Innehåll

Sammanfattning...............................................................................		11
Summary ...........................................................................................		16
1	Författningsförslag................................................................	21

1.1Förslag till lag om ändring i lagen (2018:218) med

kompletterande bestämmelser till EU:s
dataskyddsförordning.............................................................	21

1.2Förslag till lag om ändring i kamerabevakningslagen

(2018:1200)..............................................................................

23

1.3Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom

brottsdatalagens område.........................................................

25

1.4Förslag till förordning om ändring i

	vägtrafikdataförordningen (2019:382)...................................	30
2	Inledning ................................................................................	31
2.1	Uppdraget................................................................................	31
2.2	Annat pågående arbete rörande kamerabevakning ...............	32
2.3	Arbetets bedrivande................................................................	33
2.4	Arbetets avgränsningar...........................................................	34

3Rätten till privatliv och skyddet för den personliga

integriteten.............................................................................	35
3.1 Inledning..................................................................................	35

3

Innehåll

Ds 2024:11

3.2	Rättslig reglering.....................................................................		35
	3.2.1	Regeringsformen.....................................................	35
	3.2.2	Europakonventionen ..............................................	37
	3.2.3	EU:s rättighetsstadga..............................................	39
	3.2.4	Förenta nationernas (FN:s) allmänna
		förklaring om de mänskliga rättigheterna .............	41
	3.2.5	Dataskyddskonventionen och Organisation
		for Economic Co-operation and
		Developments (OECD:s) riktlinjer ......................	41
	3.2.6	Barnkonventionen...................................................	43
3.3	Begreppet personlig integritet ...............................................		43
4	Internationell utblick ...........................................................		49
4.1	Inledning .................................................................................		49
4.2	Användning av ANPR-teknik ...............................................		49
	4.2.1	Finland .....................................................................	49
	4.2.2	Norge.......................................................................	50
	4.2.3	Danmark ..................................................................	50
	4.2.4	Tyskland ..................................................................	52
	4.2.5	Nederländerna.........................................................	54
	4.2.6	Storbritannien..........................................................	55
	4.2.7	Italien .......................................................................	56
	4.2.8	Belgien .....................................................................	57
4.3	Användning av ansiktsigenkänning .......................................		58
	4.3.1	Finland .....................................................................	58
	4.3.2	Norge.......................................................................	59
	4.3.3	Danmark ..................................................................	60
	4.3.4	Tyskland ..................................................................	61
	4.3.5	Nederländerna.........................................................	62
	4.3.6	Storbritannien..........................................................	63
	4.3.7	Italien .......................................................................	65
	4.3.8	Belgien .....................................................................	66

4.4Polisens tillgång till material från annans

kamerabevakning ....................................................................		66
4.4.1	Finland .....................................................................	66
4.4.2	Norge.......................................................................	67
4.4.3	Danmark ..................................................................	67

4

Ds 2024:11Innehåll

	4.4.4	Tyskland...................................................................	67
	4.4.5	Nederländerna .........................................................	69
	4.4.6	Storbritannien..........................................................	69
	4.4.7	Italien........................................................................	70
	4.4.8	Belgien......................................................................	70
5	Den dataskyddsrättsliga regleringen...................................		71
5.1	Inledning..................................................................................		71
5.2	Den EU-rättsliga dataskyddsregleringen ..............................		71

5.2.1EU:s dataskyddsreform och

		dataskyddsförordningen .........................................	71
	5.2.2	Dataskyddsdirektivet ..............................................	75
	5.2.3	EU:s förordning om artificiell intelligens (AI) .....	80
5.3	Den svenska dataskyddslagstiftningen ..................................		81
	5.3.1	Allmänt om den svenska regleringen .....................	81
	5.3.2	Brottsdatalagen ........................................................	82
	5.3.3	Polisens brottsdatalag..............................................	87
	5.3.4	Säkerhetspolisens datalag ........................................	92
6	Kamerabevakning ..................................................................		93
6.1	Inledning..................................................................................		93
6.2	Kamerabevakningslagen .........................................................		93
	6.2.1	Särskilt om intresseavvägningen.............................	97
6.3	Personuppgiftsbehandling......................................................		99
6.4	Kamerabevakning med ANPR-teknik.................................		101
6.5	Kamerabevakning i vissa myndigheters verksamhet...........		103
	6.5.1	Polismyndigheten..................................................	103
	6.5.2	Trafikverket ...........................................................	105
	6.5.3	Transportstyrelsen.................................................	107
	6.5.4	Tullverket...............................................................	108

7Rättsliga förutsättningar för Polismyndigheten och

Säkerhetspolisen att ta del av material från andra
aktörers bevakningskameror..............................................	111
7.1 Inledning................................................................................	111

5

Innehåll

Ds 2024:11

7.2Utlämnande av material från bevakningskameror med

stöd av straffprocessuella tvångsmedel, m.m......................

112

7.3Utlämnande av material från bevakningskameror med

stöd av offentlighets- och sekretesslagen............................		114
7.3.1	Generellt om sekretess..........................................	115
7.3.2	Sekretess för material från bevakningskameror ..	117

7.3.3Sekretess för material från trängselskattekameror och

	infrastrukturavgiftskameror .................................	119
7.3.4	Sekretessbrytande bestämmelser..........................	119
7.4 Dataskyddsrättsliga aspekter ...............................................		123
7.4.1	Finalitetsprincipen ................................................	123
7.4.2	Särskilt om informationsskyldighet.....................	126

8Hantering och användning av material från

	kamerabevakning i trafiken ...............................................	129
8.1	Inledning ...............................................................................	129
8.2	Material från trafiksäkerhetskameror..................................	129

8.3Material från kameror vid betalstationer och

kontrollpunkter för trängselskatt och
infrastrukturavgift ................................................................		130
8.3.1	Transportstyrelsen ................................................	130
8.3.2	Skatteverket...........................................................	132

9Polismyndighetens tillgång till material från andras

	bevakningskameror.............................................................	135
9.1	Inledning ...............................................................................	135
9.2	Elektroniskt informationsutbyte.........................................	135

9.3Polismyndighetens tillgång till material från

kamerabevakning genom samverkan...................................		138
9.3.1	SOT-lösningen ......................................................	138

9.4Olika sätt för Polismyndigheten att ta del av material

	från andra offentliga aktörers bevakningskameror.............	144
10	Ansiktsigenkänning............................................................	147

6

Ds 2024:11Innehåll

10.1	Inledning................................................................................		147
10.2	Biometriska uppgifter...........................................................		148
	10.2.1	Begreppet biometriska uppgifter..........................	148
	10.2.2 Behandling av biometriska uppgifter....................		148
10.3	Polismyndighetens användning av ansiktsigenkänning......		150
	10.3.1	Särskilt om ”krunchning”......................................	152
10.4	EU:s AI-förordning..............................................................		154
11	Överväganden ......................................................................		157
11.1	Inledning................................................................................		157
11.2	En ny reglering för kamerabevakning på platser som
	allmänt används för trafik med motorfordon .....................		159

11.2.1Polismyndigheten och Säkerhetspolisen ska få

bedriva kamerabevakning på platser som
allmänt används för trafik med motorfordon
utan att det föregås av en dokumenterad
intresseavvägning...................................................	162
11.2.2 En ny reglering om behandling av
personuppgifter som samlats in av

Polismyndigheten och Säkerhetspolisen genom kamerabevakning på platser som

allmänt används för trafik med motorfordon...... 168

11.3Inget avskaffat krav på upplysning om kamerabevakning på platser som allmänt används för

	trafik med motorfordon .......................................................	176
11.4	Polismyndigheten och Säkerhetspolisen får i vissa fall
	ges tillstånd att använda system för biometrisk
	fjärridentifiering i realtid på allmän plats för
	brottsbekämpningsändamål..................................................	178
11.5	Användning av teknik som extraherar information i
	bildmaterial från kamerabevakning......................................	183
11.6	En utvidgad uppgiftsskyldighet för Transportstyrelsen
	avseende uppgifter från trängselskattekameror och
	infrastrukturavgiftskameror .................................................	185

7

Innehåll

Ds 2024:11

11.7	Uppgifter från kamerabevakning ska kunna göras
	gemensamt tillgängliga .........................................................		189
11.8	Längsta tid för behandling av gemensamt tillgängliga
	uppgifter som samlats in genom kamerabevakning............		195
11.9	Tydligare reglering av möjligheterna att dela
	personuppgifter som samlats in från kamerabevakning
	med Polismyndigheten och Säkerhetspolisen.....................		199
12	Ikraftträdande- och övergångsbestämmelser...................		205
12.1	Ikraftträdandebestämmelser ................................................		205
12.2	Övergångsbestämmelser ......................................................		206
13	Förslagens konsekvenser....................................................		209
13.1	Inledning ...............................................................................		209
13.2	Ekonomiska konsekvenser...................................................		209
	13.2.1	Polismyndigheten och Säkerhetspolisen .............	209
	13.2.2	Integritetsskyddsmyndigheten ............................	212
	13.2.3	Transportstyrelsen ................................................	213
	13.2.4	Trafikverket...........................................................	213
	13.2.5	Domstols- och åklagarväsendena .........................	213
	13.2.6	Enskilda aktörer ....................................................	214
13.3	Konsekvenser för den personliga integriteten och andra
	grundläggande fri- och rättigheter.......................................		214
13.4	Konsekvenser för det brottsbekämpande arbetet...............		217
14	Författningskommentar.....................................................		219
14.1	Förslaget till lag om ändring i lagen (2018:218) med
	kompletterande bestämmelser till EU:s
	dataskyddsförordning ..........................................................		219
14.2	Förslaget till lag om ändring i kamerabevakningslagen
	(2018:1200) ...........................................................................		221
14.3	Förslaget till lag om ändring i lagen (2018:1693) om
	polisens behandling av personuppgifter inom
	brottsdatalagens område ......................................................		222

8

Ds 2024:11	Innehåll
Bilaga 1 Uppdragsbeskrivning......................................................	231
Bilaga 2 Europaparlamentets ståndpunkt fastställd vid första
behandlingen den 13 mars 2024 inför antagandet av
Europaparlamentets och rådets förordning (EU)
2024/… om harmoniserade regler för artificiell
intelligens och om ändring av förordningarna (EG)
nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013,
(EU) 2018/858, (EU) 2018/1139 och (EU)
2019/2144 samt direktiven 2014/90/EU, (EU)
2016/797 och (EU) 2020/1828 (rättsakt om
artificiell intelligens) .......................................................	237

9

Sammanfattning

I denna promemoria lämnas förslag som syftar till förbättrade förutsättningar för Polismyndigheten och Säkerhetspolisen att använda kamerabevakning i sin verksamhet.

Nedan följer en kortfattad beskrivning av de lämnade förslagen.

Polismyndigheten och Säkerhetspolisen ska få bedriva kamerabevakning på platser som allmänt används för trafik med motorfordon utan att användningen föregås av en dokumenterad intresseavvägning

Polismyndigheten och Säkerhetspolisen ges möjlighet att bedriva kamerabevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordon utan att dessförinnan behöva göra en dokumenterad intresseavvägning. Syftet är att effektivisera Polismyndighetens och Säkerhetspolisens brotts- bekämpande arbete, och att möjliggöra en bredare användning av ANPR-teknik (automatic number plate recognition), vilket enligt den analys som görs i denna promemoria är viktig för att bekämpa den grova brottsligheten.

Att Polismyndigheten och Säkerhetspolisen får bedriva kamera- bevakning på platser som allmänt används för trafik med motor- fordon utan att en intresseavvägning först görs innebär inte att bevakningen är oreglerad. Kamerabevakningen måste ske i överensstämmelse med övrig dataskyddsrättslig reglering. Det måste t.ex. finnas en rättslig grund för den behandling av personuppgifter som bevakningen innebär. Utöver rättslig grund måste insamlingen även ske för ett konkret ändamål i varje specifikt fall.

11

Sammanfattning

Ds 2024:11

En ny reglering om behandling av personuppgifter som samlats in av Polismyndigheten och Säkerhetspolisen genom kamerabevakning på platser som allmänt används för trafik med motorfordon

För att väga upp den integritetsförlust som en utökning av möjligheterna till kamerabevakning innebär införs en begränsning av vilka personuppgifter som får användas samt för vilka ändamål och hur länge användningen får ske. Detta sker genom att en ny rättslig grund införs för behandling av sådana uppgifter. Personuppgifter som har samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon och som rör fordon får behandlas av Polismyndigheten eller Säkerhetspolisen endast om syftet med behandlingen är att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer. Materialet får alltid behandlas i sex månader efter att det har samlats in. Detta gäller dock inte för personuppgifter i form av bilder av enskilda.

Uppgifterna får användas så länge användningen sker för ändamål som anges i bestämmelsen. Efter att den angivna tiden har gått ut får möjligheten att fortsätta att använda uppgifterna avgöras med stöd av annan tillämplig dataskyddsrättslig reglering.

Polismyndigheten och Säkerhetspolisen får i vissa fall ges tillstånd att använda system för biometrisk fjärridentifiering i realtid på allmän plats för brottsbekämpningsändamål

Polismyndigheten och Säkerhetspolisen ges möjlighet att i vissa fall få tillstånd att använda system för biometrisk fjärridentifiering i realtid på allmän plats för brottsbekämpningsändamål. Tillstånd får ges endast i den mån sådan användning är absolut nödvändig och för de ändamål som anges i artikel 5.1 h i EU:s kommande AI- förordning1. Dessa ändamål är följande.

1Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

12

Ds 2024:11

Sammanfattning

i.Målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, samt sökning efter försvunna personer.

ii.Förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack;

iii.Lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning, lagföring eller ett verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlems- staten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år.

När det gäller tillämpningen av denna regel såvitt gäller artikel 5.1 h

iiifår en bedömning göras om de brott som är upptagna i för- ordningens bilaga har en motsvarighet i svensk rätt.

För att den regel som här föreslås ska kunna träda i kraft krävs att förordningen träder i kraft och att ytterligare bestämmelser införs. Det är fråga om bl.a. föreskrifter om vilken myndighet som ska lämna tillstånd för användningen av system för biometrisk fjärr- identifiering i realtid.

Tydligare möjligheter att dela personuppgifter som samlats in från kamerabevakning med Polismyndigheten och Säkerhetspolisen

Det införs en ny rättslig grund för vidarebehandling av person- uppgifter i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den rättsliga grunden ger privata och offentliga aktörer en möjlighet att – på begäran av Polismyndigheten och Säkerhetspolisen – behandla personuppgifter som samlats in genom kamerabevakning för att lämna sådana uppgifter som begärs av respektive myndighet för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet.

13

Sammanfattning

Ds 2024:11

Bestämmelsen innebär bl.a. att aktörer som får en förfrågan om utlämnande av personuppgifter som samlats in från kamera- bevakning från Polismyndigheten eller Säkerhetspolisen inte behöver göra några närmare överväganden om personuppgifts- behandlingens förenlighet med finalitetsprincipen. Bestämmelsen utgör dock ingen skyldighet att behandla eller lämna ut person- uppgifter på en begäran från Polismyndigheten eller Säkerhets- polisen.

En utvidgad uppgiftsskyldighet för Transportstyrelsen om uppgifter från trängselskattekameror och infrastrukturavgiftskameror

Det föreslås en bestämmelse enligt vilket Transportstyrelsen, på begäran av Polismyndigheten eller Säkerhetspolisen, utan dröjsmål ska lämna ut uppgifter om trängselskatt eller infrastrukturavgift som gäller passager av en betalstation eller kontrollpunkt, om det av begäran framgår att uppgifterna behövs i ett brådskande fall för att förebygga, förhindra, upptäcka eller utreda ett brott för vilket det är föreskrivet fängelse i tre år eller mer eller ett straffbart försök eller en straffbar förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott.

Uppgifter från kamerabevakning ska kunna göras gemensamt tillgängliga

Uppgifter som samlats in genom kamerabevakning med stöd av kamerabevakningslagen (2018:1200) eller annan författning ska få göras gemensamt tillgängliga. Tillgången till sådana uppgifter ska begränsas till särskilt angivna tjänstemän som är i behov av upp- gifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra ett brott för vilket är föreskrivet fängelse i tre år eller mer. Uppgifterna får behandlas i sex månader från det att de samlades in.

Genom att personuppgifter som samlats in genom kamera- bevakning görs gemensamt tillgängliga kan Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direkt-

14

Ds 2024:11

Sammanfattning

åtkomst i vissa fall till uppgifterna. En bestämmelse om direkt- åtkomst reglerar endast formen för utlämnande av uppgifter och är inte sekretessbrytande. Direktåtkomst kan därför endast medges till uppgifter som inte omfattas av sekretess.

15

Sammanfattning

Ds 2024:11

Summary

In this memorandum, proposals are made aimed at improving the conditions for the Swedish Police Authority and the Swedish Security Service to use camera surveillance in their operations.

The following is a brief description of the submitted proposals.

The Swedish Police Authority and the Swedish Security Service shall be allowed to conduct camera surveillance in places that are commonly used for traffic with motor vehicles without the use being preceded by a documented balance of interests

The Swedish Police Authority and the Swedish Security Service are given the opportunity to conduct camera surveillance on roads, streets, squares and other routes or places that are commonly used for traffic with motor vehicles without having to make a documented balance of interests. The aim is to streamline the law enforcement work of the Swedish Police Authority and the Swedish Security Service, and to enable a wider use of automatic number plate recognition (ANPR) technology, which, according to the analysis made in this memorandum, is important for combating serious crime.

The fact that the Swedish Police Authority and the Swedish Security Service may conduct camera surveillance in places that are commonly used for traffic with motor vehicles without a balance of interests first being made does not mean that the surveillance is unregulated. The camera surveillance must be carried out in accordance with other data protection regulations. For example, there must be a legal basis for the processing of personal data that

16

Ds 2024:11

Sammanfattning

the monitoring entails. In addition to the legal basis, the collection must also take place for a specific purpose in each specific case.

A new regulation on the processing of personal data collected by the Swedish Police Authority and the Swedish Security Service through camera surveillance in places commonly used for traffic with motor vehicles

In order to compensate for the loss of privacy that an extension of the possibilities for camera surveillance entails, a restriction is introduced on which personal data may be used and for what purposes and for how long the use may take place. This is done by introducing a new legal basis for the processing of such data. Personal data that relates to vehicles may be processed by the Swedish Police Authority or the Swedish Security Service only if the purpose of the processing is to prevent, detect, investigate or prosecute crimes for which there is a prescribed prison term of three years or more. The data may always be processed for six months after it has been collected. However, this does not apply to personal data in the form of images of individuals.

The data may be used as long as the use is made for the purpose specified in the provision. After the specified time has expired, the possibility of continuing to use the data may be determined by other applicable data protection legislation.

The Swedish Police Authority and the Swedish Security Service may in some cases be granted permission to use systems for biometric remote identification in real-time in public places for law enforcement purposes

The Swedish Police Authority and the Swedish Security Service are given the opportunity to in some cases obtain permission to use systems for biometric remote identification in real-time in public places for the purposes of law enforcement. Authorisation may be granted only to the extent that such use is strictly necessary and for

17

Sammanfattning

Ds 2024:11

the purposes set out in Article 5.1 h of the upcoming EU AI Act2. These purposes are as follows.

i.Targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as search for missing persons.

ii.The prevention of a specific, significant, and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack.

iii.The location or identification of a person suspected of having committed a criminal offense for the purpose of conducting a criminal investigation, prosecution or executing of a criminal penalty for offenses referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years.

As regards the application of this rule as regards Article 5.1 h iii, an assessment may be made whether the offenses listed in the Annex to the AI Act have a counterpart in Swedish law.

The entry into force of the proposed rule requires the entry into force of the AI Act and the introduction of additional provisions. These include regulations on who should grant authorization for the use of biometric remote identification systems in real-time.

Clearer possibilities to share personal data collected through camera surveillance with the Swedish Police Authority and the Swedish Security Service

A new legal basis for the further processing of personal data is introduced in the Act (2018:218) with additional provisions to the EU Data Protection Regulation. The legal basis provides private and public actors with the opportunity to – at the request of the Swedish

2Position of the European Parliament adopted at first reading on 13 March 2024 with a view to the adoption of Regulation (EU) 2024/… of the European Parliament and of the Council laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)

18

Ds 2024:11

Sammanfattning

Police Authority and the Swedish Security Service – process personal data collected through camera surveillance in order to provide such data as is requested by the respective authority to investigate a committed crime for which imprisonment is prescribed or to investigate, prevent or detect criminal activities involving offenses for which imprisonment is prescribed.

The provision means, among other things, that actors who receive a request for the disclosure of personal data collected through camera surveillance from the Swedish Police Authority or the Swedish Security Service do not need to make any further considerations about the compatibility of the personal data processing with the finality principle. However, this provision does not constitute an obligation to process or disclose personal data at the request of the Swedish Police Authority or the Swedish Security Service.

An extended data obligation for the Swedish Transport Agency on data from congestion tax cameras and infrastructure fee cameras

A provision is proposed under which the Swedish Transport Agency, at the request of the Swedish Police Authority or the Swedish Security Service, shall without delay disclose information on congestion tax or infrastructure charge relating to the passage of a payment station or control point, if the request indicates that the information is needed in an urgent case to prevent, detect or investigate a crime for which there is a prescribed prison term of three years or more or a punishable attempt or a punishable preparation or stamping of, or failure to disclose or prevent, such a crime.

Data from camera surveillance should be made jointly available

Information collected through camera surveillance under the Swedish Camera Surveillance Act (2018:1200) or other regulations may be made jointly available. Access to such information shall be limited to designated officials who need the information for the purposes of maintaining public order and security, preventing,

19

Sammanfattning

Ds 2024:11

detecting or investigating and prosecuting a crime for which a prison sentence of three years or more is prescribed. The data may be processed for six months from the date of their collection.

By making personal data collected through camera surveillance available jointly, the Swedish Police Authority, the Swedish Security Service, the Swedish Economic Crime Authority, the Swedish Public Prosecutor’s Office, the Swedish Customs, the Swedish Coast Guard and the Swedish Tax Agency can be granted direct access to the data in some cases. A provision on direct access only regulates the form of disclosure of data and is not a breach of confidentiality. Direct access can therefore only be granted to data that is not covered by confidentiality.

20

Författningsförslag

Ds 2024:11

Polismyndigheten eller Säkerhets- polisen för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet.

Denna lag träder i kraft den 1 januari 2025.

22

1.2Förslag till lag om ändring i kamerabevakningslagen (2018:1200)

Härigenom föreskrivs att 14 c § kamerabevakningslagen (2018:1200) ska ha följande lydelse

Nuvarande lydelse

Föreslagen lydelse

14 c §1

Bestämmelserna i 14 a och 14 b §§ gäller inte vid

1.kamerabevakning som Polismyndigheten bedriver vid automatisk hastighetsövervakning,

1Senaste lydelse SFS 2023:477.

23

Författningsförslag

Ds 2024:11

plats som allmänt används för trafik med motorfordon.

Denna lag träder i kraft den 1 januari 2025.

24

Författningsförslag

Ds 2024:11

3kap. 2 §2

Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a)innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b)sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3.Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

1Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

2 Senaste lydelse SFS 2019:435.

26

Ds 2024:11

Författningsförslag

4.Uppgifter som förekommer i ett ärende om uppbörd.

5.Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

6.Uppgifter som har rapporterats till Polismyndighetens lednings- centraler.

7.Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

8.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

9.Uppgifter som har samlats in genom kamerabevakning med stöd av kamerabevaknings- lagen (2018:1200) eller annan författning.

Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 9 ska begränsas till särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, för- hindra, upptäcka eller utreda och lagföra brott för vilket det är före- skrivet fängelse i tre år eller mer.

27

Författningsförslag

Ds 2024:11

4 kap.

6 §3

Personuppgifter som har gjorts	Personuppgifter som har gjorts
gemensamt tillgängliga med stöd	gemensamt tillgängliga med stöd
av 3 kap. 2 § första stycket 1, 2	av 3 kap. 2 § första stycket 1, 2
eller 5–8 får som längst be-	eller 5–9 får som längst be-
handlas under den tid som anges	handlas under den tid som anges
i 7–11 §§.	i 7–11 a §§.

			12 §
Regeringen kan		med stöd	av	Regeringen kan		med stöd	av
8 kap. 7 § regeringsformen				8 kap. 7 § regeringsformen
meddela föreskrifter om att vissa				meddela föreskrifter om att vissa
kategorier	av personuppgifter			kategorier	av personuppgifter
får fortsätta att behandlas för				får fortsätta att behandlas för
ändamål	inom	denna	lags	ändamål	inom	denna	lags
tillämpningsområde under läng-				tillämpningsområde under läng-
re tid än vad som anges i 3, 4 eller				re tid än vad som anges i 3, 4 eller
7–11 §.				7–11 a §.

13 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

3Senaste lydelse SFS 2019:435.

28

Ds 2024:11

Författningsförslag

Denna lag träder i kraft den dag regeringen bestämmer i fråga om 2 kap. 4 a § och i övrigt den 1 januari 2025.

29

Inledning

Ds 2024:11

2.2Annat pågående arbete rörande kamerabevakning

Flera andra arbeten har pågått parallellt med detta arbete som på olika sätt har relevans för frågan om polisens kamerabevakning.

Den 25 oktober 2023 gav regeringen Polismyndigheten, Trafik- verket och Transportstyrelsen i uppdrag att lämna förslag på hur Polismyndigheten, inom ramen för befintligt regelverk, kan ges ökad tillgång till befintliga kamerasystem kopplade till den statliga transportinfrastrukturen. Detta arbete redovisades till Regerings- kansliet den 6 mars 2024.

Den 23 mars 2023 gav regeringen en särskild utredare i uppdrag att föreslå åtgärder för att underlätta kamerabevakning för kommuner, regioner och andra än myndigheter som utför en uppgift av allmänt intresse. Utredningen – 2023 års kamerabevaknings- utredning – fick också i uppdrag att se över utformningen av den lag- stadgade intresseavvägningen i kamerabevakningslagen, för att denna bättre ska svara mot behovet av att kamerabevaka i syfte att bekämpa brott och upprätthålla allmän ordning och säkerhet. Genom tilläggsdirektiv den 28 december 2023 fick utredningen även i uppdrag bl.a. att, utifrån en kartläggning av Polismyndighetens behov, lämna förslag som innebär att Polismyndigheten i fler fall undantas från kravet på upplysning och rätten till information vid kamerabevakning (skyltningskravet). Utredningen överlämnade sitt betänkande den 15 april 2024 (SOU 2024:27, Kamerabevakning i offentlig verksamhet). I betänkandet föreslås bl.a. en ändrad systematik i fråga om förutsättningar för kamerabevakning, en särskild intresseavvägning för kamerabevakning i brottsbekämpande verksamhet, samt utvidgade och nya tillfälliga undantag från att tillämpa intresseavvägningen i brottsbekämpande verksamhet.

Den 12 maj 2023 gav regeringen en särskild utredare i uppdrag att utreda Säkerhetspolisens informationshantering. Uppdraget om- fattar att göra en översyn av de bestämmelser som reglerar Säker- hetspolisens behandling av personuppgifter som rör nationell säkerhet. Syftet med utredningen är att skapa ändamålsenliga regler som är anpassade efter dagens behov och möjligheter. Av direktiven framgår att utgångspunkten för arbetet är att Säkerhetspolisen bör ges ökade möjligheter att behandla personuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information

32

Ds 2024:11

Inledning

med hjälp av tekniska hjälpmedel. Utredningen ska redovisa sitt uppdrag senast den 15 november 2024.

Inom Europeiska unionen (EU) har arbete pågått med att förhandla EU:s nya förordning om artificiell intelligens (den s.k. AI- förordningen8), som bl.a. rör frågor med anknytning till kamera- bevakning i form av förutsättningar för användning av ansikts- igenkänning med hjälp av AI i vissa fall. Den 13 mars 2024 antogs texten till den kommande AI-förordningen. Förordningen kommer att träda i kraft gradvis. De första delarna av förordningen, inklusive de delar som gäller förbud mot användning och begränsningar av ansiktsigenkänningsteknik i vissa fall, träder i kraft under hösten 2024.

2.3Arbetets bedrivande

Uppdraget har inrymt ett flertal frågor av inte helt enkel natur som måst lösas på en förhållandevis kort tid. Under arbetets gång har upplysningar inhämtats från Integritetsskyddsmyndigheten, Polis- myndigheten, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Tullverket. Detta har skett dels i form av en löpande dialog per telefon och e-post, dels i form av möten med dels Polismyndigheten och Säkerhetspolisen, dels Trafikverket, Transportstyrelsen och Tullverket och slutligen dels Integritetsskyddsmyndigheten.

Vidare har det skett underhandskontakter och utbyte av information och underlag med sekretariatet i 2023 års kamera- bevakningsutredning. Det har även skett kontakter med de tjänste- män vid Polismyndigheten som ansvarat för att samordna regerings- uppdraget om ökad tillgång till befintliga kamerasystem.

Slutligen har upplysningar om motsvarande förhållanden inhämtats från en rad jämförbara länder, nämligen Finland, Norge, Danmark, Tyskland, Nederländerna, Frankrike, Storbritannien, Belgien och Italien. Som ett led i detta inhämtande har det även före- kommit digitala möten med polistjänstemän från andra europeiska länder.

8Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

33

Inledning

Ds 2024:11

2.4Arbetets avgränsningar

Det framgår redan av uppdragsbeskrivningen att det inte ingår i utredningsuppdraget att överväga eller föreslå ändringar i bestämmelserna om hemlig kameraövervakning i 27 kap. rättegångs- balken, RB, eller i lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

Oaktat att EU:s AI-förordning ännu inte har trätt i kraft lämnas ett förslag som möjliggör att tillstånd kan lämnas till användning av ansiktsigenkänning i realtid i vissa begränsade fall. Lagändringen i den delen föreslås träda i kraft den dag som regeringen bestämmer.

34

Kapitel 3

Ds 2024:11

personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen är teknikneutral och tar sikte på att skydda den personliga integriteten mot intrång som kan anses vara särskilt känsliga (jfr prop. 2009/10:80 s. 177). Vad som utgör ett betydande intrång i den personliga integriteten får bedömas utifrån åtgärdens intensitet eller omfattning samt uppgifternas integritets- känsliga natur (a. prop. s. 182 f.).

Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning av den enskildes personliga förhållanden är inte åtgärdens huvudsakliga syfte, utan vilken effekt den har (a. prop. s. 181). Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt i vad som enligt normalt språkbruk läggs i dessa begrepp (a. prop. s. 250).

Uttrycket ”enskilds personliga förhållanden” är avsett att ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen. Vägledning för vad som kan läggas i uttryckets betydelse kan hämtas från normalt språkbruk (jfr prop. 1975/76:160 s. 109 och prop. 1979/80:2 s. 84). Allmänt kan sägas att personliga förhållanden avser information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa, vandel, en persons ekonomi och fotografisk bild (se prop. 2009/10:80 s. 177).

I samband med att regeln om skydd för den personliga integriteten infördes i 2 kap. 6 § andra stycket RF avskaffades en regel som tidigare fanns i 2 kap. 3 § andra stycket RF, som infördes år 1988, av vilken följde att varje medborgare, i den utsträckning som närmare angavs i lag, skulle skyddas mot att dennes personliga integritet kränktes genom att uppgifter om vederbörande registrerades med hjälp av automatisk databehandling. Bestämmelsen syftade till att ställa upp ett konstitutionellt krav på att det skulle finnas en allmän dataskyddslagstiftning. Eftersom grundlagstiftaren bedömde att den nya bestämmelsen i 2 kap. 6 § andra stycket tillhandahöll ett skydd för den personliga integriteten som var mer verkningsfullt än det som följde av 2 kap. 3 § andra stycket avskaffades sistnämnda bestämmelse.

Enligt 2 kap. 20 § RF får rättigheterna i 2 kap. 6 § begränsas genom lag. I 2 kap. 21 § RF föreskrivs att en begränsning bara får

36

Ds 2024:11

Kapitel 3

göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. I paragrafen föreskrivs också att begränsningen inte får göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

3.2.2Europakonventionen

Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) tillkom inom ramen för Europarådet och innehåller bestämmelser om mänskliga och medborgerliga fri- och rättigheter. Konventionen ratificerades av Sverige år 1952 och gäller sedan år 1995 som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Sedan år 1995 gäller också, enligt nuvarande 2 kap. 19 § RF, att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Därmed har Europakonventionen indirekt konstitutionell kraft även i den interna svenska rättsordningen.

Artikel 8.1 i konventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Det är huvudsakligen denna konventionsrättighet som har relevans för frågan om skyddet för den personliga integriteten.

Rätten till privatliv i konventionsrättslig mening saknar en klar avgränsad definition. Begreppet får sitt närmare innehåll genom Europadomstolens rättspraxis. Åtskilliga av de rättigheter som behandlas i andra artiklar i konventionen kan också sägas beröra privatlivet. Tortyr och omänsklig eller förnedrande behandling (artikel 3) kan exempelvis betraktas som kraftiga ingrepp i rätten till respekt för privatlivet, varav den kroppsliga och själsliga integriteten utgör en viktig del. Ett frihetsberövande (artikel 5) inkräktar också onekligen på privatlivet, och friheten att utöva sin religion (artikel

9)och att uttrycka sina åsikter (artikel 10) berör även de viktiga delar av privatlivet. Dessa särskilt reglerade rättigheter måste betraktas

37

Kapitel 3

Ds 2024:11

som lex specialis inom sina respektive områden. Artikel 8 fångar därmed i första hand upp de aspekter av privatlivet som faller utanför övriga bestämmelser i konventionen. (Se Hans Danelius m.fl., Mänskliga rättigheter i europeisk praxis, Norstedts, JUNO version 6, 2023, s. 441 f.)

