Regeringens proposition 2024/25:46

Nya uppgifter för centrum mot våldsbejakande Prop.
extremism 2024/25:46

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 31 oktober 2024

Ulf Kristersson

Gunnar Strömmer (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Inom Brottsförebyggande rådet (Brå) finns ett nationellt centrum mot våldsbejakande extremism (CVE). Från den 1 mars 2025 ansvarar CVE för två nya uppgifter. Den första uppgiften är att vara kontaktpunkt för myndigheter och andra som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Inom ramen för uppgiften som kontaktpunkt ska CVE kunna bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Den andra uppgiften är att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden där det finns en oro för att en eller flera personer ska genomföra en skolattack.

Vid utförandet av de nya uppgifterna kommer mer information än i dag att behöva hanteras. För att möjliggöra en ändamålsenlig informationshantering som samtidigt så långt som möjligt skyddar den personliga integriteten, föreslår regeringen

en ny lag om viss personuppgiftsbehandling vid Brå

en ny bestämmelse om sekretess till skydd för enskilda vid Brå

en ny bestämmelse som möjliggör att få ut uppgifter från viss brottsbekämpande verksamhet, om de behövs i ett ärende om fördjupad granskning.

Den nya lagen och lagändringarna föreslås träda i kraft den 1 mars 2025.

1

Prop. 2024/25:46 Innehållsförteckning  
  1 Förslag till riksdagsbeslut ................................................................. 4
  2 Lagtext .............................................................................................. 5
    2.1 Förslag till lag om viss personuppgiftsbehandling  
      vid Brottsförebyggande rådet ............................................. 5
    2.2 Förslag till lag om ändring i offentlighets- och  
      sekretesslagen (2009:400) .................................................. 8
  3 Ärendet och dess beredning ............................................................ 10
  4 Nationellt centrum mot våldsbejakande extremism får nya  
    uppgifter .......................................................................................... 11
    4.1 Nationellt centrum mot våldsbejakande extremism ......... 11
    4.2 Uppgiften att vara kontaktpunkt för den som fördelar  
      offentliga medel eller på annat sätt granskar  
      offentligt finansierade verksamheter ................................ 12
    4.3 Uppgiften att ge stöd till den som hanterar oro för en  
      skolattack.......................................................................... 14
  5 Nya bestämmelser om sekretess vid Brottsförebyggande rådet ...... 14
    5.1 En ny sekretessbestämmelse vid Brottsförebyggande  
      rådet.................................................................................. 15
    5.2 En ny sekretessbrytande bestämmelse.............................. 21
  6 Nya bestämmelser om personuppgiftsbehandling vid  
    Brottsförebyggande rådet................................................................ 28
    6.1 En ny lag om viss personuppgiftsbehandling vid  
      Brottförebyggande rådet................................................... 28
    6.2 Lagens tillämpningsområde och förhållandet till det  
      allmänna dataskyddsregelverket....................................... 29
    6.3 Personuppgiftsansvar ....................................................... 31
    6.4 Ändamålsbestämmelser och finalitetsprincipen ............... 32
    6.5 Tillgången till personuppgifter ......................................... 34
    6.6 Känsliga personuppgifter och sökbegränsningar.............. 35
    6.7 Längsta tid för behandling av personuppgifter ................. 39
    6.8 Rätten att göra invändningar ............................................ 41
    6.9 Rätt att meddela föreskrifter............................................. 42
    6.10 Andra aktörers personuppgiftsbehandling........................ 43
  7 Ikraftträdande- och övergångsbestämmelser................................... 46
  8 Konsekvenser.................................................................................. 47
  9 Författningskommentar................................................................... 51
    9.1 Förslaget till lag om viss personuppgiftsbehandling  
      vid Brottsförebyggande rådet ........................................... 51
    9.2 Förslaget till lag om ändring i offentlighets- och  
      sekretesslagen (2009:400) ................................................ 56
  Bilaga 1 Sammanfattning av betänkandet Rätt mottagare –  
      Granskning och integritet (SOU 2021:99)........................ 59
  Bilaga 2 Betänkandets lagförslag ................................................... 67
2        
Bilaga 3 Förteckning över remissinstanserna ................................ 70 Prop. 2024/25:46
Bilaga 4 Sammanfattning av betänkandet Samhället mot    
  skolattacker (SOU 2023:28) ............................................ 71  
Bilaga 5 Betänkandets lagförslag................................................... 74  
Bilaga 6 Förteckning över remissinstanserna ................................ 78  
Bilaga 7 Lagrådets yttrande ........................................................... 79  
Utdrag ur protokoll vid regeringssammanträde den 31 oktober    
  2024 ...................................................................................... 80  

3

Prop. 2024/25:46 1 Förslag till riksdagsbeslut
 

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet.

2.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

4

2 Lagtext Prop. 2024/25:46
 

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Brottsförebyggande rådet möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter vid Brottsförebyggande rådet när myndigheten

1.utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och

2.ger behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållandet till annan reglering

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

Personuppgiftsansvar

5 § Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.

5

Prop. 2024/25:46

6

Ändamål med personuppgiftsbehandlingen

6 § Personuppgifter får behandlas om det är nödvändigt för att Brottsförebyggande rådet ska kunna utföra någon av de uppgifter som anges i 2 §.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Behandling av känsliga personuppgifter

9 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av någon av de uppgifter som anges i 2 §.

Sökbegränsningar

10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

Längsta tid som personuppgifter får behandlas

11 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Personuppgifter som behandlas när Brottsförebyggande rådet utför den uppgift som anges i 2 § första stycket 2 får dock inte behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen får de personuppgifter som redan finns om personen, om det är nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Första och andra styckena hindrar inte att Brottsförebyggande rådet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Rätten att göra invändningar

12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 1 mars 2025.

Prop. 2024/25:46

7

Prop. 2024/25:46

8

2.2Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att det i offentlighets- och sekretesslagen (2009:400) ska införas två nya paragrafer, 35 kap. 10 e § och 40 kap. 7 f §, och närmast före 40 kap. 7 f § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

35 kap.

10 e §

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas till Brottsförebyggande rådet när myndigheten utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad granskning.

En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

40 kap.

Viss verksamhet vid

Brottsförebyggande rådet

7 f §

Sekretess gäller i verksamhet hos Brottsförebyggande rådet som avser uppgifterna att

1. vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och

2. ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.

Sekretessen enligt första stycket gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 mars 2025.

Prop. 2024/25:46

9

Prop. 2024/25:46 3 Ärendet och dess beredning
 

Regeringen beslutade i oktober 2020 att ge en särskild utredare i uppdrag att analysera frågor om personuppgiftsbehandling och sekretess i ärenden om stöd till det civila samhället, inklusive trossamfunden (dir. 2020:113). Genom tilläggsdirektiv i november samma år fick utredaren i uppdrag att även analysera och ta ställning till inrättande av en stödfunktion som ska kunna bistå myndigheter vid en fördjupad granskning av en bidragssökande organisation eller av annan offentligt finansierad verksamhet. I uppdraget ingick bl.a. att analysera behovet av bestämmelser om personuppgiftsbehandling för att en sådan stödfunktion ska kunna utföra sitt uppdrag samt behovet av bestämmelser som rör sekretess (dir. 2020:117).

Utredningen, som tog namnet Utredningen om granskning av stöd till civilsamhället, överlämnade i augusti 2021 delbetänkandet Rätt mottagare

Demokrativillkor och integritet (SOU 2021:66). Delbetänkandets lagförslag har lett till lagstiftning (prop. 2023/24:119, bet. 2023/24:KrU7, rskr. 2023/24:271). I december 2021 överlämnade utredningen slutbetänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99). En sammanfattning av slutbetänkandet finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga på regeringens webbplats (regeringen.se) och i lagstiftningsärendet (Ju2022/03414).

Vidare beslutade regeringen i juni 2022 att ge en annan särskild utredare i uppdrag att utreda och lämna förslag till åtgärder för att förbättra arbetet med säkerhet i skolväsendet. I uppdraget ingick bl.a. att lämna förslag på hur det förebyggande arbetet mot våldsdåd i skolväsendet kan stärkas genom såväl nationella som lokala åtgärder samt att föreslå en lämplig organisering av lokala eller regionala operativa samverkansorgan (dir. 2022:86).

Utredningen, som tog namnet Skolsäkerhetsutredningen, överlämnade i juni 2023 delbetänkandet Samhället mot skolattacker (SOU 2023:28). En sammanfattning av betänkandet finns i bilaga 4. Betänkandets lagförslag finns i bilaga 5. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga på regeringens webbplats (regeringen.se) och i lagstiftningsärendet (Ju2023/02777).

I denna proposition behandlas lagförslagen i SOU 2021:99 och SOU 2023:28.

Lagrådet

Regeringen beslutade den 3 oktober 2024 att inhämta Lagrådets yttrande över lagförslag som överensstämmer med lagförslagen i denna proposition. Lagrådets yttrande finns i bilaga 7. Lagrådet lämnar förslagen utan erinran.

10

4 Nationellt centrum mot våldsbejakande Prop. 2024/25:46
 

extremism får nya uppgifter

4.1Nationellt centrum mot våldsbejakande extremism

Inom Brottsförebyggande rådet (Brå) finns sedan den 1 januari 2018 ett nationellt centrum mot våldsbejakande extremism (CVE). CVE ska från i huvudsak kriminalpolitiska utgångspunkter stärka och utveckla det förebyggande arbetet mot våldsbejakande extremism. Detta sker genom att främja utvecklingen av förebyggande arbete på nationell, regional och lokal nivå, verka för en högre grad av samordning och effektivitet i det förebyggande arbetet, ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar frågor om förebyggande av våldsbejakande extremism, samla och sprida kunskap om förebyggande av våldsbejakande extremism baserad på forskning och beprövad erfarenhet samt verka för en kunskapsbaserad praktik (hittillsvarande 7 § förordningen [2016:1201] med instruktion för Brottsförebyggande rådet, fortsättningsvis instruktionen för Brå).

Utöver dessa uppgifter föreslås i betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99) att CVE ska vara kontaktpunkt för myndigheter och andra beslutsfattare som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. I detta ingår bl.a. att i vissa fall bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Vidare föreslås i betänkandet Samhället mot skolattacker (SOU 2023:28) att CVE i vissa fall ska ge stöd till kommuner, myndigheter och andra aktörer som hanterar oro för att en eller flera personer ska genomföra en skolattack. Regeringen beslutade den 3 oktober 2024 om ändringar i instruktionen för Brå som innebär att CVE fr.o.m. den 1 mars 2025 både ska vara en sådan kontaktpunkt och ge sådant stöd gällande skolattacker som föreslagits i betänkandena (se 7 b och 7 c §§). Ändringarna innebär också att det är CVE som ansvarar för att, i samarbete med myndigheten i övrigt, utföra dessa uppgifter (se 7 § i den lydelse som träder i kraft den 1 mars 2025).

För att kunna utföra de nya uppgifterna på ett effektivt sätt bedömer utredningarna att CVE kommer att behöva hantera mer information än i dag. Det innebär både att det kan behövas ökade möjligheter att få del av uppgifter som i vissa fall kan vara sekretessbelagda och att det kan behövas nya bestämmelser om sekretess. Dessutom kommer den behandlade informationen regelmässigt innehålla personuppgifter, varför det även måste säkerställas att det finns en ändamålsenlig personuppgiftsreglering när de nya uppgifterna utförs.

Som en bakgrund till överväganden om sekretess och personuppgiftsbehandling i denna proposition redogörs inledningsvis för innebörden av de båda nya uppgifterna.

11

Prop. 2024/25:46

12

4.2Uppgiften att vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter

En av de nya uppgifter som CVE ansvarar för fr.o.m. den 1 mars 2025 rör stöd vid fördelning av offentliga medel eller annan granskning av offentligt finansierade verksamheter. I instruktionen för Brå anges att CVE ska vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Inom ramen för denna uppgift ska myndigheten, i fall som regleras särskilt, bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer (7 c §). När det i propositionen refereras till kontaktpunktsuppgiften eller kontaktpunktsverksamheten är det denna uppgift som avses.

De aktörer som CVE är kontaktpunkt för är alltså både myndigheter (såväl statliga som kommunala) och andra aktörer, under förutsättning att dessa har ett myndighetsuppdrag att antingen fördela offentliga medel eller på annat sätt granska offentligt finansierade verksamheter. Ett exempel på en annan sådan aktör med ett relevant myndighetsuppdrag är Folkbildningsrådet, som bl.a. beslutar om statsbidrag och fördelar tillgängliga medel till folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan enligt förordningen (2015:218) om statsbidrag till folkbildningen. Den som tar emot ett sådant statsbidrag och sedan fördelar vidare medlen kan däremot inte få bistånd med fördjupade granskningar av bidragssökande organisationer, om vidarefördelningen inte görs i enlighet med ett myndighetsuppdrag. Det innebär t.ex. att de studieförbund som tar emot statsbidrag efter beslut av Folkbildningsrådet inte kan vända sig till CVE för stöd om dessa i sin tur avser att fördela vidare statsbidragen. Att aktörer som har i uppdrag att på annat sätt (än för fördelning av offentliga medel) granska offentligt finansierade verksamheter anges, innebär att även myndigheter som t.ex. ger tillstånd eller godkännanden till enskilda att bedriva viss verksamhet som berättigar till offentlig finansiering, eller bedriver tillsyn över sådan verksamhet, kan vända sig till CVE. Det gäller exempelvis Statens skolinspektion som handlägger ärenden om godkännande av enskild som skolhuvudman och också bedriver tillsyn över dessa.

Huvuduppgiften för CVE inom ramen för kontaktpunktsuppgiften är att bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. I förordningen om vissa fördjupade granskningar som utförs av Brottsförebyggande rådet – som träder i kraft samtidigt som ändringarna i instruktionen för Brå – regleras i vilka fall sådana granskningar ska utföras. Bestämmelserna innebär att CVE, på begäran av en sådan myndighet eller ett sådant annat beslutsorgan som avses i 7 c § instruktionen för Brå, ska göra en fördjupad granskning av en verksamhet som ansöker om, tar del av eller kan komma att ta del av, offentliga medel. Detta gäller om det i ett ärende finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger myndigheten eller beslutsorganet skäl att vidta

åtgärder. Av förordningen följer även att begäran om bistånd ska vara motiverad och innehålla de konkreta omständigheter som medför att myndigheten eller beslutsorganet begär bistånd, att den fördjupade granskningen ska avse de omständigheter som är relevanta för bedömningen av ärendet och att CVE ska lämna ett yttrande över utförd granskning.

Granskningen kan alltså avse verksamheter som ansöker om eller tar del av offentliga medel. Det innebär att exempelvis en civilsamhällesorganisation kan granskas både då den ansöker om bidrag från det allmänna och i ett senare skede, även efter att utbetalningen av medel är avslutad. Dessutom kan den som tar del av offentliga medel för drivande av viss verksamhet granskas. Att granskningen även kan avse verksamheter som kan komma att ta del av offentliga medel innebär att granskningen också kan avse den som ansöker om exempelvis ett tillstånd eller godkännande att bedriva viss verksamhet som, när den startats, kommer att berättiga till offentlig finansiering, såsom ett godkännande som enskild skolhuvudman.

Det är alltså fråga om ett stort antal olika verksamheter som kan bli föremål för granskning. Att det är en verksamhet som ska granskas innebär att CVE inte ska utreda ärenden som avser enskilda personer, men inom ramen för granskningen av en verksamhet kommer det i många fall bli aktuellt att bedöma enskilda och deras agerande och kopplingar. Det kan t.ex. gälla företrädare för verksamheten eller dess ägare. Det betyder att CVE även inom ramen för kontaktpunktsuppgiften regelmässigt kommer att behöva hantera personuppgifter och dessutom känsliga sådana.

Uppgifterna kan komma till CVE från flera håll. De kan inledningsvis komma från det beslutsorgan som begär bistånd med fördjupad granskning. Om det i begäran inte kan visas att det finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger beslutsorganet skäl att vidta särskilda åtgärder, så har CVE ingen skyldighet att inleda någon fördjupad granskning. Inom ramen för granskningen kan det vara så att CVE behöver inhämta uppgifterna från andra myndigheter, utöver den inhämtning som sker genom öppna källor. Det måste därför säkerställas att beslutsorganen och andra myndigheter har tillräckliga möjligheter att lämna uppgifter, i vissa fall även sekretessbelagda sådana, till CVE.

Granskningen avslutas med att CVE lämnar ett yttrande. Det är inte CVE som beslutar i de ärenden som föranlett begäran om särskild granskning, utan det ansvaret ligger helt och hållet på respektive beslutsorgan. Det är också så att yttrandet bara är en del av det samlade beslutsunderlaget. Den granskade verksamheten ska i regel av beslutsorganet ges möjlighet att bemöta de uppgifter som framkommer i yttrandet. CVE kommer i sina yttranden därför inte att lämna några rekommendationer om hur beslutsorganet exempelvis bör bedöma frågan om en granskad verksamhet uppfyller ett demokrativillkor. I stället ska yttrandet innehålla de uppgifter som är relevanta för beslutsorganets bedömning. Den informationen kan behöva innehålla både personuppgifter och uppgifter som kan omfattas av sekretess. Det behöver alltså i propositionen göras överväganden även i fråga om CVE:s möjligheter att lämna ut information som innehåller personuppgifter eller i övrigt känsliga uppgifter.

Prop. 2024/25:46

13

Prop. 2024/25:46 4.3 Uppgiften att ge stöd till den som hanterar oro
  för en skolattack

Den andra av de nya uppgifter som CVE ansvarar för rör stöd vid oro för skolattacker. I instruktionen för Brå anges att myndigheten ska ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska utföra en skolattack (7 b §).

Alla typer av aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för skolattacker kan alltså vända sig till CVE för stöd. Det kan t.ex. handla om kommunala eller fristående skolor, socialtjänsten eller hälso- och sjukvården. En förutsättning är att det rör sig om en oro för att någon ska utföra just en skolattack. Även om begreppet skolattack inte har någon entydig definition står det klart att det endast avser det allvarligaste av det våld som kan äga rum inom skolans område (se SOU 2023:28 s. 39– 41). Med skola avses här hela skolväsendet.

Något krav på att oron ska ha uppnått viss grad av konkretion ställs inte. Det innebär att stödet i vissa fall kommer att kunna ges utan att CVE behöver hantera uppgifter om någon identifierad person, t.ex. i form av mer allmänna kunskaper och erfarenheter eller mer allmänt processtöd. I andra fall, exempelvis då uppgifter om en viss persons historik är relevant eller då CVE medverkar vid samverkansmöten mellan flera aktörer gällande en viss person, kommer CVE för att kunna utföra sin uppgift på ett effektivt sätt behöva hantera personuppgifter och dessutom känsliga sådana.

Det kan alltså röra sig om flera olika typer av stöd som CVE bidrar med och någon uttömmande uppräkning kan inte göras. Det bör dock framhållas att det under alla förhållanden handlar om just stöd – CVE kan aldrig överta ansvar eller myndighetsutövning från någon annan aktör. Inrättandet av stödverksamheten innebär inte att man tar över någon uppgift från Polismyndigheten eller Säkerhetspolisen, eller att behovet, eller skyldigheten, för de berörda aktörerna att kontakta Polismyndigheten eller Säkerhetspolisen vid oro för skolattacker minskar. En annan sak är att det i många fall kan finnas anledning för CVE att samverka även med Polismyndigheten eller Säkerhetspolisen, som en av flera inblandade aktörer i ett ärende.

5 Nya bestämmelser om sekretess vid Brottsförebyggande rådet

  I avsnitt 4 redogörs för de två nya uppgifter som CVE ansvarar för – att
  vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt
  granskar offentligt finansierade verksamheter och att ge stöd till den som
  hanterar oro för en skolattack. För att kunna utföra uppgifterna kommer
  information som i vissa fall kan innehålla känsliga uppgifter att behöva
  behandlas. Det bör därför övervägas om det finns skäl att införa en ny
14 sekretessbestämmelse för sådana uppgifter.
 

Delar av informationen som kommer att behandlas är sådana som kan Prop. 2024/25:46 inhämtas från öppna källor. För att kunna utföra sina nya uppgifter

kommer CVE emellertid även att behöva ta emot eller inhämta uppgifter från andra myndigheter och från enskilda aktörer som utför myndighetsuppdrag. Uppgifterna kan vara sekretessbelagda och det bör därför även övervägas om det finns skäl att införa en ny sekretessbrytande bestämmelse som möjliggör mottagandet av sådana uppgifter.

5.1En ny sekretessbestämmelse vid Brottsförebyggande rådet

Regeringens förslag: Sekretess ska gälla i verksamhet hos Brå som avser uppgifterna att

1.vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och

2.ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.

Sekretessen ska gälla för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år.

Regeringens bedömning: Rätten att meddela och offentliggöra uppgifter bör ha företräde framför den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen.

Det behövs inte någon ny sekretessbestämmelse till skydd för allmänna intressen.

Utredningen om stöd till civilsamhällets förslag och bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning.

Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.

Tidningsutgivarna avstyrker i första hand förslaget om en ny sekretessbestämmelse till skydd för enskilda och förordar i andra hand en sekretessbestämmelse med rakt skaderekvisit. Brottsförebyggande rådet ställer frågan om inte den föreslagna bestämmelsen i hög grad kommer att försvåra innehållet i de yttranden som CVE ska lämna till beslutsorganet, och Länsstyrelsen i Stockholms län efterfrågar en sekretessbrytande bestämmelse mellan CVE och beslutsorganen. Flera remissinstanser lyfter frågor om hur beslutsorganen ska omhänderta CVE:s yttranden över utförda granskningar, däribland Helsingborgs stad och Sveriges Kommuner och Regioner som särskilt anser att uppgifter som är sekretessbelagda hos CVE och som ingår i ett yttrande bör vara sekretessbelagda även hos det beslutsorgan som tar emot detta. Kammarrätten i Jönköping anser att det bör övervägas om sekretessen även ska gälla till skydd för närstående till den enskilde. Statens skolinspektion påpekar att CVE:s yttrande kan

komma att ligga till grund för en inspektion och att det är av vikt att

15

Prop. 2024/25:46

16

uppgifterna i yttrandet kan omfattas av sekretess även hos CVE för att inte påverka förutsättningarna för en sådan inspektion negativt.

Skolsäkerhetsutredningens förslag och bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag har dock en annan redaktionell och språklig utformning.

Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.

Idéburna skolors riksförbund och Integritetsskyddsmyndigheten delar bedömningen att meddelarfrihet inte ska gälla vid CVE. Journalistförbundet och Tidningsutgivarna anser att skaderekvisitet bör vara rakt samt tillstyrker att meddelarfrihet ska gälla. Tidningsutgivarna ifrågasätter vidare att sekretessen ska omfatta ekonomiska förhållanden. Sveriges elevkårer och Sveriges elevråd, som tillstyrker förslaget, betonar särskilt vikten av ett omvänt skaderekvisit. Kammarrätten i Stockholm anser att det bör övervägas om sekretessen även ska gälla till skydd för närstående till den enskilde.

