1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om
sådan behandling av personuppgifter som omfattas av lagen
(2019:1182) om Säkerhetspolisens behandling av
personuppgifter.
2 § Uttryck som används i denna förordning har samma innebörd
och tillämpningsområde som i lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter.
2 kap. Behandling av personuppgifter
1 § Om det visar sig att sådana personuppgifter som anges i
2 kap. 13 § eller 14 § första stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter har lämnats
ut, ska mottagaren omedelbart underrättas om det. Om sådana
personuppgifter har gjorts tillgängliga ska, så långt det är
möjligt, även den som har tagit del av personuppgifterna
omedelbart underrättas.
2 § Av information enligt 3 kap. 7 § andra stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter
ska omfattningen av direktåtkomsten framgå.
3 § Säkerhetspolisen får ställa villkor i fråga om behörighet
och säkerhet för att myndigheten ska medge direktåtkomst
enligt 3 kap. 5-7 §§ lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter.
Direktåtkomst får inte medges innan Säkerhetspolisen har
försäkrat sig om att den mottagande myndigheten uppfyller
kraven på behörighet och säkerhet.
3 kap. Längsta tid som personuppgifter får behandlas
1 § Säkerhetspolisen ska se till att det finns rutiner för att
säkerställa att de som behandlar personuppgifter respekterar
tidsfristerna för när personuppgifter inte längre får
behandlas.
2 § När uppgifter och handlingar arkiveras digitalt ska de
avskiljas så att de inte kan behandlas för att utföra en
uppgift som anges i 2 kap. 1 § lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter. Åtkomsten
till arkiverade uppgifter och handlingar ska begränsas till
särskilt angivna tjänstemän.
3 § I 4-6 §§ föreskrivs att vissa kategorier av
personuppgifter i brottsanmälningar och avslutade
förundersökningar får behandlas för ändamål som omfattas av
tillämpningsområdet för lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter, trots att den tid som anges i
4 kap. 3 och 4 §§ samma lag har löpt ut. Detsamma gäller
personuppgifter i andra utredningar som handläggs enligt 23
kap. rättegångsbalken.
När personuppgifter får behandlas enligt 4-6 §§ får dessutom
följande uppgifter behandlas:
1. ärendenummer eller liknande referensuppgifter,
2. brottskoder, och
3. uppgifter om omständigheterna kring brottet.
4 § Uppgifter om den dömde i en förundersökning som har lett
till fällande dom får behandlas trots att den tid som anges i
4 kap. 4 § första stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter har löpt ut,
om behandlingen av särskilda skäl är nödvändig för att finna
samband mellan olika brott eller mellan tänkbara gärningsmän.
Behandlingen ska dock upphöra senast i samband med att
uppgifterna om den dömde tas bort ur belastningsregistret
enligt lagen (1998:620) om belastningsregister.
5 § Uppgifter om en person som har varit misstänkt i en
förundersökning som har lagts ner eller avslutats på annat
sätt än genom åtal, får i ett enskilt fall behandlas om det är
nödvändigt för att kunna lagföra personen trots att den tid
som anges i 4 kap. 4 § andra stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter har löpt ut.
Behandlingen ska dock upphöra senast då åtal inte längre får
väckas för brottet eller, i fall som avses i 35 kap. 2 §
första stycket brottsbalken, senast sjuttio år från den dag då
brottet begicks.
6 § Uppgifter om personer som har dömts för, eller som har
varit misstänkta för, brott där det finns en betydande risk
för återfall i samma eller likartad brottslighet, får
behandlas trots att den tid som anges i 4 kap. 3 och 4 §§
lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter har löpt ut, om behandlingen av särskilda skäl
är nödvändig för att förebygga, förhindra eller upptäcka brott
för vilket det är föreskrivet fängelse i fyra år eller mer.
I fråga om brott som har lett till fällande dom ska dock
behandlingen upphöra senast i samband med att uppgifterna tas
bort ur belastningsregistret enligt lagen (1998:620) om
belastningsregister och i övriga fall senast femton år efter
det att förundersökningen lades ner eller avslutades på annat
sätt.