I första hand innebär artikel 8 en negativ förpliktelse för staten att avhålla sig från ingrepp i enskildas privatliv. Därutöver ålägger artikeln även en positiv skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (se t.ex. Europadomstolens avgöranden X and Y v. the Netherlands, 26 March 1985, Series A no.

91och Söderman v. Sweden [GC], no. 5786/08, ECHR 2013). Rätten till privatliv enligt artikel 8 är mångfacetterad och

omfattar ett skydd mot en mängd åtgärder och företeelser. På ett övergripande plan innebär skyddet att varje person ska ha rätt att utvecklas i förhållande till andra människor utan inblandning från utomstående. Rätten till personlig utveckling utan yttre inblandning inbegriper också en allmän rätt att bli lämnad i fred, alltså ett skydd mot alltför närgången uppmärksamhet. Detta kan innefatta ett skydd mot att bli fotograferad eller avlyssnad och att få fotografier, filmer eller ljudinspelningar av privat karaktär publicerade eller utnyttjade för ovidkommande syften. (Se Danelius m.fl., JUNO version 6, 2023, s. 460, se också t.ex. Europadomstolens avgörande Von Hannover v. Germany, no. 59320/00, ECHR 2004-VI.) Även registrering eller liknande behandling av personuppgifter kan omfattas av rätten till skydd för privatlivet. Enligt Europadomstolen gäller det särskilt om det i de uppgifter som registreras ingår känsliga personuppgifter, t.ex. information om politisk uppfattning, religionstillhörighet, sexuell läggning, sjukdomar, tidigare brottslighet, missbruk av droger eller liknande förhållanden (se bl.a. Europadomstolens avgörande Segerstedt-Wiberg and Others v. Sweden, no. 62332/00, ECHR 2006-VII, se även Danelius m.fl., JUNO version 6, 2023, s 472).

Det kan emellertid finnas legitima intressen som står emot intresset av integritetsskydd, t.ex. intresset av att använda material i brottsutredningar. I fråga om alla ingripanden i privatlivet måste det finnas en ordning som garanterar en rimlig avvägning mellan de kolliderande intressena. Det skydd för privatlivet som tillförsäkras den enskilde i artikel 8 är alltså inte absolut, utan får inskränkas i lag. Europadomstolen har i flera fall uttalat att en rimlig avvägning måste

38

Ds 2024:11

Kapitel 3

göras mellan de kolliderande allmänna och enskilda intressen som är för handen när det gäller åtgärder som inskränker rätten till privat- livet (se bl.a. Europadomstolens avgöranden McGinley and Egan v. the United Kingdom (revision), nos. 21825/93 and 23414/94, ECHR 2000-I, Godelli v. Italy, no. 33783/09, 25 September 2012, Odièvre v. France [GC], no. 42326/98, ECHR 2003-III, Aycaguer v. France, no. 8806/12, 22 June 2017 och det ovan nämnda Von Hannover v. Germany, no. 59320/00, ECHR 2004-VI, se också Danelius m.fl., JUNO version 6, 2023, s 460).

En inskränkning av rätten till privatliv måste ha stöd i lag och vara ägnat att tillgodose något av de intressen som anges i artikel 8.2, vilka bl.a. är att trygga säkerheten, förebygga brott eller med hänsyn till andra personers fri- och rättigheter. Inskränkningen ska vara nödvändig, vilket innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden. Inskränkningen måste även vara proportionerlig (se Danelius m.fl., JUNO version 6, 2023, s. 443).

Om en konventionsreglerad rättighet inskränks måste den enskilde tillförsäkras vissa grundläggande rättssäkerhetsgarantier, t.ex. en rättvis rättegång och ett effektivt rättsmedel (jfr artikel 6 i konventionen). Europadomstolen har uttalat att behovet av sådana garantier är större när det gäller automatisk behandling av personuppgifter, inte minst om uppgifterna används för polisiära ändamål. Det innebär att det i nationell rätt måste säkerställas att uppgifterna är relevanta och inte för långtgående i förhållande till det ändamål för vilket de bevaras, men också att uppgifterna inte sparas under en tid som överstiger vad som är nödvändigt med hänsyn till ändamålet. Det måste också finnas garantier för att personuppgifterna skyddas från felaktig behandling. Detta gäller inte minst vid behandling av känsliga personuppgifter (se bl.a. Europadomstolens avgörande S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, ECHR 2008).

3.2.3EU:s rättighetsstadga

EU:s stadga om de grundläggande rättigheterna (rättighetsstadgan) trädde i kraft med Lissabonfördraget den 1 december 2009. Rättighetsstadgan garanterar den som är EU-medborgare vissa fri- och rättigheter och är direkt juridiskt bindande i varje EU-land.

39

Kapitel 3

Ds 2024:11

Rättighetsstadgan har, inom ramen för fördragens tillämpnings- område, företräde framför föreskrifter i de nationella rätts- ordningarna. Rättighetsstadgan är emellertid endast bindande för medlemsstaternas organ och myndigheter när de tillämpar unions- rätten.

Artikel 1 i rättighetsstadgan slår fast att människans värdighet är okränkbar. Enligt artikel 3 är var och en tillförsäkrad rätt till fysisk och mental integritet. I artikel 7 tillförsäkras var och en rätt till respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer. Artikel 8 föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikel 52 anges i vilken utsträckning stadgan tillåter inskränkningar i de rättigheter som erkänns i stadgan. Av artikeln framgår att varje begränsning ska vara föreskriven i lag och förenlig med det väsentliga innehållet i rättigheterna.

Av EU-domstolens praxis kan utläsas bl.a. att en begränsning av en rättighet som sker utan hänsynstaganden till en persons individuella beteende eller omständigheter som utgångspunkt inte ska anses förenlig med det väsentliga innehållet i rättigheten (se EU- domstolens dom av den 15 februari 2016, J. N. v Staatssecretaris van Veiligheid en Justitie, C-601/15, EU:C:2016:84).

Vidare får begränsningar, med beaktande av proportionalitets- principen, endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter.

Av EU-domstolens praxis framgår att detta bl.a. innebär att åtgärder som begränsar rättigheter ska vara ägnade att uppnå de legitima mål som eftersträvas med åtgärderna i fråga, och får inte gå utöver vad som är lämpligt och nödvändigt för att uppnå dessa mål. Ett mål av allmänt samhällsintresse kan inte, oavsett hur betydelsefullt det är, i sig ensamt motivera en begränsning av en grundläggande rättighet (EU-domstolens dom av den 8 april 2014, Digital Rights Ireland Ltd v Ireland, C-293/12, EU:C:2014:238).

Enligt artiklarna 52.3 och 53 i rättighetsstadgan ska de rättigheter som omfattas av stadgan ges samma innebörd och räckvidd som

40

Ds 2024:11

Kapitel 3

motsvarande rättigheter i Europakonventionen, i den mån sådana motsvarigheter finns. Detta hindrar dock inte att unionsrätten tillförsäkra ett mer långtgående skydd för grundläggande fri- och rättigheter än vad som följer av Europakonventionen.

3.2.4Förenta nationernas (FN:s) allmänna förklaring om de mänskliga rättigheterna

FN:s allmänna förklaring om de mänskliga rättigheterna antogs år 1948. De rättigheter som omfattas av förklaringen har senare förts in och vidareutvecklats i ett antal konventioner som är bindande för de anslutna staterna. Som exempel kan nämnas 1966 års konvention om medborgerliga och politiska rättigheter. Sverige har anslutit sig till de centrala konventionerna om mänskliga rättigheter allt eftersom de har kommit till.

FN:s allmänna förklaring innehåller bl.a. bestämmelser om skydd för den personliga integriteten. I artikel 12 anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare anges att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 punkten 2 föreskrivs att inskränkningar i rättigheter och friheter endast får göras genom lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

En likalydande bestämmelse återfinns i artikel 17 i FN:s konvention om medborgerliga och politiska rättigheter, som antogs år 1966 och trädde i kraft år 1976.

3.2.5Dataskyddskonventionen och Organisation for Economic Co-operation and Developments (OECD:s) riktlinjer

Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av person- uppgifter (dataskyddskonventionen). Konventionen trädde i kraft den 1 oktober 1985 och syftar till att skydda den rätt till privatliv

41

Kapitel 3

Ds 2024:11

som erkänns i artikel 8 i Europakonventionen (jfr artikel 1). I dag har 55 stater ratificerat konventionen, däribland samtliga EU:s medlemsstater.

Dataskyddskonventionens tillämpningsområde är enligt huvud- regeln i artikel 3 automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Enligt artikel 4 krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att genomföra de grundläggande principer för dataskydd som anges i konventionens andra kapitel. Dataskydds- konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden.

År 2018 antog ministerkommittén ett ändringsprotokoll till dataskyddskonventionen. Ändringsprotokollet träder i kraft när minst 38 parter har ratificerat protokollet. Till dags dato har 31 parter ratificerat protokollet. Sverige har inte ratificerat protokollet. Sverige undertecknade protokollet den 10 oktober 2018. Syftet med ändringsprotokollet är att uppdatera konventionen och hantera de utmaningar som den tekniska utvecklingen och globaliseringen av information innebär när det gäller skyddet av privat information. Den uppdaterade konventionen kommer att ha ett enhetligt tillämpningsområde för alla konventionsparter och det kommer inte att vara möjligt att helt undanta sektorer eller verksamheter från dess tillämpning (t.ex. med hänvisning till den nationella säkerheten). Den kommer därmed att omfatta all typ av databehandling under parternas jurisdiktion inom både den offentliga och den privata sektorn.

Parallellt med dataskyddskonventionen utarbetade OECD, som är en internationell organisation med 38 EU-medlemsländer, riktlinjer för integritetsskydd och gränsöverskridande flöden av personuppgifter. Riktlinjerna uppdaterades senast år 2013. I artikel 7 i OECD:s riktlinjer anges att ”insamlingen av personuppgifter ska begränsas och att sådana bör erhållas på ett lagenligt och rättvist sätt och när det är lämpligt med den registrerades samtycke”. Data- skyddskonventionen och OECD:s riktlinjer var de viktigaste inspirationskällorna vid utformningen av EU:s regelverk för dataskydd, med början i 1995 års dataskyddsdirektiv (Europaparlamentets och rådets direktiv [95/46/EG] av den 24 oktober 1995 om skydd för enskilda personer med avseende på

42

Ds 2024:11

Kapitel 3

behandling av personuppgifter och om det fria flödet av sådana uppgifter).

3.2.6Barnkonventionen

FN:s konvention om barnets rättigheter (barnkonventionen) antogs av FN:s generalförsamling år 1989. Sverige ratificerade barn- konventionen år 1990 och sedan år 2020 gäller den som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Att barnkonventionen är svensk lag innebär att domstolar och andra rättstillämpare ska beakta de rättigheter som följer av konventionen vid avvägningar och bedömningar som görs i beslutsprocesser i mål och ärenden som rör barn. Fortsatt medför även den omständigheten att Sverige som stat har ratificerat barnkonventionen, och gentemot andra stater och internationella organisationer som har åtagit sig att följa denna, att den svenska lagstiftaren har en skyldighet att se till att den nationella rätten stämmer överens med konventionen (prop. 2017/18:186 s. 60).

Konventionen vilar på, och syftar till att få genomslag för, följande grundläggande principer: (i) alla barn har samma rättigheter och lika värde, (ii) barnets bästa ska beaktas vid alla beslut som rör barn, (iii) alla barn har rätt till liv och utveckling och (iv) alla barn har rätt att uttrycka sin mening och få den respekterad.

I konventionens artikel 16 stadgas att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende. Vidare har barnet enligt samma artikel rätt till lagens skydd mot sådana ingripanden eller angrepp. Av artikel 40 följer även att barn som misstänks eller åtalas för eller som befunnits skyldigt till att ha begått brott ska behandlas på ett sätt som främjar barnets känsla av värdighet och värde. Av artikeln framgår också att barnets privatliv ska respekteras till fullo under alla stadier i förfarandet.

3.3Begreppet personlig integritet

Det finns ingen legaldefinition av begreppet personlig integritet, vare sig i svensk grundlag, i vanlig lag eller i någon EU-rättsakt. I

43

Kapitel 3

Ds 2024:11

Sverige blev frågan om personlig integritet föremål för rätts- vetenskaplig diskussion och överväganden av lagstiftaren först under 1960-talet. 1969 års Offentlighets- och sekretesslagstiftningskommitté (OSK) samt 1966 års Integritetsskyddskommitté ansåg att grund- tanken med personlig integritet kunde uttryckas på det sättet att den enskilde kan göra anspråk på en fredad privat sektor inom vilken denne kan avvisa inblandning från utomstående som uppfattas som otillbörlig (SOU 1972:47 s. 56 och SOU 1974:85 s. 56).

I stället för att försöka hitta en generell definition av begreppet personlig integritet kan betydelsen av den ringas in genom att räkna upp alla mer eller mindre olikartade enskilda situationer som kan sägas kränka den personliga integriteten. Stig Strömholm har upp- rättat en katalog av olika möjliga typer av kränkningar av den personliga integriteten. Dessa är följande:

-tillträde till och genomsökande av privata lokaler eller annan egendom;

-kroppsundersökning;

-medicinska undersökningar, psykologiska tester osv.;

-intrång i en persons privata sfär genom skuggning, spionerande, telefonterror och liknande;

-som ett särfall till strecksats 1 och 4: ofredande genom före- trädare för massmedia;

-olovlig ljudupptagning, fotografering eller filmupptagning;

-brytande av brevhemligheten;

-telefonavlyssning;

-utnyttjande av elektronisk avlyssningsapparatur;

-spridning av förtrolig information (t.ex. genom advokater, läkare, själasörjare och liknande);

-avslöjande inför offentligheten av annans privata förhållanden;

-olika former av nyttjande av annans namn, bild eller liknande identifieringsmedel;

44

Ds 2024:11

Kapitel 3

-missbruk av annans ord eller meddelanden (t.ex. genom förvrängda eller uppdiktade intervjuer);

-angrepp på annans heder och ära.

Dessa kränkningar kan i sin tur delas in i tre övergripande huvud- grupper: intrång, i fysisk eller annan mening, i en persons privata sfär; insamlande av uppgifter om en persons privata förhållanden; offentliggörande eller annat utnyttjande av material om en persons privata förhållanden (Stig Strömholm, ”Integritetsskyddet – ett för- sök till internationell lägesbestämning”, SvJT 1971, s. 695).

1984 års Tvångsmedelskommitté försökte, med utgångspunkt bl.a. i de vid tidpunkten gällande fri- och rättigheterna i 2 kap. RF, ringa in begreppet personlig integritet genom att skilja mellan den rumsliga integriteten (hemfriden), den materiella integriteten (egendomsskyddet), den kroppsliga integriteten (skydd för liv och hälsa, mot ingrepp i eller mot kroppen), den personliga integriteten i fysisk mening (skyddet för den personliga friheten och rörelse- friheten) och den personliga integriteten i ideell mening (skyddet för privatlivet och för personligheten inklusive den privata ekonomin). Den typ av personlig integritet som till stor del regleras genom den dataskyddsrättsliga regleringen, och som närmast är aktuell i denna utredning, är framför allt den personliga integriteten i ideell mening. (Se SOU 1984:54 s. 42.)

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte. (Se prop. 2005/06:173 s. 14 f.)

Vilken reglering och begränsning av användningen av person- uppgifter som är nödvändig för att skydda den personliga integriteten kan sägas till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Värderingarna i samhället påverkas i sin tur bl.a. av hur informationstekniken uppfattas och används. (Se a. prop. s. 15.)

45

Kapitel 3

Ds 2024:11

Att innebörden av personlig integritet är något som är föränderligt över tid och rum har även framhållits av OSK och 1966 års Integritetsskyddskommitté. OSK uttryckte detta på följande sätt. ”Svårigheterna att fastställa vad man menar med integritet sammanhänger med att en rätt att bli lämnad i fred aldrig kan vara absolut i ett samhälle. Gemenskapens krav på insatser från den enskilde i fråga om t.ex. arbete och skatter och på upplysningar erforderliga för gemensamma åtgärder måste begränsa den privata sektorn” (se SOU 1972:47 s. 56). Integritetsskyddskommittén beskrev frågeställningen på följande sätt. ”I länder med olika levnadsförhållanden och rättstraditioner sker bedömningen olika. Men uppfattningarna kan också gå isär inom ett land. Likaså förändras värderingarna med tiden. Därtill bör läggas att en individ som lever i ett samhälle och sålunda ingår i en gemenskap med andra människor inte kan göra gällande något absolut anspråk på att få leva i fred för andra individer eller ostörd av samhällets organ. Eftersom gemenskapen med andra människor och samhörigheten med samhället är grundläggande för den enskilda människans villkor, är det tydligt att tanken på skydd för dylika anspråk står i motsats till åtskilligt som av andra skäl måste gälla. Regler som syftar till att skydda den enskildes personliga integritet måste sålunda förses med olika, i skilda situationer, mer eller mindre vittgående undantag eller på annat sätt begränsas till sin giltighet, så att andra människors och samhällets intressen i övrigt inte träds för när” (se SOU 1974:85 s. 56).

Trots att det inte finns någon entydig definition av begreppet personlig integritet kan det sägas att en kränkning av densamma innebär ett intrång i en fredad sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas. (Se prop. 2009/10:80 s 175.)

Rätten till personlig integritet kan beskrivas som en "prima facie- rättighet". Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre. (Se prop. 2005/06:173 s 16.)

Styrkan av respektive motstående rättighet kan variera med samhällsutvecklingen och framför allt med den tekniska utvecklingen. Å ena sidan kan riskerna för allvarliga kränkningar av den personliga integriteten öka genom t.ex. nya metoder att

46

Ds 2024:11

Kapitel 3

övervaka personer och sammanställa information på. Å andra sidan kan den tekniska utvecklingen möjliggöra nya och mer effektiva sätt att exempelvis bekämpa grov brottslighet. Intresset att värna medborgarnas rättstrygghet och skydda mot de kränkningar av den personliga integriteten och andra rättigheter som det kan innebära att utsättas för brott kan då väga upp den relativt sett mindre förlust av personlig integritet som den tekniska utvecklingen kan medföra.

I detta sammanhang kan det framhållas att det allmännas skyldighet att respektera mänskliga rättigheter, t.ex. enligt Europakonvention, även innefattar positiva skyldigheter att se till att enskilda tillförsäkras skydd för sina rättigheter gentemot andra enskilda. Det innebär att staten behöver säkerställa att brott kan utredas effektivt. (Jfr prop. 2022/23:106 s. 13 och prop. 2022/23:126 s. 64.)

Det underliggande intresse som skyddet för den personliga integriteten ska tjäna har beskrivits på skiftande sätt. Det har bl.a. framhållits att tanken på att uppgifter om ens privata angelägenheter samlas in och kan komma att användas för olika ändamål kan framkalla allvarlig oro hos den enskilde, det vill säga påverka människors psykiska välbefinnande. Det kan också uppfattas som en kränkning i sig att en utomstående förfogar över uppgifter om ens privata förhållanden (SOU 1974:85 s. 57). När det specifikt gäller frågan om skydd för den personliga integriteten genom dataskydd och andra regler för personuppgiftsbehandling har den enskildes anspråk på att bli bedömd efter relevanta kriterier identifierats som ett underliggande intresse. Om man vet att en myndighet eller en organisation har tillgång till omfattande information om ens personliga förhållanden ligger det nära till hands att misstänka att informationen utnyttjas för ställningstaganden som den inte är ägnad för (SOU 1972:47 s. 57). Det är således angeläget att åtgärder som vid var tid kan anses utgöra en kränkning av den personliga integriteten också omgärdas av ett adekvat regelverk.

47

Internationell utblick

Ds 2024:11

polisenheter, kan endast sparas om uppgiften kräver det. För att kunna spara materialet från videoströmmen ska polisen kunna motivera behovet av det.

Allt inspelat material lämnar automatiskt servern efter två veckor. Användaren kan inte radera det från servern själv. För att titta på materialet krävs alltid en motivering av åtgärden.

Den lagstiftning som styr polisens användning av ANPR-teknik i denna del är 15 § lagen om behandling av personuppgifter i polisens verksamhet (616/2019; polisens personuppgiftslag) och dataskydds- direktivet. I 15 § första stycket polisens personuppgiftslag föreskrivs att polisen får behandla uppgifter som hör till särskilda kategorier av personuppgifter endast om det är nödvändigt för ändamålet med behandlingen.

4.2.2Norge

I Norge är kameror utrustade med ANPR-teknik installerade i cirka 70 polisfordon. Kamerorna används som indikationsverktyg för trafikkontroll och vid större evenemang. De används alltså inte regelmässigt för brottsbekämpande ändamål. Data från kamerorna lagras i 24 timmar.

Norska tullverket (Tollvesenet) och norska vägverket (Statens vegvesen) har både stationära och mobila kameror med ANPR- teknik för icke-brottsbekämpande ändamål.

4.2.3Danmark

Den danska polisens användning regleras i föreskrift nr. 1080 av den 20 september 2017 om polisens användning av automatisk registreringsskyltsigenkänning med senare ändringar (ANPR- föreskriften). ANPR är ett internt arbetsverktyg för polisen, och behandling av personuppgifter genom ANPR får endast ske enligt reglerna i ANPR-föreskriften och endast när det är nödvändigt i samband med utförandet av polisiära uppgifter (1 § andra stycket ANPR-föreskriften).

Polisen får, enligt 4 § ANPR-föreskriften, behandla uppgifter om fordon vilka omfattas av en eller flera av de kategorier som listas i 5 §. Det kan exempelvis handla om registreringsskyltar som ska

50

Ds 2024:11

Internationell utblick

återkallas på grund av bristande besiktning eller obetald försäkring, registreringsskyltar som är kopplade till fordon som är avregistrerade eller av andra skäl inte får användas i trafik, registreringsskyltar som är relaterade till efterlysta fordon eller som är relaterade till utredningar där en person är misstänkt för brott som kan leda till minst ett år och sex månaders fängelse.

I5 § ANPR-föreskriften listas uttömmande de kategorier för vilka polisen har befogenhet att i förväg registrera registrerings- skylten i ANPR-systemet.

Därutöver får polisen enligt 4 § ANPR-föreskriften även be- handla uppgifter om fordon som inte hör till de kategorier som räknas upp i 5 §. Sådan behandling är nödvändig för att kunna hitta de fordon som omfattas av de uppräknade kategorierna, eftersom alla fordon som passerar en kamera som är utrustad med ANPR- teknik måste fotograferas av kameran. För uppgifter om fordon och registreringsskyltar som inte ger någon träff i systemet gäller dock en kortare raderingsfrist än för sådana uppgifter som ger en träff i systemet.

Det följer bl.a. av 4 § sjätte stycket lagen om brottsbekämpande myndigheters behandling av personuppgifter (lov nr 410 af 27/04/2017 om retshåndhævende myndigheders behandling af person- oplysninger; retshåndhævelsesloven) att personuppgifter inte får lagras under längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Denna bestämmelse genomför artikel 4.1 e dataskyddsdirektivet. Vid fastställande av raderingsfrister måste således en bedömning göras av nödvändigheten och proportionaliteten av att lagra person- uppgifterna. Bedömningen inkluderar å ena sidan hänsyn till polisens operativa och utredningsmässiga behov av att uppgifterna lagras, och å andra sidan den registrerades rättigheter.

När det gäller sådana uppgifter som har gett en träff i systemet ska, enligt 6 § första stycket ANPR-föreskriften, uppgifter om registreringsskyltar som omfattas av en eller flera av de kategorier som listas i 5 § ANPR-föreskriften raderas senast tre månader, ett år eller två år efter insamlingen, beroende på vilken kategori uppgifterna omfattas av.

Vad gäller uppgifter som inte har gett träff i systemet kan information om registreringsskyltar som inte omfattas av uppräkningen i 5 § ANPR-föreskriften behandlas dels när

51

Internationell utblick

Ds 2024:11

informationen samlats in med hjälp av stationär ANPR-utrustning och insamlingen har skett inom ramen för en eller flera strategiska insatsområden inom polisen där användningen av ANPR bedöms vara av väsentlig betydelse, dels när informationen samlats in med hjälp av mobil ANPR-utrustning som en del av en riktad polisiär insats, och insatsen är tidsmässigt och geografiskt begränsad och genomförd baserat på en konkret polisiär bedömning där användningen av ANPR har bedömts vara av väsentlig betydelse för insatsen.

Slutligen kan, enligt 6 § andra stycket ANPR-föreskriften, uppgifter som samlats in med hjälp av mobil ANPR-utrustning behandlas under en kortvarig period, även om den inte samlats in som en del av en riktad polisiär insats. Personuppgifter som inte gett träff i systemet ska raderas 60 dagar efter det att de samlats in. Uppgifter som samlats in med mobil ANPR-utrustning ska dock raderas redan efter sju dagar om den inte samlats in som en del av en riktad polisiär insats.

De nuvarande raderingsreglerna i ANPR-föreskriften ändrades senast år 2022, då raderingsfristerna för icke-träffar förlängdes från 30 dagar till 60 dagar för uppgifter från annan ANPR-bevakning än sådan som sker med mobil ANPR-utrustning, och från 24 timmar till sju dagar för sådana uppgifter som inhämtats genom mobil ANPR-bevakning. Detta skedde bl.a. med hänsyn till det bedömda höga operativa värdet av ANPR-informationen för polisens insatser mot bl.a. gränsöverskridande brottslighet. Ändringarna gjordes efter samråd med Datatilsynet och enligt det danska justitieministeriets bedömning utgjorde de en rimlig avvägning av relevanta hänsyn.

4.2.4Tyskland

Tyskland är ett federalt organiserat land. Vart och ett av de 16 förbundsländerna har egna poliskårer och i viss utsträckning egen polislagstiftning. Denna redogörelse avser de regler som gäller för den federala tyska polisen, Bundespolizei (förbundspolisen).

Automatiserad registrering av fordons registreringsskyltar hos Bundespolizei får användas för två olika övergripande ändamål: avvärja faror eller bekämpa brott.

52

Ds 2024:11

Internationell utblick

När det gäller den första av dessa två ändamål, att avvärja faror, finns den rättsliga grunden huvudsakligen i 27 b § lagen om för- bundspolisen (Bundespolizeigesetz; BPolG). I denna bestämmelse finns regler om s.k. ”ändamålsrelaterad automatisk registrering av registreringsskyltar”. I bestämmelsen föreskrivs i huvudsak följande.

-Det är nödvändigt för att avvärja en pågående fara för en persons kropp, liv eller frihet,

-det är nödvändigt med hänsyn till faktiska indikationer om brott av väsentlig betydelse mot gränssäkerheten, eller

-en person eller ett fordon är efterlyst av Bundespolizei eller en annan myndighet och det finns en överhängande och omedelbar risk att personen kommer begå ett allvarligt brott, eller att det efterlysa fordonet kommer användas vid ett allvarligt brott.

De uppgifter som samlats in på detta sätt får automatiskt jämföras med en sökfil. Vid en träff kontrolleras omedelbart överensstämmelsen mellan de insamlade uppgifterna och uppgifterna i sök-filen. Vid en träff kan de insamlade uppgifterna bearbetas och överföras.

Om det inte sker en träff måste uppgifterna omedelbart raderas. Detsamma gäller om jämförelsen visserligen leder till en träff, men de ändamål för vilka uppgifterna förts in i sökfilen inte är relaterad till de ändamål för vilka ANPR-bevakning har skett. Detta gäller inte om uppgifterna behövs för att utreda ett allvarligt begånget brott.

När det gäller användning av ANPR-teknik i brottsbekämpande syfte regleras detta främst av 163 g § straffprocesslagen (Strafprozessordnung; StPO). Denna bestämmelse föreskriver i huvudsak följande.

På offentlig plats i trafiken får registreringsskyltar för motor- fordon samt plats, datum, tid och färdriktning samlas in automatiskt med tekniska medel utan de berörda personernas kännedom, om det finns tillräckliga faktiska indikationer på att ett brott av betydande allvar har begåtts och det är motiverat att anta att åtgärden kan leda till att den misstänkte identifieras eller att hans vistelseort klarläggs. Denna automatiska uppgiftsinsamling måste vara tids-mässigt och geografiskt begränsad. Uppgifter får alltså inte för detta ändamål samlas in regelmässigt och med allmän geografisk täckning.

53

Internationell utblick

Ds 2024:11

Uppgifter om registreringsskyltar för motorfordon som samlats in på detta sätt får automatiskt jämföras med registreringsskyltarna för motorfordon som är registrerade på den misstänkte eller används av honom eller som används av personer andra än den misstänkte om det, på grundval av särskilda omständigheter, kan antas att de är kopplade till den misstänkte, och det skulle innebära betydligt större svårigheter att fastställa den misstänktes vistelseort med andra medel.

Jämförelsen måste ske omedelbart efter den automatiska datainsamlingen. Vid en träff måste överensstämmelsen omedelbart kontrolleras manuellt. Om det inte finns någon träff eller den manuella kontrollen inte bekräftar träffen måste de uppgifter som samlats in raderas omedelbart.

De åtgärder som nu har nämnts kan bara vidtas efter beslut av en åklagare. Åklagaren måste visa på att förutsättningar som krävs för åtgärderna föreligger och uppge vilka uppgifter som de automatiskt insamlade uppgifterna ska jämföras med. Beslutet måste, i enlighet med vad som sagts ovan, vara begränsat tidsmässigt och geografiskt. Om det föreligger en överhängande fara får beslutet även utfärdas muntligen och av en utredare. I sådant fall måste personen som utfärdat beslutat lämna en skriftlig bekräftelse inom tre dagar.

Om förutsättningarna för beslutet inte längre är uppfyllda eller syftet med åtgärderna har uppnåtts måste åtgärderna avslutas omedelbart.

4.2.5Nederländerna

Nederländsk polis och åklagare använder ANPR-teknik på tre olika sätt: (1) för realtidsvarning och uppföljning, (2) som ett led i brotts- utredningar, samt (3) som ett led i att upprätthålla trafik- lagstiftningen.

Realtidsvarning innebär att brott eller kriminellt beteende upp- täcks i det ögonblick de inträffar eller när ett fordon kopplat till en efterlyst individ passerar en kamera, med avsikt att omedelbart följa upp händelsen. Sådana varningar i realtid kan utfärdas av två olika skäl, dels baserat på en referenslista, dels baserat på ett visst beteendemönster.

54

Ds 2024:11

Internationell utblick

Att varna och följa upp baserat på en referenslista är den vanligaste användningen av ANPR-teknik. Referenslistan innehåller registreringsskyltar för fordon som av ett eller annat skäl påkallar polisens uppmärksamhet, exempelvis stulna fordon, fordon registrerade på personer som har rymt från frihetsberövande straff, fordon med obetalda böter, fordon kopplade till tidigare överträdelser av trafiklagar osv. När ett fordon på referenslistan passerar en kamera genereras en träff. Denna träff loggas, och den relevanta informationen om träffen överförs i realtid till lokala polisenheter för uppföljning och åtgärd.

När det gäller den andra situationen, realtidsvarning baserad på ett beteendemönster, finns det ingen förkunskap hos polisen om fordonet eller personens identitet. I stället är varningen enbart eller huvudsakligen baserad på ett fordons beteende, vilket är en kombination av faktorer som indikerar möjlig inblandning i ett brott. Ett exempel kan vara ett fordon som är ofta förekommande i närheten av en person som ska skyddas eller en registreringsskylts- kombination som passerar kameran nästan samtidigt vid två platser som är långt åtskilda från varandra. För dessa ändamål registreras och lagras uppgifter om alla fordonspassager förbi kameror som är utrustade med ANPR-teknik i 28 dagar. Åtkomst till uppgifterna i databasen kan endast fås efter beslut av en åklagare. För sådana åtkomstbeslut gäller vissa förutsättningar och endast vissa poliser har behörighet att få tillgång till databasen.

Därutöver är kameror med ANPR-teknik installerade i hela landet för att handha automatisk hastighetsövervakning och för att bevaka lydnad av signaler vid trafikljus. Om en sådan kamera registrerar en överträdelse utfärdas böter omedelbart och utan mänsklig inblandning

4.2.6Storbritannien

IStorbritannien används ett gemensamt nationellt ANPR-system. Till detta system är kopplat fler än 18 000 kameror med ANPR- teknik, som varje dag i genomsnitt skickar över 80 miljoner läsningar av registreringsskyltar till det nationella systemet.

Den nationella lagstiftning som reglerar användningen av ANPR- teknik inkluderar 2018 års dataskyddslag (Data Protection Act;

55

Internationell utblick

Ds 2024:11

DPA), Storbritanniens nationella allmänna dataskyddsförordning (UK GDPR), Protection of Freedoms Act 2012 samt vägledningar från den nationella brittiska tillsynsmyndigheten för dataskydd Information Commissioner's Office.

ANPR-infrastrukturen får endast användas för brotts- bekämpningsändamål enligt definitionen i DPA eller för ändamål hänförliga till nationell säkerhet. Brottsbekämpningsändamål definieras av DPA som "förhindrande, utredning, upptäckande eller lagförande av brott, eller verkställande av straff, inklusive skydd mot och förebyggande av hot mot allmän säkerhet".

Uppgifter från ANPR-bevakning får lagras i högst tolv månader efter den ursprungliga insamlingen av uppgifterna, om det inte därefter finns grund för att fortsätta behandla uppgifterna enligt den brittiska straffprocesslagen (Criminal Procedure and Investigations Act 1996), som reglerar polisens utredningsprocess och be- handlingen av material som hittas eller genereras i samband med en utredning.