Skälen för regeringens förslag och bedömning

CVE kommer utifrån sina nya uppgifter att behöva hantera integritetskänsliga uppgifter om enskilda

CVE kommer inom ramen för uppgiften som kontaktpunkt att bistå myndigheter och vissa andra beslutsorgan med fördjupade granskningar av verksamheter för att utreda om dessa har för beslutsorganet relevanta kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. För att CVE ska kunna utföra sådana granskningar kommer centrumet behöva hantera uppgifter om de verksamheter som ska granskas. Det kan röra sig om uppgifter om verksamhetens regelbundna arbete eller arrangemang som den har anordnat, eller om andra organisationer som verksamheten samarbetar med eller stöder. Uppgifterna kan även komma att gälla verksamhetens ekonomiska förhållanden, exempelvis uppgifter om kostnader för verksamheten eller att den har stött någon annan organisation ekonomiskt. Eftersom de verksamheter som blir aktuella att granska i många fall kommer att bedriva verksamheter som är politiskt eller religiöst motiverade kommer även uppgifter om politiska och religiösa inriktningar och samarbeten att behöva behandlas.

Även om de fördjupade granskningarna avser verksamheterna så kommer CVE regelmässigt att behöva hantera uppgifter om enskilda personer som är verksamma i dessa. Det kan gälla ägare eller företrädare när beslutsorganet genomför ägar- och ledningsprövningar av offentligt finansierade verksamheter, men även företrädare eller andra enskilda vid prövningar av verksamheter som ansöker om eller tar del av t.ex. offentligt stöd till civilsamhället. Förutom att uppgifterna kan avse en enskilds kopplingar till våldsbejakande extremism kan det också vara fråga om uppgifter som avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Dessutom kan uppgifter om begångna eller misstänkta brott behöva behandlas.

Vid sidan av de fördjupade granskningarna kan det också förväntas att CVE som kontaktpunkt kommer att få in uppgifter som saknar koppling till ett konkret ärende – t.ex. från allmänheten, medier eller andra

myndigheter – men som kan innehålla uppgifter om enskildas personliga Prop. 2024/25:46 förhållanden av integritetskänslig karaktär.

Även inom ramen för sin uppgift att ge stöd vid oro för skolattacker kommer CVE att behöva hantera uppgifter om enskilda personer som kan vara mycket integritetskänsliga. Det kan t.ex. röra sig om information om grupperingar, uttryck för våldsfascination, bilder eller inlägg i sociala medier och videomaterial som kan innehålla hot om brottslighet, men också om uppgifter av ytterst personlig karaktär såsom uppgifter om psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Även här kan det vara fråga om uppgifter om en enskilds kopplingar till våldsbejakande extremism och uppgifter som exempelvis avslöjar en persons religiösa eller politiska övertygelse.

Det behövs en ny sekretessbestämmelse till skydd för vissa uppgifter om enskilda

Åtskilliga av de uppgifter som CVE kommer att behöva behandla inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker är alltså sådana att ett utlämnande kan få konsekvenser för enskilda, både fysiska personer och de verksamheter som granskas. Den gällande sekretessbestämmelse som skulle kunna tillämpas är den generella bestämmelsen om sekretess till skydd för uppgift om enskilds personliga förhållanden i 21 kap. 1 § offentlighets- och sekretesslagen, förkortad OSL, men den är begränsad till uppgifter som rör en enskilds hälsa eller sexualliv och är dessutom enbart tillämplig om det kan antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Regeringen delar utredningarnas bedömning att detta skydd inte är tillräckligt. Någon befintlig sekretessbestämmelse som tar sikte på uppgifter i CVE:s verksamhet finns alltså inte. Det behövs därför en ny sekretessbestämmelse som skyddar vissa uppgifter om enskilda i sådan verksamhet som sker inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker.

Att det, som Tidningsutgivarna påtalar, finns ett tydligt intresse av transparens och insyn i vilka verksamheter som får del av offentliga medel och att medlen fördelas i enlighet med de villkor som följer av gällande reglering, påverkar inte denna bedömning. CVE fattar inte några beslut i de ärenden som föranlett särskilda granskningar, utan det är en uppgift för de beslutsorgan som tar emot ett yttrande. I vilken utsträckning insyn är möjlig i beslutsorganens verksamhet är inte något som påverkas av den föreslagna sekretessbestämmelsen. Regeringen anser nämligen, till skillnad från Helsingborgs stad och Sveriges Kommuner och Regioner, att det inte finns tillräckliga skäl att nu föreslå en reglering som också skulle innebära att uppgifter som är sekretessbelagda hos CVE och som ingår i ett yttrande blir sekretessbelagda även hos det beslutsorgan som tar emot detta. Sekretessintresset måste i varje sammanhang vägas mot intresset av insyn hos myndigheterna och offentlighetsintresset kan kräva att uppgifter som är hemliga hos en myndighet är offentliga hos en annan (prop. 1979/80:2 del A s. 75–76). Att CVE har fått i uppgift att bistå med fördjupade granskningar innebär i sig inte att de beslutsorgan som kan vända sig till CVE har ålagts några nya uppgifter eller att de ska tillämpa några

nya eller ändrade villkor för fördelning av offentliga medel eller beviljande

17

Prop. 2024/25:46 av sådana tillstånd eller godkännanden som i förlängningen berättigar till offentlig finansiering. I de fall som en verksamhets koppling till våldsbejakande extremism eller andra antidemokratiska miljöer kan ha betydelse för beslutsorganets hantering är det alltså redan i dag beslutsorganets uppgift att utreda sådana eventuella kopplingar. I vilken utsträckning de uppgifter som beslutsorganet behöver hantera inom ramen för ett sådant ärende – oavsett om de kommit beslutsorganet till del genom CVE:s yttrande eller på annat sätt – bör kunna sekretessbeläggas bedöms lämpligen i samband med att den reglering som respektive beslutsorgan har att tillämpa är föremål för ändringar eller andra överväganden, alternativt när ett beslutsorgan åläggs en ny sådan uppgift som innebär att man kan begära bistånd från CVE. Det kan t.ex. noteras att regeringen i propositionen Statens stöd till trossamfund och civilsamhället – enhetliga och rättssäkra villkor (prop. 2023/24:119) bedömde att ett demokrativillkor bör gälla för statlig bidragsgivning som riktar sig till civilsamhället, om det inte är obehövligt, och som en följd av detta också föreslog en ny sekretessbestämmelse till skydd för uppgifter om enskildas personliga förhållanden i ärenden om statligt reglerat stöd till civilsamhället som omfattas av ett demokrativillkor. Riksdagen har beslutat i enlighet med regeringens förslag (bet. 2023/24:KrU7, rskr. 2023/24:271) och reglerna träder i kraft den 1 januari 2025.

18

Det bör även nämnas att regeringen i avsnitt 5.2 föreslår en sekretessbrytande bestämmelse som möjliggör för CVE att få uppgifter från vissa brottsbekämpande verksamheter. Den innebär att CVE:s yttranden kan komma att innehålla uppgifter som det mottagande beslutsorganet annars inte hade kunnat få del av, vilket kan väcka frågan om i vart fall inte sådana uppgifter bör vara sekretessbelagda hos beslutsorganet i samma utsträckning som hos CVE. Som framgår i avsnitt 5.2 anser regeringen emellertid att det faktum att uppgifterna kan komma att tas in i CVE:s yttrande i stället är något som den utlämnande myndigheten ska beakta vid den intresseavvägning som ska göras enligt den sekretessbrytande bestämmelsen.

Utformningen av den nya sekretessbestämmelsen

Den givna utgångspunkten när en sekretessbestämmelse utformas är att en begränsning av rätten att ta del av allmänna handlingar inte ska gå utöver vad som är motiverat med hänsyn till de intressen som sekretessen avser att skydda. Dessutom ska sekretessbestämmelser utformas så specifikt som möjligt när det gäller både sekretessens föremål och dess räckvidd, dvs. vilka uppgifter som bestämmelsen skyddar och vilken typ av ärenden eller verksamheter som den är tillämplig i.

Det kan vara fråga om en stor mängd uppgifter av varierande slag som kommer att behandlas i kontaktpunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker. Detta innebär att det är svårt att på förhand avgränsa sekretessens föremål alltför mycket utan att samtidigt riskera att skyddsvärda uppgifter faller utanför bestämmelsens tillämpningsområde. Som utredningarna föreslår bör bestämmelsen därför gälla uppgifter om en enskilds personliga och ekonomiska förhållanden. Även om, som Tidningsutgivarna påtalar, uppgiftshanteringen inom ramen för stödverksamheten vid oro för skolattacker inte i första hand

kommer att omfatta ekonomiska förhållanden delar regeringen nämligen Skolsäkerhetsutredningens bedömning att en begränsning av sekretessen i dessa fall till enbart personliga förhållanden skulle innebära en risk för att uppgifter av känslig natur faller utanför bestämmelsens tillämpningsområde. Det är angeläget att sådana uppgifter ges ett tillräckligt skydd. Däremot har det enligt regeringens mening inte framkommit tillräckliga skäl för att låta bestämmelsen gälla även till skydd för närstående till den enskilde, vilket Kammarrätten i Jönköping och Kammarrätten i Stockholm anser bör övervägas.

Något skäl för att låta bestämmelsen vara tillämplig utanför verksamhet som sker inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker har inte framkommit. Den bör därför begränsas till att gälla uppgifter i dessa specifika verksamheter, och eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten i övrigt bör det anges att den gäller i sådan verksamhet hos Brå. Det kan i detta sammanhang noteras att sekretessbestämmelsens tillämpningsområde och det sätt på vilket Brå i dag är organiserat enligt regeringens bedömning innebär att CVE inte kan anses utgöra en i offentlighets- och sekretesslagens mening självständig verksamhetsgren.

Både Tidningsutgivarna och Journalistförbundet anser att sekretessbestämmelsen bör ha ett s.k. rakt skaderekvisit, dvs. att sekretess endast ska gälla om det kan antas att den enskilde lider men eller skada om uppgiften röjs. En sådan utformning med presumtion för offentlighet är den vanliga när det gäller sekretessbestämmelser till skydd för uppgifter om enskilda i verksamheter som avser myndighetsutövning. CVE kommer emellertid inte att ägna sig åt myndighetsutövning inom ramen för någon av de nya uppgifterna då det rör sig om rena stöduppgifter. Med detta i särskilt beaktande, och med hänsyn till de mycket integritetskänsliga uppgifter som det regelmässigt kommer att röra sig om, delar regeringen utredningarnas bedömning att sekretess i stället bör gälla om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Däremot anser regeringen att det inte framkommit tillräckligt starka skäl för att inskränka rätten att meddela och offentliggöra uppgifter, såsom Idéburna skolors riksförbund och Integritetsskyddsmyndigheten förespråkar. Någon ändring i 40 kap. 8 § OSL behöver alltså inte göras.

Brottsförebyggande rådet ställer frågan om inte en presumtion för sekretess kommer att försvåra innehållet i de yttranden som CVE ska lämna till beslutsorganet efter en fördjupad granskning, och Länsstyrelsen i Stockholms län efterfrågar av samma skäl en sekretessbrytande bestämmelse mellan CVE och beslutsorganen. Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (se 10 kap. 2 § OSL). Enligt 3 § förordningen om vissa fördjupade granskningar som utförs av Brottsförebyggande rådet ska en fördjupad granskning innehålla den utredning som är relevant för bedömningen av ärendet och CVE ska lämna ett yttrande över granskningen. Detta innebär att CVE (dvs. myndigheten Brå) inte kommer att kunna fullgöra sin verksamhet om sekretessbelagda uppgifter som är relevanta för bedömningen av ärendet vid beslutsorganet inte kan tas in i yttrandet över granskningen. Som Utredningen om granskning av stöd till civilsamhället anger bör därför relevanta uppgifter som är sekretessbelagda kunna tas in i yttrandet

Prop. 2024/25:46

19

Prop. 2024/25:46 över granskningen med stöd av 10 kap. 2 § OSL. Regeringen gör därför bedömningen att en presumtion för sekretess inte kommer att försvåra innehållet i de yttranden som CVE ska lämna och att det därmed inte heller finns skäl att införa någon sekretessbrytande bestämmelse mellan CVE och beslutsorganen.

En sekretessbestämmelse bör innehålla en yttersta begränsning i tid. När det gäller sekretess till skydd för enskildas personliga förhållanden är sekretesstiden i regel bestämd till högst sjuttio år med utgångspunkt i att sekretessen bör gälla under större delen av den enskildes livstid (se prop. 1979/80:2 del A s. 459–460 och 493–494). Detta gör sig gällande även för uppgifter om personliga förhållanden i nu aktuella verksamheter. Inom ramen för uppgiften att ge stöd vid oro för skolattackerna kommer de känsliga uppgifterna i de allra flesta fall att röra barn och unga och i verksamheten som kontaktpunkt kommer regelmässigt civilsamhällesorganisationer som helt eller delvis bedriver verksamhet som riktar sig mot barn och unga att granskas. Sekretesstiden för uppgifter om enskildas personliga förhållanden bör därför bestämmas till sjuttio år. Som Skolsäkerhetsutredningen föreslår bör sekretesstiden vara densamma för uppgifter om enskildas ekonomiska förhållanden.

Sekretessbestämmelsen bör införas i 40 kap. OSL som reglerar sekretess till skydd för enskild hos övriga myndigheter och i övriga verksamheter.

Det behövs ingen sekretessreglering till skydd för allmänna intressen

Statens skolinspektion påpekar att CVE:s yttrande över en fördjupad granskning kan komma att ligga till grund för en inspektion och att det därför är av vikt att uppgifterna i yttrandet kan omfattas av sekretess även hos CVE. I 17 kap. 1 § OSL finns en bestämmelse om sekretess vid förberedelser för inspektion, revision eller annan granskning. Regeringen utesluter inte att den bestämmelsen skulle kunna bli tillämplig på uppgifter i CVE:s yttrande. Oavsett hur det förhåller sig med detta kan det konstateras att CVE:s skyldighet att lämna ett yttrande över sin granskning endast gäller i förhållande till det begärande beslutsorganet. I den mån yttrandet innehåller sekretessbelagda uppgifter kan CVE alltså endast lämna ut dessa till beslutsorganet, inte till den verksamhet som granskats. Det saknas dessutom skäl för CVE att i samband med att yttrandet lämnas expediera detta till den granskade verksamheten – som inte är part i något ärende vid CVE – även om yttrandet inte innehåller några sekretessbelagda uppgifter eller om sekretessen gäller till förmån enbart för verksamheten. Om ett yttrande från CVE föranleder åtgärder från beslutsorganet som bör vidtas innan den granskade verksamheten tagit del av innehållet i yttrandet, finns i praktiken alltså sådana möjligheter om beslutsorganet agerar skyndsamt. Det kan dessutom förväntas att denna situation uppkommer endast i begränsad utsträckning. Det finns därför enligt regeringen inte tillräckliga skäl för att nu motivera en ny sekretessbestämmelse med syfte att underlätta beslutsorganens eventuella efterföljande inspektioner. Inte heller i övrigt finns behov av sekretess vid CVE till skydd för allmänna intressen.

20

5.2 En ny sekretessbrytande bestämmelse Prop. 2024/25:46
   
Regeringens förslag: Sekretess för uppgift om en enskilds personliga  
och ekonomiska förhållanden enligt 35 kap. 1 § OSL ska inte hindra att  
en uppgift lämnas till Brå om uppgiften behövs i ett ärende om  
fördjupad granskning.  
En uppgift ska få lämnas endast om intresset av att uppgiften lämnas  
har företräde framför det intresse som sekretessen ska skydda.  
Regeringens bedömning: Det finns i övrigt inte skäl att införa några  
nya sekretessbrytande bestämmelser.  
   
Utredningen om stöd till civilsamhällets förslag och bedömning  
överensstämmer i sak med regeringens när det gäller verksamhet inom  
ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en  
annan redaktionell och språklig utformning.  
Remissinstanserna: De flesta remissinstanser instämmer i förslaget  
eller har inga invändningar mot det. Tidningsutgivarna, som tillstyrker  
förslaget, anser att den intresseavvägning som anges är densamma som  
redan finns i den sekretessbrytande bestämmelsen i 10 kap. 27 § OSL och  
ställer sig därför frågande till om förslaget innebär någon skillnad jämfört  
med vad som redan gäller. Flera remissinstanser, såsom Lunds kommun  
och Statens skolinspektion, lyfter vikten av att CVE kan dela med sig av  
relevant information som antingen framkommit i en granskning eller som  
annars kommit CVE till del i dess kontaktpunktsverksamhet, till fler  
beslutsorgan än det som begärt en specifik granskning. Inspektionen för  
vård och omsorg efterfrågar bl.a. en skyldighet för CVE och/eller  
Säkerhetspolisen att på eget initiativ underrätta inspektionen när de  
upptäcker närvaro av eller koppling till våldsbejakande extremism eller  
andra antidemokratiska miljöer i verksamheter som står under  
inspektionens tillståndsprövning och tillsyn.  
Skolsäkerhetsutredningens bedömning överensstämmer i sak med  
regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd  
vid oro för skolattacker. Utredningens förslag har dock en annan  
redaktionell och språklig utformning.  
Remissinstanserna: De flesta remissinstanser instämmer i förslaget  
eller har inga invändningar mot det.  
Flera remissinstanser lämnar synpunkter som rör möjligheterna för  
berörda aktörer att lämna relevanta sekretessbelagda uppgifter om  
enskilda till CVE. Nacka kommun och Region Kronoberg lyfter  
svårigheterna för socialtjänsten och hälso- och sjukvården att vända sig till  
stödverksamheten i individärenden, eftersom dessa inte kan inte kan  
använda sig av den sekretessbrytande bestämmelsen i 10 kap. 27 § OSL.  
Även Riksföreningen för skolsköterskor och Statens skolverk anser att det  
finns en osäkerhet kring sekretessfrågan och att det därför behövs ett  
förtydligande av lagstiftningen, och Göteborgs stad betonar vikten av att  
informationsdelning inte hindras av att det råder osäkerhet kring vilken  
information som kan lämnas ut och inte.  
Även frågor om möjligheterna för CVE att dela med sig av sekretess-  
belagda uppgifter lyfts av flera remissinstanser. Kammarrätten i  
Stockholm anser att det bör utvecklas om, och i så fall med vilket rättsligt  
stöd, CVE ska utbyta information med exempelvis den uppgiftslämnande 21

Prop. 2024/25:46

22

myndigheten eller andra aktörer. Ystads kommun påtalar att olika funktioner och myndigheter kan söka stöd av CVE utan varandras vetskap och att CVE behöver ges ett mandat att avgöra när uppgiftsdelning mellan t.ex. olika myndigheter är nödvändigt. Även Polismyndigheten anser att det behövs lättnader i sekretesslagstiftningen för att nå en effektiv samverkan kring enskilda individer. Idéburna skolors riksförbund anser att frågan om CVE:s möjligheter att göra polisanmälan eller anmälan till socialnämnden, vid misstanke eller kännedom om brott respektive att ett barn far illa, bör övervägas.

Några remissinstanser resonerar om den särskilda frågan om tystnadsplikten vid enskild skolverksamhet. Friskolornas riksförbund anser att det råder osäkerhet om fristående skolors möjligheter att dela uppgifter med stöd av analogier från sekretessbrytande bestämmelser i OSL och efterfrågar förtydliganden i lagstiftningen. Statens skolverk anser att tystnadsplikten i princip är densamma inom såväl enskilt som offentligt bedriven skolverksamhet.

Skälen för regeringens förslag och bedömning

Det behövs en ny sekretessbrytande bestämmelse för att CVE ska kunna utföra fördjupade granskningar

Som framgår av avsnitt 5.1 kommer CVE i sin roll som kontaktpunkt att behöva ha tillgång till viss information. När en särskild granskning ska göras kommer de första uppgifterna att komma från det beslutsorgan som begärt granskningen. I regel kommer det att vara uppgifter från ett grundärende vid beslutsorganet, framför allt uppgifter ur ansökningshandlingar samt de uppgifter som har gjort att beslutsorganet bedömer att det finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sådant sätt som ger skäl att vidta särskilda åtgärder. Som Utredningen om granskning av stöd till civilsamhället konstaterar kommer sannolikt en stor del av dessa uppgifter att vara offentliga. I de fall det ändå rör sig om uppgifter som är sekretessbelagda vid beslutsorganet kommer, enligt regeringens bedömning, den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL att kunna användas för att inkludera även sekretessbelagda uppgifter i begäran. Sekretess hindrar nämligen inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. I förarbetena till bestämmelsen nämns t.ex. att en myndighet kan vara tvungen att lämna hemlig information till en annan myndighet som grund för ett remissyttrande och att det i vissa fall kan vara nödvändigt för en tjänsteman att lämna sekretesskyddade uppgifter till en utomstående expert (prop. 1979/80:2 del A s. 122). Dessa situationer liknar den då ett beslutsorgan – som i regel kommer att ha begränsad egen kompetens i frågor om våldsbejakande extremism och andra antidemokratiska miljöer – behöver stöd från CVE med en fördjupad granskning. Skulle bestämmelsen inte kunna användas, kan frågan om utlämnande av sekretessbelagda uppgifter från beslutsorganet även prövas enligt den s.k. generalklausulen i 10 kap. 27 § OSL. Generalklausulen möjliggör utlämnanden av sekretessbelagda uppgifter till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska

skydda. Sammantaget finns därför inte skäl att föreslå någon sekretess- Prop. 2024/25:46 brytande bestämmelse som tar sikte på uppgiftslämnande mellan besluts-

organen och CVE.