7 § Riksarkivet får, efter att ha gett Säkerhetspolisen
tillfälle att yttra sig, meddela föreskrifter om att
personuppgifter som avses i 4 kap. 2 och 7-10 §§ lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter
får behandlas under längre tid för arkivändamål av allmänt
intresse och vetenskapliga, statistiska eller historiska
ändamål.
8 § Säkerhetspolisen får, efter att ha gett Riksarkivet
tillfälle att yttra sig, meddela närmare föreskrifter om
digital arkivering.
4 kap. Skyldigheter som personuppgiftsansvarig
1 § De tekniska och organisatoriska åtgärder som
Säkerhetspolisen ska vidta enligt 5 kap. 1 och 2 §§ lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter
ska vara rimliga med hänsyn till behandlingens art,
omfattning, sammanhang och ändamål och de särskilda riskerna
med behandlingen. När Säkerhetspolisen vidtar åtgärder enligt
5 kap. 2 § samma lag ska även de tekniska möjligheterna och
kostnaderna för åtgärderna beaktas.
2 § De tekniska och organisatoriska åtgärder som avses i
5 kap. 1 § lagen (2019:1182) om Säkerhetspolisens behandling
av personuppgifter ska innefatta antagande och dokumentation
av interna strategier för dataskydd, om det inte är uppenbart
obehövligt med hänsyn till verksamhetens begränsade
omfattning.
3 § Säkerhetspolisen ska föra en förteckning över de
kategorier av behandlingar av personuppgifter som myndigheten
ansvarar för. Förteckningen ska innehålla namnet på och
kontaktuppgifter till myndigheten och dataskyddsombud.
Förteckningen ska dessutom, för varje kategori av behandling,
innehålla följande uppgifter:
1. den rättsliga grunden för behandlingen,
2. ändamålen med behandlingen,
3. de kategorier av tjänstemän som har tillgång till de
personuppgifter som behandlas,
4. de kategorier av mottagare som uppgifterna kan komma att
lämnas ut till, även i tredjeland eller internationella
organisationer,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att
behandlas,
7. samlingar av överföringar av personuppgifter till
tredjeland eller internationella organisationer,
8. användning av profilering,
9. om det är möjligt, tidsfrister för hur länge kategorierna
av personuppgifter får behandlas, och
10. om det är möjligt, en allmän beskrivning av vilka
säkerhetsåtgärder som har vidtagits.
4 § Skyldigheten att föra loggar i automatiserade
behandlingssystem enligt 5 kap. 4 § lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter ska omfatta
behandlingar som innebär insamling, ändring, läsning,
utlämning, överföring till tredjeland eller internationella
organisationer, sammanföring och radering av personuppgifter.
Loggarna över läsning och utlämning ska visa datum och
tidpunkt för behandlingen och, så långt det är möjligt, vem
som har läst eller lämnat ut personuppgifterna och vem som har
fått ta del av personuppgifterna.
5 § Vid tilldelning av behörighet för åtkomst till
personuppgifter ska, utöver behovet av uppgifterna, utbildning
och erfarenhet särskilt beaktas.
6 § Säkerhetspolisen ansvarar för att det inom myndigheten
finns rutiner för tilldelning, förändring, borttagning och
regelbunden uppföljning av behörigheter för åtkomst till
personuppgifter.
7 § Konsekvensbedömningar som avses i 5 kap. 6 § första
stycket lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter ska dokumenteras och innehålla följande
uppgifter:
1. en allmän beskrivning av den planerade behandlingen,
2. en bedömning av riskerna för intrång i registrerades
personliga integritet,
3. vilka åtgärder som planeras för att hantera riskerna,
4. åtgärder och rutiner för att säkerställa skyddet av
personuppgifterna, och
5. rutiner för att visa att tillämpliga dataskyddsregler
följs.
8 § Vid förhandssamråd enligt 5 kap. 6 § andra stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter
ska Säkerhetspolisen lämna in konsekvensbedömningen till
tillsynsmyndigheten och tillhandahålla den övriga information
som begärs av myndigheten.
