandling av personuppgifter när ett annat personuppgiftsbiträde anlitas.

Underbiträden

13 § Om Säkerhetspolisen har lämnat ett generellt tillstånd enligt 5 kap. 12 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, ska personuppgiftsbiträdet informera Säkerhetspolisen innan nya personuppgiftsbiträden anlitas.

Förteckning över behandlingar

14 § Varje personuppgiftsbiträde ska föra en förteckning över kategorier av behandlingar av personuppgifter som utförs för Säkerhetspolisens räkning. Förteckningen ska innehålla namnet på och kontaktuppgifter till personuppgiftsbiträdet och Säkerhetspolisen och dessutom, för varje kategori av behandling, följande uppgifter:
1. namnet på och kontaktuppgifter till eventuella underbiträden,
2. vilka uppgifter som har överförts och till vem, om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, och
3. om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

Övriga skyldigheter

15 § Det som sägs om Säkerhetspolisens skyldigheter i 4 och 10 §§ gäller även för personuppgiftsbiträden.

Övriga bestämmelser

16 § Innan Säkerhetspolisen meddelar föreskrifter med stöd av denna förordning, ska tillsynsmyndigheten ges tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.

Rätt att meddela föreskrifter

17 § Tillsynsmyndigheten får meddela ytterligare föreskrifter om
1. sådana åtgärder som avses i 5 kap. 1-3 och 7 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter,
2. krav och rutiner för loggning enligt 5 kap. 4 § lagen om Säkerhetspolisens behandling av personuppgifter, och
3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 5 kap. 6 § lagen om Säkerhetspolisens behandling av personuppgifter.

5 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 6 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3-6 §§ denna förordning.

Enskilds begäran

2 § En begäran enligt 6 kap. 2, 6 eller 7 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska göras skriftligen hos Säkerhetspolisen.

Säkerhetspolisen ska säkerställa att begäran görs av en behörig person.

Beslut

3 § Beslut enligt 6 kap. 3 § första stycket, 5 § första stycket, 6 och 7 §§ och 9 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska vara skriftliga. Beslut som går den registrerade emot ska motiveras.

Av 6 kap. 3 § andra stycket lagen om Säkerhetspolisens behandling av personuppgifter framgår att skälen för vissa beslut inte behöver lämnas ut.

Underrättelser

Underrättelser till enskilda

4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt 6 kap. 3 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.

5 § Sökanden ska underrättas om beslut enligt 6 kap. 5 § första stycket eller 9 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

6 § Den registrerade ska underrättas om följande beslut enligt lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter:
1. beslut enligt 6 kap. 6 eller 7 §,
2. beslut om att en begränsning enligt 6 kap. 6 § andra stycket upphör.

Underrättelser till andra

7 § Den myndighet från vilken personuppgifter kommer ska underrättas om beslut enligt 6 kap. 6 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

Den som har tagit emot personuppgifter ska underrättas om beslut enligt 6 kap. 6 eller 7 § lagen om Säkerhetspolisens behandling av personuppgifter.

6 kap. Tillsyn

1 § Om tillsynsmyndigheten anser att en sådan planerad behandling som avses i 5 kap. 6 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter kan komma att stå i strid med lag eller annan författning, ska myndigheten senast sex veckor efter det att begäran om förhandssamråd togs emot skriftligen lämna råd enligt 7 kap. 4 § första stycket samma lag. Om det finns skäl för det får tiden förlängas.

2 § Tillsynsmyndigheten ska informera Säkerhets- och integritetsskyddsnämnden om att förhandssamråd enligt 5 kap. 6 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter har begärts. Om det är lämpligt ska nämnden ges tillfälle att yttra sig till tillsynsmyndigheten inom ramen för förhandssamrådet. Säkerhets- och integritetsskyddsnämnden har rätt att få tillgång till underlaget för förhandssamrådet och tillsynsmyndighetens yttrande.

7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

1 § Överföringar av personuppgifter enligt 9 kap. 3 § 2 och 4 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som överförts, datum och tidpunkt för överföringen, ändamålet med och grunden för överföringen och till vem personuppgifterna överfördes.

2 § Överföringar av personuppgifter enligt 9 kap. 5 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska dokumenteras.

Övergångsbestämmelser

2019:1235
1. Denna förordning träder i kraft den 1 januari 2020.
2. Bestämmelsen i 4 kap. 4 § om loggning tillämpas från och med den 1 oktober 2024 i fråga om automatiserade behandlingssystem som inrättats före ikraftträdandet.