Under den särskilda granskningen kommer CVE sedan att behöva ytterligare information om den granskade verksamheten. Sådana uppgifter kommer i stor utsträckning att kunna inhämtas från öppna källor, men CVE kan även behöva vända sig till andra myndigheter. De fördjupade granskningarna kan gälla ett brett spektrum av verksamheter och de eventuella kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer som ska utredas kommer att skilja sig från ett ärende till ett annat. Det är därför inte möjligt att med säkerhet uttala sig om vilka myndigheter som CVE kan behöva inhämta uppgifter från eller i vilken omfattning sådana uppgifter kommer att omfattas av sekretess. Som utredningen redogör för är det dock framför allt de begränsade möjligheterna att inhämta uppgifter från brottsbekämpande myndigheter som kan förväntas hindra att CVE får del av uppgifter som kan vara relevanta för granskningarna, och då främst sekretessen enligt 35 kap. 1 § OSL. Denna gäller för uppgifter om enskildas personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men, om uppgifterna förekommer i exempelvis en förundersökning, en angelägenhet som avser användning av tvångsmedel i brottmål eller annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott. Uppgifter som omfattas av sekretess enligt 35 kap. 1 § OSL kan i vissa fall lämnas ut med stöd av generalklausulen i 10 kap. 27 § OSL. Med hänsyn till det typiskt sett starka intresse som sekretessen i dessa fall ska skydda och generalklausulens krav på att det ska vara uppenbart att intresset av att en uppgift lämnas har företräde, bedömer regeringen emellertid att CVE:s möjligheter att inhämta uppgifter från de brottsbekämpande myndigheterna inte kommer att vara tillräckliga. I likhet med Utredningen om granskning av stöd till civilsamhället anser regeringen att det därför finns behov av en ny bestämmelse som kan bryta sekretessen enligt 35 kap. 1 § OSL i förhållande till kontaktspunktsuppgiften. I övrigt bör CVE:s behov av att inhämta uppgifter som är sekretessbelagda, antingen vid andra myndigheter eller enligt andra bestämmelser, enligt regeringen kunna hanteras med stöd av 10 kap. 27 § OSL. Det finns därför inte skäl att nu föreslå någon bredare sekretessbrytande bestämmelse. I sammanhanget kan noteras att frågor om informationsutbyte mellan myndigheter behandlas i delbetänkandet Ökat informationsutbyte mellan myndigheter

Behov och föreslagna förändringar (SOU 2024:63) som överlämnades till regeringen den 2 september 2024. I betänkandet föreslås en ny generell sekretessbrytande bestämmelse i OSL som under vissa förutsättningar möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till skydd för enskilda till en annan myndighet, såväl på begäran som på eget initiativ, om uppgifterna t.ex. behövs för att förhindra eller upptäcka att ett ekonomiskt stöd betalas ut felaktigt. Förslaget bereds för närvarande i Regeringskansliet.

En fördjupad granskning avslutas med att CVE lämnar ett yttrande till beslutsorganet. Även detta kan behöva innehålla uppgifter som är sekretessbelagda vid CVE, men som regeringen konstaterar i avsnitt 5.1 är detta

23

Prop. 2024/25:46 möjligt utan införande av någon ny sekretessbrytande bestämmelse mellan CVE och beslutsorganen.

Utformningen av den nya sekretessbrytande bestämmelsen

Den sekretessbrytande bestämmelse som nu föreslås syftar inte till att möjliggöra något bredare informationsutbyte mellan de brottsbekämpande myndigheterna och CVE, utan enbart till att göra det möjligt för CVE att genomföra fördjupade granskningar. Bestämmelsen bör därför utformas så att utlämnande med stöd av den endast kan ske om uppgiften behövs i ett ärende om fördjupad granskning. Det krävs alltså att de uppgifter som ska lämnas ut har någon koppling till en pågående granskning. Eftersom CVE är organisatoriskt inordnat i Brå och CVE dessutom kommer att utföra uppgifterna med myndigheten i övrigt bör den sekretessbrytande bestämmelsen, liksom den i avsnitt 5.1 föreslagna sekretessbestämmelsen, gälla till förmån för Brå.

De uppgifter som omfattas av sekretessen enligt 35 kap. 1 § OSL är av varierande slag och i vissa fall är de av sådan karaktär att sekretessintresset gör sig särskilt starkt gällande. Det kan t.ex. vara fallet då ett utlämnande skulle kunna äventyra säkerheten för en person inom en verksamhet som granskas eller då uppgiften lämnats av en anhörig och ett utlämnande skulle kunna utsätta den personen för risker. Den i avsnitt 5.1 föreslagna sekretessbestämmelsen innebär att motsvarande sekretess kommer att gälla för de utlämnade uppgifterna vid Brå. Den bestämmelsen hindrar emellertid inte att uppgifter som är relevanta för bedömningen av ärendet vid beslutsorganet tas in i yttrandet över en fördjupad granskning. I sådana fall kan uppgifterna komma att bli offentliga eller i vart fall delas med den granskade verksamhet som är part i grundärendet vid beslutsorganet.

Detta innebär att det kan uppstå situationer där det är olämpligt att en brottsbekämpande myndighet lämnar ut uppgifter som är sekretessbelagda enligt 35 kap. 1 § OSL till CVE, även om de i och för sig skulle behövas i ett ärende om fördjupad granskning. Det är alltså nödvändigt att en avvägning kan göras mellan intresset av att uppgiften lämnas och det intresse som sekretessen ska skydda. Regeringen anser därför att den nya bestämmelsen bör möjliggöra utlämnanden endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Till skillnad från den intresseavvägning som ska göras enligt den s.k. generalklausulen i 10 kap. 27 § OSL – som Tidningsutgivarna pekar på, och som skulle kunna bli tillämplig om det i något fall finns skäl att lämna uppgifter om personer i extremistmiljöer till CVE trots att det saknas koppling till en fördjupad granskning – ställs alltså inget krav på att det ska vara uppenbart att utlämnandeintresset har företräde.

Den nya bestämmelsen bör införas i 35 kap. OSL, i anslutning till övriga sekretessbrytande bestämmelser som avser sekretess enligt det kapitlet.

Det finns inte skäl att nu föreslå någon ny sekretessbrytande bestämmelse om uppgiftslämnande från kontaktpunktsverksamheten

CVE kommer både inom ramen för de fördjupade granskningarna och i sin allmänna roll som kontaktpunkt att få in uppgifter som kan vara av intresse även för beslutsorgan som inte begärt någon fördjupad granskning

24

av en viss verksamhet. Lunds kommun och Statens skolinspektion fram- Prop. 2024/25:46 håller båda vikten av att CVE kan dela med sig av sådana uppgifter.

Att vid sidan av arbetet med fördjupade granskningar dela med sig av relevant information om våldsbejakande extremism och andra antidemokratiska miljöer till berörda beslutsorgan är något som faller inom ramen för CVE:s kontaktpunktsuppgift. Så länge de relevanta uppgifterna inte är sekretessbelagda vid CVE finns alltså inga hinder för detta (se också avsnitt 6.4 för motsvarande bedömning i dataskyddshänseende). Är uppgifterna sekretessbelagda krävs för ett utlämnande att en sekretessbrytande bestämmelse är tillämplig. Bestämmelsen i 10 kap. 2 § OSL kräver att utlämnandet ska vara nödvändigt för att CVE ska kunna fullgöra sin verksamhet, vilket i regel inte kommer att vara fallet. Däremot kan generalklausulen i 10 kap. 27 § OSL tillämpas i de fall det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen är tillämplig då beslutsorganet är en myndighet. Av 2 kap. 4 § OSL följer emellertid att de organ som anges i bilagan till lagen ska jämställas med myndigheter vid tillämpningen av dess bestämmelser. De organ som anges i bilagan är sådana där det i deras ärenden finns ett starkt intresse av offentlighet eftersom de på olika vis handhar myndighetsutövning mot enskilda, bl.a. i form av att fördela statligt stöd i olika former (se prop. 1986/87:151 s. 150–154). I bilagan anges exempelvis Folkbildningsrådet i dess verksamhet med fördelning av statsbidrag mellan folkhögskolor och studieförbund. I många av de fall då ett beslutsorgan som kan ha intresse för uppgifter som finns hos CVE inte är en myndighet kommer 10 kap. 27 § OSL alltså ändå att kunna användas. Regeringen anser att detta innebär en lämplig avvägning och att det därför inte finns skäl att nu föreslå någon mer långtgående sekretessbrytande bestämmelse för att möjliggöra för CVE att dela med sig av uppgifter till beslutsorganen. I linje med detta finns inte heller skäl att införa sådana bestämmelser om uppgiftsskyldighet för CVE, eller Säkerhetspolisen, som Inspektionen för vård och omsorg efterfrågar.

Det finns inte heller skäl att nu föreslå någon ny sekretessbrytande bestämmelse kopplad till stöduppgiften vid oro för skolattacker

För att CVE på ett effektivt sätt ska kunna utföra uppgiften att ge stöd till aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack, behöver CVE kunna få uppgifter om den oro som finns. Det kan t.ex. gälla uppgifter om vem det rör, vilka aktiviteter personen utfört, vilka uttalanden personen har gjort, hur personen mår, och varför oro uppkommit. Mycket integritetskänsliga personuppgifter, t.ex. om en persons psykiatriska problem eller om en persons politiska eller religiösa åsikter, uttryckta online, i skolmiljön eller i annat sammanhang, kan alltså behöva behandlas. Sådana uppgifter om en person kommer många gånger omfattas av sekretess till skydd för den enskilde hos de relevanta aktörerna, exempelvis skola, socialtjänst eller hälso- och sjukvård.

Skolsäkerhetsutredningen redogör för att informationsutbytet vid lokal samverkan i dag sker i huvudsak med stöd av den enskildes samtycke. Sekretess till skydd för en enskild hindrar inte att en uppgift lämnas ut, om

den enskilde samtycker till detta (12 kap. 2 § OSL). Om uppgifterna gäller

25

Prop. 2024/25:46 ett barn kan det, beroende på barnets ålder och mognad, i stället vara vård-
  nadshavaren, eller vårdnadshavaren tillsammans med barnet, som kan
  lämna ett sådant samtycke (12 kap. 3 § OSL). I de fall samtycke finns
  hindrar eventuell sekretess alltså inte att en aktör som söker stöd från CVE
  i samband med detta också lämnar ut relevanta uppgifter om den person
  som oron gäller.
  I ärenden som rör oro för skolattacker är det dock inte säkert att det går
  eller är lämpligt att inhämta samtycke. Som flera remissinstanser, däri-
  bland Nacka kommun och Region Kronoberg, påtalar är möjligheterna att
  lämna ut sekretessbelagda uppgifter till CVE när samtycke saknas både
  mer svårbedömda och, särskilt gällande socialtjänst och hälso- och
  sjukvård, mer begränsade. Skolsäkerhetsutredningen lyfter i samman-
  hanget den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL. Regeringen
  konstaterar emellertid att det i regel kommer vara tveksamt om ett utläm-
  nande till CVE verkligen är nödvändigt för att den utlämnande myndig-
  heten ska kunna fullgöra sin verksamhet. Prövningen av om en sekretess-
  belagd uppgift kan lämnas till CVE får då i stället göras enligt
  generalklausulen i 10 kap. 27 § OSL, dvs. uppgiften kan lämnas till CVE
  om det är uppenbart att intresset av att uppgiften lämnas har företräde
  framför det intresse som sekretessen ska skydda. Vid denna bedömning
  kan det vägas in att uppgifterna kommer att omfattas av sekretess även vid
  CVE, i enlighet med den i avsnitt 5.1 föreslagna sekretessbestämmelsen.
  Generalklausulen kan dock inte användas när den sekretessbelagda upp-
  giften finns inom socialtjänst eller hälso- och sjukvård, inklusive elev-
  hälsans medicinska gren (se bestämmelsens andra stycke med hänvis-
  ningar till 25 och 26 kap. OSL). När någon aktör inom dessa sektorer vill
  ta stöd av CVE kommer möjligheterna att lämna uppgifter om den person
  som oron rör alltså att vara begränsade, om samtycke saknas. Detta kan, i
  vissa fall, förväntas försvåra CVE:s möjligheter att ge ett effektivt stöd.
  Bestämmelser om utlämnande av uppgifter från socialtjänst och hälso-
  och sjukvård är emellertid sådana att de måste föregås av en noggrann
  prövning. Skolsäkerhetsutredningen har inte närmare övervägt en sådan
  reglering och det saknas därför förutsättningar att nu föreslå någon sekre-
  tessbrytande bestämmelse som tar sikte på uppgiftslämnande till CVE.
  Som konstateras ovan bereds i Regeringskansliet för närvarande
  betänkandet Ökat informationsutbyte mellan myndigheter – Behov och
  föreslagna förändringar (SOU 2024:63) som innehåller förslag på en ny
  generell sekretessbrytande bestämmelse som möjliggör för myndigheter
  att under vissa förutsättningar lämna uppgifter som omfattas av sekretess
  till skydd för enskilda till andra myndigheter. Enligt förslaget gäller detta
  bl.a. om uppgifterna behövs för att motverka brottslig verksamhet. Det kan
  dock noteras att hälso- och sjukvårdssekretess enligt 25 kap. 1–5 och 8 §§
  OSL föreslås undantas från tillämpningsområdet.
  Regeringens bedömning gäller även i förhållande till enskilt bedrivna
  skolor, aktörer som både Friskolornas riksförbund och Statens skolverk
  har uppmärksammat särskilt. För dessa gäller inte offentlighets- och
  sekretesslagen, men för den som är eller har varit verksam där råder viss
  tystnadsplikt enligt 29 kap. 14 § skollagen (2010:800). Detsamma gäller
  för den som tillhör eller har tillhört elevhälsans medicinska gren i en sådan
  skola (6 kap. 12–16 §§ patientsäkerhetslagen [2010:659]). Tystnadsplikten
26 innebär att dessa personer inte får obehörigen röja vissa uppgifter om

enskildas personliga förhållanden. Vid tillämpningen av dessa bestämmelser, och då särskilt i fråga om vilka röjanden av uppgifter som är tillåtna, anses bestämmelserna i OSL vara vägledande (se prop. 1979/80:2 del A

s.167, prop. 1980/81:28 s. 22–23 och prop. 1995/96:200 s. 67). Något skäl att inom ramen för detta lagstiftningsärende göra förtydliganden eller andra ändringar i dessa regleringar finns inte.

Flera remissinstanser, bl.a. Kammarrätten i Stockholm och Ystads kommun, lyfter frågor om CVE:s möjligheter att dela med sig av sekretessbelagda uppgifter till andra aktörer. Regeringen konstaterar att det kommer vara fråga om flera olika typer av stöd, av mycket olika omfattning, som CVE ger och att behovet av att lämna ut uppgifter därför kommer att variera. Generellt kan emellertid konstateras att merparten av de uppgifter om en viss person som CVE kommer att inneha och som kan vara sekretessbelagda där, kommer att ha lämnats av den aktör som sökt stöd. I dessa fall finns naturligtvis inget behov av att ”återlämna” uppgifterna till stödsökaren. När flera aktörer berörs, exempelvis då CVE medverkar vid samverkansmöten eller annars kommunicerar med andra berörda än stödsökaren, kan informationsdelning vara av större vikt. I den mån det finns ett behov av att CVE i dessa sammanhang lämnar uppgifter kan en prövning göras enligt generalklausulen i 10 kap. 27 § OSL. Samtidigt finns det också möjligheter för de övriga aktörerna att lämna uppgifter sinsemellan. Hur stora dessa möjligheter är beror naturligtvis på vilka aktörer och vilka uppgifter det gäller. Det är alltså inte givet att uppgifter måste lämnas ut just från CVE. Med hänsyn till de möjligheter till informationsdelning som finns och till att det inte framkommit något konkret behov av kompletteringar, anser regeringen att det inte finns skäl att nu föreslå någon sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande från CVE.

Idéburna skolors riksförbund har slutligen lyft frågan om CVE:s möjligheter att göra en polisanmälan eller anmälan till socialnämnden vid misstanke eller kännedom om brott respektive att ett barn far illa. Regeringen konstaterar att bestämmelsen i 10 kap. 24 § OSL, som ger myndigheter möjlighet att trots sekretess lämna uppgifter som angår misstanke om ett begånget brott av visst allvar till bl.a. Polismyndigheten, är tillämplig. När det gäller möjligheterna att göra en anmälan till socialnämnden kan CVE, om det krävs att sekretess bryts, göra en prövning med stöd av generalklausulen i 10 kap. 27 § OSL. Samtidigt kommer de uppgifter som skulle aktualisera en anmälan till socialnämnden i princip alltid att ha lämnats till CVE från en sådan myndighet eller yrkesverksam som omfattas av skyldigheten i 14 kap. 1 § första stycket socialtjänstlagen (2001:453) att anmäla misstanke om att ett barn far illa till socialnämnden. Även om CVE inte skulle ha möjlighet att göra en anmälan med stöd av generalklausulen kan det alltså förutsättas att någon annan berörd aktör i stället kommer att vara skyldig att göra detta.

Prop. 2024/25:46

27

Prop. 2024/25:46 6 Nya bestämmelser om personuppgifts-
 
    behandling vid Brottsförebyggande rådet
  Som framgår av de båda föregående avsnitten kommer Brå vid utförandet
  av de två nya uppgifter som tilldelats CVE – att vara kontaktpunkt för den
  som fördelar offentliga medel eller på annat sätt granskar offentligt finan-
  sierade verksamheter och att ge stöd till den som hanterar oro för en skol-
  attack – att behöva behandla personuppgifter i relativt stor utsträckning. I
  många fall kommer det dessutom att röra sig om känsliga personuppgifter.
  Detta innebär en förändring i förhållande till nuvarande uppdrag. Det bör
  därför övervägas om det finns skäl att införa särskilda regler för person-
  uppgiftsbehandlingen och hur dessa i så fall ska utformas.
  6.1 En ny lag om viss personuppgiftsbehandling
    vid Brottförebyggande rådet
   
  Regeringens förslag: Det ska införas en ny lag om viss personuppgifts-
  behandling vid Brottsförebyggande rådet.
  Syftet med den nya lagen ska vara att ge Brå möjlighet att behandla
  personuppgifter på ett ändamålsenligt sätt och att skydda människor
  mot att deras personliga integritet kränks vid sådan behandling.
   
  Utredningen om stöd till civilsamhällets förslag överensstämmer i sak
  med regeringens när det gäller verksamhet inom ramen för kontaktpunkts-
  uppgiften. Utredningens förslag har dock en annan redaktionell och språk-
  lig utformning.
  Remissinstanserna instämmer i förslaget eller har inga invändningar
  mot det.  
  Skolsäkerhetsutredningens förslag överensstämmer i sak med rege-
  ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid
  oro för skolattacker. Utredningens förslag har dock en annan redaktionell
  och språklig utformning.
  Remissinstanserna: De flesta remissinstanser instämmer i förslaget
  eller har inga invändningar mot det.
  Göteborgs universitet (Utbildningsvetenskapliga fakulteten), Läns-
  styrelsen i Västra Götalands län och Socialstyrelsen anser att det inte finns
  tillräckliga skäl för att tillåta behandling av personuppgifter inom ramen
  för CVE:s uppgift att ge stöd vid oro för skolattacker.
  Skälen för regeringens förslag: CVE har tilldelats de nya uppgifterna
  att, i samarbete med myndigheten i övrigt, vara kontaktpunkt för myndig-
  heter och andra beslutsorgan som fördelar offentliga medel eller på annat
  sätt granskar offentligt finansierade verksamheter och att ge stöd till den
  som hanterar oro för en skolattack. Som anges i avsnitt 5.1 och 5.2 kommer
  CVE för utförandet av båda dessa uppgifter att i vissa fall behöva behandla
  personuppgifter – vilken typ av personuppgifter och varifrån de kan
  komma framgår av nämnda avsnitt samt, vad gäller kontaktpunktsupp-
  giften, avsnitt 4.2. Att granska vilka kopplingar en företrädare för en viss
28 verksamhet kan ha till våldsbejakande extremism är t.ex. inte möjligt utan
   

att behandla uppgifter om personen, och dessutom sannolikt även känsliga Prop. 2024/25:46 sådana. Vidare är det svårt att på ett effektivt sätt ge stöd vid oro för skol-

attacker utan att behandla personuppgifter. Oron kommer i många fall röra en viss person och det kan exempelvis krävas att dennes agerande och uttalanden bedöms eller att uppgifter kopplade till personen diskuteras vid ett samverkansmöte. Till skillnad från bl.a. Socialstyrelsen, men i likhet med den stora majoriteten av remissinstanserna, anser regeringen därför att det finns starka skäl att tillåta behandling av personuppgifter när de båda nya uppgifterna utförs.

CVE har i dag ingen särskild personuppgiftsreglering utan använder, i den mån personuppgifter alls behandlas, de generellt tillämpliga dataskyddsreglerna. När CVE, i samarbete med myndigheten i övrigt, nu kommer att behöva behandla personuppgifter i relativt stor utsträckning, och i många fall dessutom känsliga personuppgifter, är detta inte tillräckligt vare sig ur effektivitets- eller integritetssynpunkt. I avsnitt 8 gör regeringen bedömningen att de samlade förslag som lämnas kan innebära en sådan begränsning av skyddet i 2 kap. 6 § andra stycket regeringsformen mot intrång som innebär kartläggning av den enskildes personliga förhållanden som enbart får göras genom lag. Det bör därför införas en ny lag om viss personuppgiftsbehandling vid Brå, som syftar både till att ge myndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

6.2Lagens tillämpningsområde och förhållandet till det allmänna dataskyddsregelverket

Regeringens förslag: Den nya lagen ska gälla vid behandling av personuppgifter vid Brå när myndigheten

1.utför uppgiften att vara kontaktpunkt, och

2.ger stöd vid oro för skolattacker.

Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Lagen ska innehålla upplysande bestämmelser som anger att den kompletterar EU:s dataskyddsförordning samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den nya lagen, om inte något annat följer av den nya lagen eller föreskrifter som meddelats i anslutning till denna.

Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning, och innehåller ingen uttrycklig bestämmelse om att lagen endast gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Remissinstanserna instämmer i förslaget eller har inga invändningar

mot det.