Inrikesdepartementet (Home Office) utfärdar nationella ANPR- standarder för polisarbete och brottsbekämpning (National ANPR standards for policing and law enforcement; NASPLE). Dessa ger den övergripande vägledningen för nationell användning av ANPR- teknik. Denna vägledning kompletteras av nationella standarder för tillsyn över användningen av ANPR-teknik. Dessa innehåller tydliga regler om begränsning och kontroll av åtkomst till lagrade ANPR- uppgifter, i syfte att säkerställa att dessa endast används för officiella utredningsändamål.

Enskilda tjänstemän har endast tillgång till sådana uppgifter om det är relevanta för deras konkreta arbetsuppgifter. De flesta tjänste- män som har behörighet att komma åt lagrade ANPR-uppgifter får bara göra det i högst 90 dagar från det att uppgifterna samlades in.

4.2.7Italien

IItalien regleras polismyndigheternas användning av ANPR-teknik i ett flertal olika författningar. De exakta rättsliga gränserna för användningen av ANPR-teknik kan variera baserat på lokala före- skrifter, liksom lokala riktlinjer som fastställts för skyddet av integritet och personuppgifter.

56

Ds 2024:11

Internationell utblick

Det övergripande rättsliga ramverket finns, utöver i EU:s data- skyddsförordning, dels i väglagen (Codice della Strada, n. 285/1992), dels i det legislativa dekretet av den 30 juni 2003 (decreto legislativo n. 196/2003).

I artikel 126 bis i den italienska väglagen stadgas att behandlingen av uppgifter som samlats in av ANPR-teknik endast är tillåten för följande ändamål.

-Att upptäcka och lagföra överträdelser av väglagen, inklusive trafikbrott.

-Att leta efter fordon som är inblandade i trafikolyckor.

-Att leta efter fordon som är efterlysta eller som berörs av en brottsutredning.

-För ändamål relaterade till allmän säkerhet.

Behandlingen av data som samlats in av ANPR-teknik måste utföras i enlighet med de grundläggande dataskyddsrättsliga principerna, bl.a. uppgiftsminimering, att behandling endast får ske för uttryckliga och specifika ändamål, samt att uppgifterna måste lagras och skyddas på ett betryggande sätt.

De italienska polismyndigheterna är vidare skyldiga att informera den nationella italienska dataskyddsmyndigheten om installationen och användningen av ANPR-system. Polismyndigheterna är även skyldiga att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för de insamlade uppgifterna, särskilt för att förhindra obehörig åtkomst, eller att uppgifter förvanskas eller förstörs.

4.2.8Belgien

Artikel 44.11.3 septies i den belgiska polislagen (Wet op het Politieambt; WPA) föreskriver att ANPR-teknik får användas för fyra olika ändamål.

Dels får ANPR-teknik användas för att underlätta utförandet av polisens lagstadgade uppgifter avseende:

-att upptäcka och lagföra förseelser och brott, inklusive att verk-ställa straff eller andra frihetsberövande åtgärder;

57

Internationell utblick

Ds 2024:11

-att övervaka förseelser i vägtrafiken; eller

-att spåra försvunna personer, när det finns allvarliga misstankar om eller indikationer på att den försvunna personen är i omedelbar fysisk fara.

Dels får ANPR-teknik också användas för att underlätta polisens utförande av sitt uppdrag när det gäller att övervaka den allmänna ordningen i vissa situationer.

4.3Användning av ansiktsigenkänning

4.3.1Finland

Den finska polisen använder ett system för automatisk ansiktsigenkänning som benämns KASTU. Systemet används inte i realtid, utan endast för ansiktsigenkänning i efterhand.

Systemet har två huvudsakliga användningsområden. Det används dels inom ramen för brottsutredande verksamhet, för att jämföra en ansiktsbild mot bilder i polisens register i syfte att identifiera misstänkta. Det används dels också när enskilda ansöker om pass eller ID-handlingar, för att jämföra den gamla bilden från det tidigare passet med den nya bilden för att säkerställa att det är samma person.

De regler som gäller för användandet av ansiktsigenkänning grundar sig ytterst på dataskyddsdirektivets bestämmelser om behandlingen av särskilda kategorier av personuppgifter (artikel 10).

Enligt 6 § lagen om behandling av personuppgifter i brottmål (1054/2018) måste de personuppgifter som behandlas vara adekvata och nödvändiga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt 15 § första stycket lagen om behandling av personuppgifter i polisens verksamhet (616/2019; polisens personuppgiftslag) får polisen behandla uppgifter som hör till särskilda kategorier av personuppgifter (jfr artikel 10 i dataskyddsdirektivet) endast om det är nödvändigt för ändamålet med behandlingen. I andra stycket i samma bestämmelse föreskrivs att biometriska uppgifter som behandlas för utförande av de uppgifter som föreskrivs i lagen om identitetskort (663/2016) och

58

Ds 2024:11

Internationell utblick

passlagen (671/2006) får användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast om det är nödvändigt för att identifiera ett offer för en naturkatastrof, storolycka eller någon annan katastrof eller ett offer för ett brott eller ett offer som annars förblivit oidentifierat. Rätt att använda uppgifterna har endast den som nödvändigtvis måste använda dem för skötseln av sina arbetsuppgifter. Uppgifter som tagits för jämförelse får användas endast när jämförelsen görs och ska därefter omedelbart förstöras.

Vidare föreskrivs i 2 § polisens personuppgiftslag att bl.a. proportionalitetsprincipen och principen om ändamålsbundenhet ska iakttas vid behandling av personuppgifter, vilket innebär att KASTU-systemet inte kan användas för att utreda vilket brott eller vilken förseelse som helst. Enligt polisstyrelsens riktlinjer får således KASTU-systemet endast användas för att utreda gärningar som kan utgöra brott på vilket fängelse kan följa.

Utgångspunkten vid användningen av KASTU-systemet är att det, för att användning ska vara tillåtet, ska vara nödvändigt för polisen att utreda en okänd parts identitet för undersökning och övervakning eller för att förebygga eller avslöja brott. Om den okända parten kan identifieras på annat sätt ska KASTU-systemet inte användas för identifikation.

4.3.2Norge

Norge är inte medlem av EU, men är en del av Europeiska ekonomiska samarbetsområdet (EES) och Schengenområdet. I Norge används automatiserad ansiktsigenkänning vid ansökningar om pass, ID-kort, visum, uppehållstillstånd och automatiserad gränskontroll (eGates för EES-medborgare). Under år 2024 kommer polisen att börja använda tekniken i större utsträckning vid gränskontroll i samband med implementeringen av det s.k. Entry Exit-systemet inom EES-området.

Automatiserad ansiktsigenkänning används även i viss utsträckning av polisen inom ramen för brottsutredningar. I brotts- utredningar kan polisen använda automatiserad ansiktsigenkänning på övervakningsmaterial. Detta sker endast i efterhand, på så sätt att

59

Internationell utblick

Ds 2024:11

inspelningar behandlas med ansiktsigenkänningsteknik för att utreda brott.

Den norska polisen har inte laglig möjlighet att använda automatiserad ansiktsigenkänning i realtid.

4.3.3Danmark

Ansiktsigenkänning används endast i mycket begränsad utsträckning i polisens brottsbekämpande verksamhet i Danmark.

De danska brottsbekämpande myndigheternas användning av ansiktsigenkänning regleras i lagen om brottsbekämpande myndigheters behandling av personuppgifter (lov nr 410 af 27/04/2017 om retshåndhævende myndigheders behandling af person- oplysninger; retshåndhævelsesloven). Enligt denna lag är polisen inte förhindrad från att identifiera en fysisk person genom användning av t.ex. ansiktsigenkänningsteknologi, men behandlingen av känsliga personuppgifter är likväl föremål för en strikt nödvändighets- bedömning. Det framgår av 10 § andra stycket lagen att behandling av känsliga personuppgifter endast får äga rum när det är strikt nödvändigt och sker med syfte att bl.a. förebygga, utreda, avslöja eller åtala brott eller för att förebygga hot mot allmän säkerhet. Förutom denna nödvändighetsbedömning måste eventuell ansikts- igenkänningsteknologi även bedömas med avseende på andra bestämmelser i lagen. Det innebär särskilt de grundläggande principerna om bl.a. god databehandlingssed och proportionalitet, vilka framgår av 4 § i lagen.

Det finns ingen översikt över vilka danska myndigheter och privata aktörer som använder ansiktsigenkänningsteknologi.

När det gäller privata aktörers användning av ansikts- igenkänningsteknologi följer det av 7 § fjärde stycket dataskyddslagen (databeskyttelsesloven) att den nationella danska tillsyns-myndigheten för dataskydd (Datatilsynet) måste ge tillstånd om en privat registeransvarig vill behandla känsliga uppgifter, inklusive biometriska data. Sådant tillstånd ska endast ges under de förutsättningar som anges i artikel 9 andra stycket (g) dataskydds- förordningen, det vill säga Datatilsynet ska alltså underrättas och ge tillstånd för behandling av biometriska data med hjälp av ansiktsigenkänningsteknologi, om den registeransvarige är en privat

60

Ds 2024:11

Internationell utblick

aktör och behandlingen av personuppgifter är nödvändig av hänsyn till viktiga samhällsintressen. Om den registeransvarige använder ansiktsigenkänning baserat på en annan rättslig grund än denna, t.ex. den registrerades samtycke, är det inte nödvändigt att få tillstånd från Datatilsynet. Datatilsynet har därför inte heller en fullständig översikt över vilka privata aktörer som använder ansikts- igenkänningsteknologi.

Vad gäller den praktiska användningen av ansiktsigenkänning av dansk polis har ansiktsigenkänningsteknologi tidigare använts av Köpenhamnspolisen under perioden april 2016 till hösten 2021, i samband med den automatiserade in- och utresekontrollen (s.k. ABC-eGates; Automatic Border Control) på Köpenhamns flyg- plats. Det har installerats nya ABC-eGates-moduler på Köpenhamns och Billunds flygplatser som för närvarande inte är i drift. Dessa moduler förväntas tas i drift i vart fall på Billunds flygplats under första kvartalet 2024.

Nationalt Cyber Crime Center (NC3), som är en enhet inom Nationella enheten för särskilda brott (NSK), har nyligen inlett ett pilotprojekt gällande användningen av ansiktsigenkännings- teknologi. Teknologin kommer under pilotprojektet att testas som ett verktyg för att söka igenom bild- och videomaterial i ett antal avslutade utredningar samt i NC3:s databas med bildmaterial relaterat till sexuellt utnyttjande av barn.

Ett av polisdistrikten i Köpenhamn (Københavns Vestegn) har sedan år 2022 i två specifika fall använt ett program som bl.a. inkluderar en funktion för ansiktsigenkänning för att lokalisera specifika barn som utsatts för övergrepp. Polisen har emellertid därefter på eget initiativ slutat använda programmet. Den danska Rigspolisen har därefter informerat att om det blir aktuellt för polisen att börja använda ansiktsigenkänningsteknologi mer systematiskt eller på annat sätt omfattande krävs en rad närmare principiella och juridiska överväganden, som kommer att äga rum med inblandning av det danska justitiedepartementet.

4.3.4Tyskland

Programvara för automatisk ansiktsigenkänning används för när- varande inte av den federala tyska polisen (Bundespolizei) för något

61

Internationell utblick

Ds 2024:11

ändamål. I det nu gällande koalitionsavtalet mellan regerings- partierna SDP, De Gröna och FDP har partierna kommit överens om den politiska viljeinriktningen att framgent avvisa omfattande användning av kamerabevakning och användningen av biometrisk registrering för övervakningsändamål.

4.3.5Nederländerna

Den nederländska polisen använder ett system för ansikts- igenkänning som heter CATCH (Centrale Automatische Technologie voor Herkenning). CATCH finns i två versioner, en som används i brottsbekämpande verksamhet och en version som används för gränskontroll.

Den version av CATCH som används inom brottsbekämpningen hjälper till att identifiera en okänd persons identitet genom att generera en biometrisk profil från ansiktsfotografier som före- kommer i en brottsutredning. CATCH jämför sedan denna data med biometriska profiler som lagrats i en referensdatabas, som innehåller ansiktsbilder på misstänkta och dömda individer. Jämförelsen är begränsad till den uppsättning bilder som förekommer i referensdatabasen. CATCH genererar en kandidatlista över ansikten som liknar det sökta fotot. En expert granskar detta resultat, och om experten är övertygad om att likheten är tillräcklig med en kandidat från listan presenteras matchningen för två andra experter för oberoende bedömning. Om båda dessa experter når samma slutsats som den första experten rapporteras det som ett slutligt resultat av ansiktsigenkänningen. Det finns därvid fyra möjliga resultat som kan rapporteras: att experterna ser många likheter mellan den biometriska profilen och referensbilden, att experterna ser likhet, att experterna ser skillnader, eller att ingen slutsats kan dras. Vid oenighet mellan experterna vidarerapporteras endast den mest för-siktiga av dessa fyra slutsatser. Den polisrapport som genereras på detta sätt fungerar som en utgångspunkt för vidare utredning. Ett frihetsberövande kan aldrig göras endast på grundval av en ansiktsjämförelse som har gjorts med hjälp av CATCH.

62

Ds 2024:11

Internationell utblick

Justitie- och säkerhetsministern har i ett brev till det nederländska parlamentet uttalat att det inte är aktuellt att införa lagliga möjligheter till ansiktsigenkänning i realtid på offentlig plats.

I samma brev slog ministern fast att om polisen avser att använda ansiktsigenkänningsteknik på ett annat sätt än genom CATCH- systemet, måste polisen först genomföra en juridisk, teknisk och etisk bedömning. Den nederländska polisen har utvecklat ett ramverk för bedömning för att kunna utföra en sådan utvärdering. Hittills har godkännande för användning beviljats för en engångs- användning av ytterligare endast ett system, FaceF1nder. Med FaceF1nder-systemet kan polisen söka efter ansikten i omfattande samlingar av foton eller videor, t.ex. för att undersöka brott som fångats av många övervakningskameror under en längre period, eller för att genomföra sökningar i alla foton och videor på exempelvis en beslagtagen smartphone.

4.3.6Storbritannien

Den brittiska polisen använder för närvarande tre typer av ansikts- igenkänning: retrospektiv ansiktsigenkänning, det vill säga ansikts- igenkänning i efterhand (retrospective facial recognition; RFR), ansiktsigenkänning i realtid (live facial recognition; LFR) och operatörinitierad ansiktsigenkänning (operator initiated facial recognition; OIFR).

RFR, det vill säga ansiktsigenkänning i efterhand, används efter att en händelse eller en incident har ägt rum, exempelvis efter att ett misstänkt brott har begåtts. RFR sker alltid inom ramen för en brottsutredning. De bilder som analyseras tillhandahålls vanligtvis från övervakningskameror, mobiltelefonvideor, bevakningskameror i fordon, s.k. ”dörrklockekameror” eller från sociala medier. Dessa bilder jämförs sedan med bilder på personer tagna vid gripandet för att identifiera en misstänkt.

När RFR leder till en möjlig träff granskar en särskilt utbildad operatör samt en utredare bilderna för att bekräfta träffen. Utredaren kommer inom ramen för utredningen att, oavsett RFR- matchningen, överväga all tillgänglig bevisning och följa upp alla rimliga ledtrådar, precis som i vilken brottsutredning som helst.

63

Internationell utblick

Ds 2024:11

Användningsområdet är huvudsakligen att identifiera misstänkta personer snabbare och mer noggrant, men RFR kan också hjälpa till att identifiera t.ex. saknade eller avlidna personer. En studie som har utförts av den brittiska polisen har funnit att identifiering utan RFR i genomsnitt tar cirka 14 dagar, medan identifiering med hjälp av RFR vanligtvis tar ett fåtal minuter.

Alla lokala och regionala brittiska poliskårer använder som jämförelsematerial vid RFR en nationell polisiär databas för ansikts- sökningar.

För ansiktsigenkänning i realtid (LFR) gäller följande. Alla insatser är riktade, grundar sig på underrättelseinformation samt är geografiskt och tidsmässigt begränsade. LFR används alltså endast på de platser och vid de tider då det är troligt att insatsen kommer ha en konkret effekt. Innan en insats med LFR informerar polisen allmänheten om var man avser att använda tekniken och var allmänheten kan få mer information om vad detta innebär.

Tekniken använder livevideo av människor som passerar en kamera och jämför dessa bilder i realtid med en specifik lista över personer som är efterlysta av polisen. Tekniken kan exempelvis hitta och välja ut ett ansikte som eventuellt tillhör en efterlyst person ur en tät folkmassa. Det innebär att polisen på så sätt kan identifiera efterlysta brottslingar och gripa dem.

Efter en eventuell LFR-träff är det alltid polis på plats som beslutar vilken åtgärd, om någon, som ska vidtas. Precis som vid vilken polisutredning som helst måste det finnas skäl att misstänka att den personen som identifierats har gjort sig skyldig till ett brott och att det finns skäl för ett frihetsberövande. Standardprocedurerna för utredning, bevisinsamling, gripande och åtal följs.

När ingen träff mot bevakningslistan sker raderas en persons biometriska data omedelbart och automatiskt. Bevakningslistan förstörs efter varje enskild insats.

Det är ett operativt beslut för enskilda poliskårer om, hur och när man ska använda tekniken, i linje med etiska och yrkesmässiga riktlinjer som utfärdas av den brittiska nationella polishögskolan College of Policing. Hittills har tre brittiska lokala poliskårer beslutat sig för att använda LFR: South Wales Police (SWP), Metropolitan Police Service (MPS) och Northamptonshire Police. Metropolitan Police Service är poliskåren för Stor-London.

64

Ds 2024:11

Internationell utblick

Vid operatörsinitierad ansiktsigenkänning (OIFR) används en mobilapplikation som låter enskilda poliser fotografera en person och kontrollera personens identitet, utan att personen behöver fri- hetsberövas för att därefter kunna identifieras. OIFR-applikationen är än så länge på ett tidigt teststadium men har visat positiva resultat.

4.3.7Italien

I Italien används ansiktsigenkänning i efterhand inom ramen för de brottsbekämpande myndigheternas brottsutredande verksamhet.

De italienska brottsbekämpande myndigheterna får endast an- vända ansiktsigenkänningssystem för specifika och legitima ända- mål, i enlighet med det europeiska dataskyddsregelverket.

I Italien används ansiktsigenkänningssystem för polisiära ända- mål, i form av utredning av brott, gränskontroll och skydd av allmänna platser. Den nationella italienska tillsynsmyndigheten för dataskydd har publicerat riktlinjer om användningen av ansikts- igenkänningssystem av polismyndigheterna. Dessa riktlinjer fastslår bl.a. att ansiktsigenkänningssystem måste användas på ett transparent och ansvarsfullt sätt, och att medborgare måste informeras om användningen av dessa teknologier.

De rättsliga begränsningarna enligt italiensk rätt för användning av ansiktsigenkänning korresponderar med de begränsningar som framgår av det EU-rättsliga dataskyddsregelverket, och kan sammanfattas enligt följande.

-Ansiktsigenkänningssystem får endast användas för specifika ändamål, såsom förebyggande och upptäckt av brott, sökandet efter försvunna personer eller skydd av allmän säkerhet.

-Ansiktsigenkänningssystem får bara användas när det är nödvändigt och proportionerligt. Otillbörligt ingripande i medborgarnas rättigheter och friheter måste undvikas.

-Data som samlats in genom ansiktsigenkänningssystem får endast lagras under den tid som är nödvändig för att uppnå det syfte för vilket de samlades in.

65

Internationell utblick

Ds 2024:11

-Data som samlats in genom ansiktsigenkänningssystem måste skyddas från obehörig åtkomst, liksom från att ändras eller förstöras.

De italienska polismyndigheterna är skyldiga att informera den nationella italienska tillsynsmyndigheten för dataskydd om installationen och användningen av ansiktsigenkänningssystem.

Användningen av ett system för ansiktsigenkänning i realtid (det så kallade SARI-systemet) blev avstyrkt av den italienska nationella tillsynsmyndigheten för dataskydd, och har följaktligen inte drift- satts. Den italienska polisen har inte i dag tillgång till system för ansiktsigenkänning i realtid.

4.3.8Belgien

Ansiktsigenkänning används inte för identifiering i realtid i Belgien. De belgiska brottsbekämpande myndigheterna har endast möjlighet att använda ansiktsigenkänning i efterhand, inom ramen för en brottsutredning. Användning av ansiktsigenkänningsteknik sker i sådana situationer under kontroll av åklagare och endast i syfte att verifiera identiteten hos en utpekad misstänkt person.

4.4Polisens tillgång till material från annans kamerabevakning

4.4.1Finland

Den finska polisen har tillgång till en digital miljö som innehåller verktyg för att samla in och bearbeta bevakningsvideomaterial från polisen, andra myndigheter, privata operatörer eller kommuner. Materialet kan samlas in direkt från andra operatörer (om överenskommelser om detta finns) eller begäras från dem.

Materialet lagras i en mapp som är ansluten till ett undersökningsärende där auktorisationer flödar nedåt och metadata automatiskt infogas i materialet.

66

Ds 2024:11

Internationell utblick

4.4.2Norge

Den norska polisen har sina egna kameror för bevakning av centrala platser i Oslos centrum med direkt tillgång i realtid. Polisen har också sina egna kameror för bevakning av Brummundals centrum, men dessa används endast för inspelning. Dessa inspelningar sparas i sju dagar.

Den norska polisen har inte automatisk tillgång till bevaknings- kameror som ägs av andra offentliga organ.

Tillgång till inspelningar från privat, kommunal eller statlig kamerabevakning kan erhållas på frivillig väg utan en formenlig rättslig begäran om överlämning till den ansvariga för behandlingen av kamerabevakningen. Detta är möjligt på grund av undantagen i personuppgiftslagen (lov 15 juni 2018 nr 38 om behandling av personopplysninger) som tillåter sådan överlämning till polisen. Det finns etablerade kontaktpunkter och rutiner för att hämta inspelningar från kameror från större aktörer där det sker frekvent, t.ex. material från kameror på offentliga transportmedel.

Den norska polisen har under vissa förutsättningar befogenhet att använda kamerabevakning från drönare. Polisen har även möjlig- het att, efter beslut härom, bedriva dold kamerabevakning på offentliga och privata platser.

4.4.3Danmark

Någon information finns inte tillgänglig.

4.4.4Tyskland

För närvarande har den federala tyska polisen Bundespolizei ingen direkt åtkomst till kamerabevakningsmaterial från andra myndig- heter.

Inom ramen för järnvägspolisens (Bahnpolizei) uppgifter är direkt åtkomst till uppgifter från kamerabevakning som bedrivs av Deutsche Bahn möjlig.

När det gäller platser som flygplatser eller gränsområden har Bundespolizei eller gränspolisen (Grenzschutz) i allmänhet egna kamerainstallationer. Bundespolizei och gränspolisen har i regel

67

Internationell utblick

Ds 2024:11

även egna kamerainstallationer på privata flygplatser. När det finns behov av det inom ramen för den brottsbekämpande verksamhet, eller i syfte att avvärja faror, kan polisen i vissa fall få tillgång till bildströmmar i realtid från dessa polisiära bevakningskameror på tågstationer och flygplatser. Detta är dock beroende av om den kamerainstallationen rent tekniskt stöder sådan överföring i realtid, vilket inte är fallet med alla kamerainstallationer.

Om uppgifter från kamerabevakning som bedrivs av andra myndigheter är relevanta som bevis inom ramen för Bundespolizeis brottsbekämpande verksamhet kan uppgifterna säkras, bl.a. genom bevisbeslag enligt 94 § straffprocesslagen (Strafprozessordnung; StPO). Enligt 98 § StPO kan sådant beslag endast beslutas av en domstol eller, vid fara i dröjsmål, av åklagare eller av en utredare som arbetar för en åklagare.

De lagliga kraven för att Bundespolizei i sin tur ska kunna föra över personuppgifter (t.ex. material från kamerabevakning) till andra brottsbekämpande myndigheter framgår av 32 § punkterna 1 och 2 i den tyska polislagen (Bundespolizeigesetz; BPolG). Där framgår att Bundespolizei kan överföra person-uppgifter till andra brottsbekämpande myndigheter samt i vissa fall till tullmyndigheter i den utsträckning det är nödvändigt för dessa myndigheter att utföra brottsbekämpande uppgifter. Detta gäller även för överföring av personuppgifter mellan olika organisations-enheter inom Bundespolizei.

Det framgår vidare att Bundespolizei kan överföra person- uppgifter till andra inhemska offentliga organ i den utsträckning det är nödvändigt bl.a. för att

-utföra en uppgift som åligger dessa organ,

-avvärja faror,

-avvärja allvarlig kränkning av enskilda rättigheter, eller

-utreda brott eller lagöverträdelser samt verkställa straff.

Genom 32 a § i BPolG skapas förutsättningarna för överföring av personuppgifter till brottsbekämpande myndigheter i andra medlemsstater i EU.

68

Ds 2024:11

Internationell utblick

4.4.5Nederländerna

För kameror som ägs av kommuner är chefsåklagaren den lagliga dataskyddsansvarige. Polisen har tillgång material från sådana kameror, om det behövs för utredningsändamål.

Kamerabilder från andra organisationer eller privatpersoner kan rekvireras av polisen, och kameraägaren är skyldig att tillhandahålla bilderna. Det är därvid åklagaren, som i Nederländerna är för- undersökningsledare, som själv kan besluta om att begära in sådant material, eller att belägga det med bevisbeslag.

4.4.6Storbritannien

Bevakningskameror ägs dels av de lokala och nationella polis- myndigheterna, dels av myndigheter på kommunal nivå, dels av privata företag. I grund och botten hanterar och använder var och en sina egna system.

Det finns ingen nationell lagstiftning som specifikt reglerar frågan om polisens tillgång till material från annans kamera- bevakning. Den brittiska nationella tillsynsmyndigheten för data- skydd, Information Commissioner's Office, har dock publicerat en vägledning för att hjälpa organisationer inom både den offentliga och privata sektorn som använder kamerabevakningssystem när det gäller behandlingen av personuppgifter. Syftet är att hjälpa organisationer att hålla sig inom de lagliga ramarna i Storbritanniens nationella allmänna dataskyddsförordning (UK GDPR) och dataskyddslagen från år 2018 (Data Protection Act). Denna väg- ledning är relevant för frågan om utlämnande av kamera- bevakningsmaterial till polisen.

Polisen kan begära ut material från kamerabevakning inom ramen för en utredning. Den ovan nämnda vägledningen från Information Commissioner's Office slår fast att det i de flesta fall är lämpligt att lämna ut information från kamerabevakning till brottsbekämpande myndigheter, när kamerabevakningen skett i syfte att bidra till att förebygga och upptäcka brott. Om inte ett domstolsbeslut föreligger finns det emellertid ingen laglig skyldighet för andra aktörer att lämna ut material, utan detta sker i så fall på frivillig grund.

69

Internationell utblick

Ds 2024:11

Även om kamerabevakningen i det enskilda fallet inte skett i syfte att förebygga och upptäcka brott är det enligt vägledningen ändå godtagbart att lämna ut information till brottsbekämpande myndig- heter om det är relevant för polisens arbetsuppgifter, och om det skulle riskera att skada en pågående brottsutredning att underlåta att lämna ut materialet.

4.4.7Italien

De italienska polismyndigheterna kan få tillgång till material från bevakningskameror som ägs av andra offentliga organ och privat- personer på flera grunder.

I allmänhet kan brottsbekämpande myndigheter begära tillgång till material från bevakningskameror så snart det behövs för att utreda brott, men även i syfte att värna allmän säkerhet. En begäran från en polismyndighet om utfående av kamerabevakningsmaterial måste vara motiverad, och polismyndigheten måste antingen få ägarens tillstånd till utlämning (frivilligt utlämnande) eller ha en husrannsakningsorder.

Direktåtkomst för en polismyndighet till material från annans kamerabevakning är möjlig, men i dessa fall är den lagliga grunden för åtkomst antingen uttryckliga lagbestämmelser i särskilda fall, eller en administrativ och bindande överenskommelse mellan två offentliga organ (exempelvis mellan en polismyndighet och en kommun).

4.4.8Belgien

Den belgiska polisen har ingått avtal med vissa statliga organ för att kunna ta del av material från dessa organs kamerabevakning.

Utöver möjligheten att på denna avtalsmässiga grund få del av material från andra statliga myndigheters och organs kamera- bevakning har den belgiska polisen straffprocessuella möjligheter att, inom ramen för en brottsutredning, begära ut eller ta i beslag sådant kamerabevakningsmaterial som är nödvändigt för utredningens bedrivande.

70

Den dataskyddsrättsliga regleringen

Ds 2024:11

rättsakter. Dels dataskyddsförordningen9, dels dataskydds- direktivet10.

Dataskyddsförordningen är direkt tillämplig i alla medlemsstater. Förordningen innehåller en reglering av sådan behandling av person- uppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). I artikel 2.2. föreskrivs när förordningen inte ska tillämpas, vilket är bl.a. när behandling av personuppgifter sker av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel

2.1d). Av artikel 1.2 framgår att syftet med förordningen bl.a. är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det går alltså att utläsa en tydlig koppling till artikel 8 i Europakonventionen och artiklarna 3, 7 och 8 i EU:s rättighetsstadga, liksom till skyddet för personlig integritet i övrigt.

Med personuppgifter avses i förordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1).

Vidare framgår av artikel 4.7 att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ända- målen och medlen för behandlingen av personuppgifter. Om ända- målen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i

9Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

10 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

72

Ds 2024:11

Den dataskyddsrättsliga regleringen

unionsrätten eller i medlemsstaternas nationella rätt. En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde (artikel 4.8).

Av artikel 5 framgår att vid behandling av personuppgifter ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Säkerställandet ska ske med användning av lämpliga tekniska eller organisatoriska åtgärder.

Artikel 6 stadgar att behandling av personuppgifter endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt.

-Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ända- mål.

-Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

-Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

-Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

-Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning.

73

Den dataskyddsrättsliga regleringen

Ds 2024:11

- Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Särskilt om hanteringen av känsliga personuppgifter

Enligt artikel 9 gäller som huvudregel att behandling av känsliga personuppgifter, det vill säga uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, är förbjuden. Artikeln innehåller dock ett antal undantag från huvudregeln. Undantagen innebär att behandling av känsliga uppgifter kan vara tillåten bl.a. om behandlingen under vissa förutsättningar är nödvändig (artikel 9.2).

Av artikel 4.14 framgår att med biometriska uppgifter avses personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av den fysiska personen, såsom ansiktsbilder eller fingeravtrycks- uppgifter.

Enligt regeringens bedömning i förarbetena utgör endast ett vanligt fotografi, en film eller en annan bild av ett ansikte inte en biometrisk uppgift. Det krävs att bilden eller filmen har bearbetats tekniskt för att möjliggöra igenkänning, t.ex. med hjälp av ett program för automatisk ansiktsigenkänning (jfr prop. 2017/18:232 s. 85 f.). Av skäl 51 till förordningen framgår att behandling av foton inte systematiskt bör anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person.

74

Ds 2024:11

Den dataskyddsrättsliga regleringen

5.2.2Dataskyddsdirektivet

Allmänt om direktivet

När det gäller behandling av personuppgifter inom brotts- bekämpningen ska dataskyddsdirektivet tillämpas i stället för data- skyddsförordningen. Dataskyddsdirektivet är ett s.k. minimi- direktiv, vilket innebär att medlemsstaterna är oförhindrade att föreskriva strängare regler för behandling av personuppgifter. Eftersom direktiv inte är direkt tillämpliga i medlemsstaterna behövs en nationell lag som genomför bestämmelserna. Detta har i Sverige skett i huvudsak genom införandet av brottsdatalagen (2018:1177) (se avsnitt 5.3.2).

Liksom dataskyddsförordningen syftar dataskyddsdirektivet bl.a. till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till skydd av personuppgifter (artikel 1.2 a).

Enligt artikel 1.1 och artikel 2 är direktivet tillämpligt på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Av artikel 2 framgår vidare att direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av personuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personuppgiftsbehandling som utförs av unionens institutioner eller andra organ.

Direktivets begrepp personuppgifter har samma betydelse som i dataskyddsförordningen (artikel 3.1).

Begreppet personuppgiftsansvarig avser i direktivet en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgifts- ansvarige eller de särskilda kriterierna för hur denne ska utses före- skrivas i unionsrätten eller medlemsstaternas nationella rätt (artikel 3.8). Personuppgiftsbiträde beskrivs på samma sätt som i dataskyddsförordningen (artikel 3.9).

75

Den dataskyddsrättsliga regleringen

Ds 2024:11

Artikel 4 innehåller vissa grundläggande principer för behandling av personuppgifter. Enligt denna artikel ska medlemsstaterna före- skriva att personuppgifterna ska

-behandlas på ett lagligt och korrekt sätt,

-samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål,

-vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

-vara korrekta och, om nödvändigt, uppdaterade,

-inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas,

-behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.

Av artikel 4 följer vidare att behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlats in är tillåten, om den personuppgiftsansvarige har rätt att behandla person- uppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.

Av artikel 5 följer att medlemsstaterna ska föreskriva lämpliga tidsgränser för när personuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter, samt att det ska finnas procedurregler som säkerställer att dessa tidsgränser hålls.

Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom misstänkta, dömda, brottsoffer och andra som berörs av brott.

Av artikel 7 framgår att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är

76

Ds 2024:11

Den dataskyddsrättsliga regleringen

felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om felaktiga personuppgifter har överförts eller personuppgifter överförts olagligen ska mottagaren omedelbart underrättas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.