Vid bedömningen av om typen av behandling innebär en sådan
risk för intrång i registrerades personliga integritet att
förhandssamråd ska äga rum ska ny teknik, nya rutiner eller
nya förfaranden särskilt beaktas.
9 § Säkerhetspolisen ska ha interna rutiner för anmälan av
överträdelser av bestämmelser om personuppgiftsbehandling som
garanterar att anmälarens identitet skyddas.
10 § Säkerhetsåtgärder enligt 5 kap. 7 § lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter ska åstadkomma
en skyddsnivå som är lämplig med hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som
behandlas är.
11 § Säkerhetspolisen ska säkerställa att dataskyddsombud ges
möjlighet att delta i de frågor som rör skyddet av
personuppgifter.
Säkerhetspolisen ska se till att dataskyddsombud kan utföra de
uppgifter som anges i 5 kap. 10 § lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter genom att
tillhandahålla nödvändiga resurser, ge tillgång till
dokumentation om behandling av personuppgifter och vid behov
medge åtkomst till personuppgifter som behandlas.
Säkerhetspolisen ska också se till att dataskyddsombud har den
sakkunskap som krävs och att de ges möjlighet att upprätthålla
denna.
12 § Ett avtal eller en annan överenskommelse enligt 5 kap.
11 § andra stycket lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter ska ange vad behandlingen av
personuppgifter ska avse, hur länge behandlingen ska pågå,
dess art och ändamål, typen av personuppgifter, kategorier av
registrerade och Säkerhetspolisens skyldigheter och
rättigheter. I avtalet eller överenskommelsen ska det särskilt
föreskrivas att personuppgiftsbiträdet ska
1. behandla personuppgifter bara enligt instruktioner från
Säkerhetspolisen,
2. säkerställa att personer som har tillstånd att behandla
personuppgifter antingen har förbundit sig att iaktta regler
om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa Säkerhetspolisen att säkerställa att bestämmelserna
om registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till
Säkerhetspolisen när uppdraget har slutförts och, om inte
annat följer av lag eller förordning, radera befintliga
kopior,
5. ge Säkerhetspolisen tillgång till den information som krävs
för att visa att det som sägs i denna paragraf, 13 § och
5 kap. 11-13 §§ lagen om Säkerhetspolisens behandling av
personuppgifter följs, och
6. respektera de villkor som framgår av denna paragraf, 13 §
och 5 kap. 12 § lagen om Säkerhetspolisens behandling av
personuppgifter när ett annat personuppgiftsbiträde anlitas.
13 § Om Säkerhetspolisen har lämnat ett generellt tillstånd
enligt 5 kap. 12 § lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter, ska personuppgiftsbiträdet
informera Säkerhetspolisen innan nya personuppgiftsbiträden
anlitas.
14 § Varje personuppgiftsbiträde ska föra en förteckning över
kategorier av behandlingar av personuppgifter som utförs för
Säkerhetspolisens räkning. Förteckningen ska innehålla namnet
på och kontaktuppgifter till personuppgiftsbiträdet och
Säkerhetspolisen och dessutom, för varje kategori av
behandling, följande uppgifter:
1. namnet på och kontaktuppgifter till eventuella
underbiträden,
2. vilka uppgifter som har överförts och till vem, om
överföringar av personuppgifter har gjorts till ett tredjeland
eller en internationell organisation, och
3. om det är möjligt, en allmän beskrivning av de
säkerhetsåtgärder som har vidtagits.
15 § Det som sägs om Säkerhetspolisens skyldigheter i 4 och
10 §§ gäller även för personuppgiftsbiträden.
16 § Innan Säkerhetspolisen meddelar föreskrifter med stöd av
denna förordning, ska tillsynsmyndigheten ges tillfälle att
yttra sig i frågor som berör särskilda risker för intrång i
den personliga integriteten.