29

Prop. 2024/25:46 Skolsäkerhetsutredningens förslag överensstämmer i sak med rege-
  ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid
  oro för skolattacker. Utredningens förslag har dock en annan redaktionell
  och språklig utformning.
  Remissinstanserna: De flesta remissinstanser instämmer i förslaget
  eller har inga invändningar mot det.
  Integritetsskyddsmyndigheten efterfrågar en djupare analys av om
  brottsdatalagen är tillämplig på den personuppgiftsbehandling som sker
  inom ramen för CVE:s stödverksamhet vid oro för skolattacker.
  Skälen för regeringens förslag: Ingen av utredningarna har haft i upp-
  drag att föreslå en personuppgiftsreglering som är tillämplig vid all verk-
  samhet inom Brå, eller ens inom CVE. De utformar därför sina respektive
  förslag till ny personuppgiftslag helt och hållet utifrån de behov och risker
  som följer av CVE:s båda nya uppgifter. Det finns därför inte underlag för
  att inom ramen för detta lagstiftningsärende föreslå en personuppgiftslag
  som är tillämplig vid all verksamhet inom Brå eller CVE. Den nya lagen
  bör i stället gälla vid behandling av personuppgifter inom ramen för upp-
  gifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker, och
  eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndig-
  heten i övrigt kan lagen inte begränsas till att enbart gälla behandling vid
  CVE.
  När en myndighet behandlar personuppgifter gäller antingen EU:s data-
  skyddsförordning, med den tillhörande lagen (2018:218) med kompletter-
  ande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen),
  eller brottsdatalagen (2018:1177). Brottsdatalagen är tillämplig vid be-
  handling som utförs av behöriga myndigheter i syfte att förebygga, för-
  hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller
  verkställa straffrättsliga påföljder (1 kap. 2 § brottsdatalagen). Ligger syf-
  tet med behandlingen utanför detta så är i stället dataskyddsförordningen
  och dataskyddslagen tillämpliga (artikel 2.2 d i dataskyddsförordningen).
  Som Utredningen om granskning av stöd till civilsamhället konstaterar
  så kommer CVE inom ramen för kontaktpunkten närmast att ägna sig åt
  en form av kontrollverksamhet som primärt syftar till att säkerställa en
  korrekt tillämpning av reglerna för fördelning av offentliga medel och
  drivande av offentligt finansierade verksamheter. Behandling av person-
  uppgifter i sådan verksamhet ligger utanför brottsdatalagens tillämpnings-
  område, även om kontrollen i och för sig skulle kunna leda till att brott
  upptäcks (prop. 2017/18:232 s. 113 och SOU 2017:29 s. 198–199). När
  det gäller stödet vid oro för skolattacker är, som Integritetsskyddsmyndig-
  heten påpekar, syftet ytterst att förebygga och förhindra allvarliga vålds-
  dåd riktade mot skolor. Det direkta syftet med stöduppgiften är emellertid,
  som Skolsäkerhetsutredningen påpekar, snarast att tillse att de lokala
  aktörerna, dvs. exempelvis skolor och socialtjänst, har förutsättningar att
  utföra sina respektive uppdrag utifrån ett gott kunskapsunderlag och i
  effektiv samverkan med varandra. Det handlar alltså närmast om att CVE
  ska samverka med bl.a. den stödsökande aktören. Myndigheter som, utan
  att ha vare sig anmälningsskyldighet eller uppgiftsskyldighet, samverkar
  med brottsbekämpande myndigheter – vilket de stödsökande aktörerna i
  regel inte ens kommer att vara – anses inte enbart på grund av sådan sam-
  verkan bli behöriga myndigheter i brottsdatalagens mening (SOU 2017:29
30 s. 196). Regeringens bedömning är därför att inte heller den personupp-

giftsbehandling som kommer ske inom ramen för stödverksamheten till Prop. 2024/25:46 någon del faller inom brottsdatalagens område.

Detta innebär sammantaget att all behandling av personuppgifter inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker faller inom dataskyddsförordningens och dataskyddslagens tillämpningsområde. I den nya lagen bör det därför upplysas om att den kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den nya lagen, om inte något annat följer av den nya lagen eller föreskrifter som meddelats i anslutning till denna.

Slutligen bör den nya lagens tillämpningsområde, liksom vad gäller för dataskyddsförordningen, dataskyddslagen och flertalet registerförfattningar, begränsas till att endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

6.3Personuppgiftsansvar

Regeringens förslag: Det ska framgå av den nya lagen att Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen.

Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår dock att bestämmelsen uttryckligen ska hänvisa till behandling av personuppgifter som utförs inom ramen för kontaktpunktsuppgiften.

Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.

Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår dock att bestämmelsen uttryckligen ska hänvisa till behandling av personuppgifter som utförs inom ramen för uppgiften att ge stöd vid oro för skolattacker.

Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.

Skälen för regeringens förslag: Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att en personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det är alltså Brå som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten, framför allt inom ramen för CVE, utför enligt den nya lagen. Av tydlighetsskäl bör detta förhållande framgå direkt av lagen.

31

Prop. 2024/25:46 6.4 Ändamålsbestämmelser och finalitetsprincipen
   
  Regeringens förslag: Brå ska få behandla personuppgifter om det är
  nödvändigt för att myndigheten ska kunna utföra uppgiften som kon-
  taktpunkt eller uppgiften att ge stöd vid oro för skolattacker.
  Sådana personuppgifter ska även få behandlas för att fullgöra upp-
  giftslämnande som sker i överensstämmelse med lag eller förordning,
  eller för andra ändamål under förutsättning att dessa inte är oförenliga
  med de ändamål för vilka uppgifterna samlades in.
   
  Utredningen om stöd till civilsamhällets förslag överensstämmer
  delvis med regeringens när det gäller verksamhet inom ramen för kontakt-
  punktsuppgiften. Utredningen föreslår inte någon bestämmelse om att
  personuppgifter även ska få behandlas för visst uppgiftslämnande och inte
  heller någon upplysning om att den s.k. finalitetsprincipen gäller.
  Remissinstanserna: De flesta remissinstanser instämmer i förslaget
  eller har inga invändningar mot det.
  Integritetsskyddsmyndigheten påpekar att det redan framgår av data-
  skyddsförordningen att behandling av personuppgifter ska vara nödvändig
  i förhållande till den rättsliga grunden och att den föreslagna bestämmelsen
  därför inte tillför något. Region Halland efterfrågar ett förtydligande av
  vilka ändamål i kontaktpunktsverksamheten som personuppgifter får
  hanteras för.
  Skolsäkerhetsutredningens förslag överensstämmer i sak med rege-
  ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid
  oro för skolattacker. Utredningen föreslår dock att den primära ändamåls-
  bestämmelsen ska innehålla en uttrycklig hänvisning till uppgiften att ge
  stöd vid oro för skolattacker.
  Remissinstanserna: De flesta remissinstanser instämmer i förslaget
  eller har inga invändningar mot det.
  Integritetsskyddsmyndigheten för fram samma synpunkter som i
  remissvaret till Utredningen om stöd till civilsamhället och efterfrågar ett
  förtydligande av vilka ändamål i stödverksamheten som personuppgifter
  får hanteras för.
  Skälen för regeringens förslag: Av 2 kap. 2 § 1 dataskyddslagen följer
  att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskydds-
  förordningen, om behandlingen är nödvändig för att utföra en uppgift av
  allmänt intresse som följer av lag eller annan författning. Sådana uppgifter
  som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra
  anses generellt vara uppgifter av allmänt intresse (prop. 2017/18:105
  s. 56–57). CVE:s uppgifter att vara kontaktpunkt och att ge stöd vid oro
  för skolattacker är alltså uppgifter av allmänt intresse och det finns därför
  rättslig grund enligt artikel 6.1 e i dataskyddsförordningen för sådan
  behandling av personuppgifter som är nödvändig för att utföra någon av
  dessa uppgifter. Därutöver krävs att personuppgiftsbehandlingen uppfyller
  de grundläggande principerna i artikel 5 i dataskyddsförordningen. Dessa
  innebär bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt
  angivna och berättigade ändamål (artikel 5.1 b).
  Som Integritetsskyddsmyndigheten och Region Halland påpekar tillför
  de av utredningarna föreslagna bestämmelserna inte något utöver vad som
32 redan följer av 2 kap. 2 § 1 dataskyddslagen och dataskyddsförordningen.

Myndigheterna anser att bestämmelserna i stället bör innehålla ett förtydligande av vilka konkreta ändamål i CVE:s verksamhet som personuppgifter – i enlighet med artikel 5.1 b i dataskyddsförordningen – får behandlas för. Det är inte ovanligt att registerförfattningar innehåller ändamålsbestämmelser av sådant slag. Inom ramen för kontaktpunktsuppgiften kommer CVE t.ex. att behöva behandla personuppgifter för att kunna bedöma om en begäran om fördjupad granskning ska leda till att en sådan inleds eller för att utreda en viss verksamhetsföreträdares kopplingar till antidemokratiska eller extremistiska organisationer eller miljöer. Inom ramen för uppgiften att ge stöd vid oro för skolattacker kan personuppgiftsbehandling behövas för att exempelvis bedöma behovet av åtgärder kopplat till en viss person eller för att samordna insatser. Regeringen konstaterar emellertid att uppgifterna som kontaktpunkt och, i än högre grad, att ge stöd vid oro för skolattacker har ett så situationsstyrt och varierande innehåll att det är svårt att i lagtext uttömmande ange de ändamål som personuppgifter kan behöva behandlas för.

Frågan är då om en bestämmelse om ändamål, som i sak inte tillför något utöver 2 kap. 2 § 1 dataskyddslagen och dataskyddsförordningen, alls bör införas i den nya lagen. Regeringen anser emellertid att en sådan bestämmelse har ett värde genom att den tydliggör vad som gäller. Det bör därför införas en bestämmelse som anger att personuppgifter får behandlas om det är nödvändigt för att CVE ska kunna utföra någon av sina nya uppgifter.

Som framgår av avsnitt 5.2 kommer CVE i vissa fall ha anledning att till andra aktörer än den som sökt stödet dela med sig av personuppgifter som behandlas för att kunna utföra uppgiften att ge stöd vid oro för skolattacker. Det skulle i sådana situationer kunna ifrågasättas om behandlingen av personuppgifterna för att lämna ut dem till sådana andra aktörer är nödvändig för att utföra stöduppgiften. För att säkerställa att det finns dataskyddsrättsligt stöd för behandlingen bör det därför uttryckligen framgå av den nya lagen att personuppgifter som behandlas för att uppgiften att ge stöd vid oro för skolattacker ska kunna utföras även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den föreslagna utformningen, som har förlagor i ett flertal registerförfattningar, innebär att bestämmelsen omfattar både fall då det finns en skyldighet att lämna uppgifter och fall då det finns en möjlighet att lämna uppgifter, t.ex. med stöd av 10 kap. 27 § OSL.

Behovet av att låta bestämmelsen även omfatta personuppgifter som behandlas för att CVE ska kunna utföra uppgiften som kontaktpunkt är mer begränsat, eftersom eventuellt uppgiftslämnande även till andra aktörer än sådana som begärt en fördjupad granskning normalt kommer att ligga inom den allmänna kontaktpunktsuppgiften. Även här är det dock tänkbart att osäkerhet kan uppkomma, samtidigt som det inte finns några starka skäl för att undanta personuppgifter som behandlas för utförande av uppgiften som kontaktpunkt. Den föreslagna bestämmelsen bör alltså omfatta personuppgifter som behandlas för att någon av de nya uppgifterna ska kunna utföras. Eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten i övrigt bör bestämmelsen avse Brå.

Skolsäkerhetsutredningen föreslår att även den s.k. finalitetsprincipen bör framgå av den nya lagen. Principen, som kommer till uttryck i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen, innebär att personuppgifter

Prop. 2024/25:46

33

Prop. 2024/25:46 som samlas in för ett visst ändamål inte senare får behandlas på ett sätt som är oförenligt med detta ändamål. Principen gäller enligt dataskyddsförordningen oavsett om den uttrycks i svensk författning eller inte, men i registerförfattningar finns det av tydlighetsskäl ofta en bestämmelse med motsvarande innehåll. Regeringen anser att en sådan bör föras in även i den nya lagen, inte minst för att undvika att den föreslagna regleringen av behandling av personuppgifter för fullgörande av uppgiftslämnande ska framstå som en uttömmande reglering av möjligheterna att vidarebehandla personuppgifter som samlats in för att kunna utföra uppgifterna att vara kontaktpunkt eller att ge stöd vid oro för skolattacker.

  6.5 Tillgången till personuppgifter
   
  Regeringens förslag: Tillgången till personuppgifter ska begränsas till
  det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
   
  Utredningen om stöd till civilsamhällets förslag överensstämmer i sak
  med regeringens när det gäller verksamhet inom ramen för kontaktpunkts-
  uppgiften. Utredningen föreslår en något annorlunda språklig utformning
  av bestämmelsen.
  Remissinstanserna: De flesta remissinstanser instämmer i förslaget
  eller har inga invändningar mot det.
  Region Halland anser att det bör införas bestämmelser om behovs- och
  riskanalyser gällande vilka personer som ska ha åtkomst till personupp-
  gifterna samt tydliggöras att det kommer krävas kontroller av om någon
  obehörig berett sig åtkomst till personuppgifterna.
  Skolsäkerhetsutredningens förslag överensstämmer i sak med rege-
  ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid
  oro för skolattacker. Utredningen föreslår en något annorlunda språklig
  utformning av bestämmelsen.
  Remissinstanserna instämmer i förslaget eller har inga invändningar
  mot det.  
  Skälen för regeringens förslag: Dataskyddsförordningen innehåller
  inte någon uttrycklig bestämmelse som begränsar tillgången till person-
  uppgifter. I artikel 5.1 c uttrycks dock den grundläggande principen att
  personuppgifter som behandlas ska vara adekvata, relevanta och inte för
  omfattande i förhållande till de ändamål för vilka de behandlas (principen
  om uppgiftsminimering). Enligt artikel 25.2 ska den personuppgifts-
  ansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder
  för att, i standardfallet, säkerställa att endast personuppgifter som är nöd-
  vändiga för varje specifikt ändamål med behandlingen behandlas. Den
  skyldigheten gäller mängden insamlade personuppgifter, behandlingens
  omfattning, tiden för deras lagring och deras tillgänglighet.
  Vilka möjligheter till spridning av personuppgifter som en viss behand-
  ling innebär påverkar i stor utsträckning integritetsriskerna med behand-
  lingen. Om personuppgifter sprids ökar risken för att uppgifterna används
  på ett sätt som inte är avsett. Utan en begränsning av spridningen av
  personuppgifterna kan också personuppgiftsbehandling komma att ske
  som det inte finns behov av. Det är därför vanligt att registerförfattningar
34 innehåller bestämmelser som reglerar tillgången till personuppgifter. För

skyddet av den personliga integriteten är det viktigt att det vid Brå säker- Prop. 2024/25:46 ställs att personuppgifter i de aktuella verksamheterna endast görs tillgäng-

liga för de medarbetare som behöver uppgifterna i sitt arbete. En bestämmelse med en sådan innebörd bör därför införas i den nya lagen.

Att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter innebär i sig att en behovsbedömning måste göras innan tillgång ges och är dessutom en ur risksynpunkt rimlig avvägning. Till skillnad från Region Halland anser regeringen därför att det inte utöver den nu föreslagna bestämmelsen även bör införas bestämmelser om behovs- och riskanalyser när det gäller vilka personer som ska ha åtkomst till personuppgifterna.

I några registerförfattningar finns uttryckliga bestämmelser om att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Den personuppgiftsansvarige ska emellertid enligt artiklarna 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. I detta får anses ligga en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter. Med hänsyn till detta och till den trots allt relativt begränsade verksamhet som bedrivs vid CVE anser regeringen inte heller att det, såsom Region Halland föreslår, behöver införas någon uttrycklig bestämmelse om kontroller av om någon obehörig berett sig åtkomst till personuppgifterna.

6.6Känsliga personuppgifter och sökbegränsningar

Regeringens förslag: Känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av uppgiften att vara kontaktpunkt eller uppgiften att ge stöd vid oro för skolattacker.

Det ska inte vara tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avser fällande domar i brottmål och lagöverträdelser som innefattar brott.

Utredningen om stöd till civilsamhällets förslag överensstämmer del-  
vis med regeringens när det gäller verksamhet inom ramen för kontakt-  
punktsuppgiften. Utredningens förslag innehåller ingen hänvisning till  
artikel 9.2 g i dataskyddsförordningen och dessutom föreslås att även  
personuppgifter som avses i artikel 10 i dataskyddsförordningen samt upp-  
gifter om misstanke om brott ska inkluderas i bestämmelsen om behand-  
ling av känsliga personuppgifter.  
Remissinstanserna: De flesta remissinstanser instämmer i förslaget  
eller har inga invändningar mot det.  
Integritetsskyddsmyndigheten påpekar att behandling av känsliga  
personuppgifter i stor omfattning kräver tydligt stöd i författning och anser  
därför att det är nödvändigt med en bestämmelse som utredningen föreslår,  
även om den i praktiken inte inskränker CVE:s möjligheter att behandla  
känsliga personuppgifter. Myndigheten anser att det bör framgå av  
bestämmelsen att behandlingen sker med stöd av artikel 9.2 g i dataskydds-  
förordningen. Kammarrätten i Jönköping anser att det är angeläget att det 35

Prop. 2024/25:46

36

tydliggörs hur behandlingen av känsliga personuppgifter som inte är ärendeanknutna kommer att se ut i kontaktpunktsverksamheten. Flera remissinstanser, bl.a. Brå, CVE och Folkets hus och parker, pekar på behovet av en analys av hur förslagen förhåller sig till förbudet mot åsiktsregistrering och hur de påverkar yttrandefriheten.

Skolsäkerhetsutredningens förslag överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag innehåller ingen hänvisning till artikel 9.2 g i dataskyddsförordningen och dessutom föreslås att även personuppgifter som avses i artikel 10 i dataskyddsförordningen ska inkluderas i bestämmelsen om behandling av känsliga personuppgifter.

Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.

Integritetsskyddsmyndigheten framför samma synpunkter som i remissvaret till Utredningen om stöd till civilsamhällets förslag. Specialpedagogiska skolmyndigheten påpekar vikten av att känsliga personuppgifter om enskilda som rör hälsa inte delas slentrianmässigt eller tas ur sitt sammanhang.

Skälen för regeringens förslag

Behandling av känsliga personuppgifter och uppgifter om brott

Dataskyddsförordningen innehåller som utgångspunkt ett förbud mot att behandla känsliga personuppgifter. Med detta avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). CVE kommer i många fall, både inom ramen för uppgiften att vara kontaktpunkt och inom ramen för uppgiften att ge stöd vid oro för skolattacker, emellertid att behöva behandla känsliga personuppgifter av olika slag.

Förbudet i dataskyddsförordningen kompletteras av ett antal undantag, t.ex. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Artikel

9.2g är direkt tillämplig, men det är möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser avseende känsliga personuppgifter (se artikel 6.2 och skäl 10). Så har också skett i 3 kap. 3 § dataskyddslagen, som bl.a. anger att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Att en myndighet ska utföra en av riksdag eller regering tilldelad uppgift på ett korrekt, rättssäkert och effektivt sätt är ett viktigt allmänt intresse (prop. 2017/18:105 s. 85). Både uppgiften som kontaktpunkt och uppgiften att ge stöd vid oro för skolattacker regleras i förordning. Genom den

lag om personuppgiftsbehandling som föreslås i detta kapitel och den sekretessbestämmelse som föreslås i avsnitt 5.1 säkerställs dessutom att det finns lämpliga och särskilda skyddsåtgärder. CVE har därför i och för sig rättsligt stöd för behandling av känsliga personuppgifter direkt med stöd av artikel 9.2 g. Som Integritetsskyddsmyndigheten påpekar bör det emellertid finnas tydligt stöd i författning för behandling av känsliga personuppgifter i den omfattning som kommer att vara aktuell vid CVE. Även om den i praktiken inte inskränker möjligheterna att behandla känsliga personuppgifter i förhållande till vad som annars gäller enligt dataskyddsförordningen eller den i avsnitt 6.4 föreslagna ändamålsbestämmelsen, bör det införas en särskild bestämmelse i den nya lagen som innebär att känsliga personuppgifter får behandlas endast om uppgifterna är nödvändiga för fullgörandet av uppgiften att vara kontaktpunkt eller uppgiften att ge stöd vid oro för skolattacker. En sådan bestämmelse inskärper också, som Specialpedagogiska skolmyndigheten framhåller, vikten av att känsliga personuppgifter inte behandlas slentrianmässigt. Som Integritetsskyddsmyndigheten påpekar bör det av bestämmelsen även framgå att behandlingen sker med stöd av artikel 9.2 g i dataskyddsförordningen. Bestämmelsens hänvisningar till dataskyddsförordningen är dynamiska, vilket innebär att hänvisningarna avser dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På det sättet säkerställs att ändringar i EU-regleringen får omedelbart genomslag.

Kammarrätten i Jönköping efterfrågar ett tydliggörande av hur behandlingen av känsliga personuppgifter som inte är ärendeanknutna – dvs. sådana uppgifter som kan inkomma utan koppling till någon pågående fördjupad granskning – kommer att se ut i kontaktpunktsverksamheten. Det gäller t.ex. hur de kommer att diarieföras, hur länge de kommer att behandlas och hur de kommer att användas. När det gäller frågan om diarieföring blir de allmänna reglerna i 5 kap. OSL, om bl.a. registrering av allmänna handlingar (1 §), tillämpliga. När det gäller längsta tid för behandling föreslås inte någon särskild reglering för just känsliga personuppgifter, se vidare avsnitt 6.7 om längsta tid för behandling. När det gäller hur uppgifterna kommer att användas blir detta en bedömning som kommer att göras från fall till fall, beroende på vad uppgifterna avser. Som konstateras i avsnitt 5.1 och 6.4 faller det t.ex. inom ramen för kontaktpunktsuppgiften att dela med sig av relevant information om våldsbejakande extremism och andra antidemokratiska miljöer till berörda beslutsorgan.

Utredningarna föreslår att bestämmelsen om behandling av känsliga personuppgifter även ska omfatta sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott. Av 3 kap. 8 § dataskyddslagen följer att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning – vilket vanligen även innefattar uppgifter om misstanke om brott (se IMYRS 2021:1) – får behandlas av myndigheter. CVE har alltså redan genom den bestämmelsen rättslig grund för behandling av sådana uppgifter. Eftersom den föreslagna bestämmelsen inte heller skulle inskränka möjligheterna att behandla uppgifterna i förhållande till vad som annars gäller enligt den i avsnitt 6.4 föreslagna ändamålsbestämmelsen, finns det därför inte skäl att låta

Prop. 2024/25:46

37

Prop. 2024/25:46

38

bestämmelsen om behandling av känsliga personuppgifter även omfatta sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

Sökbegränsningar

Sökningar som tar sikte på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. I 3 kap. 3 § andra stycket dataskyddslagen finns därför ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Den bestämmelsen är emellertid avsedd att gälla för offentlig verksamhet där sektorsspecifik reglering avseende känsliga personuppgifter saknas. Eftersom det inte framkommit något behov att utföra sådana sökningar för uppgiften att vara kontaktpunkt eller för uppgiften att ge stöd vid oro för skolattacker, bör därför ett motsvarande sökförbud införas i den nya lagen. Som utredningarna föreslår bör det dessutom omfatta sökningar i syfte att få fram ett urval av personer grundat på sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Bestämmelsens hänvisning till dataskyddsförordningen bör vara dynamisk för att säkerställa att ändringar i EU-regleringen får omedelbart genomslag.

Förbudet mot åsiktsregistrering och yttrandefriheten

Vissa remissinstanser, bl.a. Brå, CVE och Folkets hus och parker, pekar på behovet av en analys av hur förslagen förhåller sig till förbudet mot åsiktsregistrering och hur de påverkar yttrandefriheten. Enligt 2 kap. 3 § regeringsformen får ingen svensk medborgare utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Bestämmelsen innebär bl.a. att ett register där en person finns antecknad på någon grund som saknar varje samband med politisk åskådning inte får kompletteras med en anteckning om den registrerades åskådning i sådant hänseende. Bestämmelsen utgör däremot inte något hinder mot att anteckningar t.ex. om partitillhörighet tillförs ett register över personer som på andra grunder än enbart sin politiska åskådning kan betraktas som säkerhetsrisker. Grunden för anteckningen är i det fallet att vederbörande med hänsyn till samtliga förekommande omständigheter anses utgöra en sådan risk (prop. 1975/76:209 s. 118).