Enligt artikel 8 ska medlemsstaterna föreskriva att behandling av personuppgifter är laglig endast om och i den utsträckning behandlingen är nödvändig för att behöriga myndigheter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.

Artikel 9 stadgar bl.a. att personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. i direktivet inte får behandlas för andra ändamål än de för vilka uppgifterna samlats in, såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. Det följer också att när personuppgifter behandlas för andra ändamål än de som anges i artikel 1.1. i direktivet ska dataskyddsförordningen tillämpas i stället för dataskyddsdirektivet, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har anförtrotts andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse, statistiska ändamål och historiska eller vetenskapliga forskningsändamål.

I artikel 11 föreskrivs att medlemsstaterna ska förbjuda att beslut grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne. Ett undantag finns dock om automatisk behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, och det finns lämpliga skydds- åtgärder för den registrerades fri- och rättigheter, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida. Undantagslöst förbud ska dock, enligt artikel 11.3, gälla för profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter enligt artikel 10 (bl.a. automatisk rasprofilering).

77

Den dataskyddsrättsliga regleringen

Ds 2024:11

I artikel 13 finns bestämmelser om vilken information som medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska vara skyldig att göra tillgänglig för den registrerade. Det rör sig om uppgifter om a) personuppgiftsansvariges identitet och kontakt- uppgifter, b) kontaktuppgifter till dataskyddsombudet, c) ända- målen med personuppgiftsbehandlingen, d) rätten att lämna in klagomål till en tillsynsmyndighet samt tillsynsmyndighetens kontaktuppgifter, och e) rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter och begränsning av behandlingen av personuppgifter som rör den registrerade.

Av artikel 13.3 framgår att medlemsstaterna – i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionerlig i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen – får begränsa registrerades rätt till information i vissa syften. Sådana syften kan bl.a. vara att undvika att hindra rättsliga utredningar eller förfaranden, undvika menlig inverkan på förebyggande, för- hindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder, samt skydda andra personers rättigheter och friheter.

Särskilt om hanteringen av känsliga personuppgifter

I artikel 10 i dataskyddsdirektivet regleras behandlingen av känsliga personuppgifter. Precis som i dataskyddsförordningen handlar det i direktivet om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlem- skap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, upp- gifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Vad som är biometriska uppgifter definieras i artikel 3 i direktivet och utgör i allt väsentligt samma definition som i dataskydds- förordningen.

Till skillnad från dataskyddsförordningen är behandling av känsliga personuppgifter tillåten enligt direktivet endast om be- handlingen är absolut nödvändig (artikel 10). Av artikeln följer att

78

Ds 2024:11

Den dataskyddsrättsliga regleringen

det även måste finnas lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, samt att a) behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, b) behandlingen sker för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller c) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Kravet på att behandlingen ska vara absolut nödvändig gällde redan före dataskyddsdirektivet. Med hänvisning till skyddet av den grundläggande rätten till respekt för privatlivet, slog EU-domstolen fast att behandling av känsliga personuppgifter enligt 1995 års dataskyddsdirektiv måste vara strikt nödvändig för att vara tillåten (se bl.a. EU-domstolens dom av den 7 november 2013, IPI v. Geoffrey Englebert m.fl., C-473/12, EU:C:2013:715 och dom av den 8 april 2014, Digital Rights Ireland Ltd v Ireland, C-293/12, EU:C:2014:238).

För att bedöma om en behandling av känsliga personuppgifter är absolut nödvändig krävs att en noggrann avvägning görs mellan allmänhetens intresse och rätten till integritet. Vid en sådan avvägning måste ingå en bedömning av bl.a. risken för missbruk och diskriminering, samt vilka skyddsåtgärder som vidtas (jfr Artikel 29- arbetsgruppen för skydd av personuppgifter, Yttrande om vissa centrala frågor gällande direktivet om brottsbekämpning [EU 2016/680], s. 8). Vid bedömningen ska relevanta mänskliga rättig- heter beaktas, t.ex. rätten till privatliv enligt artikel 8 Europakonventionen samt artiklarna 3, 7 och 8 EU:s rättighets- stadga. EU-domstolen har uttalat att lagstiftaren i en medlemsstat är skyldig att undersöka om det finns andra möjliga, mindre långtgående åtgärder som inte inskränker rättigheterna i rättighetsstadgan (EU-domstolens dom av den 17 oktober 2013, Schwarz mot Stadt Bochum, C-291/12, EU:C:2013:670).

Det är naturligt att ju känsligare de personuppgifter som behandlas är, desto större hänsyn måste tas till nödvändighets- principen. Frågan om förenligheten mellan artikel 10 i direktivet och användning av AI för ansiktsigenkänning har ännu inte prövats av EU-domstolen.

79

Den dataskyddsrättsliga regleringen

Ds 2024:11

5.2.3EU:s förordning om artificiell intelligens (AI)

Den 13 mars 2024 antogs texten till den kommande EU- förordningen om AI11. Av artikel 1.1 framgår att syftet med förordningen är att förbättra den inre marknadens funktion och främja användningen av människocentrerad och tillförlitlig AI, samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan om de

grundläggande rättigheterna, inbegripet demokrati, rättsstatsprincipen och miljöskydd, mot de skadliga effekterna av AI-system i unionen, och att stödja innovation.

Förordningen bygger på en riskbaserad metod, där olika AI- system regleras på olika sätt beroende på vilken risk systemet anses utgöra. Med risk avses kombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad (artikel 3.2). Ett exempel på högrisksystem är alla system för biometrisk fjärridentifiering (se skäl 54). Sådana system omfattas därför av strikta krav i förordningen. Definitionen av system för biometrisk fjärr- identifiering är ett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med biometriska uppgifter i en referensdatabas (artikel 3.41). Användning av biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål är som utgångspunkt inte tillåten. Med realtid avses att insamling av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål och omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående (artikel 3.42).

Av artikel 5 framgår att medlemsstaterna får föreskriva att biometrisk fjärridentifiering i realtid för brottsbekämpande ändamål får användas, under vissa förutsättningar, endast när det är absolut nödvändigt i vissa begränsade situationer, bl.a. när det är nödvändigt för att söka efter ett försvunnet barn, för att förhindra ett specifikt och överhängande terroristhot eller för att upptäcka, lokalisera, identifiera eller lagföra en förövare eller misstänkt för ett allvarligt

11Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

80

Ds 2024:11

Den dataskyddsrättsliga regleringen

brott. För att få använda ett sådant system krävs som utgångspunkt tillstånd från ett rättsligt eller annat oberoende organ. Det krävs även lämpliga begränsningar i tid, geografisk räckvidd och de databaser som har sökts. Artikeln reglerar också hur utdata från systemet för biometrisk fjärridentifiering i realtid får användas.

Förordningen påverkar inte tillämpningen av befintlig unions- lagstiftning om behandling av personuppgifter (se skäl 10). Det ankommer på medlemsstaterna att inrätta och/eller utse myndigheter som i olika avseenden har i uppdrag att säkerställa att förordningen efterlevs (artikel 70). Kommissionen beslutade den 24 januari 202412 att inrätta en europeisk AI-byrå som ska övervaka efterlevnaden och genomförandet av förordningen. AI-byrån har även som uppdrag att utveckla unionens expertis och kapacitet på AI-området (se skäl 148).

5.3Den svenska dataskyddslagstiftningen

5.3.1Allmänt om den svenska regleringen

Den första svenska dataskyddsregleringen var 1973 års datalag, som tillkom på förslag av 1966 års Integritetsskyddskommitté. Samtidigt som lagen tillkom inrättades också den nya myndigheten Data- inspektionen, numera Integritetsskyddsmyndigheten. I en internationell jämförelse var Sverige förhållandevis tidigt med att utforma dataskyddsregler i syfte att värna enskildas rätt till personlig integritet.

Grundtanken i datalagen var att register över personuppgifter endast fick föras efter tillstånd från Datainspektionen (2 § datalagen) och för bestämda ändamål (5 § datalagen), samt att Data- inspektionen skulle utöva tillsyn över automatisk databehandling för att säkerställa att den inte innebar otillbörligt intrång i den per- sonliga integriteten (13 § datalagen).

Gällande datalagens uppbyggnad var registerbegreppet centralt. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som kan hänföras till den som avses med uppgiften (1 § datalagen). Med tiden kom datalagens registerbegrepp att kritiseras, eftersom

12Kommissionens beslut av den 24 januari 2024 om inrättande av Europeiska byrån för artificiell intelligens C(2024) 390.

81

Den dataskyddsrättsliga regleringen

Ds 2024:11

det inte fångade in eller i vart fall inte synes fånga in alla typer av behandling av personuppgifter (prop. 2017/18:232 s. 42). Dessutom hade Sverige efter EU-inträdet blivit skyldig att implementera 1995 års dataskyddsdirektiv. Direktivet genomfördes i Sverige genom personuppgiftslagen (1998:204), som därmed ersatte datalagen. I personuppgiftslagen ersattes datalagens registerbegrepp med uttrycket behandling av personuppgifter, i linje med terminologin i 1995 års dataskyddsdirektiv.

Personuppgiftslagen upphävdes i sin tur i samband med EU:s dataskyddsreform år 2018. Eftersom dataskyddsförordningen är direkt tillämplig i medlemsstaterna behövdes personuppgiftslagen inte ersättas. Emellertid infördes en lag med vissa kompletterande bestämmelser till dataskyddsförordningen (lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning [dataskyddslagen]). För att genomföra dataskyddsdirektivet i svensk rätt infördes brottsdatalagen (2018:1177). Därutöver finns bestämmelser om personuppgiftshantering bl.a. i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag) och lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter (säkerhetspolisens datalag).

5.3.2Brottsdatalagen

Översikt över lagen

Brottsdatalagen innehåller bestämmelser om bl.a. grundläggande krav på personuppgiftsbehandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skadestånd, överklagande och överföring av personuppgifter till länder utanför EU på områdena brottsbekämpning och upprätthållande av allmän ordning och säker- het.

I 1 kap. finns bl.a. bestämmelser om lagens syfte och tillämpningsområde. Av 1 kap. 2 § framgår att lagen, i likhet med dataskyddsdirektivet, är tillämplig på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen gäller också vid behandling

82

Ds 2024:11

Den dataskyddsrättsliga regleringen

av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.

Personuppgiftsbehandling som sker i andra syften omfattas inte av brottsdatalagen. Då är i stället dataskyddsförordningen och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning tillämpliga (samt i förekommande fall andra lagar). Utöver brottsdatalagen finns särskilda registerförfattningar med special- bestämmelser för myndigheter som behandlar personuppgifter på brottsdatalagens område. Författningarna tar hänsyn till de särskilda behov som dessa myndigheter har av att kunna behandla personuppgifter för att utföra sina arbetsuppgifter. Register- författningarna gäller utöver brottsdatalagen och innehåller precise- ringar, undantag eller avvikelser från lagen. För Polismyndigheten samt i viss mån Ekobrottsmyndigheten och Säkerhetspolisen gäller polisens brottsdatalag, med tillhörande förordning (2018:1942).

I 2 kap. brottsdatalagen finns bestämmelser om grundläggande krav på personuppgiftsbehandling. Dessa bestämmelser motsvarar de krav på medlemsstaterna som återfinns i dataskyddsdirektivet. De centrala bestämmelserna i 2 kap. är 1 § som anger de tillåtna rättsliga grunderna för personuppgiftsbehandling och 3 § som ställer upp ett krav på ett uttryckligt angivet berättigat ändamål för person- uppgiftsbehandlingen.

I 2 kap. 1 § första stycket stadgas att personuppgifter får behandlas, om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straff- rättsliga påföljder eller upprätthålla allmän ordning och säkerhet. EU-domstolen har i ett avgörande kommit fram till att ordet ”nödvändig” ska tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften (dom av den 16 december 2008, Heinz Huber v Bundesrepublik Deutschland, C- 524/06, EU:C:2008:724). Av paragrafens andra stycke framgår att med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller särskilt regeringsbeslut.

Enligt 2 kap. 3 § får personuppgifter bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.

83

Den dataskyddsrättsliga regleringen

Ds 2024:11

Ändamålet med behandlingen av personuppgifter ska således vara definierat innan behandlingen påbörjas.

Rättslig grund för behandling av personuppgifter och berättigat ändamål för behandling av personuppgifter är olika saker. För att ändamålet med behandlingen ska vara berättigat krävs dock en koppling till en rättslig grund. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Det finns inget som hindrar att flera parallella berättigade ändamål samtidigt är för handen. (Se prop. 2017/18:232 s. 115.)

Av 2 kap. 4 § första stycket framgår att innan personuppgifter får behandlas för ett nytt ändamål, det vill säga ett annat ändamål än det ändamål för vilket uppgifterna ursprungligen samlats in och behandlats, ska det säkerställas att det finns en rättslig grund enligt 1 § för den nya behandlingen, och att det är nödvändigt och proportionerligt att personuppgifterna behandlas även för det nya ändamålet. Av paragrafens andra stycke framgår att i den utsträckning skyldighet att lämna uppgifter följer av lag eller för- ordning ska någon prövning enligt första stycket inte göras.

Bestämmelsen i 2 kap. 4 § första stycket motsvarar i huvudsak artikel 4 i dataskyddsdirektivet och innebär att varje behandling av personuppgifter för ett visst nytt ändamål ska nå upp till samma rättsliga krav, oavsett om behandlingen avser personuppgifter som samlats in särskilt för det ändamålet, eller uppgifter som samlats in för något annat sammanhang och något annat ändamål. Här avses behandling av personuppgifter inom brottsdatalagens tillämpnings- område (jfr prop. 2017/18:232 s. 442). När det handlar om att behandla personuppgifter som ursprungligen samlats in och behandlats enligt brottsdatalagen för ändamål utanför lagens tillämpningsområde gäller i stället 2 kap. 22 §. I sistnämnda paragraf föreskrivs att det ska säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamål som ligger utanför lagens tillämpningsområde (exempelvis inom dataskyddsförordningens område). I den utsträckning det i lag eller förordning är föreskrivet en skyldighet att lämna ut personuppgifter ska någon sådan prövning inte göras.

I 2 kap. 6 § stadgas att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt. Av 7 § framgår att person-

84

Ds 2024:11

Den dataskyddsrättsliga regleringen

uppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade. Det framgår även att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Syftet med den senare bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen (prop. 2017/18:232 s. 444).

Av 2 kap. 8 § framgår att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

I 2 kap. 9 § föreskrivs att olika kategorier av personuppgifter så långt det är möjligt ska särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. I 2 kap. 10 § stadgas att personuppgifter som grundar sig på fakta så långt det är möjligt ska särskiljas från personuppgifter som grundar sig på personliga bedömningar. Bestämmelsen mot- svarar i huvudsak artikel 7 i dataskyddsdirektivet. I 17 § första stycket föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, den s.k. lagringsminimeringsprincipen.

Särskilt om hanteringen känsliga personuppgifter

Bestämmelser om behandling av känsliga personuppgifter finns i 2 kap. 11–14 §§. Dessa bestämmelser genomför, och motsvarar i huvudsak, artikel 10 i dataskyddsdirektivet.

I 2 kap. 11 § första stycket föreskrivs att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Av andra stycket framgår att personuppgifter som behandlas dock får kompletteras med sådana känsliga personuppgifter, när det är absolut nödvändigt för ändamålet med behandlingen. Andra stycket utgör således ett undantag från första styckets förbud mot behandling av vissa känsliga personuppgifter. Undantaget innebär bl.a. att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får de kompletteras med uppgifter om religiös övertygelse eller etniskt ursprung, om det är av betydelse för

85

Den dataskyddsrättsliga regleringen

Ds 2024:11

utredningen, exempelvis för att utreda hets mot folkgrupp. Vidare kan det under utredning av sexualbrott ibland vara befogat att anteckna uppgifter om den misstänktes sexualliv. (Se prop. 2017/18:232 s. 447.)

Av 2 kap. 12 § framgår att biometriska och genetiska uppgifter endast får behandlas, om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. För Polis- myndighetens, och i vissa situationer Säkerhetspolisens, vid- kommande finns en sådan särskild föreskrift i 2 kap. 4 § polisens brottsdatalag (se avsnitt 5.3.3).

Biometriska uppgifter definieras i 1 kap. 6 § på motsvarande sätt som i artikel 3 i dataskyddsdirektivet som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen.

Av 2 kap. 14 § framgår att det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter. Det är alltså som utgångspunkt inte tillåtet att söka fram listor med t.ex. personer med en särskild etnicitet. I polisens brotts- datalag finns dock vissa undantag från detta sökförbud (se avsnitt 5.3.3).

I 3 kap. finns bestämmelser om den personuppgiftsansvariges skyldigheter. Personuppgiftsansvarig definieras i 1 kap. 6 § som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Av 3 kap. 1 § följer att den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar. I 2–5 och 8 §§ finns bestämmelser om att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att person- uppgiftsbehandlingen är författningsenlig och att den registrerades rättigheter skyddas. Enligt 6 § ska den personuppgiftsansvarige se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

86

Ds 2024:11

Den dataskyddsrättsliga regleringen

5.3.3Polisens brottsdatalag

Översikt över lagen

Polisens brottsdatalag är en av de registerförfattningar som kompletterar brottsdatalagen i särskilda fall, bl.a. vad avser vissa myndigheters behandling av personuppgifter.

Lagens tillämpningsområde anges i 1 kap. 1 och 2 §§. Av 1 § framgår att lagen ska tillämpas av Polismyndigheten, när den be- handlar personuppgifter i syfte att förebygga, förhindra eller upp- täcka brottslig verksamhet, utreda eller lagföra brott, verkställa upp- börd eller upprätthålla allmän ordning och säkerhet. Lagen gäller också för Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upp- täcka brottslig verksamhet eller utreda eller lagföra brott. Lagen gäller även för Ekobrottsmyndigheten i vissa situationer. För Eko- brottsmyndigheten och Säkerhetspolisen gäller endast 1–4 och 7 kap.

I 1 kap. 2 § framgår att lagen inte gäller vid Polismyndighetens behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstanke- register, lagen (2006:444) om passagerarregister, eller lagen (2014:400) om Polismyndighetens elimineringsdatabas. I dessa lagar finns särskilda regler om Polismyndighetens behandling av person- uppgifter, som är tillämpliga i stället för polisens brottsdatalag. Enligt samma bestämmelse gäller lagen inte heller vid behandling av personuppgifter enligt Europaparlamentets och rådets förordningar (EU) 2018/1861 och (EU) 2018/1862 om inrättande, drift och användning av Schengens informationssystem (SIS) på vissa områden och inte heller vid behandling enligt lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen. Enligt beslutade men ännu inte ikraftträdda ändringar i 1 kap. 2 § polisens brottsdatalag gäller lagen vid behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2017/2226 om inrättande av ett gemensamt in- och utrese- system för registrering av uppgifter om tredjelandsmedborgare. Ändringarna träder i kraft den dag som regeringen bestämmer.

Säkerhetspolisens behandling av personuppgifter i verksamhet som rör nationell säkerhet faller helt utanför EU-rättens område och

87

Den dataskyddsrättsliga regleringen

Ds 2024:11

omfattas varken av dataskyddslagen eller brottsdatalagen. För behandling av personuppgifter i sådan verksamhet tillämpas i stället säkerhetspolisens datalag (se avsnitt 5.3.4).

I 2 kap. polisens brottsdatalag finns de grundläggande reglerna om polisens behandling av personuppgifter. I 1 § föreskrivs den rättsliga grunden för polisens behandling av personuppgifter enligt lagens tillämpningsområde. Där framgår att personuppgifter får behandlas, om det är nödvändigt för att en behörig myndighet ska kunna utföra en uppgift bestående i att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd, upprätthålla allmän ordning och säkerhet, eller fullgöra förpliktelser som följer av internationella åtaganden. Av 2 § framgår att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (se avsnitt 5.3.2).

I 2 kap. 7–14 §§ finns bestämmelser om utlämnande av person- uppgifter i vissa fall, såväl utlämnande från Polismyndigheten och Säkerhetspolisen som utlämnande till dessa myndigheter. Genom bestämmelserna bryts viss sekretess som annars skulle ha gällt enligt offentlighets- och sekretesslagen (2009:400) (OSL). I 2 kap. 8 § regleras t.ex. de brottsbekämpande myndigheternas rätt att, trots sekretess till skydd för enskild enligt 21 kap. 3 § första stycket OSL (viss sekretess till skydd för förföljda personer) och 35 kap. 1 § OSL (sekretess till skydd för enskild i bl.a. förundersökning), i den brottsbekämpande verksamheten få del av personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § polisens brottsdatalag.

I 3 kap. polisens brottsdatalag finns bestämmelser om behandling av personuppgifter som har gjorts gemensamt tillgängliga. Med att uppgifter gjorts gemensamt tillgängliga avses att de gjorts till- gängliga för en vidare personkrets inom en myndighet, t.ex. (men inte endast) i form av en sökbar databas. Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda, får uppgifterna alltid anses vara gemensamt tillgängliga. Exempel på detta är uppgifter i polisens nationella uppgifts- samlingar, men även lokala register där det inte på förhand har bestämts vilka personer som får ha tillgång till uppgifterna. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara

88

Ds 2024:11

Den dataskyddsrättsliga regleringen

gemensamt tillgänglig. Uppgifter som en annan brottsbekämpande myndighet har tillgång till genom direktåtkomst är alltid gemensamt tillgängliga. Om uppgifterna å andra sidan lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses gemensamt tillgängliga. (Se prop. 2009/10:85 s. 334.) En tumregel för hur många personer som kan ha tillgång till uppgifterna utan att de anses ha gjorts gemensamt tillgängliga är ett tiotal (a. prop. s. 128 f.).

I 3 kap. 2 § framgår vilka personuppgifter som får göras gemensamt tillgängliga. Som exempel kan nämnas uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten antingen innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller sker systematiskt (p. 1). Därutöver får också bl.a. uppgifter som behövs för övervakningen av en person som kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och som är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet göras gemensamt tillgänglig (p. 2). Vidare får alla uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott göras gemensamt tillgängliga (p. 3), liksom uppgifter som har rapporterats till Polismyndighetens ledningscentraler och uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet (p. 6 och 7). Därutöver föreskrivs i paragrafen ytterligare situationer när uppgifter får göras gemensamt tillgängliga.

I 3 kap. 3 och 4 §§ finns bestämmelser om att personuppgifter som har gjorts gemensamt tillgängliga ska förses med särskilda upplysningar. I 3 kap. 5 § föreskrivs en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar. Exempelvis får uppgifter tas fram som visar att den sökta personen är anmäld för brott eller är eller har varit misstänkt för brott (3 kap. 5 § första stycket 1 och 2).

I 3 kap. 7 § finns en bestämmelse som möjliggör direktåtkomst för de brottsbekämpande myndigheterna till varandras gemensamt tillgängliggjorda uppgifter, om direktåtkomsten sker i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet.

89

Den dataskyddsrättsliga regleringen

Ds 2024:11

I 4 kap. finns bestämmelser med tidsgränser för hur länge person- uppgifter får behandlas. Tidsgränserna kompletterar och konkretiserar den allmänna bestämmelsen i 2 kap. 17 § brottsdata- lagen som föreskriver att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Av 4 kap. 2 § polisens brottsdatalag framgår att personuppgifter som inte har gjorts gemensamt tillgängliga inte får behandlas längre än ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. I 7–11 §§ finns bestämmelser om den längsta tid under vilken personuppgifter som har gjorts gemensamt tillgängliga får behandlas. Den längsta tillåtna tiden för att behandla personuppgifterna varierar beroende på vilken grund i 3 kap. 2 § som uppgifterna gjorts gemensamt tillgängliga. När det gäller uppgifter som gjorts gemensamt tillgängliga på den grunden att de kan antas ha samband med misstänkt brottslig verksamhet som antingen innefattar brott för vilket det är före- skrivet fängelse i ett år eller mer eller som sker systematiskt får de enligt 4 kap. 7 § första stycket alltid behandlas i vart fall ett år efter det att ärendet avslutades. Enligt andra stycket får personuppgifter som gjorts gemensamt tillgängliga på samma grund men som inte behandlas i ett ärende inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksam- het som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes.

I 5 kap. finns bestämmelser om de behöriga myndigheternas rätt att föra olika typer av register, däribland polisens register över dna- profiler, fingeravtryck och signalement. Uppgifter om misstänkta och dömda får inte sammanblandas i dessa register (jfr 2 kap. 9 § brottsdatalagen).

Särskilt om hanteringen av känsliga personuppgifter

Bestämmelser om behandling av känsliga personuppgifter finns i 2 kap. 4–6 §§ polisens brottsdatalag. Av 2 kap. 4 § framgår att Polis-

90

Ds 2024:11

Den dataskyddsrättsliga regleringen

myndigheten och Säkerhetspolisen får behandla biometriska upp- gifter, om det är absolut nödvändigt för ändamålet med behandlingen. Denna bestämmelse är en sådan särskild föreskrift som avses i 2 kap. 12 § brottsdatalagen och ger lagligt stöd för Polismyndigheten och Säkerhetspolisen att använda t.ex. finger- avtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster för att identifiera en person. Behovet av att behandla sådana uppgifter måste prövas särskilt noga. (Se prop. 2017/18:269 s. 296.) Särskild hänsyn måste tas till i vilken mån motsvarande ändamål kan uppnås med en mindre omfattande behandling av personuppgifter.

I 2 kap. 5 och 6 §§ polisens brottsdatalag finns vissa undantag från förbudet i 2 kap. 14 § brottsdatalagen mot att söka på känsliga personuppgifter. Av 5 § framgår att sökförbudet inte hindrar att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, upp- gifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter som t.ex. hälsa eller sexuell läggning.

I 6 kap. polisens brottsdatalag finns särskilda bestämmelser om hantering av känsliga personuppgifter i den forensiska verksam- heten. Inom ramen för forensisk verksamhet gäller dessa bestämmelser i stället för 2–4 kap. polisens brottsdatalag. Forensisk verksamhet är ett sammanfattande begrepp för utveckling och tillämpning av metoder från olika vetenskapliga ämnesområden – t.ex. biologi, kemi eller teknologi – på frågeställningar om framför allt olika typer av fysiska spår som undersöks med anledning av misstanke om brott. All identifiering av t.ex. misstänka gärnings- personer utgör dock inte forensisk verksamhet. Forensisk verksam- het ställer särskilda krav på oberoende och vetenskaplig grund. Det är alltså bara de åtgärder som vilar på sådan grund som kan sägas vara forensiska åtgärder. I kravet på oberoende ligger bl.a. att forensiska undersökningar, analyser och jämförelser ska hanteras helt separat från annat utredningsarbete under en förundersökning (se t.ex. prop. 2017/18:269 s. 169). Detta innebär att åtgärder som vidtas av brottsbekämpande myndigheter inom ramen för ordinärt utredningsarbete typiskt sett inte är att anse som forensisk verksam- het. Gränsdragningen mellan forensiska ändamål och brotts- bekämpande ändamål diskuteras utförligt i prop. 2014/14:94 s. 56 f.

91

Den dataskyddsrättsliga regleringen

Ds 2024:11

5.3.4Säkerhetspolisens datalag

Som framgått ovan är brottsdatalagen och polisens brottsdatalag tillämpliga när Säkerhetspolisen behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Däremot är brottsdatalagen och polisens brottsdatalag inte tillämpliga på personuppgiftsbehandling som rör nationell säkerhet. Området nationell säkerhet omfattas överhuvud- taget inte av unionsrätten, varför inte heller dataskyddsförordningen eller dataskyddsdirektivet är tillämpliga på personuppgifts- behandling på det området.

När Säkerhetspolisen i sin brottsbekämpande och lagförande verksamhet behandlar personuppgifter som rör nationell säkerhet är i stället säkerhetspolisens datalag tillämplig. Lagen innehåller bestämmelser om bl.a. grundläggande krav på personuppgifts- behandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skadestånd, överklagande och överföring av person- uppgifter till tredjeland. Dessa bestämmelser överensstämmer i stort med brottsdatalagens bestämmelser.

92

Kamerabevakning

Ds 2024:11

Kamerabevakningslagens syfte är att tillgodose behovet av kamerabevakning för berättigade ändamål och att skydda fysiska personer mot otillbörligt intrång i den personliga integriteten vid sådan bevakning (2 §). Avsikten med lagen är alltså att reglera kamerabevakning på ett sätt som innebär en lämplig balans mellan nyttan med kamerabevakning och skyddet av den personliga integriteten (prop. 2017/18:231 s. 135).

Med kamerabevakning avses i lagen att en tv-kamera, ett annat optisk-elektroniskt instrument eller en därmed jämförbar utrustning, utan att manövreras på platsen, används på ett sätt som innebär varaktig eller regelbundet upprepad personbevakning (3 §). Med platsen menas den plats där utrustningen finns. Utrustningen kan finnas antingen på en fast plats, t.ex. på en fasad, på en inomhus- vägg, i ett tak eller på en stolpe, eller på en rörlig plats, t.ex. på eller i ett fordon, ett fartyg eller en drönare eller ett annat luftfartyg. Med att utrustningen används utan att manövreras på platsen avses att den fortlöpande hanteringen av utrustningen sker på ett ställe som är klart åtskilt från den plats där utrustningen finns. Endast det förhållandet att utrustningen sätts i gång på stället eller fungerar med inbyggd automatik innebär inte att den manövreras på platsen. Utrustning som finns i användarens omedelbara närhet och som fortlöpande styrs av användaren är däremot manövrerad på platsen. Lagen omfattar därför inte exempelvis handhållna eller kroppsburna kameror. (Se prop. 2017/18:231 s. 136.)

En förutsättning för att lagen ska vara tillämplig är att kamera- bevakningen används på ett sådant sätt att det är möjligt att identifiera personer som blir föremål för bevakningen, det vill säga att det är fråga om personbevakning. Det förutsätts också att bevakningen pågår under en viss tid eller med vissa regelbundna intervaller (prop. 2017/18:231 s. 136).

Kamerabevakningslagen gäller även i fråga om ljudupptagning som sker i anslutning till kamerabevakningen, liksom vid användning av tekniska anordningar som används för att behandla bild- och ljudmaterial (3 § 2 och 3).

Som huvudregel krävs tillstånd till kamerabevakning, om bevakningen ska bedrivas av en myndighet eller annan än myndighet vid utförande av en uppgift av allmänt intresse och av en plats dit allmänheten har tillträde (7 §). Till platser dit allmänheten har tillträde räknas exempelvis gator, torg och parker, men också

94

Ds 2024:11

Kamerabevakning

transportmedel som används för allmänna kommunikationer eller evenemang dit vem som helst kan lösa en biljett (prop. 2017/18:231 s. 59).

Av 5 § framgår att lagen bl.a. inte gäller vid hemlig kamera- övervakning enligt 27 kap. RB eller lagen om åtgärder för att förhindra vissa särskilt allvarliga brott.

Sedan den 1 januari 2020 krävs inget tillstånd till kamera- bevakning som bedrivs av Kustbevakningen, Polismyndigheten, Säkerhetspolisen eller Tullverket (9 § första stycket 1). Tillstånds- kravet togs bort för att förbättra dessa myndigheters möjlighet att bekämpa och lagföra brott med hjälp av kamerabevakning (prop. 2018/19:147 s. 1).

Trots undantaget från tillståndskravet är som huvudregel en förutsättning för att de uppräknade myndigheterna ska få bedriva kamerabevakning av en plats dit allmänheten har tillträde att intresset av sådan bevakning väger tyngre än den enskildes intresse av att inte bli bevakad. Vid denna bedömning ska 8 § andra och tredje styckena tillämpas (14 a §) (se vidare avsnitt 6.2.1). Enligt 14 b § ska en dokumenterad bedömning av om förutsättningarna i 14 a § är uppfyllda göras innan myndigheten påbörjar kamerabevakningen. En ny dokumenterad bedömning ska göras innan myndigheten ändrar bevakningen på ett betydande sätt som ökar risken för intrång i den enskildes personliga integritet. Detsamma gäller om förhållandena på den plats som bevakas ändras på ett betydande sätt som minskar intresset av bevakningen eller ökar risken för intrång i den enskildes personliga integritet.

Viss typ av kamerabevakning är undantagen från kravet på en dokumenterad intresseavvägning, exempelvis Polismyndighetens kamerabevakning vid automatisk hastighetsövervakning och i gräns- nära områden samt bevakning av vissa i 9 § utpekade platser när bevakningen har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott (14 c §). I 14 d § finns ytterligare undantag från kravet på tillstånd och att en dokumenterad intresseavvägning ska göras gällande viss tids- begränsad kamerabevakning. Det gäller bl.a. kamerabevakning som Polismyndigheten eller Säkerhetspolisen bedriver under högst tre månader, om det av särskild anledning finns risk för allvarlig brottslighet och syftet med bevakningen är att förebygga, förhindra

95

Kamerabevakning

Ds 2024:11

eller upptäcka sådan brottslig verksamhet eller utreda eller lagföra sådana brott.

Enligt 15 § första stycket ska en upplysning om kamerabevakning lämnas genom tydlig skyltning eller på något annat verksamt sätt. I andra stycket föreskrivs att om ljud kan avlyssnas eller tas upp vid bevakningen, ska en särskild upplysning lämnas om detta. I tredje stycket finns en upplysning om att bestämmelser om rätten till information om den personuppgiftsbehandling som kamera- bevakningen innebär finns i dataskyddsförordningen och andra föreskrifter som anges i 6 §.