17 § Tillsynsmyndigheten får meddela ytterligare föreskrifter
om
1. sådana åtgärder som avses i 5 kap. 1-3 och 7 §§ lagen
(2019:1182) om Säkerhetspolisens behandling av
personuppgifter,
2. krav och rutiner för loggning enligt 5 kap. 4 § lagen om
Säkerhetspolisens behandling av personuppgifter, och
3. vilka typer av behandlingar som ska omfattas av
förhandssamråd enligt 5 kap. 6 § lagen om Säkerhetspolisens
behandling av personuppgifter.
5 kap. Enskildas rättigheter
1 § Information enligt 6 kap. 1 och 2 §§ lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter ska vara
lättillgänglig och lättbegriplig och lämnas i lämplig form.
Detsamma gäller information enligt 3-6 §§ denna förordning.
2 § En begäran enligt 6 kap. 2, 6 eller 7 § lagen (2019:1182)
om Säkerhetspolisens behandling av personuppgifter ska göras
skriftligen hos Säkerhetspolisen.
Säkerhetspolisen ska säkerställa att begäran görs av en
behörig person.
3 § Beslut enligt 6 kap. 3 § första stycket, 5 § första
stycket, 6 och 7 §§ och 9 § andra stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter ska vara
skriftliga. Beslut som går den registrerade emot ska
motiveras.
Av 6 kap. 3 § andra stycket lagen om Säkerhetspolisens
behandling av personuppgifter framgår att skälen för vissa
beslut inte behöver lämnas ut.
4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut
enligt 6 kap. 3 § första stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter. Någon
underrättelse behöver inte lämnas om det skulle skada det
intresse som föranleder att information inte lämnas.
5 § Sökanden ska underrättas om beslut enligt 6 kap. 5 §
första stycket eller 9 § andra stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter.
6 § Den registrerade ska underrättas om följande beslut enligt
lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter:
1. beslut enligt 6 kap. 6 eller 7 §,
2. beslut om att en begränsning enligt 6 kap. 6 § andra
stycket upphör.
7 § Den myndighet från vilken personuppgifter kommer ska
underrättas om beslut enligt 6 kap. 6 § första stycket lagen
(2019:1182) om Säkerhetspolisens behandling av
personuppgifter.
Den som har tagit emot personuppgifter ska underrättas om
beslut enligt 6 kap. 6 eller 7 § lagen om Säkerhetspolisens
behandling av personuppgifter.
6 kap. Tillsyn
1 § Om tillsynsmyndigheten anser att en sådan planerad
behandling som avses i 5 kap. 6 § andra stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter
kan komma att stå i strid med lag eller annan författning, ska
myndigheten senast sex veckor efter det att begäran om
förhandssamråd togs emot skriftligen lämna råd enligt 7 kap.
4 § första stycket samma lag. Om det finns skäl för det får
tiden förlängas.
2 § Tillsynsmyndigheten ska informera Säkerhets- och
integritetsskyddsnämnden om att förhandssamråd enligt 5 kap.
6 § andra stycket lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter har begärts. Om det är lämpligt
ska nämnden ges tillfälle att yttra sig till
tillsynsmyndigheten inom ramen för förhandssamrådet.
Säkerhets- och integritetsskyddsnämnden har rätt att få
tillgång till underlaget för förhandssamrådet och
tillsynsmyndighetens yttrande.
7 kap. Överföring av personuppgifter till tredjeland och
internationella organisationer
1 § Överföringar av personuppgifter enligt 9 kap. 3 § 2 och
4 § lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter ska dokumenteras. Av dokumentationen ska
framgå vilka personuppgifter som överförts, datum och tidpunkt
för överföringen, ändamålet med och grunden för överföringen
och till vem personuppgifterna överfördes.
2 § Överföringar av personuppgifter enligt 9 kap. 5 §
lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter ska dokumenteras.
2019:1235
1. Denna förordning träder i kraft den 1 januari 2020.
2. Bestämmelsen i 4 kap. 4 § om loggning tillämpas från och
med den 1 oktober 2024 i fråga om automatiserade
behandlingssystem som inrättats före ikraftträdandet.