Något reglerat register föreslås inte i propositionen. Skulle behandlingen av uppgifter ändå vara sådan – exempelvis när personuppgifter behandlas i kontaktpunktsverksamheten under en viss period för att de behövs i en pågående fördjupad granskning och även kan vara relevanta för beslutsorgan som inte begärt någon granskning – att det skulle kunna anses vara fråga om registerföring, så är grunden för registreringen att det antingen finns en oro för att personen ska begå en skolattack eller att personen har stark anknytning till en verksamhet som ansöker om offentliga medel eller om ett tillstånd eller godkännande att bedriva viss verksamhet som berättigar till offentlig finansiering. En anteckning av den registrerades politiska åskådning utgör en behandling av en känslig personuppgift som enligt förslaget bara får ske om det är nödvändigt för fullgörandet av någon av de nu aktuella uppgifterna. Det kan alltså aldrig vara fråga om att registrera någon enbart på grund av dennes politiska åskådning och förslagen är därför förenliga med 2 kap. 3 § regeringsformen.

När myndigheten inhämtar och behandlar personuppgifter, inklusive Prop. 2024/25:46 känsliga sådana, inom ramen för uppgiften att vara kontaktpunkt görs detta

för att ytterst granska om verksamheter som frivilligt ansöker om offentliga medel, eller om ett tillstånd eller godkännande att bedriva viss verksamhet, uppfyller villkoren för erhållande av sådana medel eller tillstånd. Detta innebär inte någon inskränkning av yttrandefriheten. Detsamma gäller inom ramen för uppgiften att ge stöd vid oro för skolattacker.

6.7 Längsta tid för behandling av personuppgifter  
   
Regeringens förslag: Personuppgifter får inte behandlas under längre  
tid än vad som är nödvändigt med hänsyn till ändamålet med behand-  
lingen.    
Personuppgifter som behandlas när Brå utför uppgiften att ge stöd vid  
oro för skolattacker får dock inte behandlas under längre tid än två år  
efter utgången av det kalenderår då uppgifterna behandlas första  
gången. Om nya uppgifter om oro för en skolattack rörande samma per-  
son behandlas före utgången av tidsfristen ska de personuppgifter som  
redan finns om personen, om det är nödvändigt, få fortsätta att behand-  
las så länge någon av uppgifterna får behandlas.  
Bestämmelserna om längsta tid för behandling ska inte hindra att Brå  
arkiverar och bevarar allmänna handlingar eller att arkivmaterial  
lämnas till en arkivmyndighet.  
   
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak  
med regeringens när det gäller verksamhet inom ramen för kontaktpunkts-  
uppgiften. Utredningen föreslår dock att bestämmelsen om arkivering och  
bevarande ska hänvisa till behörig myndighet i stället för till Brå.  
Remissinstanserna: De flesta remissinstanser instämmer i förslaget  
eller har inga invändningar mot det.  
Brå anser att en effektiv kontaktpunktsverksamhet borde förutsätta en  
viss lagring av personuppgifter som i praktiken kan utgöra ett register, och  
undrar om det därför behövs en tydligare reglering.  
Skolsäkerhetsutredningens förslag överensstämmer delvis med rege-  
ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid  
oro för skolattacker. I utredningens förslag har den bortre gränsen för hur  
länge personuppgifter får behandlas bestämts till ett år efter utgången av  
det kalenderår då uppgifterna behandlades första gången.  
Remissinstanserna: De flesta remissinstanser instämmer i förslaget  
eller har inga invändningar mot det.  
Idéburna skolors riksförbund, Nacka kommun och Göteborgs stad anser  
att den bortre tidsgränsen för behandling av personuppgifter bör vara  
längre än ett år, Idéburna skolors riksförbund föreslår två år.  
Skälen för regeringens förslag: En av de grundläggande principerna  
för dataskydd är principen om lagringsminimering. Enligt denna princip  
får personuppgifter inte lagras under en längre tid än vad som är  
nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel  
5.1 e i EU:s dataskyddsförordning). Genom att minimera lagringstiden  
minskar den risk för den personliga integriteten som en viss behandling av 39

Prop. 2024/25:46 personuppgifter innebär. Bestämmelser som tydliggör hur länge personuppgifter får behandlas inom en verksamhet innebär därmed en form av skyddsåtgärd. Regeringen anser därför att det bör införas bestämmelser om längsta tid för personuppgiftsbehandling i den nya lagen.

I kontaktpunktsverksamheten kommer personuppgifter framför allt att behandlas för att utföra fördjupade granskningar, vilka kan skilja sig mycket åt beroende på vilken verksamhet och vilka typer av kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer de avser. Dessutom kommer personuppgifter att behandlas som saknar koppling till någon pågående fördjupad granskning, men som kan vara relevanta för ett eller flera beslutsorgan. Det är därför svårt att på ett generellt plan uttala sig om hur länge det kan vara nödvändigt att lagra uppgifter som behandlas i kontaktpunktsverksamheten. Även om det, som Brå framhåller, kan finnas ett värde i en uttrycklig reglering av en registerhantering, saknas i detta lagstiftningsärende underlag för att föreslå en sådan reglering. Regeringen ansluter sig därför till utredningens slutsats att den lämpligaste lösningen är en ändamålsrelaterad bestämmelse om längsta tid för behandling som innebär att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet.

Den föreslagna bestämmelsen bör även gälla personuppgifter som behandlas inom ramen för uppgiften att ge stöd vid oro för skolattacker. Som Skolsäkerhetsutredningen konstaterar är emellertid behandlingen av personuppgifter i den verksamheten särskilt integritetskänslig. Det bör därför även införas en översta gräns för hur länge personuppgifter får behandlas där. Oron kring exempelvis en elev kan vara aktuell under en längre period och stöd kan då komma att påkallas vid flera tillfällen under denna tid. För att säkerställa en kontinuitet i arbetet i en sådan situation är det, som bl.a. Idéburna skolors riksförbund framhåller, angeläget att tidsgränsen för tillåten behandling inte blir alltför kort. CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten Brå i övrigt. Regeringen anser därför att bestämmelsen bör utformas så att personuppgifter som behandlas när Brå utför uppgiften att ge stöd vid oro för skolattacker inte får behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Dessutom bör bestämmelsen, som Skolsäkerhetsutredningen föreslår, förses med en ventil om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen. De personuppgifter som redan finns om personen ska då, om det är nödvändigt, få fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Dataskyddsförordningen innehåller ett undantag från principen om lagringsminimering, som innebär att personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål (artikel 5.1 e i förordningen). För att tydliggöra att personuppgifter som utgör en del av en allmän handling får arkiveras bör det därför uttryckligen framgå att det som anges när det gäller längsta tid för behandling av personuppgifter inte hindrar att sådana uppgifter arkiveras i enlighet med gällande arkivlagstiftning. I vilken utsträckning personuppgifter ska gallras i samband med arkivering regleras i det arkivrättsliga regelverket.

40

6.8 Rätten att göra invändningar Prop. 2024/25:46
   
Regeringens förslag: Rätten för registrerade att göra invändningar  
enligt dataskyddsförordningen ska inte gälla vid sådan behandling som  
är tillåten enligt den nya lagen eller föreskrifter som har meddelats i  
anslutning till lagen.  
   
Utredningen om stöd till civilsamhällets bedömning överensstämmer  
inte med regeringens förslag när det gäller verksamhet inom ramen för  
kontaktpunktsuppgiften. Utredningen föreslår inte någon begränsning av  
rätten att göra invändningar.  
Remissinstanserna instämmer i bedömningen eller har inga invänd-  
ningar mot den.  
Skolsäkerhetsutredningens förslag överensstämmer med regeringens  
när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för  
skolattacker.  
Remissinstanserna instämmer i förslaget eller har inga invändningar  
mot det.    
Skälen för regeringens förslag: Vid behandling av personuppgifter  
som sker för att utföra en uppgift av allmänt intresse eller som ett led i  
myndighetsutövning (dvs. behandling enligt artikel 6.1 e i dataskydds-  
förordningen) ska den registrerade ha rätt att när som helst, av skäl som  
hänför sig till hans eller hennes specifika situation, göra invändningar mot  
behandlingen. Den personuppgiftsansvarige får då inte längre behandla  
personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl  
för behandlingen som väger tyngre än den registrerades intressen, rättig-  
heter och friheter eller om det sker för fastställande, utövande eller försvar  
av rättsliga anspråk. Detta följer av artikel 21.1 i dataskyddsförordningen.  
Rätten att göra invändningar innebär att den registrerade har möjlighet  
att få till stånd en kontroll av om uppgifterna får behandlas. Under tiden  
som en sådan prövning pågår har den registrerade rätt att kräva att behand-  
lingen av personuppgifterna begränsas (se artikel 18.1 d i dataskydds-  
förordningen). Om det bedöms saknas berättigade skäl för behandlingen  
har den registrerade rätt att få personuppgifterna raderade (se artikel 17.1 c  
i dataskyddsförordningen).  
Medlemsstaterna har enligt artikel 23 i dataskyddsförordningen möjlig-  
het att genom lagstiftningsåtgärder begränsa vissa av de skyldigheter och  
rättigheter som följer av förordningen, däribland rätten att göra invänd-  
ningar mot behandlingen av personuppgifter. En sådan begränsning får  
göras om den sker med respekt för andemeningen i de grundläggande  
rättigheterna och friheterna. Begränsningen måste vidare utgöra en nöd-  
vändig och proportionell åtgärd i syfte att säkerställa olika uppräknade  
intressen, bl.a. den allmänna säkerheten, förebyggande eller förhindrande  
av brott eller andra viktiga mål av generellt allmänt intresse (artikel 23.1).  
Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika  
bestämmelser när så är relevant, avseende bl.a. ändamålen med behand-  
lingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av  
behandlingens art, omfattning och ändamål (artikel 23.2).  
Rätten att göra invändningar har begränsats i ett flertal myndigheters  
registerförfattningar (se prop. 2022/23:34 s. 122–123 med hänvisningar).  
Det har i dessa fall ansetts vara av stor betydelse att personuppgifter får 41

Prop. 2024/25:46 behandlas i myndigheternas verksamheter, oberoende av den registrerades inställning, samtidigt som regeringen bedömt att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet (se t.ex. prop. 2017/18:254 s. 45). Detta bedöms gälla även inom de nu aktuella verksamheterna vid Brå. För att säkerställa förutsättningarna att behandla relevanta personuppgifter i dessa verksamheter anser regeringen därför att det bör införas en bestämmelse i den nya lagen som innebär att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller enligt föreskrifter som har meddelats i anslutning till lagen. En sådan begränsning får anses utgöra en nödvändig och proportionerlig åtgärd i syfte att säkerställa sådana viktiga mål av generellt allmänt intresse som krävs enligt artikel 23.1 i dataskyddsförordningen. Den föreslagna nya lagen innehåller dessutom bestämmelser om bl.a. ändamålen med behandlingen, behandling av känsliga personuppgifter, sökbegränsningar och längsta tid för behandling, och minimerar på så vis risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla även de krav som uppställs i artikel 23.2 i dataskyddsförordningen. Den föreslagna bestämmelsens hänvisning till dataskyddsförordningen bör vara dynamisk för att säkerställa att ändringar i EU-regleringen får omedelbart genomslag.

  6.9 Rätt att meddela föreskrifter
   
  Regeringens bedömning: Det finns inte skäl att införa en bestämmelse
  som upplyser om att regeringen eller den myndighet som regeringen
  bestämmer kan meddela föreskrifter som kompletterar den nya lagen.
   
  Utredningen om stöd till civilsamhällets förslag överensstämmer inte
  med regeringens bedömning när det gäller verksamhet inom ramen för
  uppgiften att vara kontaktpunkt. Utredningen föreslår att det ska införas en
  upplysningsbestämmelse om rätt att meddela föreskrifter.
  Remissinstanserna instämmer i förslaget eller har inga invändningar
  mot det.  
  Skolsäkerhetsutredningens förslag överensstämmer inte med rege-
  ringens bedömning när det gäller verksamhet inom ramen för uppgiften att
  ge stöd vid oro för skolattacker. Utredningen föreslår att det ska införas en
  upplysningsbestämmelse om rätt att meddela föreskrifter.
  Remissinstanserna instämmer i förslaget eller har inga invändningar
  mot det.  
  Skälen för regeringens bedömning: Ingen av utredningarna redogör
  för något konkret behov av att komplettera den nya lagen genom
  bestämmelser i förordning eller föreskrifter. Det kan emellertid inte
  uteslutas att ett sådant behov kan uppkomma. Bestämmelser om myndig-
  heters personuppgiftsbehandling anses normalt falla in under regeringens
  s.k. restkompetens i 8 kap. 7 § regeringsformen. Regeringen eller den
  myndighet som regeringen bestämmer har alltså möjlighet att meddela
  kompletterande bestämmelser till den föreslagna lagen, så länge de inte är
42 sådana som avses i 2 kap. 6 § andra stycket regeringsformen (jfr prop.

2017/18:105 s. 26). Regeringen anser, till skillnad från utredningarna, att Prop. 2024/25:46 det dock inte finns skäl att införa en upplysningsbestämmelse om

regeringens normgivningskompetens i lagen.

6.10 Andra aktörers personuppgiftsbehandling  
   
Regeringens bedömning: Det finns inte skäl att införa några bestäm-  
melser som tar sikte på andra aktörers personuppgiftsbehandling.  
   
Utredningen om stöd till civilsamhällets bedömning överensstämmer  
med regeringens när det gäller verksamhet inom ramen för kontaktpunkts-  
uppgiften.    
Remissinstanserna: De flesta remissinstanser instämmer i bedömning-  
en eller har inga invändningar mot den.  
Integritetsskyddsmyndigheten ifrågasätter att verksamheter som ansöker  
om att få del av offentliga medel eller beviljas tillstånd att bedriva viss  
verksamhet som finansieras av offentliga medel ska anses ha ett rättsligt  
anspråk i dataskyddsförordningens mening, om anspråket inte kan bli före-  
mål för domstolsprövning. Även bl.a. Civilsamhällets organisationer i  
samverkan lyfter frågor om vilken personuppgiftsbehandling som ansök-  
ande verksamheter har stöd för.  
Skolsäkerhetsutredningens bedömning överensstämmer med rege-  
ringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid  
oro för skolattacker.  
Remissinstanserna: De flesta remissinstanser instämmer i bedömning-  
en eller har inga invändningar mot den.  
Göteborgs stad påtalar att dataskyddsförordningens regler om infor-  
mation kan innebära en skyldighet för exempelvis en skolhuvudman att  
upplysa den registrerade om att dennes personuppgifter kommer att  
lämnas till CVE och syftet med detta.  
Skälen för regeringens bedömning  
Personuppgiftsbehandling med koppling till kontaktpunktsverksamheten  
När CVE har genomfört en fördjupad granskning kommer ett yttrande att  
lämnas till det beslutsorgan som har begärt granskningen. Yttrandet kan  
innehålla personuppgifter och dessa kan vara känsliga eller röra lagöver-  
trädelser. Uppgifterna i yttrandet kommer därefter i regel att delas med den  
granskade verksamhet som är part i grundärendet vid beslutsorganet. Både  
beslutsorganen och de granskade parterna kommer alltså att behöva be-  
handla personuppgifter som kommer från CVE:s fördjupade granskningar.  
Att CVE har fått i uppgift att bistå med fördjupade granskningar innebär  
emellertid inte i sig att de beslutsorgan som kan vända sig till CVE har  
ålagts några nya uppgifter eller att de ska tillämpa några nya eller ändrade  
villkor för fördelning av offentliga medel eller beviljande av sådana  
tillstånd eller godkännanden som i förlängningen berättigar till offentlig  
finansiering. I de fall som en verksamhets koppling till våldsbejakande  
extremism eller andra antidemokratiska miljöer kan ha betydelse för  
beslutsorganets hantering är det alltså redan i dag beslutsorganets uppgift  
att utreda sådana eventuella kopplingar, vilket kan kräva att känsliga 43

Prop. 2024/25:46 personuppgifter eller uppgifter om lagöverträdelser behandlas. Eventuella behov av bestämmelser om personuppgiftsbehandling vid beslutsorganen bör därför i första hand bedömas i samband med att den reglering som respektive beslutsorgan ska tillämpa är föremål för ändringar eller andra överväganden. Det kan t.ex. noteras att regeringen i propositionen Statens stöd till trossamfund och civilsamhället – enhetliga och rättssäkra villkor (prop. 2023/24:119) gör bedömningen att ett demokrativillkor bör gälla för statlig bidragsgivning riktad till civilsamhället, om det inte är obehövligt, och som en följd av detta också analyserar beslutsorganens möjligheter att behandla personuppgifter. Regeringens bedömning i det lagstiftningsärendet är att beslutsorganen utför uppgifter av viktigt allmänt intresse och att de därför redan enligt dataskyddsförordningen har stöd för att behandla personuppgifter, inklusive känsliga sådana – men att det ändå finns skäl att införa särskilda lagbestämmelser om detta. När det gäller uppgifter om brott konstateras att de beslutsorgan som är myndigheter har stöd för sådan behandling, men att det av tydlighetsskäl bör införas en uttrycklig bestämmelse som ger även enskilda organ rätt att behandla sådana uppgifter (se samma prop. s. 127–128 och 146–149).

När det gäller de granskade verksamheterna är situationen i grunden densamma. Om beslutsorganen utreder kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer måste sådana uppgifter redan i dag delas med de granskade verksamheterna, om de har betydelse för beslutsorganets hantering. Även eventuella behov av bestämmelser om personuppgiftsbehandling vid de granskade verksamheterna bör därför i första hand bedömas i samband med att den reglering som verksamheternas ansökningar prövas enligt är föremål för ändringar eller andra överväganden. Det finns därför inte skäl för någon mer djupgående behandling av verksamheternas personuppgiftsbehandling, såsom Civilsamhällets organisationer i samverkan efterfrågar. Det kan dock noteras att regeringen i prop. 2023/24:119 även analyserar de granskade verksamheternas möjligheter att behandla personuppgifter. Regeringens bedömning i det lagstiftningsärendet är att intresset av att ansöka om och ta del av ett statligt stöd får anses utgöra ett berättigat intresse och att verksamheterna därmed har en rättslig grund för nödvändig behandling av personuppgifter i ärenden om stöd. Regeringen anser dessutom, till skillnad från Integritetsskyddsmyndigheten, att en verksamhet som ansöker om att få ta del av statligt stöd bör anses ha ett rättsligt anspråk i dataskyddsförordningens mening och därmed kan behandla även känsliga personuppgifter och uppgifter om lagöverträdelser vid en prövning av en fråga om rätt till stöd (se samma prop. s. 128–135). Regeringen, som konstaterar att motsvarande får anses gälla verksamheter som ansöker om godkännande eller tillstånd att driva offentligt finansierad verksamhet, ser inga skäl att nu göra någon annan bedömning i den frågan.

Sammantaget innebär detta, i likhet med Utredningen om granskning av stöd till civilsamhällets bedömning, att det inte finns skäl att i det här lagstiftningsärendet föreslå några bestämmelser om beslutsorgans eller granskade verksamheters personuppgiftsbehandling.

44

Personuppgiftsbehandling med koppling till stödverksamheten vid oro för skolattacker

När CVE ger stöd till kommuner, myndigheter och andra aktörer som hanterar ärenden i vilka det finns en oro för skolattacker kan personuppgifter, även känsliga personuppgifter eller sådana som rör lagöverträdelser, komma att behöva lämnas till den som begärt stödet eller till andra berörda aktörer. De aktörer som på så vis kan komma att ta emot, och behöva behandla, personuppgifter från CVE behandlar emellertid redan i dag personuppgifter av motsvarande slag. Den nya uppgiften för CVE innebär alltså inte någon egentlig ändring i det avseendet och det finns därför inte något närmare behov av att analysera berörda aktörers möjligheter att behandla personuppgifter.

När en aktör begär stöd från CVE kommer aktören i många fall att lämna information till CVE som innehåller personuppgifter, och CVE kan även komma att få sådan information från andra berörda aktörer inom ramen för ett ärende om stöd. En särskild fråga som då uppkommer är vilka dataskyddsrättsliga skyldigheter de aktörer som lämnar uppgifter till CVE har att informera den person som uppgifterna rör om att dessa har överlämnats. I vissa fall kan det nämligen tänkas att syftet med stödbegäran riskerar att förfelas om den person som oron avser får kännedom om att begäran har gjorts.

Som Skolsäkerhetsutredningen konstaterar finns i artikel 14.5 c i dataskyddsförordningen ett undantag från skyldigheterna enligt artikel 14.1–4 att lämna information till den registrerade när personuppgifter erhållits från annan än den registrerade (se SOU 2023:28 s. 179–181). Detta kan tillämpas både av CVE och av de aktörer som lämnar uppgifter till CVE när dessa har erhållits av någon annan än den person som oron avser, t.ex. vårdnadshavare eller andra myndigheter. I vissa fall kommer emellertid, som Göteborgs stad påtalar, uppgifterna som överlämnas till CVE att ha erhållits från den registrerade. Skyldigheterna att lämna information till honom eller henne regleras då i stället i artikel 13 i dataskyddsförordningen. Av artikel 13.3 följer att om en personuppgiftsansvarig avser att ytterligare behandla personuppgifter för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte. I den mån utlämnandet av personuppgifter till CVE kan anses göras för ett nytt syfte, är den aktör som lämnar ut personuppgifterna alltså skyldig att informera den registrerade om detta. 5 kap. 1 § dataskyddslagen innehåller undantag från denna skyldighet när uppgifterna inte får lämnas ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Är den personuppgiftsansvarige inte en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda. De personuppgifter det gäller kommer ofta att vara sekretessbelagda hos den aktör som lämnar dem till CVE (eller skulle ha varit det hos en myndighet), men i regel gäller sekretessen inte i förhållande till den person som uppgifterna avser och sekretessreglerna innebär då inte att uppgifterna inte får lämnas ut till den registrerade. Det betyder att det kan förekomma situationer då en aktör som lämnar uppgifter till CVE har en skyldighet att upplysa den person som oron avser om detta. I enskilda fall kan detta, utifrån syftet med regleringen, vara problematiskt.

Prop. 2024/25:46

45

Prop. 2024/25:46 Det saknas emellertid underlag för att i detta lagstiftningsärende föreslå en reglering med undantag från informationsskyldigheten i artikel 13.3. Det kan i sammanhanget noteras att om ett tydligt behov framkommer kan frågan regleras på förordningsnivå, med stöd av 5 kap. 1 § dataskyddslagen.