Det är viktigt från integritetssynpunkt att den som blir bevakad informeras om bevakningen på ett tydligt sätt. Detta möjliggör för enskilda att anpassa sig till att platsen är kamerabevakad och, i många fall, välja om de vill bli föremål för sådan övervakning. Att bevakningen är känd är också av avgörande betydelse för att den ska vara effektiv i brottsförebyggande syfte. (Se prop. 2017/18:231 s. 88.)

Det vanligaste sättet att uppfylla kravet på upplysning är genom tydlig skyltning i direkt anslutning till den plats som kamerabevakas. Upplysningsplikten ersätter inte de allmänna regler om information som finns i dataskyddsförordningen och brottsdatalagen. Sådan ytterligare information kan lämnas på en skylt som upplyser om kamerabevakningen men kan också göras tillgänglig på något annat sätt, exempelvis genom en hänvisning till en webbsida (prop. 2018/19:147 s. 18).

Från upplysningsplikten finns vissa undantag reglerade i 16 och

17 §§. Av 16 § första stycket framgår bl.a. att upplysning om kamerabevakning och information om den personuppgifts- behandling som kamerabevakningen innebär inte behöver lämnas vid bevakning som Polismyndigheten bedriver vid automatisk hastighetsövervakning eller vid bevakning som bedrivs i brådskande fall från ett luftfartyg av Polismyndigheten eller Säkerhetspolisen, om det av särskild anledning finns risk för allvarlig brottslighet och syftet med bevakningen är att förebygga, förhindra eller upptäcka sådan brottslig verksamhet eller utreda eller lagföra sådana brott. Av 16 § andra stycket framgår att undantagen i första stycket inte gäller om ljud ska avlyssnas eller tas upp vid kamerabevakningen. Av 17 § framgår att tillsynsmyndigheten, om det finns synnerliga skäl, får besluta i enskilda fall om undantag från upplysningskravet och rätten

96

Ds 2024:11

Kamerabevakning

till information om den personuppgiftsbehandling som kamera- bevakningen innebär. Undantagen tillkom bl.a. med hänvisning till att integritetsintrånget i vissa fall är begränsat och att själva syftet med bevakningen skulle motverkas genom ett ovillkorligt krav på upplysning (se bl.a. prop. 1989/90:119 s. 30).

Kamerabevakningslagen innehåller även bestämmelser om bl.a. tillsyn, sanktionsavgifter och skadestånd (23–28 §§). Integritets- skyddsmyndigheten är den myndighet som utövar tillsyn över kamerabevakning enligt kamerabevakningslagen (2 § förordningen [2007:975] med instruktion för Integritetsskyddsmyndigheten).

6.2.1Särskilt om intresseavvägningen

I de fall det vid kamerabevakning ska göras en intresseavvägning enligt 8 § kamerabevakningslagen ska det enligt paragrafens andra stycke särskilt beaktas om bevakningen behövs för att

1)förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott på en brottsutsatt plats eller på en annan plats där det av särskild anledning finns risk för angrepp på någons liv, hälsa eller trygghet eller på egendom,

2)förebygga, förhindra eller upptäcka störningar av allmän ordning och säkerhet eller begränsa verkningarna av sådana störningar,

3)utöva kontrollverksamhet,

4)förebygga, förhindra eller upptäcka olyckor eller begränsa verkningarna av inträffade olyckor, eller

5)tillgodose andra därmed jämförliga ändamål.

Vid bedömningen av den enskildes intresse av att inte bli bevakad ska, enligt tredje stycket i samma paragraf, särskilt beaktas

1.) hur bevakningen ska utföras,

2.) om teknik som främjar skyddet av den enskildes personliga integritet ska användas, och

3.) vilket område som ska bevakas.

97

Kamerabevakning

Ds 2024:11

Gällande punkten 1 i första stycket tar den inte enbart sikte på brott som begås på platsen eller brott som redan har begåtts. Även kamerabevakning som sker inom ramen för underrättelse- verksamhet omfattas av bestämmelsen (SOU 2021:92 s. 315). Med en brottsutsatt plats menas en plats där det finns problem med brottslighet. Med detta avses inte varje plats där det någon gång har inträffat enstaka brott. Däremot krävs inte att brottsligheten är ovanligt hög på platsen i förhållande till andra jämförbara platser för att platsen ska betraktas som brottsutsatt. Exempel på platser som förutsätts vara brottsutsatta är bl.a. knutpunkter för allmänna kommunikationer. (Se prop. 2017/18:231 s. 143.)

De ändamål som räknas upp i 8 § andra stycket är inte uttömmande. Även bevakning för andra ändamål kan komma i fråga, så länge de kan anses vara berättigade och intresset av bevakningen väger tyngre än integritetsintresset i det enskilda fallet. Om kamera- bevakning ska bedrivas i situationer som inte nämns uttryckligen i bestämmelsen kan det dock krävas mer ingående överväganden av behovet av kamerabevakning i förhållande till integritetsriskerna och av hur dessa risker kan minskas. (Se prop. 2017/18:231 s. 70 och 144.)

För att bevakningsintresset ska kunna väga tyngre än den enskildes intresse av att inte bli bevakad är en första förutsättning att det finns en rättslig grund för kamerabevakningen i den tillämpliga personuppgiftsregleringen. Därutöver ska en helhets- bedömning av omständigheterna i det enskilda fallet göras. Det räcker att intresset av kamerabevakning väger över det motstående intresset för att tillstånd ska ges. (Se a. prop. s. 142.)

I förarbetena till kamerabevakningslagen uttalade regeringen att det var angeläget att lagstiftningen på ett tydligare sätt tar hänsyn till såväl intresset av att förebygga brott som intresset av att utreda och lagföra framtida brott. Det bör därför räcka att en plats kan betraktas som brottsutsatt för att detta förhållande ska beaktas särskilt vid tillståndsprövningen. Regeringen framhöll även att kamera- bevakningslagen bör innehålla bestämmelser om vilka särskilda hänsyn som ska tas vid tillståndsprövningen eftersom detta är en nödvändig förutsättning för en enhetlig och ändamålsenlig rätts- tillämpning på området. Vad som är en laglig och rättvis behandling av personuppgifter avgörs dock i slutändan genom en tillämpning av regleringen i de olika dataskyddsregleringarna. Detta innebär att

98

Ds 2024:11

Kamerabevakning

tillståndsprövningen inom dataskyddsdirektivets tillämpnings- område primärt ska utgå från en bedömning av om kamera- bevakningen är förenlig med regleringen i brottsdatalagen eller annan personuppgiftsreglering som genomför dataskyddsdirektivet. Regeringen underströk även att kamerabevakning många gånger bör betraktas som ett naturligt hjälpmedel och som ett komplement till andra åtgärder. Detta innebär att andra åtgärder inte nödvändigtvis måste prövas innan kamerabevakning tillåts. (Se a. prop. s. 64 ff., 73 och 142 f.)

6.3Personuppgiftsbehandling

När en bevakningskamera fångar en person på bild, på ett sätt som gör att personen kan identifieras, är det fråga om personuppgifts- behandling. Begreppet personuppgifter innefattar varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet. Detta framgår bl.a. av 1 kap. 6 § brottsdatalagen. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare, såsom ett namn eller en annan uppgift som kan härledas till en persons identitet. För att en fysisk person ska anses vara identifierad krävs alltså inte att hans eller hennes fullständiga legala identitet, i form av t.ex. namn eller personnummer, kan fastställas. Det är tillräckligt att personen kan individualiseras och med tillräcklig säkerhet kännas igen. (Jfr t.ex. skäl 21 och artikel 3.1 dataskyddsdirektivet. Se också prop. 2017/18:232 s. 88.)

En uppgift som kan härledas till en fysisk person först efter att ha sammanförts med annan information eller genom användning av andra hjälpmedel är också en personuppgift. Det innebär t.ex. att ett fordons registreringsnummer som samlats in genom kamera- bevakning under vissa förhållanden kan vara att anse som en personuppgift, om en fysisk person är registrerad ägare till fordonet. Detta eftersom identiteten på fordonets ägare enkelt kan tas fram genom uppgifter i vägtrafikregister. Om ett fordon kan knytas till en identifierad person med hjälp av registreringsnumret kan även annan information om denne framkomma genom att fordons- uppgifterna sammanförs med andra uppgifter. Exempelvis kan en uppgift om tid och plats för när ett fordon passerat en viss

99

Kamerabevakning

Ds 2024:11

kamerapunkt ge information om en fysisk persons rörelser eller resvanor, vilket också utgör en personuppgift. Registreringsnummer bör därför i vart fall som utgångspunkt betraktas som person- uppgifter, trots att fordon också kan stå registrerade på juridiska personer vilka inte skyddas av personuppgifts- och dataskydds- regleringen (jfr resonemanget i SOU 2021:92 s. 386).

För att få behandla personuppgifter krävs att det bl.a. finns en rättslig grund och ett konkret ändamål (se bl.a. prop. 2018/19:147 s. 11 f.). Kamerabevakningslagen reglerar särskilt den personuppgifts- behandling som sker vid kamerabevakning. Bestämmelserna i lagen kompletterar dataskyddsförordningen och genomför dataskydds- direktivet, men lagen innehåller även bestämmelser som inte omfattas av dataskyddsförordningen och dataskyddsdirektivet (1 § kamerabevakningslagen). När en viss fråga inte är reglerad i kamera- bevakningslagen gäller alltså de allmänna bestämmelserna i data- skyddsförordningen eller dataskyddsdirektivet med anslutande föreskrifter i andra författningar. Detta kan uttryckas som att kamerabevakningslagen preciserar och kompletterar den allmänna dataskyddsrättsliga lagstiftningen men, till skillnad från den tidigare kameraövervakningslagen (2013:460), inte gäller i stället för den allmänna dataskyddsregleringen.

Vid kamerabevakning avgör syftet med bevakningen vilka regler som är tillämpliga på personuppgiftsbehandlingen. Enligt 2 kap. 1 § brottsdatalagen finns det rättslig grund för behandling av personuppgifter bl.a. om behandlingen är nödvändig för att behöriga myndigheter ska kunna utföra sina uppgifter att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Särskilda bestämmelser om rättslig grund finns även i bl.a. säkerhetspolisens datalag.

När myndigheterna bedriver kamerabevakning för andra ändamål än inom brottsbekämpningen, exempelvis vissa former av kontroll eller tillsyn, gäller i regel dataskyddsförordningen och dataskydds- lagen med anslutande föreskrifter. Om kamerabevakningen inte är nödvändig för de syften som anges i dessa regelverk är bevakningen över huvud taget inte tillåten (SOU 2021:92 s. 302).

100

Ds 2024:11

Kamerabevakning

6.4Kamerabevakning med ANPR-teknik

Automatic number plate recognition (ANPR), eller automatisk igen- känning av registreringsskyltar, är ett samlingsbegrepp för system som använder sig av maskinläsning för att automatiskt läsa av fordons registreringsskyltar. Det är ett tekniskt verktyg för bild- analys, som används tillsammans med en kamera som fotograferar ett fordon. Ett ANPR-system består av en eller flera kameror som, tillsammans med en mjukvara kan urskilja och tolka registrerings- skyltar på fordon. Därutöver brukar tid och plats för ett fordons passage registreras av systemet. Beroende på hur kameran ställs in kan även andra fordonsspecifika kännetecken utöver registrerings- nummer registreras av systemet, t.ex. uppgifter om fordonstyp, fordonsmodell eller färg. Därutöver kan ofta ett fordons registreringsland gå att utläsa av registreringsskylten, eftersom det där ofta finns en nationalitetsbeteckning. Precis som bevaknings- kameror i allmänhet kan en kamera som utrustas med ANPR-teknik användas så att den även samlar in bild på förare eller passagerare i fordonet. För närvarande används inte ANPR-tekniken på det sättet av svenska brottsbekämpande myndigheter.

Sedan år 2015 använder bl.a. Polismyndigheten ANPR-teknik i polisbilar i syfte att beivra vissa trafikbrott. Denna användning av ANPR-teknik går till på följande sätt. Transportstyrelsen skickar information till Polismyndigheten om fordon som har olika identifierade ”brister”. Det kan t.ex. röra sig om att fordonet har körförbud, saknar försäkring, är avställt eller rapporterat stulet. Denna information bearbetas därefter av Polismyndigheten till särskilda s.k. bevakningslistor, som lagras i en central databas. När en polis-patrull loggar in i polisbilens ANPR-system laddas bevakningarna från databasen automatiskt ned i en lokal dator i polisbilen. Informationen används sedan genom att kameror i bilen automatiskt läser av mötande och framförvarande fordons registreringsskyltar. När ANPR-systemet upptäcker en registreringsskylt som förekommer i en bevakningslista notifieras patrullen om att det aktuella fordonet har en brist. Notifieringen sker endast lokalt i den polisbil som upptäckt fordonet, och den patrull som framför polisbilen kan därefter vidta lämpliga åtgärder. Utöver användning av ANPR-teknik i polisbilar pågår inom Polismyndigheten ett arbete med att bygga upp ett system för fast

101

Kamerabevakning

Ds 2024:11

kamerabevakning med ANPR-teknik i s.k. gränsnära områden enligt lagen (2023:474) om polisiära befogenheter i gränsnära områden. Lagen trädde i kraft den 1 augusti 2023. Tullverket använder redan i dag fasta kameror med ANPR-teknik i sin verksamhet (se avsnitt 6.5.4).

Kamerabevakningslagen är tillämplig på sådan kamerabevakning som beskrivs i 3 och 4 §§. Av 3 § framgår bl.a. att med kamera- bevakning avses sådan bevakning som sker med kameror som används ”utan att manövreras på platsen”. Med att en kamera manövreras på platsen avses att den inte fortlöpande hanteras från en plats som är klart åtskild från den där kameran är uppsatt. Detta innebär bl.a. att lagen inte är tillämplig på handhållna kameror (prop. 2017/18:231 s. 40). Kamerabevakning som sker genom rörliga kameror i vindrutan på en polisbil omfattas inte av kamera- bevakningslagens tillämpningsområde så länge någon framför polis- bilen. Eftersom föraren i en sådan situation startar och stänger av kameran, samt avgör vad som ska filmas genom att styra fordonet, anses kameran vara manövrerad på platsen. (Se HFD 2016 ref. 71 [II].) Det torde sannolikt vara möjligt att anse att en kamera som på detta sätt är fäst i vindrutan på en polisbil är manövrerad på platsen även om de poliser som kör polisbilen helt tillfälligtvis och kort- varigt, t.ex. inom ramen för ett ingripande, avlägsnar sig från bilen, i vart fall så länge de inte avlägsnar sig någon längre sträcka från den. (Jfr Integritetsskyddsmyndighetens yttrande den 16 december 2021 Förhandssamråd enligt brottsdatalagen – kameror på och i polisfordon, dnr DI-2021-8344.)

För kamerabevakning som sker med fasta kameror är huvudregeln att kamerabevakningslagen gäller. Av bestämmelsen i 8 § kamerabevakningslagen följer att Polismyndigheten och Säker- hetspolisen som huvudregel ska göra en dokumenterad intresse- avvägning före kamerabevakning inleds. Vid bedömningen ska faktorer som framgår av paragrafens andra och tredje stycken beaktas. Vid vissa situationer gäller dock inte kravet på att en dokumenterad intresseavvägning måste göras (se 14 c § kamera- bevakningslagen).

En kamera som är utrustad med ANPR-teknik kan användas för att samla in vad som enligt dataskyddsdirektivet och brottsdatalagen är att betrakta som personuppgifter. Oavsett om kamerabevakning sker med fasta eller rörliga kameror måste kamerabevakning med

102

Ds 2024:11

Kamerabevakning

ANPR-teknik alltså ske i enlighet med tillämpliga dataskydds- rättsliga regler. Det innebär bl.a. att det måste finnas en rättslig grund och ett konkret ändamål med insamlingen och bearbetningen. Det ska även göras en bedömning av i vilken omfattning behandlingen är nödvändig och proportionerlig i förhållande till de personuppgifter som kan förväntas samlas in av kameran och därmed beröras av eventuell efterföljande behandling.

I samband med att undantaget om kamerabevakning i s.k. gräns- nära områden infördes i kamerabevakningslagen infördes även en specialreglering i 13 § lagen (2023:474) om polisiära befogenheter i gränsnära områden avseende behandling av personuppgifter som rör fordon som har samlats in genom kamerabevakning i sådana områden. Dessa personuppgifter får alltid behandlas av Polis- myndigheten och Säkerhetspolisen i sex månader efter det att uppgifterna samlats in, om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Detta gäller dock inte för personuppgifter i form av bilder av enskilda. Bestämmelsen avser bl.a. att möjliggöra att ANPR-teknik ska kunna användas i större utsträckning i gränsnära områden.

6.5Kamerabevakning i vissa myndigheters verksamhet

6.5.1Polismyndigheten

Polismyndigheten har i uppdrag att bl.a. förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten, övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat, utreda och beivra brott som hör under allmänt åtal. Polisens arbete ska syfta till att upprätthålla allmän ordning och säkerhet samt att i övrigt till- försäkra allmänheten skydd och annan hjälp (se 1 och 2 §§ polislagen [1984:387]).

För att fullgöra sitt uppdrag bedriver Polismyndigheten bl.a. kamerabevakning på ett antal allmänna platser i landet med både fasta, tillfälliga och mobila kameralösningar som exempelvis drönare. Det kan röra sig om kontinuerlig bevakning av vissa gator och torg men också tillfällig bevakning i samband med

103

Kamerabevakning

Ds 2024:11

demonstrationer, festivaler, fotbollsmatcher och andra evenemang. Syftet med bevakningen är att upprätthålla allmän ordning och säkerhet, förebygga, förhindra eller upptäcka brottslig verksamhet på platsen och att i efterhand kunna utreda eller lagföra brott. Kamerorna ger också polisen bättre förutsättningar att effektivt leda och fördela sina resurser och kan bidra till att öka tryggheten i samhället. (Se SOU 2021:92 s. 196.)

Kamerateknik används även som ett verktyg i polisbilar. Det är då bl.a. fråga om kameror med ANPR-teknik som läser av registreringsnummer på passerande fordon och jämför informationen mot ett antal register.

Poliser i yttre tjänst i vissa regioner har i dag kroppskameror som kan spela in bild och ljud. Kamerorna kan bidra till att minska våld och hot mot polisen samt öka tryggheten för de personer som blir föremål för ett ingripande. Dessutom kamerabevakas flera av Polismyndighetens lokaler. (Se a. SOU s. 196 f.)

En stor del av Polismyndighetens kameramaterial lagras i myndighetens nationella kameraplattform. Allt bildmaterial lagras emellertid inte. Avsikten med kameraplattformen är att den ska vara utformad i enlighet med de grundläggande principer som ska genomsyra all personuppgiftsbehandling, däribland inbyggt data- skydd, krav på loggning och skydd mot att obehöriga får tillgång till uppgifterna. För att ta del av bildmaterialet i kameraplattformen krävs en personlig behörighet som tilldelas efter särskild ansökan. Innan en anställd vid Polismyndigheten får tilldelas behörighet till kameraplattformen ska han eller hon ha tagit del av myndighetens riktlinjer för användning av kameraplattsformen och genomgått en särskild utbildning med godkänt resultat. Det finns bl.a. en särskilt framtagen utbildning för kroppsburna kameror.

Behörigheten för åtkomst till kameraplattformen skiljer sig åt beroende på behov. Anställda i yttre tjänst har typiskt sett tillgång till bildmaterial från ett begränsat antal fasta och tillfälligt uppsatta kameror i sin region i realtid, inklusive ett begränsat inspelat material. Andra, exempelvis utredare, har enbart tillgång till inspelat material i viss omfattning. Vad gäller kroppsburna kameror har den enskilde polisen enbart behörighet till sitt eget inspelade material som överförts till kameraplattformen under en begränsad tid i enlighet med gällande riktlinjer. Behörigheten kan begränsas genom att enbart omfatta stationär åtkomst, men inte s.k. ”mobil access”.

104

Ds 2024:11

Kamerabevakning

Vid mobil access har den anställde tillgång till det material som omfattas av den anställdes behörighet via sin mobiltelefon eller dylikt. Behovet av mobil access finns bl.a. för personal i yttre tjänst som behöver kunna se vad som händer på en viss plats men som inte har tillgång till sin dator under arbetspasset. Utöver det ovanstående har endast särskilt utsedd personal behörighet att exportera material från kameraplattformen. Sådan behörighet förutsätter att personalen har genomgått en särskild utbildning och ansökt om en särskild behörighet för det ändamålet.

6.5.2Trafikverket

Trafikverket är ansvarig myndighet för den statliga väghållningen (5 och 6 §§ väglagen [1971:948]). Med utgångspunkt i ett trafikslags- övergripande perspektiv ska Trafikverket ansvara för den långsiktiga infrastrukturplaneringen för vägtrafik, järnvägstrafik, sjöfart och luftfart samt för byggande och drift av statliga vägar och järnvägar (1 § förordningen [2010:185] med instruktion för Trafikverket).

Trafikverket har cirka 6 500 kameror runt om i Sverige. Kamerorna finns bl.a. vid vägar, järnvägar och färjelägen. Vissa av kamerorna är påslagna hela tiden medan andra endast är påslagna vissa förinställda tider beroende på bevakningens syfte. Kamerorna används bl.a. för att kontrollera fordons hastighet, läsa av väglaget, ge information om situationen i trafiken, hantera broöppningar och ge underlag till exempelvis Transportstyrelsen för att kunna ta ut avgifter och skatter kopplade till vägtrafiken.

Av 9 § kamerabevakningslagen framgår att Trafikverket får bedriva kamerabevakning utan tillstånd, om bevakningen avser väg- trafik, sjötrafik vid en rörlig bro, en betalstation eller kontrollpunkt som avses i bilagorna till lagen (2004:629) om trängselskatt och som sker för att samla in uppgifter som behövs för att beslut om trängsel- skatt ska kunna fattas och för att kontrollera att sådan skatt betalas, eller en betalstation på allmän väg som används vid uttag av infrastrukturavgifter enligt lagen (2014:52) om infrastrukturavgifter på väg och som sker för att samla in uppgifter som behövs för att beslut om infrastrukturavgift ska kunna fattas och för att kontrollera att sådan avgift betalas.

105

Kamerabevakning

Ds 2024:11

Trafikverket bedriver kamerabevakning på järnvägsplattformar och dess anslutningar, såsom exempelvis under- och övergångar, rulltrappor och trappor. I de fall kommunen förvaltar järnvägs- plattformarnas anslutningar bedriver Trafikverket ingen kamera- bevakning. Trafikverket kamerabevakar inte heller stationshus eftersom myndigheten inte förvaltar dessa. De flesta av Trafikverkets kameror på järnvägsplattformar ger en detaljerad bild för identifikation. Syftet med kamerabevakningen kan vara flera. Det kan bl.a. handla om att bekämpa brott, förebygga olyckor eller ge underlag för behov av underhåll av plattformarna. Sedan tillstånds- kravet i kamerabevakningslagen togs bort för Trafikverkets kamerabevakning bygger myndigheten sin kamerabevakning så att den alltid kan identifiera personer vid något tillfälle när de anländer på plattformen eller vid över- och undergångar, både som avresande och ankommande. Materialet från kameror vid järnvägsplattformar sparas i sju dagar. Alla kameror på järnvägsplattformar hanterar strömmande bilder.

Trafikverket bedriver även kamerabevakning på vissa färjor och vid vissa färjelägen. Syftet med kamerabevakningen är lastplanering. Dessa kameror spelar inte in något material.

I vägtrafiken bedriver Trafikverket olika typer av kamera- bevakning, bl.a. i tunnlar, på vägars ytskikt, vid betalstationer och kontrollpunkter för trängselskatt och infrastrukturavgifter samt på olycksdrabbade vägar i form av trafiksäkerhetskameror. Kamerorna som bevakar vägytan och i tunnlar visar en översiktsbild av trafik- läget och registrerar vanligen inte uppgifter om enskilda personer eller registreringsskyltar. Dessa kameror hanterar strömmande bilder men alla spelar inte in och något material lagras då inte.

Verksamheten med trafiksäkerhetskameror bygger på ett samarbete mellan Trafikverket och Polismyndigheten. Det gemensamma uppdraget är att öka trafiksäkerheten längs vägarna. Vid årsskiftet 2023/24 fanns det omkring 2 500 trafiksäkerhets- kameror. Kamerorna mäter fordonets hastighet med hjälp av radar och fotograferar bara när någon kör fortare än vad som är tillåtet på vägen. Fotograferingen sker av aktuellt fordons registreringsskyltar och förarens ansikte. Kamerorna är placerade utmed det statliga väg- nätet. (Se www.trafikverket.se.) Trafiksäkerhetskamerorna kan vara fast placerade vid vägkanten eller monterade i en släpvagn. Trafik- verket ansvarar för de fasta kamerorna och Polismyndigheten för de

106

Ds 2024:11

Kamerabevakning

mobila. Myndigheterna är gemensamt ansvariga för hur och i vilken omfattning trafiksäkerhetskamerorna ska användas.

Kameror som är uppställda för att kunna ta ut trängselskatt och infrastrukturavgift genererar stillbilder som innehåller information om passerande fordons registreringsskylt, fram och bak, samt tid och plats för passagen. Bilderna skickas till Transportstyrelsen som använder bilderna för att kunna fullgöra sitt uppdrag om avgifts- och skattebeläggning. Vid ett omprövningsärende får även Skatteverket del av bilderna.

Som framgått ovan är det inte alla kameror som genererar strömmande bilder som spelar in material. De kameror som spelar in ger olika typer av material. Vissa kameror genererar bilder som ger detaljerad information och innehåller bl.a. personuppgifter medan andra enbart ger en översiktsbild av trafikläget. Stillbilder från olika kameror sparas i vart fall under en tid. Material från Trafikverkets kameror delas på olika sätt med andra myndigheter när det behövs för att fullgöra olika lagstadgade uppdrag (se avsnitt 8).

6.5.3Transportstyrelsen

Transportstyrelsen är bl.a. ansvarig för att besluta om och kräva in infrastrukturavgift för Trafikverkets räkning och trängselskatt för Skatteverkets räkning (se 3 § andra stycket förordningen [2014:1564] om infrastrukturavgifter på väg och 2 § andra stycket lagen [2004:629] om trängselskatt).

Infrastrukturavgift tas ut för fordon som passerar Motalabron, Sundsvallsbron och Skurubron (se 4 § förordningen (2014:1564) om infrastrukturavgifter på väg). Som framgått ovan under avsnitt 6.5.2 ansvarar Trafikverket för kamerorna vid betalstationerna vid broarna. Dessa tar bild av passerande fordons registreringsskyltar. Det finns även information om tid och plats för passagen. Kamerorna är påslagna dygnet runt.

Trängselskatt tas ut vid vissa tider för fordon som passerar betalstationer i Göteborgs och Stockholms kommun. Fordonen registreras av kameror vid betalstationerna som tar bild av passerande fordons registreringsskyltar. I Göteborg finns, för visst ändamål, också s.k. kontrollpunkter, där bilar också registreras med

107

Kamerabevakning

Ds 2024:11

kameror. Trafikverket ansvarar även för kamerorna vid betal- stationer och kontrollpunkter för trängselskatt.

För att kunna fullgöra sitt uppdrag om avgifts- och skatte- beläggning får Transportstyrelsen ta del av bilder från Trafikverkets kameror som är uppsatta för dessa syften. Bilderna skickas elektroniskt till Transportstyrelsen som en sammanställning om 5 000 passager per gång vid flera tillfällen under ett dygn eller var femte minut. Det sistnämnda är framför allt aktuellt nattetid för material från kameror på ovannämnda broar, då det vid denna tid på dygnet inte passerar särskilt många fordon och det annars skulle ta lång tid innan Transportstyrelsen fick en ny sammanställning av bilder.

6.5.4Tullverket

Tullverket ansvarar bl.a. för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas, övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs, förebygga och motverka brottslighet i samband med in- och utförsel av varor, bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelser om in- och utförsel av varor samt bedriva viss verksamhet i fråga om rattfylleribrott (se 1–5 §§ förordningen [2016:1332] med instruktion för Tullverket).

Tullverket bedriver kamerabevakning vid gränspassager. Kamerorna är påslagna alla dagar i veckan, dygnet runt och genererar en kort kamerasekvens av passerande fordons registreringsskylt. Tullverket använder sig bl.a. av ANPR-teknik i sin verksamhet. ANPR-tekniken är ett komplement till tulltjänstemännens verktyg för urval och selektering av vilka fordon som ska tas ut för tull- kontroll. När ANPR-tekniken har läst av en registreringsskylt stäms denna uppgift av mot Tullverkets underrättelseuppgifter. Detta sker genom ett automatiskt förlopp via en mjukvara. Om det blir en träff sker en selektering och uppgiften går då till en handläggare på Tull- verket som kontrollerar aktuellt fordon.

Tullverket är en av de myndigheter som enligt 14 c § kamera- bevakningslagen kan bedriva kamerabevakning utan tillstånd och utan att göra en dokumenterad intresseavvägning, om det sker i

108

Ds 2024:11

Kamerabevakning

gränsnära områden som avses i 2 § lagen (2023:474) om polisiära befogenheter i gränsnära områden eller av tillfartsvägar till sådana gränsnära områden som avses i 2 § 3 eller 4 samma lag, om bevakningen bedrivs inom 20 kilometer från området. Detta undan- tag tillkom samtidigt som lagen om polisiära befogenheter i gräns- nära områden och motiverades bl.a. av att gränsen och de gränsnära områdena är områden som är av avgörande vikt i arbetet med att bekämpa den gränsöverskridande brottsligheten (prop. 2022/23:109 s. 34 f.). Som gränsnära områden definieras enligt 2 § lagen (2023:474) om polisiära befogenheter i gränsnära områden flyg- platser och hamnar som har direktförbindelse med utlandet för kommersiell gods- eller passagerartrafik, järnvägsstationer som har direkt förbindelse med utlandet för kommersiell passagerartrafik, broar för vägtrafik till eller från utlandet och gränsövergångsställen på allmänna vägar.

I dagsläget sparas inte bilderna från Tullverkets kameror, men myndigheten kommer i detta avseende att anpassa sitt arbetssätt för att utnyttja det lagliga utrymme som ges i 13 § lagen om polisiära befogenheter i gränsnära områden. Av den bestämmelsen framgår att personuppgifter som rör fordon och som har samlats in genom kamerabevakning i ett gränsnära område alltid får behandlas av Polismyndigheten, Säkerhetspolisen eller Tullverket i sex månader efter det att uppgifterna samlades in, om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller lagföra brott. Detta gäller dock inte för personuppgifter i form av bilder av enskilda.

När Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller lagföra brott gäller, utöver brottsdatalagen, även lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Det har upplysts att Tullverket kommer att installera ytterligare kameror vid gräns- passager än de som finns i dagsläget.

109

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

från andra aktörers bevakningskameror. Det avsedda materialet är sådant som Polismyndigheten och Säkerhetspolisen behöver i sin brottsutredande eller brottspreventiva verksamhet. I avsnittet behandlas frågan om tillgång till material från bevakningskameror som ägs av enskilda aktörer och andra myndigheter.

7.2Utlämnande av material från bevakningskameror med stöd av straffprocessuella tvångsmedel, m.m.

Polismyndigheten och Säkerhetspolisen har möjlighet att få del av material från andra aktörers bevakningskameror med tillämpning av lagstiftningen om straffprocessuella tvångsmedel och vissa andra bestämmelser i rättegångsbalken.

I 27 kap. RB finns bestämmelser om bl.a. bevisbeslag. Enligt

27 kap. 1 § RB får polisen ta ett föremål i beslag om det bl.a. skäligen kan antas ha betydelse för utredning om brott, om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller för något annat motstående intresse, det vill säga om åtgärden är proportionerlig. Enligt andra stycket gäller kapitlets bestämmelser om föremål även i fråga om skriftlig handling, om inte annat sägs. Enligt 2 och 3 §§ i samma kapitel gäller strängare villkor för vissa typer av skriftliga handlingar.

Möjligheten att kopiera en handling som har blivit tillgänglig genom husrannsakan förutsätter inte att handlingen har tagits i beslag. Kopiering av fysiska handlingar och elektroniskt lagrad information regleras i 27 kap. 17 a § RB. Där föreskrivs att en handling som tagits i beslag eller påträffats vid en husrannsakan eller en genomsökning på distans får kopieras, bl.a. om den skäligen kan antas ha betydelse för utredning om brott. Av bestämmelsens andra stycke framgår att en handling som inte får tas i beslag enligt reglerna i 2 eller 3 § inte heller får kopieras. I 27 kap. 17 b–17 e §§ RB finns vissa kompletterande regler om tillvägagångssättet för kopiering av handlingar, bl.a. regler om vem som får besluta om kopiering.

En annan typ av straffprocessuellt tvångsmedel som kan komma i fråga att använda för att ge polisen tillgång till material från andra aktörers bevakningskameror är möjligheten att med tvång genom-

112

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

föra biometrisk autentisering, vilket regleras i 27 kap. 17 f § RB. Där föreskrivs att om det finns anledning att anta att någon har möjlighet att öppna ett avläsningsbart informationssystem genom biometrisk autentisering är han eller hon skyldig att på tillsägelse av en polis medverka till detta, om en genomsökning av ett beslagtaget föremål, en husrannsakan eller en genomsökning på distans annars försvåras. Om han eller hon vägrar, får en polis genomföra autentiseringen.

Med ett avläsningsbart informationssystem avses exempelvis en mobiltelefon, surfplatta eller dator. En biometrisk autentisering innebär att en elektronisk mätning görs av någons fysiska karaktärs- drag, t.ex. av fingeravtryck, näthinna eller ansiktsgeometri. (Se prop. 2021/22:119 s. 173.)