Sammantaget innebär detta, i likhet med Skolsäkerhetsutredningens bedömning, att det inte finns skäl att i det här lagstiftningsärendet föreslå några bestämmelser om andra aktörers personuppgiftsbehandling med koppling till stödverksamheten vid oro för skolattacker.

7Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Den nya lagen om viss personuppgiftsbehandling vid Brå och ändringarna i offentlighets- och sekretesslagen ska träda i kraft den 1 mars 2025.

Regeringens bedömning: Det finns inget behov av övergångsbestämmelser.

Utredningen om stöd till civilsamhällets förslag och bedömning överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår att lagarna ska träda i kraft den 1 januari 2023.

Remissinstanserna har inga synpunkter på förslaget eller bedömningen.

Skolsäkerhetsutredningens förslag och bedömning överensstämmer i huvudsak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår att lagarna ska träda i kraft den 1 januari 2025.

Remissinstanserna har inga synpunkter på förslaget eller bedömningen.

Skälen för regeringens förslag: Uppgifterna att vara kontaktpunkt respektive att ge stöd vid oro för skolattacker gäller fr.o.m. den 1 mars 2025. Den föreslagna lagen om viss personuppgiftsbehandling vid Brå och de föreslagna ändringarna i offentlighets- och sekretesslagen syftar till att myndigheten ska kunna utföra dessa uppgifter på ett effektivt sätt och bör därför träda i kraft samma dag. Det finns inte något behov av övergångsbestämmelser.

46

8 Konsekvenser Prop. 2024/25:46
 

Regeringens bedömning: Förslagen innebär inga kostnadsökningar för Brå eller några andra myndigheter eller för kommunerna. Förslagen innebär inte heller några ekonomiska konsekvenser för enskilda.

Förslagen innebär ett intrång i den personliga integriteten, men detta är motiverat av intressena att förhindra skolattacker respektive att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Sammantaget bedöms förslagen vara proportionerliga och förenliga med regeringsformen, Europakonventionen, EU:s rättighetsstadga och barnkonventionen.

Det finns inte skäl att föreslå någon extern tillsyn av verksamheten vid CVE.

Förslagen kan förväntas bidra till det brottsförebyggande arbetet. Förslagen förväntas inte medföra några övriga konsekvenser.

Utredningen om stöd till civilsamhällets bedömning överensstämmer i huvudsak med regeringens när det gäller förslagen som rör verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen uttalar sig dock inte specifikt över de ekonomiska konsekvenserna av lagförslagen.

Remissinstanserna: Flera remissinstanser, bl.a. Civilsamhällets organisationer i samverkan, Folkbildningsrådet och Borås Stad, menar att utredningens förslag kan komma att medföra ökad administration och merkostnader för både beslutsorganen och de granskade verksamheterna. Polismyndigheten påtalar att konsekvenserna för framför allt Finanspolissektionen inte har beaktats av utredningen. Brå och CVE anser att frågan om extern tillsyn av verksamheten vid CVE bör övervägas. Region Halland anser att om personuppgifter beträffande barn kommer att behandlas så behöver integritetsrisker för barns uppgifter analyseras särskilt.

Skolsäkerhetsutredningens bedömning överensstämmer i huvudsak med regeringens när det gäller förslagen som rör verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen uttalar sig dock inte specifikt över de ekonomiska konsekvenserna av lagförslagen.

Remissinstanserna: Eskilstuna kommun anser att utredningens förslag kommer att innebära kostnadsökningar för kommunerna. Region Kronoberg efterfrågar en analys av förslagen utifrån barnkonventionen.

Skälen för regeringens bedömning

Ekonomiska konsekvenser

I propositionen föreslås en ny personuppgiftslag för Brå samt två nya bestämmelser i offentlighets- och sekretesslagen. Förslagen föranleds av de två nya uppgifter som CVE tilldelats, dvs. att vara kontaktpunkt respektive att ge stöd vid oro för skolattacker, och syftar till att möjliggöra en både ändamålsenlig och integritetssäker behandling av personuppgifter vid myndigheten. Lagförslagen medför inte i sig några beaktansvärda kostnader för Brå. Även om säkerhetsåtgärderna i personuppgiftslagen och den

föreslagna sekretessbestämmelsen kan innebära viss administration, så

47

Prop. 2024/25:46 kan samtidigt den tydliga personuppgiftsregleringen och den föreslagna sekretessbrytande bestämmelsen förenkla annan hantering. En annan sak är att de två nya uppgifterna kommer att innebära kostnadsökningar. Konsekvenserna av dessa behandlas av utredningarna. Brå har också i budgetpropositionen för 2024 tillförts medel för att ge myndigheten förutsättningar att bedriva kontaktpunktsverksamheten och från och med 2025 beräknas anslaget höjas ytterligare.

48

Flera remissinstanser, bl.a. Civilsamhällets organisationer i samverkan, Folkbildningsrådet och Borås Stad, lyfter farhågor om ökad administration och merkostnader för de beslutsorgan som kan begära fördjupade granskningar och för de granskade verksamheterna. De nu föreslagna lagändringarna medför emellertid i sig inte någon ökad administration eller några merkostnader för vare sig beslutsorgan, oavsett om dessa är myndigheter eller enskilda, eller granskade verksamheter. Detsamma gäller för aktörer som kan begära stöd vid oro för skolattacker, oavsett om det rör sig om sådana kommunala aktörer som Eskilstuna kommun berör eller enskilda.

Den föreslagna sekretessbrytande bestämmelsen kan medföra att framför allt Polismyndigheten, inklusive Finanspolissektionen, måste hantera något fler förfrågningar om uppgifter från CVE. Bedömningen är dock att det rör sig om en så marginell ökning att kostnaderna ryms inom myndighetens befintliga ekonomiska ramar.

Konsekvenser för den personliga integriteten

Den föreslagna lagen om viss personuppgiftsbehandling vid Brå tillsammans med den föreslagna sekretessbrytande bestämmelsen, ger ökade möjligheter att behandla personuppgifter. Särskilt gäller detta känsliga personuppgifter. Både i kontaktpunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker möjliggör lagförslagen att Brå – i praktiken framför allt CVE – i relativt stor omfattning får behandla uppgifter om enskilda personer som exempelvis rör deras kopplingar till våldsbejakande extremism eller som annars avslöjar personernas åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det kan också röra sig om uppgifter om begångna eller misstänkta brott, och särskilt inom ramen för uppgiften att ge stöd vid oro för skolattacker kan det även röra sig om uppgifter om exempelvis psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Att sådana uppgifter om enskilda behandlas av en myndighet innebär risker för de enskildas integritet, särskilt när det sker i relativt stor omfattning. Behandlingen med stöd av den nu föreslagna regleringen kan, inom ramen för båda de nya uppgifterna, dessutom komma att avse personer som visar sig sakna kopplingar till våldsbejakande extremism respektive intentioner att begå en skolattack. Som framgår i det följande anser regeringen emellertid att risken är acceptabel i förhållande till samhällsintresset av att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Regeringen gör bedömningen att

de nämnda lagförslagen i enskilda fall kan möjliggöra ett sådant betydande intrång i den personliga integriteten, som dessutom kan ske utan samtycke. Men hänsyn till den behandling av uppgifterna som CVE kan behöva göra, i både kontaktspunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker, kan det inte heller uteslutas att intrånget i vissa fall skulle kunna anses innebära en kartläggning av den enskildes personliga förhållanden. Förslagen kan alltså innebära en begränsning av skyddet mot intrång som innebär kartläggning av den enskildes personliga förhållanden. Sådana begränsningar får göras genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får heller aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Dessutom får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 20 § första stycket 2 och 21 § regeringsformen).

Förslagen i propositionen innebär att begränsningen görs genom lag och ändamålen – dvs. att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer – är godtagbara i ett demokratiskt samhälle. Lagförslagen begränsas vidare på sådant sätt att Brå kan inhämta och behandla personuppgifter endast i den utsträckning som är nödvändig för att utföra sina båda uppgifter. Dessutom föreslås en rad säkerhetsåtgärder, såsom bestämmelser om sökbegränsningar och begränsad tillgång till personuppgifterna inom Brå samt en ny sekretessbestämmelse till skydd för enskilda vid myndigheten. Regeringen bedömer därför att begränsningen av skyddet för den enskilde inte går utöver vad som är nödvändigt med hänsyn till ändamålen och att den inte heller sträcker sig så långt att den utgör ett hot mot den fria åsiktsbildningen. De uppgifter om en enskild som behandlas kan vara sådana att de i och för sig avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Anledningen till att de behandlas är emellertid att det antingen finns en oro för att personen ska begå en skolattack eller att personen har stark anknytning, såsom t.ex. företrädare eller ägare, till en verksamhet som ansöker om offentliga medel eller om ett tillstånd eller godkännande att bedriva viss verksamhet som berättigar till offentlig finansiering. Begränsningen av skyddet för den enskilde görs alltså inte enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Sammantaget innebär detta att förslagen i propositionen är förenliga med 2 kap. 6 § andra stycket regeringsformen.

Rätten till respekt för privatlivet enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) får inskränkas med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Med hänvisning till den gjorda proportionalitetsbedömningen konstaterar regeringen att förslagen måste anses förenliga med Europakonventionen. Att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer är mål av

Prop. 2024/25:46

49

Prop. 2024/25:46 allmänt samhällsintresse, och möjligheten att effektivt bidra till dessa begränsas om Brå inte har möjlighet att behandla personuppgifter i den utsträckning som lagförslagen innebär. Den inskränkning som förslagen innebär av rätten till integritet och respekt för privat- och familjeliv samt skydd av personuppgifter enligt EU:s stadga om de grundläggande rättigheterna är därför nödvändig. Eftersom förslagen dessutom får anses vara proportionerliga är de förenliga även med rättighetsstadgan och uppfyller dessutom proportionalitetskraven i EU:s dataskyddsförordning. Av samma skäl är förslagen även förenliga med bestämmelserna om rätt till privat- och familjeliv i barnkonventionen, som uppmärksammas av Region Halland och Region Kronoberg. Vad gäller barnkonventionens krav i övrigt, som främst blir aktuella i verksamheten med stöd vid oro för skolattacker, konstaterar regeringen att Barnombudsmannen utifrån bl.a. artiklarna 3, 6, 19 och 28 är positiv till förslaget att CVE får ansvar för den uppgiften, eftersom det bidrar till att barn och elever ska ha en säker och trygg utbildnings- och arbetsmiljö. Detsamma gäller, enligt regeringen, förslagen i propositionen, som syftar till att möjliggöra en både ändamålsenlig och integritetssäker behandling av personuppgifter när CVE utför sin stöduppgift. Regeringen gör därför bedömningen att förslagen är förenliga med barnkonventionen.

Brå och CVE anser att frågan om extern tillsyn av verksamheten vid CVE bör övervägas. Regeringen konstaterar att Integritetsskyddmyndigheten är tillsynsmyndighet enligt EU:s dataskyddsförordning och dataskyddslagen (2 a § andra stycket förordningen [2007:975] med instruktion för Integritetsskyddsmyndigheten) och alltså utövar tillsyn över den personuppgiftsbehandling som sker vid Brå, inklusive CVE. Dessutom omfattas verksamheten vid myndigheten av Justitiekanslerns och Riksdagens ombudsmäns tillsyn, vilket bl.a. innebär att enskilda kan ge in klagomål till dessa. Regeringen anser att det inte finns skäl att föreslå någon ytterligare extern tillsyn av den nu aktuella verksamheten.

Övriga konsekvenser

Lagförslagen ger CVE möjlighet att arbeta mer effektivt inom ramen för kontaktpunktsuppgiften och uppgiften att ge stöd vid oro för skolattacker. Förslagen kan på så vis förväntas bidra till det brottsförebyggande arbetet. Regeringen bedömer att lagförslagen inte får några konsekvenser för den kommunala självstyrelsen eller för sysselsättning och offentlig service i olika delar av landet. Förslagen bedöms inte heller ha någon inverkan på jämställdheten mellan kvinnor och män eller möjligheterna att nå de integrationspolitiska målen.

50

9 Författningskommentar Prop. 2024/25:46
 

9.1Förslaget till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet

Lagens syfte

1 § Syftet med denna lag är att ge Brottsförebyggande rådet möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Paragrafen anger det övergripande syftet med lagen. Övervägandena finns i avsnitt 6.1.

Syftet med lagen är dubbelt. Lagen ska dels göra det möjligt för Brottsförebyggande rådet att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter vid Brottsförebyggande rådet när myndigheten

1.utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och

2.ger behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 6.2.

Av första stycket framgår att lagen gäller vid behandling av personuppgifter i viss verksamhet vid Brottsförebyggande rådet. Av punkt 1 följer att lagen gäller inom ramen för Brottsförebyggande rådets uppgift att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Punkt 2 anger att lagen gäller även inom ramen för uppgiften att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack. Definitioner av begreppen behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning.

I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Den föreslagna lagens tillämpningsområde motsvarar i denna del helt dataskyddsförordningens tillämpningsområde. Av artikel 2.1 i dataskyddsförordningen framgår att förordningen ska tillämpas på sådan behandling

av personuppgifter som helt eller delvis företas på automatisk väg samt på

51

Prop. 2024/25:46 annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Det innebär att manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde.

Förhållandet till annan reglering

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.2.

I paragrafen upplyses om att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig men förutsätter och tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen. Denna lag innehåller de kompletterande bestämmelser som gäller i den verksamhet som anges i 2 §.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

Paragrafen anger lagens förhållande till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 6.2.

Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

5 § Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Paragrafen reglerar personuppgiftsansvaret vid behandling av personuppgifter enligt lagen. Övervägandena finns i avsnitt 6.3.

Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten, inom ramen för de uppgifter som det nationella centrumet mot våldsbejakande extremism ansvarar för, utför enligt lagen. Brottsförebyggande rådet ansvarar därmed för att behandlingen utförs i enlighet med gällande dataskyddsreglering.

52

Ändamål med personuppgiftsbehandlingen Prop. 2024/25:46
6 § Personuppgifter får behandlas om det är nödvändigt för att Brottsföre-  
byggande rådet ska kunna utföra någon av de uppgifter som anges i 2 §.  
Paragrafen anger de primära ändamålen för vilka personuppgifter får  
behandlas. Övervägandena finns i avsnitt 6.4.  
Personuppgifter får behandlas om det är nödvändigt för att Brottsföre-  
byggande rådet ska kunna utföra antingen sin uppgift som kontaktpunkt  
för myndigheter och andra beslutsorgan som inom ramen för sina  
respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt  
granskar offentligt finansierade verksamheter, eller sin uppgift att ge  
behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i  
sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera  
personer ska genomföra en skolattack. Ändamålen är brett formulerade  
och Brottsförebyggande rådet måste därför normalt precisera ändamålet  
när uppgifter samlas in, för att leva upp till kravet på särskilda, uttryckligt  
angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförord-  
ning. Att behandlingen ska vara nödvändig innebär inte ett krav på att  
behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nöd-  
vändig om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189).  
Kravet på nödvändighet innebär dock att personuppgifter inte får behand-  
las om syftet med behandlingen kan uppnås med andra medel, t.ex. genom  
att anonymisera uppgifterna (prop. 2017/18:232 s. 117).  
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra  
uppgiftslämnande som sker i överensstämmelse med lag eller förordning.  
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att  
uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket  
uppgifterna samlades in.  
Paragrafen anger de ytterligare ändamål för vilka personuppgifter får  
behandlas. Övervägandena finns i avsnitt 6.4.  
Av första stycket framgår att personuppgifter som behandlas enligt 6 §  
även får behandlas för att fullgöra uppgiftslämnande som sker i överens-  
stämmelse med lag eller förordning. Behandlingen förutsätter således att  
uppgifterna redan är föremål för behandling enligt den primära ändamåls-  
bestämmelsen. Behandling får då ske både för uppgiftslämnande som görs  
på grund av en skyldighet att lämna ut uppgifter och för uppgiftslämnande  
som görs med stöd av bestämmelser som innebär att uppgifter får lämnas  
ut, t.ex. den s.k. generalklausulen i 10 kap. 27 § offentlighets- och  
sekretesslagen (2009:400). Bestämmelsen omfattar uppgiftslämnande  
både till andra myndigheter och till andra aktörer, t.ex. en skola med  
enskild huvudman, så länge uppgiftslämnandet sker med stöd av lag eller  
förordning.  
Andra stycket tydliggör att den s.k. finalitetsprincipen gäller vid behand-  
ling av personuppgifter enligt lagen. Bestämmelsen är utformad i nära  
anslutning till artikel 5.1 b i EU:s dataskyddsförordning och bör tolkas på  
samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt  
intresse, vetenskapliga eller historiska forskningsändamål eller statistiska  
ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska  
anses vara oförenlig med de ursprungliga ändamålen. Det innebär också 53
 

Prop. 2024/25:46 att de omständigheter som anges i artikel 6.4 i dataskyddsförordningen ska beaktas vid bedömningen av om behandlingen är förenlig med finalitetsprincipen.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar tillgången till personuppgifter. Övervägandena finns i avsnitt 6.5.

Uttrycket var och en inkluderar tillsvidareanställd personal men även t.ex. personer med en tidsbegränsad anställning eller uppdragstagare. Brottsförebyggande rådet ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning).

Behandling av känsliga personuppgifter

9 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av någon av de uppgifter som anges i 2 §.

Paragrafen reglerar behandlingen av känsliga personuppgifter. Övervägandena finns i avsnitt 6.6.

Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Av paragrafen framgår att Brottsförebyggande rådet får behandla sådana uppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, endast om de är nödvändiga för fullgörandet av antingen uppgiften som kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, eller uppgiften att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76), se vidare kommentaren till den paragrafen. Hänvisningarna till dataskyddsförordningen är dynamiska och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.

Sökbegränsningar

10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

54

Paragrafen förbjuder vissa integritetskänsliga sökningar. Övervägandena Prop. 2024/25:46 finns i avsnitt 6.6.

Det är förbjudet att utföra sökningar i syfte att få fram ett urval av  
personer grundat på känsliga personuppgifter eller uppgifter som rör  
fällande domar i brottmål och lagöverträdelser som innefattar brott. Sök-  
begränsningen omfattar alla tekniska åtgärder som innebär att uppgifter  
används för att strukturera eller systematisera information i syfte att få  
fram ett urval av personer grundat på sådana uppgifter. Därmed förbjuds  
sökningar som görs för att få fram ett urval av personer som t.ex. har en  
viss politisk åsikt, religiös åskådning eller som har begått viss typ av brott.  
Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte  
än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta  
fram verksamhetsstatistik eller för registervård. Hänvisningen till data-  
skyddsförordningen är dynamisk och avser alltså förordningen i den vid  
varje tidpunkt gällande lydelsen.  
Längsta tid som personuppgifter får behandlas  
11 § Personuppgifter får inte behandlas under längre tid än vad som är nöd-  
vändigt med hänsyn till ändamålet med behandlingen.  
Personuppgifter som behandlas när Brottsförebyggande rådet utför den uppgift  
som anges i 2 § första stycket 2 får dock inte behandlas under längre tid än två år  
efter utgången av det kalenderår då uppgifterna behandlas första gången. Om nya  
uppgifter om oro för en skolattack rörande samma person behandlas före utgången  
av tidsfristen får de personuppgifter som redan finns om personen, om det är  
nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.  
Första och andra styckena hindrar inte att Brottsförebyggande rådet arkiverar  
och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkiv-  
myndighet.  
Paragrafen reglerar hur länge personuppgifter får behandlas. Övervägan-  
dena finns i avsnitt 6.7.  
I första stycket föreskrivs att personuppgifter inte får behandlas under  
längre tid än vad som är nödvändigt med hänsyn till ändamålet med  
behandlingen. Det handlar om vad som är nödvändigt för att Brottsföre-  
byggande rådet ska kunna utföra antingen sin uppgift som kontaktpunkt  
för myndigheter och andra beslutsorgan som inom ramen för sina  
respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt  
granskar offentligt finansierade verksamheter, eller sin uppgift att ge  
behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i  
sin verksamhet hanterar ärenden där det finns en oro för att en eller flera  
personer ska genomföra en skolattack. Det som avses är ändamålet i det  
enskilda fallet. Om uppgiften behandlas för flera olika ändamål, får den  
dock fortsätta att behandlas för de andra ändamålen om behovet av  
behandling kvarstår för dessa.  
Andra stycket innehåller en särskild begränsning för personuppgifter  
som behandlas när Brottsförebyggande rådet utför sin uppgift att ge stöd  
vid oro för en skolattack. Sådana uppgifter får inte, även om första stycket  
skulle tillåta det, behandlas längre än två år efter utgången av det  
kalenderår då uppgifterna behandlas första gången. Med första behand-  
lingen avses den första åtgärd som vidtas avseende en personuppgift inom  
ramen för stödverksamheten. Begränsningen innehåller en ventil som 55
 

Prop. 2024/25:46 innebär att om en ny uppgift beträffande samma person behandlas före utgången av tidsfristen får de personuppgifter som redan finns om personen, om det är nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Av tredje stycket framgår att bestämmelserna om längsta tid för behandling inte hindrar att personuppgifterna arkiveras av Brottsförebyggande rådet eller att arkivmaterial lämnas till en arkivmyndighet.

Rätten att göra invändningar

12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen innehåller ett undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.8.

Av artikel 21.1 följer att den registrerade har rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.

9.2Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

35 kap.

10 e § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas till Brottsförebyggande rådet när myndigheten utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad granskning.

En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

  Paragrafen, som är ny, innebär att det under vissa förutsättningar är möjligt
  för brottsbekämpande myndigheter att lämna ut uppgifter som omfattas av
  sekretess enligt 1 § till Brottsförebyggande rådet. Övervägandena finns i
  avsnitt 5.2.                
  I första stycket föreskrivs att en uppgift får lämnas ut till
  Brottsförebyggande rådet när det utför uppgiften att vara kontaktpunkt för
  myndigheter och andra beslutsorgan som inom ramen för sina respektive
  uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt
  finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad
  granskning (jfr 7 c § förordningen [2016:1201] med instruktion för
  Brottsförebyggande rådet). En uppgift som lämnas ut måste alltså ha
  betydelse för ett pågående ärende om fördjupad granskning vid
56 Brottsförebyggande rådet. Det kan inte röra sig om mer allmän

information om t.ex. enskilda som förekommer inom vissa extremist- Prop. 2024/25:46 miljöer, även om sådana uppgifter skulle kunna användas i kontaktpunktsverksamheten för att informera berörda beslutsorgan som

inte har begärt någon fördjupad granskning eller för framtida granskningar. Det är myndigheten som innehar uppgiften som ytterst avgör om en uppgift kan lämnas ut med stöd av paragrafen och en prövning ska göras i varje enskilt fall.

I andra stycket föreskrivs att en ytterligare förutsättning för att en uppgift ska kunna lämnas ut är att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Det ska alltså ske en intresseavvägning. Vid denna avvägning kan hänsyn tas till den enskildes eller dennes närståendes behov i det konkreta fallet. Den myndighet som innehar uppgiften kan t.ex. ta hänsyn till om ett utlämnande skulle kunna äventyra säkerheten för någon av dessa.

Behovet av skydd för den brottsbekämpande verksamheten vid den myndighet som innehar en uppgift ingår inte i prövningen av om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Sekretess till skydd för intresset av att förebygga eller beivra brott finns i 18 kap. Bestämmelsen är endast sekretessbrytande i förhållande till 35 kap. 1 § och därmed inte i förhållande till t.ex. 18 kap.

1 eller 2 §, som alltså tillämpas parallellt med den föreslagna bestämmelsen. För det fall ett utlämnande bedöms kunna skada den brottsbekämpande verksamheten medför således inte den här bestämmelsen att ett utlämnande kan ske.

Bestämmelsen innebär en möjlighet för brottsbekämpande myndigheter att lämna ut uppgifter och således inte någon skyldighet att göra detta på eget initiativ. Inkommer Brottsförebyggande rådet med en begäran om utlämnande av uppgifter som enligt paragrafen får lämnas ut och ett uppgiftslämnande inte skulle hindra arbetets behöriga gång är dock den myndighet som innehar uppgifterna också skyldig att lämna ut dessa enligt 6 kap. 5 §.

40 kap.

Viss verksamhet vid Brottsförebyggande rådet

7 f § Sekretess gäller i verksamhet hos Brottsförebyggande rådet som avser uppgifterna att

1.vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och

2.ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.

Sekretessen enligt första stycket gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Paragrafen, som är ny, reglerar sekretess i viss verksamhet vid Brottsförebyggande rådet. Övervägandena finns i avsnitt 5.1.

Av första stycket framgår att sekretess gäller i vissa verksamheter hos Brottsförebyggande rådet. Enligt punkt 1 gäller sekretessen i verksamhet som avser uppgiften att vara kontaktpunkt för myndigheter och andra

57

Prop. 2024/25:46 beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter (jfr 7 c § förordningen [2016:1201] med instruktion för Brottsförebyggande rådet). Enligt punkt 2 gäller sekretessen även i verksamhet som avser uppgiften att ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker (jfr 7 b § förordningen med instruktion för Brottsförebyggande rådet).

Av andra stycket framgår att sekretessen gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden. Förutom uppgifter om en enskilds kopplingar till våldsbejakande extremism kan det typiskt sett röra sig om uppgifter som annars avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Även uppgifter om begångna eller misstänkta brott kan behöva behandlas. Särskilt inom ramen för uppgiften att ge stöd vid oro för en skolattack kan det även röra sig om uppgifter av ytterst personlig karaktär såsom uppgifter om psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Uppgifter om en enskilds ekonomiska förhållanden kommer framför allt att förekomma i verksamheten som kontaktpunkt. Skaderekvisitet i bestämmelsen är omvänt, dvs. sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

Av tredje stycket framgår att för uppgift i allmän handling gäller sekretessen i högst sjuttio år.

58

Sammanfattning av betänkandet Rätt mottagare

Granskning och integritet (SOU 2021:99)

Prop. 2024/25:46 Bilaga 1

Inledning

Årligen fördelar offentlig sektor stora belopp till organisationer inom civilsamhället och privata aktörer inom välfärdssektorn. På senare år har det dock kommit rapporter om att verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer tar del av offentliga medel. Säkerhetspolisen beskriver en institutionalisering inom våldsbejakande extremistmiljöer, där radikalisering, rekrytering och finansiering sker genom bolag, stiftelser och föreningar som omsätter många miljoner kronor i statliga medel. Säkerhetspolisen har i sitt arbete funnit att det finns individer med kopplingar till våldsbejakande extremism som är aktiva i verksamheter som tar emot offentliga medel i form av t.ex. bidrag. Dessa verksamheter kan på ytan framstå som legitima, men inom verksamheterna kan det t.ex. finnas individer som har återvänt från ett konfliktområde och som bedriver verksamhet som stödjer våldsbejakande extremism. Genom dessa organisationer kan pengar bl.a. skickas utomlands för att stötta terrororganisationer eller användas för radikalisering i Sverige.

Att offentliga medel fördelas till verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer kan bidra till en tillväxt av sådana miljöer i Sverige och riskerar att skada legitimiteten i de system som utnyttjas för att finansiera sådana miljöer. Det är därför viktigt att säkerställa att det finns mekanismer för att förhindra att offentliga medel fördelas till sådana miljöer.

Vårt uppdrag

Det är ytterst angeläget att offentliga medel inte betalas ut till organisationer inom det civila samhället eller till aktörer inom den offentliga sektorn som på olika sätt har kopplingar till våldsbejakande extremism eller annan antidemokratisk verksamhet.

Säkerhetspolisen har i sitt remissvar till betänkandet Demokrativillkor för bidrag till civilsamhället (SOU 2019:35) föreslagit att det inrättas en särskild funktion som ska ha särskild kompetens om aktörer, våldsbejakande extremism och antidemokratiska miljöer. Bidragsgivande myndigheter ska kunna vända sig dit för samråd vid en utökad granskning av bidragssökande organisationer och offentligt finansierade aktörer. I remissvaret till betänkandet Nya villkor för skolor med konfessionell inriktning (SOU 2019:64) framhåller Säkerhetspolisen att en sådan funktion även skulle kunna användas av andra myndigheter vid svåra bedömningar av om demokrativillkor eller liknande krav är uppfyllda för offentligt finansierad verksamhet.

Vi har i uppdrag att analysera och ta ställning till om en stödfunktion bör inrättas med uppgift att bistå med samråd vid en fördjupad granskning av bidragssökande organisationer eller annan offentligt finansierad verksamhet, och om inte, hur detta behov i stället ska tillgodoses. Om vi

kommer fram till att en stödfunktion bör inrättas, omfattar uppdraget även

59

Prop. 2024/25:46 Bilaga 1

60

att föreslå en placering för funktionen samt analysera dess uppgifter i relation till det uppdrag som i SOU 2019:35 föreslås ges till Myndigheten för ungdoms- och civilsamhällesfrågor (MUCF). I uppdraget ingår också att analysera vilka omständigheter som bör föranleda en fördjupad granskning och definiera vad en sådan granskning bör omfatta samt att analysera behovet av bestämmelser som rör sekretess och personuppgiftsbehandling.

Det förebyggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer

I en demokrati har alla rätt att uttrycka sina åsikter, även sådana som kan uppfattas som obekväma. Detta innebär dock inte en absolut rätt att ta del av offentliga medel för att t.ex. sprida sina åsikter. För att motverka åsikter och ageranden som utgör våldsbejakande extremism och terrorism är det angeläget att förebygga bakomliggande faktorer och drivkrafter samt att på ett tidigt stadium identifiera risker. Arbetet sker i dag i två delar: förebyggande insatser mot våldsbejakande extremism, som framför allt Center mot våldsbejakande extremism (CVE) ansvarar för och brottsbekämpande insatser som framför allt Säkerhetspolisen och Polismyndigheten ansvarar för. Båda dessa delar är centrala i det förebyggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer.

Enligt Säkerhetspolisens bedömning har de våldsbejakande extremistiska miljöerna i Sverige vuxit mycket kraftigt under de senaste åren. I dag betraktas våldsbejakande extremism som ett hot mot den svenska demokratiska samhällsordningen som bäst förebyggs, förhindras och försvåras genom tvärsektoriella insatser.

CVE inrättades den 1 januari 2018 och är placerat som en enhet inom Brottsförebyggande rådet (Brå). CVE arbetar utifrån i huvudsak kriminalpolitiska utgångspunkter och har till uppgift att stärka och utveckla det kunskapsbaserade och sektorsövergripande arbetet med förebyggande åtgärder mot våldsbejakande extremism. CVE har ett brett uppdrag att utveckla och stärka det förebyggande arbetet mot våldsbejakande extremism. Verksamheten vänder sig främst till de som söker kunskap och stöd i sin yrkesroll eller är intresserade av myndighetssamverkan.

Det är svårt att med säkerhet uppskatta i vilken omfattning offentliga medel utnyttjas av aktörer inom våldsbejakande extremism eller andra antidemokratiska miljöer. Säkerhetspolisen bedömer dock att totalt hundratals miljoner kronor har betalats ut till verksamheter som har kopplingar till våldsbejakande extremism.

Det finns en bred politisk enighet om att offentliga medel inte ska betalas ut till organisationer som tillhör eller har kopplingar till våldsbejakande extremism. Det har därför under de senaste åren vidtagits ett antal åtgärder för att förhindra att allmänna medel går till verksamheter som har kopplingar till våldsbejakande extremism. Som en del i detta arbete har regeringen tillsatt flera utredningar som har fått i uppdrag att se över och föreslå nya demokrativillkor för den statligt reglerade bidragsgivningen till civilsamhället, inklusive trossamfunden. Tre utredningar har också föreslagit nya förtydligade demokrativillkor i nämnda avseenden. Förslagen har remitterats, men har såvitt avser frågorna om demokrativillkor ännu inte lett till några författningsändringar. Även såvitt avser god-

kännande att som huvudman bedriva skola har det föreslagits ett nytt Prop. 2024/25:46
demokrativillkor i skollagen (2010:800). Detta förslag har också remit- Bilaga 1
terats, men ännu inte lett till någon lagstiftning.  
Utgångspunkter för behovet av en stödfunktion  
Frågor om hur en verksamhet förhåller sig till våldsbejakande extremism  
eller andra antidemokratiska miljöer kan uppkomma i ärenden om stöd till  
civilsamhället och ärenden om tillstånd att bedriva verksamhet inom  
välfärdssektorn. Det finns t.ex. möjlighet att beakta sådana kopplingar vid  
prövning av demokrativillkor eller ägar- och ledningsprövningar. Så har  
också skett i ett antal ärenden som varit uppe till prövning de senaste åren.  
Frågorna är komplexa och hanteringen av dem är komplicerad för besluts-  
organen.  
Beslutsorganen vänder sig ofta till Säkerhetspolisen för stöd i frågor om  
verksamheters våldsbejakande extremism eller andra antidemokratiska  
miljöer. Efterfrågan av denna typ av stöd har ökat de senaste åren. En stor  
del av den information som Säkerhetspolisen har omfattas dock av  
sekretess. Till detta kommer att Säkerhetspolisens arbete mot vålds-  
bejakande extremism är brottsbekämpande och frågor om att bedöma  
demokrativillkor eller göra andra lämplighetsbedömningar är en bredare  
uppgift som förutsätter tillgång till annan information som är mer anpassad  
för den uppgiften. Arbetet tar också resurser från mer centrala uppgifter i  
Säkerhetspolisens verksamhet. Frågan är dock viktig eftersom det kan ge  
långsiktiga effekter för det förebyggande arbetet mot våldsbejakande  
extremism. Av denna anledning har Säkerhetspolisen i två remissyttranden  
föreslagit att en särskild funktion inrättas med uppdrag att bistå  
beslutsorganen med stöd i frågor om våldsbejakande extremism och andra  
antidemokratiska miljöer.  
Flera av de beslutsorgan som hanterar prövningar av frågor om bidrags-  
givning och annan offentligt finansierad verksamhet har uttryckt ett behov  
av ökade kunskaper och ytterligare utredningskapacitet i ärenden där det  
kan uppkomma frågor om våldsbejakande extremism eller andra anti-  
demokratiska miljöer. Beslutsorganen saknar såväl kunskap som resurser  
till att hantera dessa frågor på ett adekvat sätt. Frågorna dyker också upp  
så pass sällan vid respektive beslutsorgan att det är svårt att upprätthålla  
kunskaperna på området. Ett centralt organ som samordnar hanteringen av  
frågorna innebär ett mer effektivt utnyttjande av beslutsorganens resurser.  
Merparten av de beslutsorgan som vi har haft kontakt med har uttryckt sig  
positiva till inrättandet av en stödfunktion.  
Det bör inrättas en ny stödfunktion  
Vi har kunnat konstatera att det hos beslutsorganen finns ett behov av stöd  
i ärenden där det kan uppkomma frågor om hur verksamheter som tar del  
av offentliga medel förhåller sig till våldsbejakande extremism och andra  
antidemokratiska miljöer. En effektiv granskning av en verksamhets rätt  
att ta del av offentliga medel förutsätter tillräcklig kompetens i dessa  
avseenden. Detta är av stor vikt för att förhindra att offentliga medel  
fördelas till verksamheter som inte uppfyller uppställda villkor och krav.  
Det har vidtagits ett antal åtgärder för att stärka och utveckla det före- 61
 

Prop. 2024/25:46 Bilaga 1

62

byggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer. Ett exempel på detta är inrättandet av CVE. Därutöver finns också viss samverkan mellan beslutsorgan. Trots dessa insatser finns det fortfarande behov av stöd i form av både ökade kunskaper och resurser till att utreda frågorna. Enligt vår bedömning kan dessa behov inte tillgodoses inom befintliga strukturer eller genom anlitandet av externa konsulter. Det är inte heller rimligt att varje beslutsorgan ska besitta de expertkunskaper och resurser som krävs. Av den anledningen föreslår vi att det bör inrättas en central stödfunktion som kan bistå beslutsorgan med fördjupade granskningar av hur verksamheter förhåller sig till våldsbejakande extremism och andra antidemokratiska miljöer.

Stödfunktionens uppdrag och omfattning

För att stödfunktionen på ett adekvat sätt ska kunna tillmötesgå beslutsorganens behov av stöd bedömer vi att funktionen bör ha kunskap om våldsbejakande extremism och andra antidemokratiska miljöer, förmåga att utföra fördjupade granskningar och avge yttranden i fråga om hur en verksamhet eller dess företrädare förhåller sig till våldsbejakande extremism och andra antidemokratiska miljöer, samt kunskap om gällande regelverk för att en verksamhet ska få del av offentliga medel.

Stödfunktionen ska som utgångspunkt vara öppen för alla beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter och som har ett behov av stöd i handläggningen av ärenden där det kan uppkomma frågor om hur en verksamhet förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer.

Stödfunktionen ska vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Den huvudsakliga uppgiften för stödfunktionen ska vara att bistå beslutsorganen med fördjupade granskningar i de ärenden där ett beslutsorgan funnit anledning att anta att en verksamhet som ansöker om eller tar del av offentliga medel förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger myndigheten eller beslutsorganet skäl att vidta särskilda åtgärder. Att det ska finnas anledning att anta innebär att det i det enskilda ärendet måste finnas konkreta omständigheter som pekar på att verksamheten har kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer och som medför att ytterligare utredning krävs. Efter en avslutad fördjupad granskning ska stödfunktionen lämna ett yttrande till beslutsorganet. Av yttrandet ska framgå stödfunktionens slutsatser i fråga om hur en verksamhet förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer. Stödfunktionen ska dock inte i något avseende vara delaktig i själva beslutsfattandet utan detta ska fortfarande ske vid respektive beslutsorgan. Stödfunktionens yttrande utgör då en del av det material som kan beaktas vid beslutsorganens bedömningar av ett ärende.

Utifrån de kontakter vi har haft med beslutsorganen bedömer vi att stödfunktionen årligen kommer att hantera ett hundratal ärenden om fördjupade granskningar. Den genomsnittliga handläggningstiden av ett ärende kommer enligt våra uppskattningar att vara fyra veckors effektiv

arbetstid. För att tillgodose detta behov kommer det att krävas femton års- Prop. 2024/25:46
arbetskrafter. Bilaga 1
Stödfunktionens placering  
Vi bedömer att den avgörande frågan för stödfunktionens placering är  
kunskaper om frågor om våldsbejakande extremism och andra antidemo-  
kratiska miljöer. Dessa kunskaper finns i dag främst hos CVE och  
Säkerhetspolisen. Säkerhetspolisens uppdrag är dock brottsbekämpande  
och av den anledningen bedömer vi att myndigheten inte är en lämplig  
placering. Mot bakgrund av de omfattande erfarenheter inom frågor om  
våldsbejakande extremism och andra antidemokratiska miljöer som finns  
hos CVE anser vi att det är den mest lämpliga placeringen. Till detta  
kommer att CVE redan i dag bistår beslutsorgan med utbildning och stöd  
i dessa frågor, men i andra avseenden. Utgångspunkten för CVE:s arbete  
är också förebyggande, vilket stämmer överens med det syfte som  
stödfunktionen bör uppfylla.  
CVE är en enhet inom Brottsförebyggande rådet (Brå) och det är också  
inom den myndigheten som stödfunktionen kommer att vara placerad. Vi  
anser att förordning (2016:1201) med instruktion för Brottsförebyggande  
rådet ska innehålla en bestämmelse som reglerar stödfunktionens  
verksamhet. I bestämmelsen ska anges att en särskild funktion för CVE är  
att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom  
ramen för sina respektive myndighetsuppdrag fördelar offentliga medel  
eller på annat sätt granskar offentligt finansierade verksamheter. CVE ska  
på begäran av en myndighet eller ett annat beslutsorgan bistå med för-  
djupad granskning av en verksamhet som ansöker om eller tar del av  
offentliga medel, om det i ett ärende finns anledning att anta att den  
aktuella verksamheten förhåller sig till våldsbejakande extremism eller  
andra antidemokratiska miljöer på ett sätt som ger myndigheten eller  
beslutsorganet skäl att vidta särskilda åtgärder. En sådan begäran ska vara  
motiverad och innehålla de konkreta omständigheter som medför att  
myndigheten eller beslutsorganet begär centrumets bistånd. En fördjupad  
granskning ska innehålla den utredning som är relevant för bedömningen  
av ärendet och centrumet ska avge ett yttrande över utförd granskning.  
CVE är redan i dag en av de största enheterna inom Brå. En placering  
av stödfunktionen inom CVE kommer att innebära en relativt stor utökning  
av verksamheten. Såväl CVE:s nuvarande verksamhet som den verksam-  
het som ska bedrivas inom ramen för stödfunktionen skiljer sig från Brås  
övriga verksamhet. Enligt vår mening talar dessa omständigheter för att  
CVE bör skiljas från Brå och i stället inordnas som en egen myndighet. Vi  
anser därför att detta är något som bör övervägas i det fortsatta arbetet med  
inrättande av stödfunktionen.  
Sekretesskydd för uppgifter om enskildas personliga och  
ekonomiska förhållanden  
Det uppdrag som vi anser att stödfunktionen bör ha medför att  
stödfunktionen kommer att behöva hantera uppgifter om de verksamheter  
som den ska granska. Uppdraget kommer också att medföra ett behov av  
att hantera uppgifter om enskildas personliga och ekonomiska för- 63
 

Prop. 2024/25:46 Bilaga 1

64

hållanden. Vi bedömer dock att den informationshantering som är nödvändig för att stödfunktionen ska kunna utföra sitt uppdrag är motiverad med beaktande av det allmänna intresset av att förhindra att offentliga medel betalas ut till verksamheter som har kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Informationshanteringen medför dock ett behov av ny sekretessreglering till skydd för uppgifter om enskildas personliga och ekonomiska förhållanden. Enligt vår bedömning överväger intresset av att skydda uppgifterna insynsintresset. Vi föreslår därför att sekretess ska gälla hos CVE i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan för uppgift om enskilds personliga och ekonomiska förhållanden. Stödfunktionens verksamhet kan innebära en omfattande insamling av integritetskänsliga uppgifter och vi anser därför att det är motiverat att föreslå en sekretessbestämmelse med ett omvänt skaderekvisit. Det innebär att utgångspunkten är att de uppgifter som faller inom bestämmelsens område omfattas av sekretess. Endast i de fall där det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men får uppgiften lämnas ut.

En ny sekretessbrytande bestämmelse

För att kunna fullgöra sitt uppdrag att utföra fördjupade granskningar på begäran av beslutsorgan behöver stödfunktionen kunna inhämta uppgifter från andra myndigheter. Vi bedömer att generalklausulen och övriga befintliga sekretessbrytande undantag inte är tillräckliga för att stödfunktionen ska kunna inhämta vissa uppgifter som omfattas av sekretess i den omfattning som är nödvändig för att stödfunktionen ska kunna utföra sitt uppdrag. Av den anledningen föreslår vi en ny sekretessbrytande bestämmelse som ger stödfunktionen möjlighet att, inom ramen för en fördjupad granskning, inhämta sådana sekretesskyddade uppgifter från andra myndigheter.

Enligt vår bedömning är det främst sekretessbelagda uppgifter från brottsbekämpande myndigheter som kan bli aktuella att hämta in inom ramen för stödfunktionens uppdrag. Vi föreslår därför en bestämmelse som bryter sekretessen enligt 35 kap. 1 § första stycket offentlighets- och sekretesslagen (2009:400). Bestämmelsen ska dock endast gälla för uppgifter som behövs i ett ärende om fördjupad granskning. Ett utlämnande ska också kunna nekas utifrån en intresseavvägning.

I övrigt bedömer vi att nödvändigt utlämnande kan ske med stöd av generellt tillämplig reglering enligt offentlighets- och sekretesslagen.