De brottsbekämpande myndigheterna kan under vissa förut- sättningar besluta om husrannsakan för att söka efter föremål som kan tas i beslag (t.ex. sådana föremål som kan tas i bevisbeslag enligt 27 kap. 1 § RB). Detta framgår av 28 kap. 1 § RB.

I 38 kap. RB finns vidare regler om s.k. edition, det vill säga en förpliktelse för någon att tillhandahålla skriftliga handlingar. Av 38 kap. 2 och 4 §§ RB framgår att en domstol, på ansökan av en part i en rättegång, kan besluta om att en handling som har betydelse som bevis och som innehas av någon annan ska läggas fram. Om det kan antas att handlingen i fråga kommer att få betydelse som bevis för ett i målet aktuellt bevistema kan editionsplikten aktualiseras redan före rättegångens inledande. Den som är misstänkt i ett brottmål omfattas inte av skyldigheten att lägga fram skriftliga handlingar. En sådan skyldighet gäller inte heller för vissa personer som är närstående till den misstänkte. Bestämmelserna om edition är i allmänhet inte särskilt användbara för Polismyndigheten när det gäller att inhämta material från andra aktörers bevakningskameror under en förundersökning.

Det finns inget som hindrar att Polismyndigheten och Säkerhetspolisen begär att få in material från andra aktörers bevakningskameror utan tillämpning av tvångsmedelslagstiftningen. Under förutsättning att det är förenligt med dataskydds- lagstiftningen och offentlighets- och sekretesslagen har Polis- myndigheten och Säkerhetspolisen möjlighet att ta del av material från andra aktörers bevakningskameror på annat sätt.

113

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

7.3Utlämnande av material från bevakningskameror med stöd av offentlighets- och sekretesslagen

Av 2 kap. 1 § TF framgår att var och en har rätt att ta del av allmänna handlingar. Bilder från bevakningskameror omfattas av uttrycket handlingar. Reglerna i 2 kap. TF gäller dock inte när myndigheter lämnar uppgifter till varandra. Om det saknas en författnings- reglerad uppgiftsskyldighet omfattas en begäran från en myndighet som vill ta del av handlingar som finns hos en annan myndighet av 6 kap. 5 § OSL. Av bestämmelsen framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretess-belagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900) och syftar bl.a. till att underlätta för myndigheter att fullgöra sin verksamhet. Skyldigheten enligt bestämmelsen är mer vidsträckt än den gentemot allmänheten och gäller varje uppgift som myndigheten förfogar över, det vill säga inte bara uppgifter ur allmänna handlingar. En längre gående uppgiftsskyldighet än den som framgår av bestämmelsen kan följa av särskilda föreskrifter (se bl.a. regleringen i ett flertal paragrafer i 10 kap. och bestämmelserna 25 kap. 12 § och 26 kap. 9 § OSL).

Vid utlämnande av allmänna handlingar gäller särskilda skyndsamhetskrav enligt 2 kap. TF. Eftersom 2 kap. TF inte är tillämpligt vid utbyte av information mellan myndigheter gäller det särskilda skyndsamhetskrav som stadgas i 2 kap. 15 § TF inte i en sådan situation (se HFD 2021 ref. 10). Något skyndsamhetskrav är inte uttryckligen reglerat när information lämnas enligt 6 kap. 5 § OSL. Dock framgår exempelvis av 5 kap. 3 a § vägtrafikdata- förordningen att Transportstyrelsen på begäran av Polis- myndigheten eller Säkerhetspolisen utan dröjsmål ska lämna ut sådana uppgifter som omfattas av bestämmelsen. Sist nämnda bestämmelse innehåller alltså ett särskilt skyndsamhetskrav.

Av 1 kap. 7 § dataskyddslagen kan utläsas att utlämnande av allmänna handlingar enligt 2 kap. TF undantas från dataskydds- regleringen. Eftersom reglerna i 2 kap. TF inte gäller när myndigheter lämnar uppgifter till varandra måste ett utlämnande av

114

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

personuppgifter från en myndighet till en annan vara förenlig med de grundläggande principerna i dataskyddsförordningen eller dataskyddsdirektivet (se HFD 2021 ref. 10).

7.3.1Generellt om sekretess

Sekretess innebär ett förbud att röja en uppgift vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär alltså både en handlingssekretess och en tystnadsplikt (jfr 1 kap. 1 § andra stycket och 3 kap. 1 § OSL).

För att en handling ska omfattas av sekretess krävs som huvud- regel att tre förutsättningar är uppfyllda. För det första ska handlingen innehålla uppgifter som omfattas av föremålet för sekretessen, det vill säga det ska vara fråga om sådana uppgifter som kan eller ska hemlighållas enligt aktuell bestämmelse. Det kan exempelvis vara uppgifter om enskildas personliga och ekonomiska förhållanden. För det andra ska uppgifterna i handlingen omfattas av bestämmelsens räckvidd. Detta bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna uppgifterna endast gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. Vanligtvis ska även en bedömning göras om vilken effekt ett röjande av uppgifter i handlingen får för en eller flera personer. Detta bestäms av ett s.k. skaderekvisit. Det finns olika typer av skaderekvisit. Exempelvis skiljer man mellan raka och omvända skaderekvisit.

Ett rakt skaderekvisit föreskriver att sekretess ska gälla för en viss typ av uppgift ”om det kan antas” att exempelvis den enskilde lider men eller skada om uppgiften röjs.13 Vid ett rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga. En del bestämmelser innehåller ett rakt kvalificerat skaderekvisit, vilka föreskriver att sekretess ska gälla för en viss typ av uppgift ”om det av särskild anledning kan antas” att exempelvis den enskilde lider men eller skada om uppgiften röjs.14

Ett omvänt skaderekvisit har den motsatta utgångspunkten, det vill säga att sekretess är huvudregel. Vid ett omvänt skaderekvisit

13Se exempelvis 31 kap. 17 § OSL.

14Se exempelvis 31 kap. 16 § OSL.

115

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

gäller sekretess, ”om det inte står klart” att uppgiften kan röjas utan att exempelvis den enskilde lider men eller skada.15

En bestämmelse kan även föreskriva om absolut sekretess. Det innebär att det i bestämmelsen saknas ett skaderekvisit. Uppgifter som omfattas av absolut sekretess ska hemlighållas utan att det ska göras en bedömning av vilken effekt ett utlämnande får.16

Sekretess gäller som huvudregel inte bara vid utlämnande av uppgifter ur handlingar i förhållande till enskilda utan också mellan myndigheter, eller inom en myndighet, om där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 1 och 2 §§ OSL).

En sekretessbestämmelse kan vara antingen primär eller sekundär. Definitionen av begreppen finns i 3 kap. 1 § OSL. Av bestämmelsen framgår att en primär sekretessbestämmelse är en bestämmelse som ska tillämpas av en myndighet på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten. En sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.

Om en myndighet får en uppgift överlämnad till sig från en annan myndighet har den mottagande myndigheten i normalfallet att pröva om uppgiften omfattas av sekretess utifrån de primära sekretess- bestämmelserna, det vill säga de som gäller hos den mottagande myndigheten. Detta innebär att en uppgift som är skyddad av sekretess hos den överlämnande myndigheten kan ha ett svagare sekretesskydd eller rentav vara offentlig hos den mottagande myndigheten. Det finns dock bestämmelser om överföring av sekretess, som innebär att sekretessen följer med uppgiften när den lämnas till en annan myndighet eller verksamhet. Det är då en sekundär sekretessbestämmelse kan bli tillämplig. Bestämmelser om överföring av sekretess finns bl.a. i 43 kap. OSL. Av 43 kap. 2 § OSL framgår exempelvis att om en domstol i sin rättskipande eller rättsvårdande verksamhet får en sekretessreglerad uppgift från en domstol eller en annan myndighet, blir sekretessbestämmelsen, om

15Se exempelvis 26 kap. 1 § OSL.

16Se exempelvis 27 kap. 1 § OSL.

116

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

inte annat följer av 3 §, tillämplig på uppgiften även hos den mottagande domstolen.

Bestämmelser om överföring av sekretess finns även i bl.a. 11 kap. OSL. 11 kap. 4 § OSL reglerar sekretess vid direktåtkomst och stadgar att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.

Om en uppgift är sekretessreglerad i flera bestämmelser och en sekretessprövning innebär att uppgiften kan lämnas ut enligt vissa av bestämmelserna samtidigt som den ska hemlighållas enligt en eller flera andra, är huvudregeln att de senare bestämmelserna ska ha företräde, om inte annat anges i lag. I ett sådant fall ska uppgiften hemlighållas (jfr 7 kap. 3 § OSL).

För att en uppgift ska få lämnas ut när den omfattas av sekretess krävs att en sekretessbrytande bestämmelse är tillämplig. Ett exempel på en sekretessbrytande bestämmelse är den i 10 kap. 28 § OSL, av vilken framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Sekretessen begränsas ofta till en viss tid. Exempelvis framgår av

18 kap. 1 § tredje stycket OSL att sekretess för uppgift som hänför sig till förundersökning i brottmål eller till angelägenhet som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott gäller i högst 40 år.

7.3.2Sekretess för material från bevakningskameror

Möjligheterna att lämna ut material från bevakningskameror regleras i kamerabevakningslagen och offentlighets- och sekretesslagen. Av 22 § första stycket kamerabevakningslagen framgår att den som tar befattning med en uppgift som har inhämtats genom kamera- bevakning inte obehörigen får röja eller utnyttja det som han eller hon på detta sätt har fått veta om någon enskilds personliga förhållanden. Bestämmelsen gäller både för offentliga och enskilda aktörer som bedriver kamerabevakning. Av paragrafens andra stycke framgår att i det allmännas verksamhet tillämpas offentlighets- och

117

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

sekretesslagen i stället för första stycket i 22 § kamerabevaknings- lagen. Obehörighetsrekvisitet i första stycket är avsett att tolkas på så sätt att ett uppgiftslämnande av en enskild aktör som motsvarar ett uppgiftslämnande som är tillåtet enligt offentlighets- och sekretesslagen inte är att betrakta som obehörigt. (Se prop. 2017/18:231 s. 157.) De bestämmelser i offentlighets- och sekretess- lagen som är aktuella att tillämpa är 32 kap. 3 § och 32 kap. 3 a § OSL.

Av 32 kap. 3 § första stycket OSL framgår att sekretess gäller för uppgift om enskilds personliga förhållanden som har inhämtats genom kamerabevakning enligt kamerabevakningslagen, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Vad som menas med personliga förhållanden ska bestämmas med ledning av vanligt språkbruk. Uttrycket avser så vitt skilda förhållanden som t.ex. en persons adress eller yttringarna av ett psykiskt sjukdomstillstånd (prop. 1979/80:2 Del A s. 84). Även uppgift om enskilds namn omfattas av begreppet (se RÅ 1994 not 516 och prop. 2003/04:93 s. 45).

Bestämmelsen i 32 kap. 3 § första stycket OSL innehåller ett omvänt skaderekvisit, vilket innebär en presumtion för sekretess. Som skäl för att ge sekretessen denna styrka anfördes i förarbetena att de uppgifter som samlas in genom kameraövervakning normalt är att betrakta som känsliga från ett integritetsperspektiv bl.a. då det med hjälp av sådana uppgifter är möjligt att kartlägga enskildas rörelsemönster (prop. 2012/13:115 s. 98 f.).

Bestämmelsens räckvidd har inte begränsats. Sekretessen är alltså tillämplig hos alla aktörer som själva inhämtar uppgifter med hjälp av bevakningskameror och hos myndigheter som får material från kamerabevakning överlämnat till sig. Detta gäller oavsett om materialet överlämnas från andra myndigheter eller från enskilda. (Se prop. 2012/13:115 s. 97 f.)

Uppgifter från en bevakningskamera kan i vissa fall även omfattas av annan sekretess än den som gäller enligt 32 kap. 3 § OSL. Som exempel kan nämnas att sekretessen enligt 25 kap. 1 § OSL är tillämplig även på uppgifter som har inhämtats vid patient- övervakning med en bevakningskamera.

118

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

7.3.3Sekretess för material från trängselskattekameror och infrastrukturavgiftskameror

En trängselskattekamera är en form av bevakningskamera. För material från trängselskattekameror gäller dock starkare sekretess än för material från andra bevakningskameror. Enligt 27 kap. 1 § första stycket OSL gäller absolut sekretess bl.a. för uppgift om en enskilds personliga eller ekonomiska förhållanden i en verksamhet som avser bestämmande av skatt. Någon prövning av vilken effekt ett utlämnande av uppgifter får ska alltså inte göras.

I 27 kap. 6 § OSL finns en bestämmelse om undantag från sekretess i skatteärenden. Av bestämmelsen följer dock att uppgift om vilken betalstation eller kontrollpunkt en bil har passerat och tidpunkten för passagen omfattas av sekretess även i ett beslut om trängselskatt och dess underlag. Eftersom den bestämmelse som ger den enskilde det starkaste sekretesskyddet har företräde om flera sekretessbestämmelser är tillämpliga samtidigt är det i första hand bestämmelserna om den absoluta skattesekretessen som tillämpas på uppgifterna om trängselskatt i vägtrafikregistret.

Av 29 kap. 5 a § första stycket OSL framgår att sekretess gäller i verksamhet som avser bestämmande av infrastrukturavgift på väg, avgift med anledning av att infrastrukturavgift inte har betalats i rätt tid, eller fastställande av underlag för bestämmande av sådana avgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden. Av bestämmelsens andra stycke framgår att i beslut om sådana avgifter som avses i första stycket gäller sekretessen endast för uppgift om vilken betalstation bilen har passerat och tidpunkten för denna passage.

7.3.4Sekretessbrytande bestämmelser

I 32 kap. 3 a § OSL finns en sekretessbrytande bestämmelse som gäller för material från bevakningskameror. Där föreskrivs bl.a. att sekretessen enligt 3 § inte hindrar att uppgift om en enskilds personliga förhållanden lämnas till en åklagarmyndighet, Polis- myndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen eller Skatteverket, om uppgiften behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra

119

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet.

I många fall när Polismyndigheten eller Säkerhetspolisen vill ta del av sekretessbelagda uppgifter som en annan myndighet eller privat aktör har samlat in genom kamerabevakning kan uppgifterna lämnas ut med stöd av 32 kap. 3 a § OSL. I vissa fall kan dock materialet även omfattas av annan sekretess hos den utlämnande aktören än den som gäller enligt 32 kap. 3 § OSL. Som exempel kan nämnas att sekretessen enligt 25 kap. 1 § är tillämplig även på uppgifter som har inhämtats vid patientövervakning med en bevakningskamera. Detta innebär att uppgifterna då inte kan lämnas ut med stöd av 32 kap. 3 a § OSL. Polismyndigheten och Säkerhetspolisen kan även i vissa fall ha behov av kameramaterialet för andra syften än de som anges i 32 kap. 3 a § OSL. Bestämmelsen blir då inte tillämplig.

Uppgifter som har samlats in via kamerabevakning kan även lämnas ut med stöd av andra sekretessbrytande bestämmelser än de i 32 kap. 3 a § OSL. Ett exempel är bestämmelsen i 10 kap. 24 § OSL som i vissa fall möjliggör att en uppgift som angår en misstanke om ett begånget brott och som omfattas av sekretess i vissa fall kan lämnas ut till de brottsbekämpande myndigheterna. En förut- sättning är dock att fängelse är föreskrivet för brottet och detta kan antas leda till någon annan påföljd än böter. Vid införandet av bestämmelsen konstaterades det att den ordning som tidigare gällde hade bidragit till att det rådde oklarhet om i vilka situationer en myndighet hade rätt att lämna ut uppgifter om misstänkta brott till en annan myndighet. Av den anledningen ansågs det angeläget att utforma en reglering som så enkelt som möjligt gör klart för myndigheter i vad mån de har rätt att eller rent av är skyldiga att lämna ut uppgifter om brott. (Se prop. 1983/84:142 s. 21.) Syftet med bestämmelsen var att ge samhället ökade möjligheter att upptäcka och bestraffa brott (a. prop. s 27).

Det finns även i vissa fall möjlighet att lämna ut uppgifter från kamerabevakning som omfattas av sekretess med stöd av general- klausulen i 10 kap. 27 § OSL. Av bestämmelsen framgår att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Som framgår redan av

120

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

bestämmelsens ordalydelse har den ett mycket brett tillämpnings- område. Bestämmelsen kan bl.a. användas för att lämna ut uppgifter för att avvärja brott. Uppgifter kan lämnas till Polismyndigheten och Säkerhetspolisen utan samband med en förundersökning, t.ex. inom ramen för myndigheternas spaningsverksamhet (prop. 1983/84:142 s. 18 f.).

Möjligheten att dela uppgifter mellan myndigheter med stöd av generalklausulen får utnyttjas mer sparsamt och med större för- siktighet om informationen inte är sekretesskyddad hos den mottagande myndigheten. Detta gäller särskilt i fråga om uppgifter som är hemliga med hänsyn till enskilds intressen (prop. 1979/80:2 Del A s. 77). Om en uppgift inte skyddas av sekretess hos den mottagande myndigheten kan risken för att skada ska uppkomma vara så stor att uppgiften inte bör lämnas ut (a. prop. s. 91). I för- arbetena har särskilt framhållits att generalklausulen är tillämplig i fråga om lämnande av sekretessbelagda uppgifter till polis eller åklagare under förundersökning i brottmål (a. prop. s. 327).

En uppgift som omfattas av sekretess kan även lämnas ut till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Detta föreskrivs i 10 kap. 2 § OSL. Av förarbetena framgår att bestämmelsen ska tillämpas relativt restriktivt. Det är inte tillräckligt att myndighetens arbete blir mer effektivt för att utlämning ska kunna ske enligt bestämmelsen (prop. 1979/80:2 Del A s. 465). JO har i flera ärenden uttalat att bestämmelsen är avsedd för situationer av undantags- karaktär. (Se t.ex. JO 1982/83:JO1 s. 238, JO 1984/85:JO1 s. 265 och JO:s beslut den 9 september 2014, dnr 3032-2011.)

Enligt 5 kap. 3 a § vägtrafikdataförordningen (2019:382) ska Transportstyrelsen på begäran av Polismyndigheten utan dröjsmål lämna ut uppgifter om trängselskatt som gäller passager av en betalstation eller kontrollpunkt, om det av begäran framgår att uppgifterna i ett brådskande fall behövs för att förhindra eller på annat sätt ingripa mot en handling som kan utgöra terroristbrott enligt 4 § terroristbrottslagen (2022:666) eller försök, förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott.

Det ska även nämnas att det finns en sekretessbrytande bestämmelse i 5 kap. 14 § vägtrafikdataförordningen (2019:382), av

121

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

vilken framgår att Transportstyrelsen på begäran av bl.a. Polis- myndigheten och Säkerhetspolisen ska lämna ut en personuppgift i vägtrafikregistret i form av en fotografisk bild av en enskild.

Pågående lagstiftningsarbete

Utredningen om förbättrade möjligheter att utbyta information med brottsbekämpande myndigheter överlämnade betänkandet Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) till regeringen i oktober 2023. Det innehåller ett förslag till en ny lag om skyldighet att lämna uppgifter till de brottsbekämpande myndigheterna. Enligt förslaget ska en rad statliga myndigheter vara skyldiga att på eget initiativ och på begäran lämna en uppgift till en brottsbekämpande myndighet, om uppgiften kan antas behövas i den brottsbekämpande verksamheten. I betänkandet lämnas också förslag till en ändrad lydelse av bestämmelsen i 10 kap. 24 § OSL som innebär att förutsättningarna för sekretessgenombrott enligt paragrafen vidgas på så sätt att det inte längre ska finnas någon begränsning vad gäller straffvärdet för det brott som misstanken avser. Uppgifter ska också kunna lämnas även när det inte finns en identifierad person som är misstänkt för brottet. Därutöver lämnas ett förslag till ändring i 5 kap. 3 a § vägtrafikdataförordningen som innebär att uppgiftsskyldigheten ska gälla i fler brådskande fall än i dagsläget. Enligt förslaget ska Transportstyrelsen, på begäran av Polismyndigheten, Säkerhetspolisen eller Tullverket utan dröjsmål lämna ut uppgifter om trängselskatt som gäller passager av en betalstation eller kontrollpunkt, om det av begäran framgår att uppgifterna behövs i ett brådskande fall för att förebygga, förhindra, upptäcka eller utreda en handling som kan utgöra brott för vilket det i straffskalan ingår fängelse i ett år eller mer eller ett straffbart försök eller en straffbar förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott.

Det pågår även en utredning (Förbättrade möjligheter till informationsutbyte mellan myndigheter, Ju 2023:22) som bl.a. har i uppdrag att lämna förslag på en generell bestämmelse som gör det möjligt att på ett effektivt sätt lämna uppgifter som omfattas av sekretess till skydd för enskilda till en annan myndighet, såväl på

122

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

begäran som på eget initiativ. Utredningens förslag i den delen ska redovisas senast den 30 augusti 2024.

7.4Dataskyddsrättsliga aspekter

7.4.1Finalitetsprincipen

Grunddragen i den dataskyddsrättsliga lagstiftningen som reglerar brottsbekämpande myndigheters hantering av personuppgifter har beskrivits ovan i avsnitt 5. Där framgår bl.a. att artikel 4 i dataskydds- direktivet stadgar att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och att behandling av personuppgifter för något annat ändamål som anges i artikel 1.1 i direktivet än det för vilket uppgifterna samlades in är tillåten endast om den personuppgiftsansvarige har rätt att behandla person- uppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. I Sverige har dataskydds- direktivet införts i nationell rätt genom brottsdatalagen, med kompletterande registerförfattningar.

Dataskyddsdirektivet är tillämpligt på behandling av person- uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder (artikel 1.1 och artikel 2). Utanför detta område är dataskyddsförordningen tillämplig. När andra aktörer än brottsbekämpande myndigheter behandlar personuppgifter är det alltså i regel inte dataskyddsdirektivet som är tillämpligt på behandlingen. Förutsättningarna för sådana aktörer att lämna ut material som innehåller personuppgifter till Polismyndigheten och Säkerhetspolisen regleras huvudsakligen av dataskydds- förordningen. De grundläggande principerna för personuppgifts- behandling enligt dataskyddsförordningen motsvarar i stor utsträckning de som gäller enligt dataskyddsdirektivet.

I artikel 5 dataskyddsförordningen föreskrivs bl.a. att person- uppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Att personuppgifter inte senare får behandlas på ett sätt som är oförenligt med det ursprungliga ändamål för vilket de samlats in kallas ibland för finalitetsprincipen. Material

123

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

som innehåller personuppgifter får alltså som utgångspunkt bara lämnas ut till en annan myndighet om det är förenligt med finalitetsprincipen. I vissa registerförfattningar anges dock att personuppgifter endast får behandlas för vissa angivna ändamål. Vidarebehandling för andra ändamål är då inte tillåten. I sådana fall brukar det anges att finalitetsprincipen inte gäller (prop. 2017/18:171 s. 90). Det kan också föreligga en författningsreglerad uppgiftsskyldighet för en myndighet. Denna behöver då inte göra en bedömning av om utlämnandet av uppgifterna är förenlig med finalitetsprincipen, om detta tydligt har beaktats av lagstiftaren i regleringen om uppgiftsskyldigheten. En vidarebehandling, det vill säga ett utlämnande, av personuppgifter är därmed tillåten i sådana författningsreglerade situationer oavsett om det är förenligt med insamlingsändamålet eller inte (SOU 2023:69 s. 673).

Gällande informationsutbyte mellan myndigheter enligt 6 kap. 5 § OSL har Högsta förvaltningsdomstolen anfört att genom sekretessbestämmelser hindras myndigheter från att lämna bl.a. integritetskänsliga uppgifter till andra myndigheter. Härigenom får lagstiftaren anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Utöver sekretessprövningen ska den personuppgiftsansvariga myndigheten således inte göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnande av uppgifter enligt 6 kap. 5 § OSL (HFD 2021 ref. 10).

Av skäl 50 till dataskyddsförordningen framgår att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamling av personuppgifter medgavs. Det räcker med andra ord att hänföra sig till den rättsliga grund och de berättigade ändamål som förelegat vid den ursprungliga insamlingen för att vidarebehandla personuppgifterna. Den rättsliga grunden för behandling av personuppgifter som finns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ändamålet med den nya behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in bör den person-

124

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

uppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, göra en bedömning av de omständigheter som framgår av artikel 6.4 i dataskydds- förordningen.

Av artikel 6.4 i förordningen framgår att det som ska beaktas vid denna bedömning är kopplingen mellan insamlingsändamålet och det nya ändamålet, personuppgifternas art, det sammanhang inom vilket personuppgifterna har samlats in, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder, som t.ex. kryptering, hos den aktör som kommer att behandla personuppgifterna för det nya ändamålet.

Det framgår också av artikel 6.4 att behandling av person- uppgifter för andra ändamål är tillåten om den grundar sig på den registrerades samtycke, på unionsrätten eller en medlemsstats nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I de flesta fall finns inget samtycke till vidarebehandling från den enskilda. Det kan dessutom uppstå problem om samtycket tas tillbaka. Ett av målen enligt artikel 23.1 är att förebygga, utreda eller lagföra brott. En medlemsstat kan med stöd av artikeln införa ett generellt undantag i nationell rätt som tillåter utlämnande av personuppgifter till brottsbekämpande myndigheter i ett brotts- bekämpande syfte. Unionsrättslig grund för en aktör att dela personuppgifter med en brottsbekämpande myndighet, när myndigheten ska använda uppgifterna för annat ändamål än det ursprungliga, finns bl.a. i dataskyddsdirektivet.

Gällande utlämnande av personuppgifter som samlats in genom kamerabevakning finns en rättslig grund i svensk rätt i 22 § första stycket kamerabevakningslagen jämte 32 kap. 3 och 3 a §§ OSL. Vid införandet av kameraövervakningslagen, som gällde innan kamera- bevakningslagen, uttalade regeringen att om ett utlämnande av personuppgifter är tillåtet enligt 32 kap. 3 a § OSL är det även för- enligt med finalitetsprincipen (prop. 2012/13:115 s. 111). Någon särskild prövning i förhållande till finalitetsprincipen behöver alltså inte göras i de fall då ett utlämnande av personuppgifter kan ske med stöd av 32 kap. 3 a § OSL. (Se prop. 2017/18:231 s. 157.)

125

Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra

aktörers bevakningskameror

Ds 2024:11

Om situationen däremot är sådan att 32 kap. 3 a § OSL inte är tillämplig, det vill säga om exempelvis Polismyndigheten eller Säkerhetspolisen behöver kameramaterialet för andra syften än brottsbekämpning, får i stället den överlämnande aktören göra en prövning av om det är förenligt med finalitetsprincipen att lämna ut materialet. Vid denna bedömning ska alla de faktorer som framgår av artikel 6.4 i dataskyddsförordningen beaktas.

Ett utlämnande av personuppgifter kan även ske med stöd av artikel 6.1 första stycket f dataskyddsförordningen. Denna bestämmelse innehåller en allmän intresseavvägning och föreskriver att personuppgiftsbehandling alltid är tillåten om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre.

Enligt artikel. 6.1 f andra stycket förordningen gäller första stycket inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Bestämmelsen kan dock utgöra en grund för behandling av personuppgifter när andra aktörer behandlar personuppgifter genom att lämna ut dem till exempelvis Polis- myndigheten eller Säkerhetspolisen, för att myndigheterna ska kunna fullgöra sina uppgifter.

7.4.2Särskilt om informationsskyldighet

Som huvudregel måste den personuppgiftsansvarige informera den berörda personen om den personuppgiftsbehandling som sker när personuppgifter vidarebehandlas genom att lämnas ut till någon annan. Detta framgår, såvitt gäller dataskyddsförordningens tillämpningsområde, av artiklarna 14.1–14.3. Informations- skyldigheten gäller så länge det inte finns något tillämpligt undantag från nämnda skyldighet (se artikel 14.5, som bl.a. tillåter att undan- tag införs i den nationella rätten för vissa ändamål).

Av 5 kap. 1 § dataskyddslagen framgår att bestämmelserna i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter inte gäller sådana uppgifter som den person- uppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet,

126

Ds 2024:11 Rättsliga förutsättningar för Polismyndigheten och Säkerhetspolisen att ta del av material från andra aktörers bevakningskameror

gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen. Gällande Polismyndighetens och Säkerhetspolisens verksamhet får en bedömning göras om det kan antas att syftet med de polisiära åtgärderna riskerar att motverkas eller den framtida verksamheten skadas om uppgifterna lämnas ut till den registrerade (jfr 18 kap. 1 och 2 §§ OSL). Det är ofta av stor vikt för Polismyndighetens och Säkerhetspolisens arbete att myndigheten kan ta del av uppgifter utan att den berörda personen får kännedom om detta.

Pågående lagstiftningsarbete

Utredningen om förbättrade möjligheter att utbyta information med brottsbekämpande myndigheter har i betänkandet Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) lämnat ett förslag till ändring i dataskyddslagen, genom vilket en ny rättslig grund ska införas. Den föreslagna rättsliga grunden innebär en generell uttrycklig möjlighet för enskilda att behandla person- uppgifter för att lämna sådana uppgifter till de brottsbekämpande myndigheterna när dessa myndigheter framställer en sådan begäran. Förslaget grundar sig på det utrymme som enligt artiklarna 6.4. och

23.1d i dataskyddsförordningen finns att införa regler i den nationella rättsordningen för när det är tillåtet att behandla person- uppgifter genom att lämna dem vidare. Någon generell sådan bestämmelse finns ännu inte i svensk rätt, även om det finns bestämmelser som gäller vissa särskilda typer av personuppgifter, bland dem uppgifter om enskilda som kommer från kamera- bevakning (jfr 22 § kamerabevakningslagen och 32 kap. 3 och 3 a §§ OSL).

127

Hantering och användning av material från kamerabevakning i trafiken

Ds 2024:11

gällande hastighetsgräns, och där skaderisken bedöms som stor. Kamerorna innehåller en radar och är ett komplement till Polis- myndighetens övriga trafikövervakning. De kan vara fast placerade vid vägkanten eller monterade i en släpvagn. De är alltid synligt placerade och väl skyltade.

Verksamheten med trafiksäkerhetskamerorna bygger på ett samarbete mellan Trafikverket och Polismyndigheten. Trafikverket och Polismyndigheten har ett gemensamt ansvar för att placera ut trafiksäkerhetskamerorna. Trafikverket ansvarar för etablering, drift och underhåll av de fasta kamerorna och Polismyndigheten hanterar de mobila trafiksäkerhetskamerorna. Polismyndigheten ansvarar för utredning av ärenden. Trafikverket och Polismyndigheten är gemensamt ansvariga för hur och i vilken omfattning kamerorna ska användas.

Kamerorna är inte påslagna hela tiden och när de inte är påslagna tas inga bilder. Om ett fordon registreras överskrida den högsta tillåtna hastigheten tar kameran bild på fordonets registreringsskylt och förarens ansikte. Kamerorna generar stillbilder. Dessa skickas krypterat från Trafikverket till Polismyndigheten. Trafikverket kan inte ta del av någon information från kamerorna och Trafikverket lagrar inte heller några bilder. Alla kameror är direktkopplade till Polismyndigheten. Polismyndigheten är personuppgiftsansvarig och Trafikverket personuppgiftsbiträde för materialet som kamerorna genererar. Trafikverket innehar endast materialet för teknisk lagring och materialet utgör därför allmänna handlingar endast hos Polismyndigheten (jfr 2 kap. 13 § TF).

8.3Material från kameror vid betalstationer och kontrollpunkter för trängselskatt och infrastrukturavgift

8.3.1Transportstyrelsen

Trafikverket ansvarar för kamerorna som finns uppsatta vid betal- stationer och kontrollpunkter för infrastrukturavgift och trängsel- skatt. För att kunna fullgöra sitt uppdrag om avgifts- och skatte- beläggning får Transportstyrelsen ta del av bilder från Trafikverkets kameror som är uppsatta för dessa syften. Kamerorna är inställda

130

Ds 2024:11

Hantering och användning av material från kamerabevakning i trafiken

och vinklade så att de endast tar bilder på ett fordons registrerings- skyltar. Det händer att viss överskottsinformation fastnar på bilderna, såsom en större del av det aktuella fordonet. Det kan hända om kameran har tagit bild för tidigt eller för sent, eller har varit felkalibrerad så att den inte fotograferar rakt i körfältet. I normal- fallet är det dock endast fordonets registreringsskyltar och en liten bit runt omkring skyltarna som framgår av en bild. Oftast går det inte av en bild att utröna vilket märke det är på ett fordon som har passerat kameran. Under den tid som trängselskatt inte tas ut är kamerorna som är uppsatta för dessa syften inte aktiva och tar där- med inte några bilder. Passagebilderna gallras automatiskt hos Trafikverket efter sju dygn. (Se SOU 2018:65 s. 215.)

När Transportstyrelsen mottagit bilderna av Trafikverket läses registreringsnumren av och information om fordon och fordons- ägare hämtas från trafikregistret. Detta sker automatiskt av en programvara. Hela systemet gällande trängselskatt kallas hos Transportstyrelsen för NAT (nationell trängselskatt). Det är inom det systemet som bildinsamling och bearbetning av bildmaterialet sker. Med ledning av tidpunkten för passagen beräknas skatten eller avgiften och skatt- eller avgiftsskyldigheten fastställs. (Se a. SOU s. 216.)