En ny lag om personuppgiftsbehandling inom ramen för stödfunktionens verksamhet

För att stödfunktionen ska kunna fullgöra sitt uppdrag på ett ändamålsenligt sätt behöver personuppgifter kunna behandlas. En stor del av behandlingen kommer att avse känsliga personuppgifter samt uppgifter om brott och misstanke om brott. Enligt vårt förslag till uppdrag för stödfunktionen kommer den att utföra en uppgift av allmänt intresse som har fastställts i svensk rätt. Det finns därmed rättslig grund för att behandla personuppgifter. Såvitt gäller behandling av känsliga personuppgifter samt uppgifter om brott och misstanke om brott bedömer vi att det utgör ett

viktigt allmänt intresse att funktionen kan utföra sitt uppdrag att vara Prop. 2024/25:46
kontaktpunkt åt myndigheter och andra beslutsorgan. Det finns därför Bilaga 1
grund även för denna behandling. Vi bedömer att det även finns grund för  
nödvändig behandling av uppgifter om brott och misstanke om brott med  
stöd av den allmänna dataskyddsregleringen.  
För att uppnå ett lämpligt skydd av personuppgifter och samtidigt  
möjliggöra en ändamålsenlig behandling av personuppgifter vid stöd-  
funktionen bedömer vi dock att det krävs kompletterande dataskydds-  
reglering. Av den anledningen föreslår vi att en lag om personuppgifts-  
behandling för stödfunktionens verksamhet bör införas. Genom en sådan  
lag möjliggörs en ändamålsenlig personuppgiftsbehandling vid utförandet  
av stödfunktionens uppdrag samtidigt som dataskyddsförordningens krav  
på proportionalitet samt lämpliga och särskilda åtgärder för att säkerställa  
den registrerades grundläggande rättigheter och intressen tillgodoses. Den  
nya lagen föreslås främst mot bakgrund av det utökade behovet av att  
behandla känsliga personuppgifter och uppgifter om brott samt misstanke  
om brott som förslaget om stödfunktionens uppdrag kan antas medföra. Vi  
föreslår bestämmelser till skydd för den personliga integriteten, såsom en  
bestämmelse om ändamålen med behandlingen, en sökbegränsning och  
reglering av stödfunktionens möjligheter att behandla känsliga person-  
uppgifter och uppgifter om brott och misstanke om brott.  
Ikraftträdande  
Vi föreslår att föreslagna författningsändringar ska träda i kraft den  
1 januari 2023.  
Konsekvenser  
Förslagen bedöms medföra kostnadsökningar för det allmänna. Det finns  
flera osäkerhetsvariabler i fråga om uppskattningar av kostnaderna.  
Utifrån tillgängligt underlag och våra uppskattningar av stödfunktionens  
omfattning bedömer vi att ett inrättande av en stödfunktion i enlighet med  
våra förslag medför en årlig kostnad om cirka 28 miljoner kronor från och  
med år 2023. Kostnaderna ryms inte inom befintliga anslag och bör enligt  
vår mening täckas genom ökade anslag för Brå. Denna kostnad kommer  
förutsätta att medel tas av reformutrymmet, vilket är motiverat med hänsyn  
till vikten av att förhindra att offentliga medel fördelas till verksamheter  
med kopplingar till våldsbejakande extremism eller andra antidemo-  
kratiska miljöer.  
Vi bedömer att förslagen inte kommer att medföra några ökade  
kostnader för kommuner och regioner. För de kommuner och regioner som  
remitterar ärenden till stödfunktionen bedömer vi att det kan medföra vissa  
kostnadsbesparingar.  
Inrättande av en stödfunktion med angivet uppdrag kan förväntas få  
positiva konsekvenser för det brottsförebyggande arbetet mot vålds-  
bejakande extremism. Förslagen bidrar också till det brottsförebyggande  
arbetet och minskad brottslighet. Vår bedömning är vidare att förslagen  
kommer att bidra till ökad tilltro till det allmänna och de sektorer som tar  
emot offentliga medel.  
  65

Prop. 2024/25:46 Bilaga 1

66

Risken för ökat integritetsintrång som inrättandet av en stödfunktion kan innebära är enligt vår bedömning godtagbart i förhållande till samhällsintresset av att förhindra att offentliga medel fördelas till verksamheter med kopplingar till våldsbejakande extremism och andra antidemokratiska miljöer. Risken för intrång i den personliga integriteten motverkas av våra förslag med syfte att stärka skyddet för den personliga integriteten inom ramen för stödfunktionens verksamhet.

I övrigt bedöms förslagen i huvudsak inte få några konsekvenser som anges i 14–15 a §§ kommittéförordningen (1998:1474).

Betänkandets lagförslag

Förslag till lag (2023:000) om viss personuppgiftsbehandling vid nationellt centrum mot våldsbejakande extremism

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge nationellt centrum mot våldsbejakande extremism möjlighet att, inom dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan, behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter vid nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.

Förhållandet till annan reglering

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Prop. 2024/25:46 Bilaga 2

Personuppgiftsansvar

5 § Brottsförebyggande rådet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för nationellt centrum mot våldsbejakande extremisms särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.

Ändamål med personuppgiftsbehandlingen

6 § Personuppgifter får behandlas om det är nödvändigt för att nationellt centrum mot våldsbejakande extremism ska kunna utföra sitt uppdrag i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.

67

Prop. 2024/25:46 Bilaga 2

68

Tillgången till personuppgifter

7 § Tillgången till personuppgifter ska begränsas till det som varje anställd eller uppdragstagare behöver för att kunna fullgöra sina arbetsuppgifter.

Behandling av personuppgifter som rör lagöverträdelser och känsliga personuppgifter

8 § Nationellt centrum mot våldsbejakande extremism får i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan behandla personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott, endast om uppgifterna är nödvändiga för fullgörandet av uppdraget som kontaktpunkt.

Sökbegränsningar

9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott och misstanke om brott.

Längsta tid som personuppgifter får behandlas

10 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Rätt att meddela föreskrifter

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som kompletterar denna lag.

Denna lag träder i kraft den 1 januari 2023.

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att nuvarande 35 kap. 10 d § ska betecknas 35 kap. 10 e §,

dels att det ska införas en ny paragraf 32 kap. 6 c § och närmast före paragrafen en ny rubrik av följande lydelse,

dels att det ska införas en ny paragraf, 35 kap. 10 d §, av följande lydelse.

Prop. 2024/25:46 Bilaga 2

Nuvarande lydelse Föreslagen lydelse

32 kap.

Verksamhet vid nationellt centrum mot våldsbejakande extremism

6 c §

Sekretess gäller hos nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

För uppgift i en allmän handling gäller sekretess i högst sjuttio år.

35 kap.

10 d §

Sekretessen enligt 1 § första stycket hindrar inte att en uppgift lämnas till nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan, om uppgiften behövs i ett ärende om fördjupad granskning.

En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Denna lag träder i kraft den 1 januari 2023.

69

Prop. 2024/25:46 Bilaga 3

70

Förteckning över remissinstanserna

Efter remiss av betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99) har yttranden lämnats av Alingsås kommun, Allmänna arvsfonden, Borås kommun, Brottsförebyggande rådet, Brottsoffermyndigheten, Civilsamhällets organisationer i samverkan, Ekonomistyrningsverket, Folkbildningsrådet, Folkets hus och parker, Folkhälsomyndigheten, Forum – idéburna organisationer med social inriktning, Friskolornas riksförbund, Förvaltningsrätten i Växjö, Göteborgs stad, Hela Sverige ska leva, Helsingborgs kommun, Inspektionen för vård och omsorg, Integritetsskyddsmyndigheten, Justitiekanslern, Jämställdhetsmyndigheten, Kammarkollegiet, Kammarrätten i Jönköping, Konsumentverket, Landsrådet för Sveriges ungdomsorganisationer, Lunds kommun, Länsstyrelsen i Stockholms län, Malmö stad, Myndigheten för stöd till trossamfund, Myndigheten för ungdoms- och civilsamhällesfrågor, Nacka kommun, Region Halland, Region Kronoberg, Region Uppsala, Region Västernorrland, Riksförbundet för homosexuellas, bisexuellas, transpersoners, queeras och intersexpersoners rättigheter, Ronneby kommun, Rörelsefolkhögskolornas intresseorganisation, Sigtuna kommun, Skolinspektionen, Socialstyrelsen, SPF Seniorerna, Statens kulturråd, Statskontoret, Stiftelsen Svenska Filminstitutet, Stockholms stad, Studieförbunden i samverkan, Svenska Tornedalingars Riksförbund – Tornionlaaksolaiset, Sveriges Kommuner och Regioner, Sveriges kristna råd, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, TU Medier i Sverige AB, Umeå kommun, Varbergs kommun, Värmdö kommun, Västerviks kommun och Växjö kommun.

Därutöver har yttrande lämnats av Center mot våldsbejakande extremism, Diskrimineringsombudsmannen, Ibn Rushd Studieförbund, Famna, Fremia, Giva Sverige och Polismyndigheten

FAR, IOGT-NTO, Riksdagens ombudsmän, Svenska Journalistförbundet och Vårdföretagarna har avstått från att yttra sig.

Följande remissinstanser har inte hörts av: Amnesty, Borlänge kommun, Civil Rights Defenders, Funktionsrätt Sverige, Gislaveds kommun, Grums kommun, Gävle kommun, Islamiska samarbetsrådet, IV - Idéburen välfärd, Judiska centralrådet, Kalix kommun, Lessebo kommun, Ljusdals kommun, Malå kommun, Nora kommun, Nordanstigs kommun, Pensionärernas riksorganisation, Region Stockholm, Samarbetsorgan för etniska organisationer i Sverige, Salems kommun, Strängnäs kommun, Svenska Röda Korset, Sveriges konsumenter, Upplands-Bro kommun, Uppsala universitet, Älvdalens kommun och Övertorneå kommun.

Sammanfattning av betänkandet Samhället mot skolattacker (SOU 2023:28)

Prop. 2024/25:46 Bilaga 4

Kort om utredningens uppdrag

Ett antal fall av grövre våld har inträffat i grund- och gymnasieskolor under senare tid, i vissa fall med dödlig utgång. Regeringen bedömer att säkerhetsläget och hotbilden inom skolväsendet har förändrats i negativ riktning. Utredningen tillsattes med syftet att barn, elever, lärare, rektorer och annan personal ska ha en säker och trygg utbildnings- och arbetsmiljö (dir. 2022:86).

I detta delbetänkande behandlar vi frågan om lämplig organisering av lokala eller regionala operativa organ för samverkan i individärenden som rör oro för skolattacker. I betänkandet redovisas exempel på befintliga lokala samverkansformer och beskrivningar av hur dessa fungerar. Vi redogör även för erfarenheter och lärdomar efter inträffade skolattacker i Sverige och andra länder. Ytterligare en fråga som berörs är hur det förebyggande arbetet mot våldsdåd i skolväsendet kan stärkas.

Genom ett tilläggsdirektiv (dir. 2023:22) utvidgades utredningens uppdrag med nya frågor om att förebygga, förhindra eller försvåra brott i allmänhet inom skolväsendet, och inte enbart grövre våldsdåd eller skolattacker. I tilläggsdirektivet finns också nya deluppdrag som berör säkerhetsfrågor i skolan. Utredningen kommer i enlighet med direktiven att redovisa flera deluppdrag från det ursprungliga direktivet och samtliga deluppdrag från tilläggsdirektivet i slutbetänkandet, senast den 29 februari 2024.

Uppdraget att förhindra och försvåra våldssituationer i skolväsendet

Utredningen föreslår att Center mot våldsbejakande extremism (CVE) ska utgöra en central stödfunktion med uppdrag att bidra med kunskapsstöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack. Vi bedömer att en central kunskapsstödjande funktion kommer att utgöra ett väsentligt bidrag till att stärka den lokala operativa samverkan som sker i individärenden om oro för skolattacker.

Vi föreslår vidare ny sekretessreglering för uppgifter om enskilds personliga och ekonomiska förhållanden samt ny personuppgiftsreglering, med koppling till CVE:s hantering av uppdraget att ge stöd i individärenden om oro för en skolattack.

Samverkan är en viktig komponent i såväl det bredare brottsförebyggande arbetet som i arbetet att förhindra och försvåra skolattacker. I individärenden om oro för skolattacker kan samverkan behöva ske mellan till exempel skolan, socialtjänsten, polisen och hälso- och sjukvården. För att samverkan ska fungera behövs styrning, struktur och samsyn. Det finns etablerade samverkansformer för brottsförebyggande arbete i många av landets kommuner, men samverkan sker på många olika sätt och enligt olika modeller. I detta betänkande identifierar vi olika typer av hinder och utmaningar för samverkan. Vi

71

Prop. 2024/25:46 Bilaga 4

72

anger också ett antal utgångspunkter för en lämplig organisering av samverkansorgan för att förhindra skolattacker.

Vi konstaterar att det inte är ändamålsenligt att inrätta nya operativa samverkansorgan som täcker samtliga av landets kommuner enbart med syfte att samverka i individärenden om oro för skolattacker, eftersom dessa ärenden är ovanliga i många kommuner. Vår bedömning är att de nackdelar det skulle innebära att skapa ett nationellt system med nya organ för samverkan i individärenden som enbart gäller oro för skolattacker inte uppvägs av de fördelar som det kan innebära. Vi har för avsikt att återkomma till överväganden om behovet av organisering av samverkan i slutbetänkandet, med ett bredare brottsförebyggande perspektiv.

Enligt vår bedömning är en central stödfunktion ett ändamålsenligt sätt att tillgodose behovet av expertkunskap och praktiska erfarenheter i ett individärende rörande oro för en skolattack, vilket i sin tur kan förbättra förutsättningarna för samverkan på lokal och regional nivå. Vi föreslår att kunskapsstödet ska ges av CVE eftersom centret har den kompetens som krävs för att stötta lokala och regionala aktörer i frågor som rör oro för skolattacker. CVE arbetar redan i dag med att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar frågor om förebyggande av våldsbejakande extremism. Inom ramen för det uppdraget arbetar CVE med stöd i ärenden om oro för skolattacker. Det stöd som i dag ges begränsas emellertid av att det endast kan ges i avidentifierade ärenden. Med vårt förslag kommer CVE att få ett tydligt uppdrag att ge stöd i individärenden i frågor som rör oro för skolattacker, utan att ärendena behöver avidentifieras, och oavsett om det finns kopplingar till våldsbejakande extremism eller inte. Uppdraget att ge stöd

i individärenden aktualiserar frågor om sekretess och personuppgiftshantering. Individärenden om oro för skolattacker kan typiskt sett innehålla känsliga personuppgifter. Vi har bedömt att befintlig sekretesslagstiftning är otillräcklig för att tillgodose individens intresse av att känsliga uppgifter inte röjs. Vi föreslår därför att sekretess som utgångspunkt ska gälla i CVE:s stödverksamhet i dessa ärenden. Vi föreslår även en ny lag om personuppgiftsbehandling hos CVE som ska gälla för den personuppgiftsbehandling som till följd av det nya uppdraget kommer att ske hos CVE.

Uppdraget att lämna förslag på hur det förebyggande arbetet mot hot och våld i skolväsendet kan förbättras

Utredningen föreslår att CVE tillsammans med Skolverket och Specialpedagogiska skolmyndigheten (SPSM) ska få i uppdrag att ta fram ett metodstöd för skolväsendets förebyggande arbete mot skolattacker. CVE föreslås få en samordnade roll för uppdraget. Arbetet ska inriktas mot metoder för att tidigt upptäcka elever som uppvisar oroväckande beteenden som inte är begränsade till akademiska eller disciplinära svårigheter eller specifikt våldsamt beteende och för att hantera oro på ett strukturerat sätt. Metoder och arbetssätt kan tas fram efter kartläggning och analys av metoder som används i andra länder.

Vi föreslår att uppdraget ges till CVE eftersom centret enligt vårt förslag ska utgöra ett kunskapsstöd i skolattacksärenden. För att se till att åtgärder och metoder i möjligaste mån integreras på ett naturligt sätt i skolornas

organisatoriska struktur och anpassas till de övriga förutsättningar som Prop. 2024/25:46
styr skolornas verksamhet föreslås att uppdraget ska utföras tillsammans Bilaga 4
med Skolverket och SPSM. Därigenom säkerställs också att metodstödet  
når ut till hela skolväsendet. Förslaget syftar till att stärka det  
förebyggande arbetet mot våldsdåd i skolväsendet.  
Forskning om skolattacker i andra länder pekar på att hotbedömning är  
en framgångsrik strategi för att förhindra skolattacker. I flera länder har  
vägledningar tagits fram för att fånga upp och hantera varningssignaler.  
Skolan intar en särställning i det förebyggande arbetet mot skolattacker,  
eftersom skolan har en unik daglig kontakt med eleverna. Skolan har  
därför också en särskild möjlighet att se tidiga och subtila  
varningssignaler. Skolpersonal ställs inte sällan inför situationer där en  
elevs beteende ger upphov till oro eller ”dålig magkänsla”. I vissa  
situationer kan skolpersonal behöva göra någon form av hot- eller  
riskbedömning. Det finns därför skäl att överväga åtgärder som syftar till  
att bättre rusta skolor och skolpersonal att känna igen och hantera  
varningssignaler.  
Konsekvenser  
Utredningens förslag får ekonomiska konsekvenser för staten, i huvudsak  
genom att CVE behöver förstärka sin bemanning med motsvarande två  
årsarbetskrafter för att kunna fullgöra det föreslagna uppdraget. Enligt vår  
uppskattning uppgår denna kostnad till 4 miljoner kronor år 2025.  
Uppdraget för CVE, Skolverket och SPSM att ta fram ett metodstöd  
kommer uppskattningsvis att kosta 2 miljoner kronor år 2024.  
Utredningens förslag om att CVE ska ge stöd i individärenden om oro  
för skolattacker och i samband därmed hantera personuppgifter innebär ett  
intrång i den registrerades personliga integritet. Men vi bedömer att  
förslaget utgör en nödvändig och proportionell åtgärd i syfte att säkerställa  
att aktörer som hanterar oro för en skolattack kan få ett ändamålsenligt och  
effektivt stöd i arbetet för att förebygga och förhindra sådana våldsdåd. Att  
så sker är ett generellt allmänt intresse.  
Ikraftträdande  
Vi föreslår att de nya bestämmelserna ska träda i kraft den 1 januari 2025.  

73

Prop. 2024/25:46 Bilaga 5

74

Betänkandets lagförslag

Förslag till lag (2023:000) om viss personuppgiftsbehandling vid det nationella centrumet mot våldsbejakande extremism

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är dels att ge det nationella centrumet mot våldsbejakande extremism möjlighet att behandla personuppgifter på ett ändamålsenligt sätt för uppdraget att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter vid det nationella centrumet mot våldsbejakande extremism inom ramen för uppdraget att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållandet till annan reglering

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

5 § Brottsförebyggande rådet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för det nationella centrumet mot våldsbejakande extremisms uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.

Ändamål med personuppgiftsbehandlingen

6 § Personuppgifter får behandlas om det är nödvändigt för att det nationella centrumet mot våldsbejakande extremism ska kunna utföra sitt uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Prop. 2024/25:46 Bilaga 5

Tillgången till personuppgifter

8§ Tillgången till personuppgifter ska begränsas till det som varje anställd eller uppdragstagare behöver för att kunna fullgöra sina arbetsuppgifter.

Behandling av personuppgifter som rör lagöverträdelser och känsliga personuppgifter

9 § Det nationella centrumet mot våldsbejakande extremism får inom ramen för sitt uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack behandla personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott, endast om uppgifterna är nödvändiga för fullgörandet av uppdraget.

Sökbegränsningar

10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott och misstanke om brott.

Längsta tid som personuppgifter får behandlas

11 § Personuppgifter som behandlas för ändamål som anges i 6 § får inte behandlas under längre tid än ett år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om nya uppgifter angående oro för en skolattack rörande samma person behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.

Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

75

Prop. 2024/25:46 Bilaga 5

76

Rätten att göra invändningar

12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätt att meddela föreskrifter

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som kompletterar denna lag.

Denna lag träder i kraft den 1 januari 2025.

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf 40 kap. 7 d § och närmast före paragrafen en ny rubrik av följande lydelse

.

Prop. 2024/25:46 Bilaga 5

Nuvarande lydelse Föreslagen lydelse

40 kap.

Stödverksamhet vid det nationella centrumet mot våldsbejakande extremism

7 d §

Sekretess gäller i det nationella centrumet mot våldsbejakande extremisms verksamhet att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack för uppgift som en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.

För uppgift i en allmän handling gäller sekretess i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2025.

77

Prop. 2024/25:46 Bilaga 6

78

Förteckning över remissinstanserna

Efter remiss av betänkandet Samhället mot skolattacker (SOU 2023:28) har yttranden lämnats av Arjeplogs kommun, Autism Sverige, Barnombudsmannen, Botkyrka kommun, Brottsförebyggande rådet, Diskrimineringsombudsmannen, Eskilstuna kommun, Eslövs kommun, Friskolornas riksförbund, Förvaltningsrätten i Luleå, Göteborgs stad, Göteborgs universitet, Idéburna skolors riksförbund, Integritetsskyddsmyndigheten, Journalistförbundet, Justitiekanslern, Jämställdhetsmyndigheten, Kammarrätten i Jönköping, Kammarrätten i Stockholm, Karlskrona kommun, Kristinehamns kommun, Linköpings kommun, Linköpings universitet, Länsstyrelsen Gävleborg, Länsstyrelsen Halland, Länsstyrelsen Skåne, Länsstyrelsen Södermanland, Länsstyrelsen Västerbotten, Länsstyrelsen Västmanland, Länsstyrelsen Västra Götaland, Malmö stad, Myndigheten för delaktighet, Myndigheten för samhällsskydd och beredskap, Myndigheten för ungdoms- och civilsamhällesfrågor, Nacka kommun, Nyköpings kommun, Polismyndigheten, Region Kronoberg, Region Skåne, Riksföreningen för skolsköterskor, Sameskolstyrelsen, Socialstyrelsen, Sollentuna kommun, Specialpedagogiska skolmyndigheten, Staffanstorps kommun, Statens skolinspektion, Statens skolverk, Statskontoret, Stockholms stad, Sundsvalls kommun, Svenska skolläkarföreningen, Sveriges elevkårer, Sveriges Elevråd, Sveriges Kommuner och Regioner, Sveriges lärare, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Sölvesborgs kommun, Tidningsutgivarna (TU), Totalförsvarets forskningsinstitut (FOI), Täby kommun, Uddevalla kommun, Ystads kommun och Örebro kommun.

Därutöver har yttrande lämnats av Akademin för polisiärt arbete, Friends, Föräldraalliansen Sverige och Kommunal.

Riksdagens ombudsmän och Östra Göinge kommun har avstått från att yttra sig.

Följande remissinstanser har inte hörts av: Bollebygds kommun, Elevernas riksförbund, Filipstads kommun, Folkhälsomyndigheten, Funktionsrätt Sverige, Föreningen Sveriges Socialchefer, Gnosjö kommun, Gotlands kommun, Judiska Centralrådet, Kristianstad kommun, LSU – Landsrådet för Sveriges barn- och ungdomsorganisationer, Nätverket unga för tillgänglighet (NUFT), Partille kommun, Riksförbundet Attention, Riksförbundet för barn, unga och vuxna med intellektuell funktionsnedsättning (FUB), Riksförbundet Vuxenutbildning i Samverkan (ViS), Skellefteå kommun, Stiftelsen Tryggare Sverige, Strömsunds kommun, Svenskt Näringsliv, Sveriges Psykologförbund, Sveriges Skolkuratorers Förening, Sveriges skolledare och Vännäs kommun.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2024-10-11

Närvarande: Justitieråden Svante O. Johansson, Johan Danelius och Linda Haggren

Nya uppgifter för centrum mot våldsbejakande extremism

Enligt en lagrådsremiss den 3 oktober 2024 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till

1.lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet,

2.lag om ändring i offentlighets- och sekretesslagen (2009:400).

Förslagen har inför Lagrådet föreslagits av kanslirådet Max Stille.

Lagrådet lämnar förslagen utan erinran.

Prop. 2024/25:46 Bilaga 7

79

Prop. 2024/25:46

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 31 oktober 2024

Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, M Persson, Wykman, Liljestrand, Bohlin, Dousa

Föredragande: statsrådet Strömmer

Regeringen beslutar proposition Nya uppgifter för centrum mot våldsbejakande extremism

80