Bearbetningen av materialet hos Transportstyrelsen kan ta olika lång tid, från ca 15 minuter upp till flera timmar. Om samman- ställningen innehåller få passager går det fortare än om det rör sig om ett stort antal passager. Hur lång tid det tar för systemet att tolka bilderna är också beroende av bildernas kvalitet. Det händer att det automatiska systemet inte klarar av att identifiera ett registrerings- nummer på vissa bilder. Dessa bilder sorteras då ut och hamnar i en kö för manuell bildgranskning av Transportstyrelsens handläggare. Transportstyrelsen uppskattar att detta sker med 20 procent av bilderna men vid exempelvis dålig väderlek kan siffran vara högre. Från det att en bild tas av en kamera till dess att den har hanterats och ett registreringsnummer har identifierats i den manuella granskningen kan det gå flera dagar, beroende på hur många bilder som ligger i kö för granskning. Det gränssnitt av systemet för trängselskatt som handläggarna arbetar i kallas för HSA-webben (Hantera Skatter och Avgifter). I HSA-webben är det möjligt att se passage-bilderna. (Se a. SOU s. 216.)

131

Hantering och användning av material från kamerabevakning i trafiken

Ds 2024:11

Trafikverket kan i dagsläget ta del av materialet från kamerorna i syfte att säkerställa leveransen, det vill säga att bilderna upprätthåller den kvalitet som överenskommits. Den tekniska bearbetning och lagring som därigenom genomförs hos Trafikverket sker dock endast under en kortare tid.

Trafikverket och Transportstyrelsen har gjort bedömningen att Trafikverket är personuppgiftsbiträde och Transportstyrelsen är personuppgiftsansvarig enligt dataskyddsförordningen vid överföringen av kameramaterialet. Eftersom både Trafikverket och Transportstyrelsen har tillgång till materialet bör det utgöra allmänna handlingar hos båda myndigheterna (jfr 2 kap. 6 § TF).

8.3.2Skatteverket

Om någon begär omprövning av Transportstyrelsens beslut om trängselskatt ska Skatteverket ompröva beslutet (jfr 15 a § jämte 2 § lagen om trängselskatt). För att kunna fullgöra detta uppdrag får Skatteverket tillgång till materialet som Transportstyrelsen fått del av från Trafikverkets kameror. Informationsutbytet sker med stöd av 5 kap. 3 § vägtrafikdataförordningen (2019:382), som jämte 10 kap. 28 § OSL möjliggör att uppgifterna, som vanligtvis omfattas av sekretess enligt 27 kap. 1 § OSL, lämnas ut till Skatteverket. Skatteverket får tillgång till uppgifterna genom en avtalsreglerad direktåtkomst via en s.k. Citrix-lösning. Direktåtkomsten sker med stöd av 4 kap. 22 § vägtrafikdataförordningen som stadgar att Skatteverket kan ges direktåtkomst till elektroniska handlingar i ärenden som avser fordonsrelaterade skatter enligt lagen om trängselskatt. Direktåtkomsten avser andra gemensamt tillgängliga uppgifter än de som finns i vägtrafikregistret (vilka Skatteverket har tillgång till enligt andra bestämmelser).

Citrix-lösningen innebär att Skatteverket, genom en ingång till HSA-webben, får tillgång till det material från Trafikverkets kamera som Transportstyrelsen har lagt till grund för sitt beslut om trängselskatt. Direktåtkomsten omfattar inte material från Trafik- verkets kameror i obearbetad form. Skatteverket får alltså inte tillgång till uppgifter som inte resulterat i ett beslut om trängselskatt och inte heller uppgifter som redan har gallrats hos Trafikverket, vilket sker efter sju dygn. Genom direktåtkomsten har Skatteverkets

132

Ds 2024:11

Hantering och användning av material från kamerabevakning i trafiken

handläggare möjlighet att söka på alla registreringsnummer, person- nummer eller organisationsnummer som finns i systemet, men syftet med direktåtkomsten är att Skatteverket endast ska söka på det aktuella ärende som omprövningen avser. Skatteverkets hand- läggare har inte möjlighet att söka efter exempelvis vissa tids- intervall, datum eller platser. Eftersom det är fråga om en direkt- åtkomst utgör materialet allmänna handlingar både hos Skatteverket och Transportstyrelsen (se bl.a. SOU 2023:69 s. 684). Genom direktåtkomsten torde både Skatteverket och Transportstyrelsen vara att anse som personuppgiftsansvariga för uppgifterna.

133

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

att det finns två former av elektronisk överföring av uppgifter mellan myndigheter: 1) direktåtkomst och 2) elektroniskt utlämnande på annat sätt än genom direktåtkomst.

Begreppet direktåtkomst definieras inte i lag eller någon annan författning. En myndighet som har direktåtkomst till en annan myndighets register eller databas kan på egen hand söka efter uppgifter i databasen. Den kan även hämta in information till sitt eget system och bearbeta den där. Den mottagande myndigheten, det vill säga den myndighet som har direktåtkomst, kan dock inte påverka innehållet i registret eller databasen. Den ansvariga myndigheten saknar kontroll över vilka uppgifter som lämnas ut via direktåtkomst. Handlingar blir därför allmänna hos den mottagande myndigheten redan i och med att de tillgängliggörs genom direktåtkomst. Det kan leda till överskottsinformation för den mottagande myndigheten. Direktåtkomst ökar även riskerna för intrång i den personliga integriteten. Detta eftersom uppgifter blir tillgängliga för fler än bara den utlämnande myndigheten. (Se SOU 2023:69 s. 683 f.)

Direktåtkomst kan bli aktuellt för uppgifter för vilka det inte gäller sekretess i förhållande till den mottagande myndigheten. I första hand gäller det således offentliga uppgifter. Direktåtkomst kan emellertid även bli aktuellt för uppgifter som visserligen om- fattas av sekretess, men som också omfattas av en uppgiftsskyldighet enligt lag eller förordning till förmån för den myndighet som får direktåtkomst till de aktuella uppgifterna. I undantagsfall kan en myndighet även, enligt en prövning på förhand, ges direktåtkomst till uppgifter med stöd av generalklausulen i 10 kap. 27 § andra stycket offentlighets- och sekretesslagen (2009:400), som då medger ett rutinmässigt utlämnande till den som har direktåtkomst. (Se prop. 2007/08:160 s. 73 f.)

Direktåtkomst anses vara en utlämnandeform som innebär risker från integritetssynpunkt (jfr SOU 2023:69 s. 684). Om en myndighet väljer att lämna ut handlingar digitalt krävs att reglerna om dataskydd följs. Detta innebär bl.a. att den utlämnande myndigheten, det vill säga den personuppgiftsansvarige, ska säkerställa en lämplig säkerhetsnivå i förhållande till de risker som ett utlämnande kan medföra (jfr artikel 5.1 f och artikel 32 dataskyddsförordningen samt artikel 4.1 f och artikel 29 dataskyddsdirektivet).

136

Ds 2024:11

Polismyndighetens tillgång till material från andras bevakningskameror

Elektroniskt utlämnande av uppgifter på annat sätt än genom direktåtkomst kallas ibland för utlämnande på medium för automatiserad behandling. Ett utlämnande av uppgifter på annat sätt än genom direktåtkomst kan exempelvis ske genom att person- uppgifter delas via e-post, med USB-minne eller genom filöverföring från ett IT-system till ett annat. Informationsutbytet kan även ske automatiskt, exempelvis genom en s.k. fråga-svarstjänst i en app. Det finns flera integritetsfördelar med denna form av utlämnande i förhållande till direktåtkomst. Risken för överskottsinformation hos den mottagande myndigheten minskar eftersom ingen annan information än den som faktiskt lämnas över till mottagaren kan betraktas som allmän handling hos denne. (Se SOU 2023:69 s. 683 f.)

Högsta förvaltningsdomstolen har i rättsfallet HFD 2015 ref. 61 uttalat att det som är avgörande för gränsdragningen mellan vad som utgör direktåtkomst respektive utlämnande på annat sätt är om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 6 § TF. Det väsentliga är därför om upptagningen är tillgänglig för myndigheten med tekniska hjälp- medel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Den tekniska utformningen av en myndighets system för utlämnande är därför av betydelse för frågan om ett utlämnande ska anses ske genom direkt- åtkomst eller på annat sätt.

I sammanhanget kan nämnas bestämmelsen i 2 kap. 13 § TF som stadgar att om en myndighet bara har till uppgift att tekniskt bearbeta eller lagra en upptagning för automatiserad behandling för någon annan myndighets räkning, anses upptagningen inte vara en allmän handling hos den myndighet som bara har tekniska uppgifter i sammanhanget. Bestämmelsen sätter förvaringskriteriet i 2 kap. 4 § TF ur spel och har tillkommit mot bakgrund av att offentlighets- principen inte har ansetts kräva att allmänheten ska ha tillgång till en handling hos en myndighet som endast tar teknisk befattning med handlingen för annans räkning (prop. 1975/76:160 s. 87). Innebörden av paragrafen är att det väsentliga är om myndighetens enda syfte med handlingarna är teknisk bearbetning eller lagring. Om myndigheten av tekniska eller administrativa skäl har möjlighet att använda handlingarna på något annat sätt, är bestämmelsen inte tillämplig (jfr RÅ 1994 ref. 64).

137

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

9.3Polismyndighetens tillgång till material från kamerabevakning genom samverkan

9.3.1SOT-lösningen

Polismyndigheten har utvecklat en modell för samverkan med externa aktörer om kamerasystem och andra systemkomponenter som betecknas SOT (”säker oberoende transmission”). SOT- lösningen möjliggör för Polismyndigheten att ansluta sig till kamerasystem som ägs av externa aktörer, såväl enskilda som andra offentliga aktörer. När det gäller offentliga aktörer handlar det hit- tills i stor utsträckning om kommuner och regioner. Genom användning av SOT-lösningen kan Polismyndigheten direkt ta del av bildströmmar från en kamera som en samverkande part har satt upp, redan innan dessa bildströmmar har processats av den samverkande partens kamerabevakningssystem. SOT-lösningen kan i dagsläget enbart användas på strömmande bilder (videor).

SOT-lösningen är utformad i syfte att undvika att Polis- myndighetens tillgång till material från andra aktörers kameror ska anses innefatta en situation där materialet lämnas ut från en personuppgiftsansvarig till en annan. Syftet med lösningens rättsliga och tekniska utformning är i stället att vardera samverkande part ska anses bedriva sin egen kamerabevakning, för vilken den parten är fullt ut ansvarig, men med hjälp av gemensam utrustning. På så sätt innebär SOT-lösningen bl.a. att man kan undvika att Polis- myndigheten, i de situationer då myndigheten har ett intresse av och rättslig grund för att kamerabevaka samma plats som redan kamera- bevakas av t.ex. en region, måste sätta upp sina egna fasta eller rörliga kameror bredvid regionens kameror. I stället kan båda aktörer bedriva kamerabevakning genom samma kamerasystem. Det är alltså inte fråga om att Polismyndigheten får tillgång till material från annans kamerabevakning och det behöver därmed inte göras någon sekretessbedömning av materialet.

Det har under arbetet med utredningen framkommit att Polis- myndigheten fäster stort praktiskt värde vid SOT-lösningen. SOT- lösningen framstår som en effektiv och ändamålsenlig metod för att öka polisens tillgång till relevant bevakningsmaterial.

138

Ds 2024:11

Polismyndighetens tillgång till material från andras bevakningskameror

Beskrivning av SOT-lösningen

Samverkan inom ramen för SOT-lösningen kan ske med en annan offentlig aktör t.ex. en region. Regionen prioriterar platser för kamerabevakning utifrån sina egna behov och de rättsliga förut- sättningar som gäller för regionen, bl.a. enligt kamera- bevakningslagen. De prioriterade platserna kommer sedan under- sökas av Polismyndigheten med avseende på problembild på platsen och eventuella kamerors placering. Polismyndigheten gör därefter en bedömning om de rättsliga förutsättningarna för polisen att kamerabevaka platsen är uppfyllda. Slutligen fattar Polis- myndigheten ett beslut enligt kamerabevakningslagen om att inleda kamerabevakning på platsen i fråga. Detta beslut innefattar en intresseavvägning enligt 14 a och 14 b §§ jämte 8 § kamera- bevakningslagen samt en proportionalitetsbedömning. En del i denna bedömning är att överväga hur stort kamerans bevaknings- område ska vara och om det, för att bevakningen ska vara proportionerlig, krävs att bildströmmarna från kameran förses med maskeringar. Maskering innebär att en del av kamerans upptagnings- område tas bort. Maskeringen är ”inbränd” i materialet, det vill säga den påverkar vilken bild som överhuvudtaget tas upp och lagras. Maskeringen går inte att lyfta vid bearbetning i efterhand. Om den samverkande aktören har en rörlig kamera, vilket enligt uppgift från Polismyndigheten är ovanligt, kommer bedömningen av vilket upptagningsområde som är proportionerligt och vilka maskeringar som behövs, göras med utgångspunkt i hela det möjliga upptagningsområdet för kameran.

Om Polismyndigheten och den samverkande aktören har avvikande behov av kamerabevakning, det vill säga om Polis- myndigheten vill bevaka en större yta än den samverkande aktören, behöver myndigheten sätta upp en kompletterande kamera på platsen. Målsättningen vid SOT-lösningen är att i så stor utsträckning som möjligt hitta platser där både Polismyndigheten och den samverkande aktören har ett intresse och rättsliga förutsättningar att kamerabevaka. Samverkan mellan Polismyndigheten och den andra offentliga aktören, i detta exempel regionen, är i alla delar frivillig.

Efter det att Polismyndigheten fattat beslut om kamerabevakning kommer ett nyttjanderättsavtal upprättas mellan Polismyndigheten

139

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

och regionen, som alltså äger kameran. I avtalet regleras bl.a. frågor om kabeldragning, strömförsörjning, tillgång till internet m.m. I linje med att varje aktör ansvarar för sin egen kamerabevakning kommer också varje aktör att ansvara för att skylta och informera om sin kamerabevakning enligt de krav som gäller i kamerabevakningslagen och den dataskyddsrättsliga regleringen.

Överföring av bildströmmarna från kameran till Polis- myndighetens kameraplattform sker krypterat. Polismyndigheten kan därefter bara komma åt materialet i kameraplattformen. Enligt Polismyndighetens gällande rutin lagras material från SOT- samverkan i kameraplattformen under 62 dygn. Därefter raderas det automatiskt. Det är endast behöriga användare hos Polis- myndigheten som kan logga in i kameraplattformen och på så vis komma åt det lagrade materialet. Inloggning i kameraplattformen sker via tjänstekort och kräver angivande av tjänsteåtgärd och ärende. Alla händelser och aktiviteter som sker i kameraplattformen loggas.

Frågan om vilka tjänstemän inom Polismyndigheten som får fatta beslut om kamerabevakning och som får ingå nyttjanderättsavtal med samverkande aktörer inom ramen för SOT-lösningen regleras i myndighetens arbetsordning. Myndigheten har också tagit fram riktlinjer för kamerabevakning som sker på allmän plats. Utöver detta finns beslutsstöd till de tjänstemän som arbetar med frågorna i form av bl.a. interna utbildningar och nationella beslutsmallar.

Den överföring av bildströmmar till Polismyndigheten som sker inom ramen för SOT-lösningen sker genom samma mjukvara och använder samma kryptering som används i Polismyndighetens VPN-routrar när myndigheten sätter upp egna kameror.

Personuppgiftsansvar vid Polismyndighetens användning av SOT-lösningen

Polismyndighetens avsikt när det gäller SOT-lösningen är att myndigheten ska vara personuppgiftsansvarig för varje moment av den personuppgiftsbehandling som sker, det vill säga för insamling av material genom kamerabevakning, för överföringen till Polis- myndighetens egna system och för den lagring som sedan sker hos myndigheten.

140

Ds 2024:11

Polismyndighetens tillgång till material från andras bevakningskameror

Det får anses sakna betydelse för bedömningen av person- uppgiftsansvaret att Polismyndighetens och den samverkande partens kamerabevakning sker via samma kamera. Det väsentliga är i vilken mån Polismyndigheten uppfyller kraven för att betraktas som personuppgiftsansvarig enligt dataskyddsdirektivet och brotts- datalagen. I 1 kap. 6 § nämnda lag definieras personuppgiftsansvarig som "den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter".

När SOT-lösningen används på det sätt som beskrivits i avsnitt

9.3.1är det Polismyndigheten som självständigt bestämmer ända- målen med och medlen för varje led av den personuppgifts- behandling som sker hos Polismyndigheten.

Vad beträffar det första ledet i personuppgiftsbehandlingen, själva insamlingen, kan konstateras att Polismyndigheten själv- ständigt förfogar över samtliga nyckelmoment i kamera- bevakningen. Myndigheten beslutar att kamerabevakning ska ske på en viss plats, i vilket syfte det ska ske och varför. På samma sätt förfogar den samverkande parten självständigt över samtliga nyckelelement i anslutning till sin kamerabevakning. Ingendera parten har möjlighet att bestämma över den andra parten eller påverka dennes bedömningar. Att den andra offentliga aktören måste vilja samverka för att SOT-lösningen ska vara möjlig att genomföra framstår som en fråga om rent praktiska förutsättningar och inte ett moment som i och för sig gör Polismyndighetens beslut mindre självständigt.

Det har framkommit att det i en tidigare version av mallarna till de nyttjanderättsavtal som Polismyndigheten använder sig av inom ramen för SOT-lösningen föreskrevs att fastighetsägaren, det vill säga den samverkande aktören, inte fick ändra kamerans upptagningsområde utan Polismyndighetens godkännande. Vidare föreskrevs att om en fastighetsägare avsåg att montera ned en kamera eller övrig utrustning skulle det föregås av en dialog med Polis- myndigheten. Mot bakgrund av detta ansåg Integritetsskydds- myndigheten – i en skrivelse daterad den 21 december 2023 som svar på en förfrågan från Polismyndigheten beträffande dataskyddsrättsliga aspekter på SOT-lösningen – att det kunde ifrågasättas om den externa aktören som Polismyndigheten samverkar med inom ramen för SOT-lösningen var att betrakta som

141

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

helt självständig i sin personuppgiftsbehandling, såtillvida att aktören inte själv kunde bestämma över medlen för sin person- uppgiftsbehandling (Integritetsskyddsmyndigheten, Svar på förfrågan avseende Polismyndighetens kamerabevakning med SOT- lösning, dnr IMY-2023-8726).

Integritetsskyddsmyndigheten ifrågasatte vidare om det var rättsligt möjligt att ha ett gemensamt personuppgiftsansvar mellan Polismyndigheten och en samverkande aktör i form av t.ex. en region, mot bakgrund av att Polismyndighetens personuppgifts- behandling (inom ramen för den brottsbekämpande verksamheten) regleras av brottsdatalagen och dataskyddsdirektivet, medan regionens personuppgiftsbehandling regleras av dataskydds- förordningen. Dessa regelverk motsvarar inte varandra helt när det gäller förutsättningar för gemensamt personuppgiftsansvar. Exempelvis innehåller dataskyddsförordningen särskilda regler om att det ska finnas ett inbördes arrangemang mellan gemensamt person-uppgiftsansvariga som ska fördela deras skyldigheter enligt förordningen, och att den registrerade ska kunna vända sig till var och en av de personuppgiftsansvariga för att utöva sina rättigheter (artikel 26). Integritetsskyddsmyndigheten konstaterade att det var oklart hur dessa skyldigheter skulle kunna uppfyllas av en personuppgiftsansvarig vars behandling inte omfattas av data- skyddsförordningen.

Polismyndigheten har upplyst om att myndigheten, med anledning av Integritetskyddsmyndighetens skrivelse, har justerat sina mallar för de nyttjanderättsavtal som används inom ramen för SOT-lösningen. I avtalen finns nu endast en skyldighet för en fastighetsägare att meddela Polismyndigheten om eventuella förändringar av kamerans upptagningsområde, i syfte att Polis- myndigheten ska kunna säkerställa att myndighetens kamera- bevakning vid var tid är lagenlig. Med anledning av de reviderade versionerna av nyttjanderättsavtalen får frågetecknen gällande om Polismyndigheten och de externa samverkande aktörerna är var för sig självständigt personuppgiftsansvariga anses ha undanröjts. Att det föreligger en avtalsenlig förpliktelse att meddela när vissa åtgärder vidtas kan inte i sig anses minska avtalspartens rätt eller möjlighet att självständigt råda över saken på grundval av sina egna bedömningar. Polismyndigheten får därför anses vara ensam personuppgiftsansvarig för den behandling av personuppgifter som

142

Ds 2024:11

Polismyndighetens tillgång till material från andras bevakningskameror

sker genom myndighetens kamerabevakning inom ramen för SOT- lösningen.

Vad sedan beträffar frågan om överföringen av det material och de personuppgifter som samlas in genom kamerabevakning får Polismyndigheten även i det ledet anses vara självständigt person- uppgiftsansvarig. Polismyndigheten bestämmer som sagt själv- ständigt över vilka ändamål och med vilka medel som kamera- bevakningen bedrivs och har även teknisk kontroll över på vilket sätt överföringen sker till myndighetens kameraplattform. Den samverkande parten kan inte heller ta del av eller bearbeta det video- material som förs över till Polismyndighetens kameraplattform.

Vad slutligen beträffar frågan om lagring av personuppgifter, som är det sista ledet i personuppgiftsbehandlingen, framgår det av Polismyndighetens redogörelse för SOT-lösningen att lagring av kamerabevakningsmaterialet sker på samma sätt i kamera- plattformen oavsett om materialet genereras av en kamera som ägs av en samverkande part, eller om materialet genereras av en kamera som ägs av Polismyndigheten. Den samverkande parten har ingen möjlighet att bearbeta eller tillgå det material som Polismyndigheten lagrar. Polismyndigheten får anses ensamt personuppgiftsansvarig även för lagringen av uppgifterna.

Sammantaget får därmed den bedömningen göras att Polis- myndigheten är ensam personuppgiftsansvarig för hela processen. I samtliga led har båda parter sin egen rättsliga grund för behandlingen och ingen av de samverkande parterna kan sägas bedriva kamerabevakning för den andres räkning. Därtill bör rimligen materialet utgöra allmänna handlingar hos båda myndigheterna eftersom det inte är fråga om vare sig en direktåtkomst för Polis- myndigheten eller ett elektroniskt utlämnande till myndigheten på annat sätt. Detta innebär att vardera myndigheten, vid en begäran om att få ta del av materialet från kamerorna, får göra en bedömning av om materialet är sådant att det kan lämnas ut.

143

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

9.4Olika sätt för Polismyndigheten att ta del av material från andra offentliga aktörers bevakningskameror

Polismyndigheten kan alltid begära ut material från andra aktörers bevakningskameror med stöd av 6 kap. 5 § OSL. Vid en sådan begäran måste den utlämnande myndigheten göra en sekretess- bedömning innan materialet lämnas ut. I de fall det finns en uppgifts- skyldighet reglerad i lag18 kan materialet lämnas ut med stöd av denna och en sekretessbedömning behöver då inte ske. I de fall det handlar om material som innehåller personuppgifter måste utlämnandet även vara förenlig med den dataskyddsrättsliga regleringen.

Som framgått ovan innebär SOT-lösningen inte att Polis- myndigheten begär och tar del av material från en annan aktörs kamerabevakning. Det är en effektiv lösning då Polismyndigheten får del av material från kamerabevakning direkt utan att det föregås av en sekretessprövning. SOT-lösningen kan dock bara användas på platser där Polismyndigheten enligt kamerabevakningslagen själv kan bedriva kamerabevakning och användningen av lösningen är därför begränsad. En ytterligare begränsning är att SOT-lösningen enbart kan användas för strömmande bilder. Det innebär att en SOT-lösning inte är en möjlig teknik för informationsdelning avseende material exempelvis från flera av de kameror som Trafik- verket har uppsatta. Kameror som används för att ta ut trängselskatt och infrastrukturavgift samt trafiksäkerhetskameror genererar enbart stillbilder. Även Tullverkets kameror genererar stillbilder. I dagsläget finns inga planer på att utöka funktionaliteten i trafik- säkerhetskamerorna till strömmande bilder, bl.a. på grund av data- överföringskapacitet.

Den tekniska lösning som i dagsläget finns tillgänglig för Polismyndigheten att löpande ta del av stillbilder från Trafikverkets kameror är samma lösning som används när material från kameror som är uppsatta för att kunna ta ut trängselskatt eller infrastruktur- avgift lämnas ut till Transportstyrelsen. Detta innebär att Polis- myndigheten skulle få 5 000 passagebilder per gång vid flera tillfällen per dygn eller var femte minut. Ett sådant informationsutbyte skulle i dagsläget innebära en stor personell insats av Polismyndigheten,

18Se exempelvis 5 kap. 3 a § vägtrafikdataförordningen (2019:382).

144

Ds 2024:11

Polismyndighetens tillgång till material från andras bevakningskameror

eftersom det krävs en manuell granskning och bearbetning av bilderna då det saknas en programvara som kan göra detta. Bilderna skulle inte heller bli tillgängliga för Polismyndigheten direkt, eftersom det skulle ta lång tid att gå igenom dem när de inkommer till myndigheten. Som utgångspunkt innehåller passagebilderna endast ett registreringsnummer. Vem som kör bilen eller vilket märke det är på bilen framgår vanligtvis inte. Det kan ifrågasättas om tillgång till bilderna tillgodoser det behov som Polismyndigheten har framfört.

Polismyndigheten har uttryckt att myndigheten, för att kunna utföra sitt uppdrag på ett effektivt sätt, skulle vara behjälpt av att kunna ta del av material från andra aktörers kamerabevakning via en fjärråtkomst, både inspelat och i realtid. Önskemålet avser framför allt material från Trafikverkets kameror vid järnvägsplattformar och i tunnlar samt sådana som används för att se vägars ytskikt. Dessa kameror genererar strömmande bilder och ger en aktuell översikts- bild över platsen där kameran finns. Alla kameror i tunnlar och kameror som används för att se vägars ytskikt spelar dock inte in material. Materialet från dessa kameror innehåller vanligen inga personuppgifter eller detaljerade uppgifter om fordon, även om de i någon utsträckning kan ge en bild av vilka fordon som rör sig på de aktuella platserna. Material från kamerorna vid järnvägsplattformar är mer detaljrika och kan användas för att identifiera personer.

Trafikverket har upplyst om att det i dagsläget saknas en teknisk möjlighet för Polismyndigheten att få tillgång till strömmande bilder från Trafikverkets kameror via en SOT-lösning. Vid operativt läge har Polismyndigheten möjlighet att ta del av strömmande bilder från Trafikverkets kameror på plats hos Trafikverket. Detta sker genom att poliser kommer till Trafikverkets trafikledningscentral där operatörerna har tillgång till material, både i realtid och inspelat. I dessa fall gör operatören eller en arbetsledande funktion en sekretessbedömning innan poliserna får ta del av materialet. Arbetssättet kommer ofta i konflikt med det uppdrag som Trafikverket har och leder till, enligt verket, en stor påfrestning på den operativa verksamheten, eftersom hanteringen tar resurser i anspråk.

I dagsläget finns en teknisk lösning tillgänglig som möjliggör för Polismyndigheten att ta del av strömmande bilder från Trafikverkets kameror vid järnvägsplattformar. Detta sker genom en s.k. Citrix-

145

Polismyndighetens tillgång till material från andras bevakningskameror

Ds 2024:11

lösning. Lösningen innebär att information delas via ett virtuellt skrivbord som ger Polismyndigheten tillgång till Trafikverkets kameraplattform för kameror uppsatta för att bevaka järnvägs- anläggningar. Denna lösning ger Polismyndigheten tillgång till Trafikverkets kameror på ett säkert och kontrollerat sätt. En förutsättning är att uppgifterna inte bedöms omfattas av sekretess. Det går att reglera tillgången till materialet genom att begränsa Polis- myndighetens behörighet till kameror och tider som är relevanta i ett aktuellt ärende. Det går också att vid delning av materialet välja att bara dela material från en specifik plats, exempelvis en viss järnvägsstation. Lösningen tillåter inte att Polismyndigheten sparar ner eller exporterar videoströmmar. Polismyndigheten kan dock själv söka i materialet, både strömmande bilder i realtid och inspelat material, och förbereda vad som ska delas. Denna lösning uppfyller enligt Polismyndigheten inte myndighetens behov, främst eftersom det virtuella skrivbordet inte kan sammanfogas med myndighetens eget kamerasystem och därmed inte ge den helhetsbild av alla tillgängliga kameror som behövs utifrån ett verksamhetsperspektiv. För att möjliggöra åtkomst till Trafikverkets kameror behöver lösningen byggas ut och anpassas. Tidsmässigt skulle lösningen kunna etableras snabbare än om en helt ny teknisk lösning för att föra över videoströmmar till Polismyndigheten skulle tas fram.

146

Ansiktsigenkänning

Ds 2024:11

10.2Biometriska uppgifter

10.2.1Begreppet biometriska uppgifter

Vad som utgör biometriska uppgifter definieras i 1 kap. 6 § brotts- datalagen. Av bestämmelsen framgår att begreppet avser uppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Samma definition finns även i 1 kap. 5 § säkerhetspolisens datalag. Definitionen utgår från den som finns i artikel 3.13 dataskydds- direktivet. För att det ska vara fråga om biometriska uppgifter krävs att uppgifterna bearbetats tekniskt genom en särskild metod som syftar till identifiering. Vanliga fotografier och filmer omfattas alltså inte av definitionen (prop. 2017/18:232 s. 86).

Exempel på individuella kännetecken som kan användas för biometrisk analys är t.ex. dna, mönster av fingeravtryck, ansikts- geometri, ögats iris, röst, händer, blodkärl och gångstil. Biometriska uppgifter är information som kan tas fram ur ett sådant underlag. Uppgifterna kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet. Analys av spår från t.ex. en brottsplats utgör biometriska uppgifter även om det, när analysen genomförs, inte går att härleda spåren till en identifierad person. Detta eftersom det med hjälp av en sådan analys går att identifiera den person som har avsatt spåren. Teknisk bearbetning av foto och videomaterial som inte sker i syfte att åstadkomma unik identifiering faller dock utanför definitionen. Det innebär att bearbetning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande inte omfattas av definitionen, till skillnad från bilder som bearbetas i exempelvis ett ansiktsigenkänningsprogram i syfte att identifiera personer (jfr prop. 2017/18:232 s. 435).

10.2.2Behandling av biometriska uppgifter

Biometriska uppgifter utgör s.k. känsliga personuppgifter. Dessa är särskilt skyddsvärda och får enligt 2 kap. 12 § brottsdatalagen endast behandlas om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Att behandling av biometriska upp-

148

Ds 2024:11

Ansiktsigenkänning

gifter endast får ske om det är absolut nödvändigt för ändamålet med behandlingen framgår även av 2 kap. 4 § och 6 kap. 4 § polisens brottsdatalag. Att behandlingen måste vara absolut nödvändig inne- bär att behovet av att behandla sådana uppgifter måste prövas särskilt noga i det enskilda fallet (prop. 2017/18:232 s. 447 f. och prop. 2017/18:269 s. 296).

Bestämmelserna i brottsdatalagen och polisens brottsdatalag har sitt ursprung i artikel 10 i dataskyddsdirektivet. Artikeln föreskriver att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter och endast om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Precis som vid all person- uppgiftsbehandling måste behandling av biometriska uppgifter för att entydigt identifiera en fysisk person ske i överensstämmelse med de grundläggande principerna för behandling av personuppgifter som framgår av artikel 4 dataskyddsdirektivet. För att behandlingen inte ska komma i konflikt med grundläggande principer krävs att ändamålet med behandlingen inte kan uppnås på ett mindre integritetskänsligt sätt.

När personuppgiftsbehandling sker genom ansiktsigenkänning ska vanligen en konsekvensbedömning göras. Beroende på resultatet av bedömningen kan det även bli aktuellt att genomföra ett förhandssamråd med tillsynsmyndigheten (se 3 kap. 7 § brottsdata- lagen).

EU-domstolen har funnit att nationell lagstiftning, vilken före- skriver en systematisk insamling av biometriska uppgifter för varje person som misstänks för ett uppsåtligt brott som omfattas av allmänt åtal, i princip strider mot kravet att behandling får ske endast om det är absolut nödvändigt i artikel 10 dataskyddsdirektivet. En sådan lagstiftning kan nämligen leda till en insamling av biometriska

149

Ansiktsigenkänning

Ds 2024:11

uppgifter, utan åtskillnad och generellt, om de flesta misstänkta personer, eftersom begreppet ”uppsåtligt brott som omfattas av allmänt åtal” är av särskilt allmän karaktär och kan tillämpas på ett stort antal brott, oberoende av deras art och allvar. Enligt en sådan lagstiftning begränsas visserligen tillämpningsområdet för insamlingen av biometriska och genetiska uppgifter till personer som är föremål för en förundersökning under det straffrättsliga förfarandet, det vill säga personer avseende vilka det finns tungt vägande skäl att anta att de har begått ett brott i den mening som avses i artikel 6 a dataskyddsdirektivet. Enbart den omständigheten att en person misstänks för ett uppsåtligt brott som omfattas av allmänt åtal kan emellertid inte i sig anses utgöra en omständighet som gör det möjligt att anta att insamlingen av vederbörandes biometriska och genetiska uppgifter är absolut nödvändig med hänsyn till ändamålen för denna insamling och de kränkningar av de grundläggande rättigheterna, i synnerhet rätten till respekt för privatlivet och skyddet för personuppgifter enligt artiklarna 7 och 8 i stadgan, som insamlingen ger upphov till (EU-domstolens dom av den 26 januari 2023 V.S. mot Ministerstvo na vatreshnite raboti m.fl., C 205/21, EU:C:2023:49, p. 128-130).

Europeiska dataskyddsstyrelsen (EDPB), som är ett oberoende europeiskt organ som ser till att dataskyddsförordningen och data- skyddsdirektivet tillämpas enhetligt, har antagit riktlinjer om brotts- bekämpande myndigheters användning av ansiktsigenkänning (05/2022). Av dessa framgår att användning av ansiktsigenkänning måste följa gällande regler och framför allt de krav på nödvändighet och proportionalitet som EU-stadgan om de grundläggande rättigheter ställer upp. Av riktlinjerna framgår även att EDPB anser att biometrisk fjärridentifiering på allmänt tillgängliga platser utgör en stor risk för ingrepp i privatlivet och inte är hemmahörande i ett demokratiskt samhälle eftersom det ger möjlighet till mass- övervakning.

10.3Polismyndighetens användning av ansiktsigenkänning

Den som begår ett brott lämnar i många fall spår efter sig. Gärningspersonen kan bl.a. ha fångats på bild av en bevaknings-

150

Ds 2024:11

Ansiktsigenkänning

kamera eller av någon som har filmat eller tagit bilder med en mobiltelefon. I de fall det inte finns en misstänkt gärningsperson är det nödvändigt att kunna jämföra spår från brottsutredningen med registrerade dna-profiler, fingeravtryck och andra biometriska upp- gifter för att öka möjligheterna att klara upp brottet. När Polis- myndigheten söker i register med hjälp av bl.a. ansiktsbilder behandlar myndigheten biometriska uppgifter. (Jfr SOU 2023:32 s. 211.)

Möjligheten att identifiera personer med hjälp av biometri har utvecklats mycket snabbt på senare tid. Det gäller inte minst teknik för avancerad ansiktsigenkänning. När det gäller fotografier finns helt andra möjligheter än tidigare att med hjälp av t.ex. program för ansiktsigenkänning identifiera okända gärningspersoner. (Se a. SOU s. 21 och 260.)

Det förekommer över lag en ökad användning av ansiktsbilder i samhället. Det hänger i hög utsträckning samman med den tekniska utvecklingen och att fotografier på papper har ersatts av digitala motsvarigheter. Numera är det normalt sett också digitala versioner av fotografier av misstänkta som sparas i Polismyndighetens signalementsregister. Härigenom har det skapats möjligheter att upprätta effektiva och sökbara register och att använda sig av bilder för ansiktsigenkänning. (Se a. SOU s. 221.) Behörigheten för Polis- myndigheten att föra signalementsregister, vilket innehåll registret får ha, längsta tid för behandling av uppgifterna och direktåtkomst till registret regleras i 5 kap. 11–17 §§ polisens brottsdatalag. År 2021 innehöll signalementsregistret 67 156 digitala ansiktsbilder. Utöver ansiktsbilder innehåller registret också bl.a. helkroppsbilder och bilder på särskilda kännetecken som tatueringar och ärr (Se a. SOU s. 188.)

Möjligheterna för Polismyndigheten att behandla person- uppgifter för forensiska ändamål regleras i 6 kap. polisens brotts- datalag. Av 1–3 §§ framgår för vilka ändamål personuppgifter får behandlas. I 5 § föreskrivs att sökförbudet i 2 kap. 14 § brottsdata- lagen inte hindrar sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalements- registren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter.

I dag används ansiktsigenkänning som ett verktyg inom Polis- myndigheten genom registersökning av ansiktsbild och automatisk

151

Ansiktsigenkänning

Ds 2024:11

bildanalys. En detaljerad beskrivning av metoderna görs i SOU 2023:32 (s. 221 ff.) och redogörs för i korthet nedan.

Ansiktsigenkänning för automatiska jämförelser i signalements- registret sker sedan år 2021 inom ramen för den forensiska undersökningen av Nationellt forensiskt centrum (NFC). Ansikts- igenkänning för automatiska jämförelser i signalementsregistret sker genom att en bild på en okänd person söks mot registrerade ansiktsbilder i signalementsregistret i syfte att få fram ett uppslag på vem personen är eller kan vara. NFC använder en mjukvara för ansiktsigenkänning för att söka spårbilden mot ansiktsbilderna i signalementsregistret. Registret innehåller sökfunktionalitet för de registrerade ansiktsbilderna vilket möjliggör ansiktsigenkänning. Mjukvaran returnerar en söklista med de bästa matchningarna. Söklistan analyseras därefter manuellt av en handläggare vid NFC, som gör en sammantagen bedömning av om en potentiell kandidat förekommer i listan eller inte. Datainspektionen (numera Integritetsskyddsmyndigheten) har bedömt att det inte finns något hinder för polisen att använda en programvara för ansikts- igenkänning mot signalementsregistret för att identifiera gärnings- personer inom den forensiska verksamheten (Datainspektionen, Förhandssamråd om Polismyndighetens planerade användning av programvara för ansiktsigenkänning mot signalementsregistret, 2019-10-23, dnr DI-2019-10508).

Metoden automatisk bildanalys används av Polismyndigheten inom förundersökningar sedan år 2021. Metoden innebär att stora mängder bilder och videomaterial insamlade från exempelvis kamerabevakning på allmän plats eller i kollektivtrafiken behandlas med automatiska bildanalysalgoritmer. Syftet med metoden är inte att identifiera någon genom en sökning mot ett register med kända personer, och inte heller att lagra informationen i ett register, utan endast att temporärt behandla uppgifterna för att påskynda processen vid analysarbetet.

10.3.1Särskilt om ”krunchning”

”Krunchning” används ibland som term för en teknik som innebär att bild- och filmmaterial behandlas med AI-baserade bildanalys- algoritmer som extraherar viss information om innehållet i

152

Ds 2024:11

Ansiktsigenkänning

materialet. Tekniken möjliggör filtrering och sortering av ett material och dess innehåll. De algoritmer som används bestämmer närmare vilken information som extraheras.

Krunchning kan bl.a. ske av bild- och filmmaterial, i syfte att materialet därefter ska kunna användas för ansiktsigenkännings- ändamål. Sådan krunchning går till på i huvudsak följande sätt. En första AI-algoritm hittar ansikten i bild- eller filmmaterialet och extraherar dessa ansiktsbilder från materialet. En andra AI-algoritm tar därefter vid och extraherar en digital representation av ansiktena ur de ansiktsbilder som den första algoritmen har identifierat och extraherat. En digital representation som skapas på detta sätt kallas även för en template eller en feature-vektor. Den digitala representationen utgörs av hundratals numeriska värden som på ett abstrakt sätt beskriver ansiktets utseende. Det rör sig exempelvis om angivelser om avstånd mellan olika punkter i ansiktet och dessa punkters läge i förhållande till varandra. Syftet är att den digitala representationen ska vara så unik som möjligt för varje avbildad person. Informationen som på detta sätt extraheras vid krunchning lagras i en temporär databas (indexeringsdatabas) vid sidan av det insamlade kameramaterialet. Databasen sparas endast så länge som kameramaterialet sparas. Inga identiteter är kända eller kopplade till de ansiktsbilder som samlas in i databasen.

Det görs inga jämförelser mellan olika digitala representationer och i detta skede beräknas inte heller några likhetsmått mellan olika digitala representationer. Först i steget efter att krunchningen har gjorts vidtar en eventuell ansiktsigenkänning, det vill säga en jämförelse och ett försök till matchning mellan den lagrade digitala representationen och en referensbild av en människa, vars identitet kan vara känd eller okänd.

Krunchning innebär alltså att ett material bearbetas för att, vid en senare tidpunkt, kunna jämföras med andra bilder. Det kan t.ex. röra sig om jämförelsebilder hämtade från ett register (som misstanke- registret) eller från en bevakningskamera. Tekniken används i dags- läget av Polismyndigheten som ett förberedande steg för ansikts- igenkänning och utförs i anslutning till att myndigheten ska utföra ansiktsigenkänning på ett visst material, när de rättsliga förutsättningarna och polisiära behoven för detta föreligger.

153

Ansiktsigenkänning

Ds 2024:11

10.4EU:s AI-förordning

Den 13 mars 2024 antogs texten till den kommande AI- förordningen20. Av artikel 1.1 framgår att syftet med förordningen är att förbättra den inre marknadens funktion och främja användningen av människocentrerad och tillförlitlig AI, samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan om de grundläggande rättigheterna, inbegripet demokrati, rättsstats- principen och miljöskydd, mot de skadliga effekterna av AI-system i unionen, och att stödja innovation. Förordningens bestämmelser påverkar inte tillämpningen av befintlig unionslagstiftning om behandling av personuppgifter (se skäl 10).

Förordningen bygger på en riskbaserad metod, där olika AI- system regleras på olika sätt beroende på vilken risk systemet anses utgöra. Med risk avses kombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad (artikel 3.2). Ett exempel på hög- risksystem är alla system för biometrisk fjärridentifiering (se skäl 54). Sådana system omfattas därför av strikta krav i förordningen.

Med begreppet biometriska uppgifter avses i förordningen personuppgifter som erhållits genom särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 3.34). Biometrisk identifiering definieras som automatiserad igenkänning av fysiska, fysiologiska, beteendemässiga eller psykologiska mänskliga särdrag för att fastställa en fysisk persons identitet genom jämförelse av personens biometriska uppgifter med biometriska uppgifter om enskilda personer som lagrats i en databas (artikel 3.35).

Förordningens definition av system för biometrisk fjärr- identifiering är ett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas (artikel 3.41). Av skäl 17 framgår bl.a. att begreppet bör definieras utifrån funktion som ett AI-system

20Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

154

Ds 2024:11

Ansiktsigenkänning

avsett för identifiering av fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse mellan en persons biometriska uppgifter och biometriska uppgifter i en referensdatabas, oavsett den specifika teknik, process eller typ av biometriska uppgifter som används. Sådana system för biometrisk fjärridentifiering används vanligtvis för att samtidigt uppfatta flera personer eller deras beteende för att avsevärt underlätta identifieringen av fysiska personer utan deras aktiva medverkan. Definitionen utesluter AI-system som är avsedda att användas för biometrisk verifiering, vilket inbegriper autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den person som denne utger sig för att vara, och system som används för att bekräfta identiteten för en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Undantaget motiveras av att sådana system sannolikt har mindre inverkan på fysiska personers grundläggande rättigheter än de system för biometrisk fjärridentifiering som kan användas för behandling av biometriska uppgifter om ett stort antal personer utan deras aktiva medverkan.

Användning av biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål är som utgångs- punkt inte tillåten enligt förordningen (artikel 5.1 h). Med realtid avses att insamling av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål och omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående (artikel 3.42). Med system för biometrisk fjärridentifiering i efterhand avses ett annat system för biometrisk fjärridentifiering än ett system för biometrisk fjärr- identifiering i realtid (artikel 3.43). Av skäl 17 framgår att när det gäller system i realtid sker insamlingen av biometriska uppgifter, jämförelsen och identifieringen omedelbart, näst intill omedelbart eller under alla omständigheter utan betydande dröjsmål. I detta avseende bör det inte finnas något utrymme för att kringgå AI- förordningens regler om användning i realtid av de berörda AI- systemen genom att medge mindre fördröjningar. Realtidssystem involverar direktupptagningar eller näst intill direktupptagningar av material, såsom videoupptagningar, genererade med kamera eller annan utrustning med liknande funktion.

155

Ansiktsigenkänning

Ds 2024:11

Med allmänt tillgänglig plats avses varje offentligt eller privat ägd fysisk plats som är tillgänglig för ett obestämt antal fysiska personer, utan hänsyn till om vissa villkor eller omständigheter för tillträde kan gälla, och oberoende av eventuella kapacitetsbegränsningar (artikel 3.44). Med brottsbekämpande myndighet avses en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 3.45).

Av artikel 5 framgår emellertid att medlemsstaterna får föreskriva att biometrisk fjärridentifiering i realtid för brottsbekämpande ändamål får användas, under vissa förutsättningar, endast när det är absolut nödvändigt i vissa begränsade situationer bl.a. när det är nödvändigt för att söka efter ett försvunnet barn, för att förhindra ett specifikt och överhängande terroristhot eller för att upptäcka, lokalisera, identifiera eller lagföra en förövare eller misstänkt för ett allvarligt brott. För att få använda ett sådant system krävs tillstånd från ett rättsligt eller annat oberoende organ. Det krävs även lämpliga begränsningar i tid, geografisk räckvidd och de databaser som har sökts. Artikeln reglerar också hur utdata från systemet för biometrisk fjärridentifiering i realtid får användas.

156

Överväganden

Ds 2024:11

hållas i minnet att av bl.a. Europakonventionen följer att staten har en skyldighet att skydda enskilda mot intrång i deras rättigheter från andra enskilda (jfr prop. 2022/23:106 s. 13 och prop. 2022/23:126 s. 64).

Kamerabevakning kan utgöra ett medel för att öka tryggheten i samhället och minska risken för enskilda att utsättas för brott. Samhällets krav på att brott bekämpas på ett effektivt sätt och de verktyg som ges de brottsbekämpande myndigheterna för att utföra sitt uppdrag måste alltid balanseras på ett rimligt sätt mot den enskildes rätt till skydd mot intrång i den personliga integriteten. Beroende på hur samhällssituationen ser ut kan denna balansgång ge olika resultat. Något som bl.a. måste beaktas är den tekniska utvecklingen. Teknikutvecklingen kan utgöra argument både för och emot att utöka brottsbekämpande myndigheters legala möjligheter att samla in och använda personuppgifter.

Åena sedan innebär teknikutvecklingen nya möjligheter för effektiviserad brottsbekämpning, bl.a. genom att information kan samlas in, bearbetas och analyseras på ett sätt som tidigare inte varit möjligt. Exempelvis kan automatiserade analyser och jämförelser ersätta tidskrävande manuella analyser som i praktiken ibland kanske inte ens är möjliga att göra. Automatiserad analys med viss mänsklig inblandning kan innebära att kontroller, bevakning, ingripanden och andra åtgärder kan göras mer träffsäkra, vilket i sin tur innebär att risken för intrång i den enskildes integritet minskar till skillnad från om analysen görs uteslutande av människor. Regeringen har tidigare betonat att en väl utnyttjad informationsteknik är av stor betydelse för polisens möjligheter att bedriva sin verksamhet på ett effektivt och rättssäkert sätt (prop. 2009/10:85 s. 59). Regeringen har också uttryckt att möjligheterna att använda kamerabevakning som ett naturligt hjälpmedel i det brottsbekämpande arbetet bör öka (prop. 2017/18:231 s. 65).

Åandra sidan kan teknikutvecklingen ge särskild anledning till noggranna överväganden om integritetsskydd. Personuppgifter som samlas in genom kamerabevakning bl.a. i förening med teknik för automatisk igenkänning och analys kan innebära särskilda risker för intrång i enskildas integritet. Detta till följd av bl.a. de möjligheter som tekniken innebär att bevaka och kartlägga ett mycket stort antal människor. Det är därför viktigt att användningen av sådan teknik är reglerad i lag så att den kan ske på ett ordnat, begränsat och

158

Ds 2024:11

Överväganden

förutsägbart sätt. På det sättet kan respekten för den enskildes integritet upprätthållas samtidigt som användning av kamerateknik i bevakningssyften kan ske för berättigade ändamål i den omfattning som krävs. All lagstiftning som innebär att olika aktörer får behandla personuppgifter måste också överensstämma med den dataskydds- rättsliga regleringen, som ger ett robust och väl avvägt skydd för det intrång som behandlingen av personuppgifter i brottsbekämpande myndigheters verksamhet ibland innebär.

Information är viktigt i Polismyndigheten och Säkerhetspolisens arbete. För att brottsbekämpning ska kunna ske effektivt är det viktigt att Polismyndigheten och Säkerhetspolisen ges möjlighet att ta del av information från andra aktörer och sådan som finns inom den egna verksamheten. När rätt personer får del av rätt information kan flera effektivitetsvinster uppnås. Informationsdelningen måste dock alltid ske på ett sätt som inte innebär otillbörliga intrång i den personliga integriteten.

Något som måste beaktas i balansgången mellan en effektiv brottsbekämpning och skyddet för den personliga integriteten är hur den aktuella brottsligheten ser ut i samhället. Organiserad brottslighet och terroristbrottslighet utgör allvarliga hot mot enskilda, men också mot samhället i stort. Skjutningar och sprängningar har i dagsläget ökat, ofta som en del i organiserad grov brottslighet, och det föreligger en förhöjd terrorhotnivå i Sverige. Detta innebär att ett större ingrepp i den personliga integriteten kan vara befogat till förmån för att ge de brottsbekämpande myndigheterna effektiva verktyg att genomföra sitt uppdrag.

11.2En ny reglering för kamerabevakning på platser som allmänt används för trafik med motorfordon

När en plats dit allmänheten har tillträde kamerabevakas sker detta vanligen med stöd av kamerabevakningslagen. För de brotts- bekämpande myndigheterna gäller inget krav på tillstånd för att få kamerabevaka sådana platser. Dock måste intresset av kamera- bevakningen som utgångspunkt väga tyngre än den enskildes intresse av att inte bli bevakad. Ofta innebär detta att bevakning enbart får ske på en brottsutsatt plats. Vägar anses inte generellt utgöra en brottsutsatt plats. I betänkandet Åtgärder i gränsnära

159

Överväganden

Ds 2024:11

områden (SOU 2021:92) anges att Polismyndigheten framfört att det är av stor betydelse för myndighetens verksamhet att kamerabevakning kan bedrivas på andra strategiskt viktiga platser och trafikleder i vägnätet utöver dem i gränsnära områden. Information från sådan bevakning kan ge myndigheten avgörande information i arbetet mot den organiserade brottsligheten. Sådan kamerabevakning skulle bl.a. kunna användas som ett system för att upptäcka rörelser av fordon eller personer kopplade till brottslig verksamhet. (Se a. SOU s. 211 och 337.)

Ett sätt att samla in uppgifter om fordon är genom kamera- bevakning med ANPR-teknik (automatic number plate recognition).

Idag används kamerabevakning med ANPR-teknik av bl.a. Polismyndigheten som ett verktyg i polisbilar och av Tullverket i gränskontroller. Uppgifter som samlas in genom kamerabevakning med ANPR-teknik är personuppgifter om fordon. För Polis- myndighetens verksamhet har uppgifterna stor betydelse och kan användas för exempelvis följande syften.

-Lokalisera efterlysta personer och fordon,

-systematiskt omsätta underrättelser till operativ verksamhet genom informerade fordonsstopp baserat på aktuella be- vakningar,

-utbyta information samt delta i den internationella samverkan genom att kunna lokalisera och vidta åtgärder mot internationellt kända eller efterlysta fordon,

-kartlägga fordon som förekommer i en brottsutredning och utreda nya brott som inte var kända vid tidpunkten för insamlingen,

-kartlägga fordon i underrättelseverksamheten som enligt redan kända underrättelser misstänks ha samband med brottslig verk-samhet,

-ge underlag för nya underrättelser om fordonsrörelser, individer, nätverk och modus kopplade till den organiserade och gräns-överskridande brottsligheten,

-ligga till grund för statistiska uppgifter som behövs i syfte att utveckla analysförmåga,

160

Ds 2024:11

Överväganden

-upptäcka det som är okänt kopplat till den brottsliga verksamhet som undersöks genom analys av insamlat material samt

-genom insamlat material skapa beslutsunderlag för planering av underrättelsebaserat linjearbete, insatser och operationer, där Polismyndigheten oftare ska befinna sig på rätt plats vid rätt tid med rätt information, mot bakgrund av den uppgift som ska lösas.

Polismyndigheten har angett att myndighetens målbild med sin användning av uppgifter som har samlats in genom kamerabevakning med ANPR-teknik är att skapa en enhetlig och samlad förmåga som ska kunna tillhandahålla fordonsuppgifter och information om fordonsrörelser från utvalda strategiska platser i rätt tid och till rätt funktion. Syftet med användningen är att upptäcka, förebygga och förhindra brottslig verksamhet, utreda och lagföra brott samt upprätthålla säkerhet och ordning. Säkerhetspolisen har fört fram att myndighetens behov är i stort sett desamma som Polis- myndighetens.

Intresset av att samla in och på andra sätt behandla information i syfte att förebygga, förhindra, utreda och lagföra brott får anses vara i hög grad berättigat, i synnerhet vad gäller den grova och organiserade brottsligheten. Behovet understryks bl.a. av det ökade antalet skjutningar och sprängningar. Sådan brottslighet kan få samhällshotande konsekvenser. Samhällsutvecklingen är således sådan att det får anses vara befogat att Polismyndigheten och Säkerhetspolisen ges möjlighet att använda de möjligheter som den moderna kamera- och igenkänningstekniken tillhandahåller för att förebygga, förhindra, utreda och lagföra allvarliga brott. Behovet måste dock tillgodoses på ett sätt som överensstämmer med bl.a. respekten för privatliv och skyddet för den personliga integriteten.

Uppgifter om fordon utgör som utgångspunkt personuppgifter. Dessa hör typiskt sett inte till de mer känsliga kategorierna av personuppgifter. Uppgifter om fordon kan normalt endast indirekt härledas till en fysisk person, det vill säga först genom jämförelse med uppgifter från andra källor. Uppgifterna kan alltså inte ensamma användas i syfte att identifiera en person. Så länge en identifierbar ansiktsbild på en förare eller passagerare inte samlas in

161

Överväganden

Ds 2024:11

och bearbetas biometriskt utgör således uppgifter om fordon inte en känslig personuppgift enligt brottsdatalagens bestämmelser.

Vägar är platser där människor i betydande utsträckning för- väntar sig att bli föremål för bevaknings- och kontrollåtgärder av olika slag. Trafikanter är i allmänhet medvetna om att det på vägar finns ett stort antal kameror för olika ändamål, t.ex. uttag av trängselskatt, automatisk hastighetskontroll och trafikövervakning. Det kan även tänkas finnas en beredskap och tolerans hos trafikanter att utsättas för kontroller på vägarna, bl.a. i form av fysiska poliskontroller men även i form av olika typer av automatiserade kontroller, med efterföljande användning av uppgifter om i vart fall deras motorfordon och hur fordonet har framförts.

11.2.1Polismyndigheten och Säkerhetspolisen ska få bedriva kamerabevakning på platser som allmänt används för trafik med motorfordon utan att den föregås av en dokumenterad intresseavvägning

Förslag: Polismyndigheten och Säkerhetspolisen ges möjlighet att bedriva kamerabevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordon utan krav på att en dokumenterad intresseavvägning ska göras innan kamerabevakningen påbörjas.

En förutsättning för att Polismyndigheten och Säkerhetspolisen ska få bedriva kamerabevakning är i de flesta fall att bevakningen föregås av en skriftligt dokumenterad intresseavvägning som visar att intresset av bevakningen väger tyngre än den enskildes intresse av att inte bli bevakad (14 a och 14 b §§ jämte 8 § kamerabevakningslagen). Kamerabevakning som Polismyndigheten bedriver vid automatisk hastighetsövervakning samt kamerabevakning som sker av vissa utpekade platser och i gränsnära områden är dock undantagna från kravet på dokumenterad intresseavvägning (14 c § 1–3 kamera- bevakningslagen).

Vid bedömningen av intresset av kamerabevakning ska, enligt 8 § andra stycket kamerabevakningslagen, särskilt beaktas om bevakningen behövs för att

162

Ds 2024:11

Överväganden

1.förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott på en brottsutsatt plats eller på en annan plats där det av särskilt anledning finns risk för angrepp på någons liv, hälsa eller trygghet eller på egendom,

2.förebygga, förhindra eller upptäcka störningar av allmän ordning och säkerhet eller begränsa verkningarna av sådana störningar,

3.utöva kontrollverksamhet,

4.förebygga, förhindra eller upptäcka olyckor eller begränsa verkningarna av inträffade olyckor, eller

5.tillgodose andra därmed jämförliga ändamål.

Vid bedömningen av den enskildes intresse av att inte bli bevakad ska, enligt 8 § tredje stycket kamerabevakningslagen, särskilt beaktas

1.hur bevakningen ska utföras,

2.om teknik som främjar skyddet av den enskildes personliga integritet ska användas, och

3.vilket område som ska bevakas.

Det som föreskrivs i 8 § andra och tredje styckena kamera- bevakningslagen är faktorer som Polismyndigheten har att beakta vid sin dokumenterade intresseavvägning. För att kamerabevakning ska få bedrivas måste det konkreta bevakningsintresset väga tyngre än integritetsintresset i det enskilda fallet. Bevakningsintresset kan skifta över tid och geografiskt område. Kriminalitetens omfattning och allvar är omständigheter som är av avgörande betydelse vid bedömningen av bevakningsintressets tyngd. I tider med allvarlig kriminalitet kan således balanspunkten mellan bevakningsintresset och den personliga integriteten förskjutas till nackdel för den personliga integriteten.

Brottsbekämpande myndigheter lägger inte sällan 8 § andra stycket 1 kamerabevakningslagen till grund för sin kamera- bevakning. I punkten föreskrivs att det särskilt ska beaktas om bevakningen behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott på en brotts- utsatt plats eller på en annan plats där det av särskild anledning finns risk för angrepp på någons liv, hälsa eller trygghet eller på egendom.

163

Överväganden

Ds 2024:11

I dagsläget väger behovet av att bekämpa utvecklingen av grov organiserad brottslighet tungt. Med en brottsutsatt plats menas en plats där det finns problem med brottslighet (prop. 2017/18:231 s. 143). Det ospecifika begreppet brottsutsatt plats innebär en osäker- het om vilka platser som faller in under begreppet. Denna osäkerhet kan medföra att tidskrävande analyser behöver göras inför en påbörjad kamerabevakning och kan leda till att kamerabevakning inte bedrivs i sådan utsträckning som lagen tillåter. Detta kan i sin tur leda till att brottsbekämpande myndigheter går miste om information som kan vara av avgörande betydelse i myndigheternas verksamhet.

I 8 § andra stycket 5 anges att behovet av att tillgodose andra ändamål som är jämförliga med de som anges i övriga punkter ska beaktas vid bedömningen om kamerabevakning behövs. Som exempel på sådana ändamål anges i förarbetena bevakning för att utföra en uppgift av betydelse för den nationella säkerheten som inte omfattas av de tidigare punkterna och inventering av djurbestånd eller annan viltvård (prop. 2017/18:231 s. 144). Spannet för vad som inryms under punkten är alltså stort. De fyra första punkterna skulle kunna betraktas som schablonbedömningar av det allmänna kravet på proportionalitet. När kamerabevakning sker för ett annat ändamål än de som framgår av dessa punkter kan det behöva göras mer ingående överväganden av behovet av kamerabevakning i förhållande till integritetsriskerna. Det kan även behöva vidtas särskilda åtgärder för att minska dessa risker (prop. 2017/18:231 s. 144).

Exempelvis olagliga transporter av människor och varor är en del i en allvarlig brottslig verksamhet. Transporterna sker ofta på vägar. I dagsläget föreligger en situation i Sverige där den organiserade grova brottsligheten ökar i omfattning och riskerar att få samhällshotande konsekvenser. Kamerabevakning av vägar som bedrivs av Polismyndigheten eller Säkerhetspolisen för att före- bygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra grov brottslighet får utifrån dagens situation anses falla in under 8 § andra stycket 5 kamerabevakningslagen.

Polismyndigheten har fört fram att myndigheten ser ett behov av att i högre utsträckning kunna använda kamerabevakning med ANPR-teknik på vägarna. Att exempelvis kunna kombinera fasta ANPR-kameror med rörliga sådana möjliggör enligt Polis-

164

Ds 2024:11

Överväganden

myndigheten ett effektivt informationsinhämtande och att den yttre verksamheten effektivt kan styras mot prioriterad brottslighet. Kamerabevakning med ANPR-teknik utgör en viktig komponent i arbetet att upptäcka, förebygga, förhindra och utreda såväl allvarlig och organiserad brottslighet som annan brottslighet. Enligt Polis- myndigheten är det viktigt att en reglering som ger utökade möjligheter till kamerabevakning med ANPR-teknik inte blir för platsspecifik utan ger utrymme för en flexibilitet där myndighetens operativa behov får styra.

En utökad användning av kamerabevakning med ANPR-teknik innebär en viss ökning av intrång i den personliga integriteten. Omfattningen av den grova kriminaliteten i Sverige har emellertid nu nått en sådan nivå att det får anses befogat med ett större ingrepp i den personliga integriteten. Det föreslås att Polismyndigheten och Säkerhetspolisen ska få bedriva kamerabevakning på platser som allmänt används för trafik med motorfordon. De platser som avses är väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon (jfr 2 § förordningen om vägtrafik- definitioner). Förslaget innebär effektivare möjligheter för Polismyndigheten och Säkerhetspolisen att utföra sitt arbete då exempelvis kamerabevakning med ANPR-teknik kan bedrivas längs bl.a. vägar, vilket innebär bättre förutsättningar att följa olika, för myndigheterna intressanta, fordons färdväg. De integritetsförluster som en sådan ordning kan innebära kan vägas upp genom att det i polisens brottsdatalag regleras vilka personuppgifter som får samlas in genom kamerabevakning på platser som allmänt används för trafik med motorfordon samt hur uppgifterna får användas och hur länge de får lagras (se nedan avsnitt 11.2.2).

För att kamerabevakning med ANPR-teknik ska kunna användas effektivt på väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon bör Polismyndigheten och Säkerhetspolisen undantas från kravet på att en intresseavvägning ska göras innan bevakningen påbörjas. På så sätt kan kamera- bevakningen påbörjas snabbare när behovet uppstår. Eftersom de inledande skydds- och spaningsåtgärderna ofta är avgörande för utredningen av ett brott är det fördelaktigt för Polismyndigheten att snabbt och effektivt kunna ta del av uppgifter om brott som har inträffat i realtid.

165

Överväganden

Ds 2024:11

Att Polismyndigheten och Säkerhetspolisen får bedriva kamera- bevakning på platser som allmänt används för trafik med motor- fordon utan att en intresseavvägning först görs innebär inte att bevakningen är oreglerad. Precis som med all kamerabevakning måste den, när den innebär en insamling av personuppgifter, ske i överensstämmelse med den dataskyddsrättsliga regleringen. När insamlingen sker för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd, upprätt- hålla allmän ordning och säkerhet eller fullgöra förpliktelser som följer av internationella åtaganden finns en rättslig grund för insamling av personuppgifter i 2 kap. 1 § polisens brottsdatalag. Utöver rättslig grund måste insamlingen ske för ett konkret ändamål i varje specifikt fall. Dataskyddsregleringen förutsätter att ändamålet med behandlingen av personuppgifter är definierat innan behandlingen påbörjas och regelverket tillåter inte att uppgifts- samlingar skapas för eventuella framtida behov.

Den föreslagna regleringen ger Polismyndigheten och Säkerhets- polisen möjlighet att bedriva insamling av personuppgifter som även rör personer som inte har någon koppling till brottslig verksamhet. Vid en sådan omfattande insamling av personuppgifter måste bl.a. en bedömning göras om insamlingen är proportionerlig och förenlig med principen om uppgiftsminimering. Att utforma en reglering som uppfyller syftet med lagändringen, det vill säga att förebygga, förhindra, upptäcka, utreda eller lagföra brott, på ett sätt som begränsar insamlingen av personuppgifter låter sig svårligen göras. En reglering som tillåter insamling av personuppgifter som inte tillgodoser syftet med insamlingen kan inte anses förenlig med dataskyddsregleringen. Den dataskyddsrättsliga regleringen innebär att det måste finnas ett konkret ändamål för varje specifik behandling av personuppgifter, vilket utgör en begränsning av hur insamling av personuppgifter genom kamerabevakning kan ske. Genom att det föreslås en begränsning av vilka personuppgifter som får användas samt för vilka ändamål och hur länge användningen får ske kan såväl syftet med regleringen uppnås som skyddet för den personliga integriteten tillgodoses (se avsnitt 11.2.2).

Nämnas bör även att det enligt 3 kap. 2 § brottsdatalagen ankommer på den personuppgiftsansvarige att genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättig-

166

Ds 2024:11

Överväganden

heter skyddas. Av förarbetena till bestämmelsen (prop. 2017/18:232 s. 453) framgår att sådana organisatoriska åtgärder som avses i paragrafen bl.a. är att anta interna strategier för dataskydd, att informera och utbilda personalen och att säkerställa en tydlig ansvarsfördelning. Vilka åtgärder som bör vidtas får avgöras efter en bedömning i enskilda fall. Vid bedömningen har det betydelse bl.a. vilka personuppgifter som ska behandlas, mängden uppgifter och hur integritetskänsliga de är. Även grunden för behandlingen och riskerna med den ska beaktas. Mer långtgående åtgärder kan behövas vid behandling som kan medföra särskilda risker för integritets- intrång eller vid omfattande behandling av en stor mängd person- uppgifter. Det ankommer alltså på Polismyndigheten och Säkerhets- polisen att vidta lämpliga åtgärder vid insamling av personuppgifter genom den föreslagna utvidgningen av myndigheternas möjlighet att använda sig av kamerabevakning med ANPR-teknik i syfte att minimera integritetsintrånget. Sådana åtgärder skulle exempelvis kunna vara inbyggt dataskydd genom maskering, att kamerorna är påslagna endast vissa tider och att enbart viss personal får tillgång till materialet. Det bör också beaktas att det kan behöva genomföras en konsekvensbedömning och ett förhandssamråd med tillsyns- myndigheten när kamerabevakning bedrivs enligt den föreslagna ordningen (se 3 kap. 7 § brottsdatalagen och 5 kap. 6 § säkerhets- polisens datalag).

167

Överväganden

Ds 2024:11

11.2.2En ny reglering om behandling av personuppgifter som samlats in av Polismyndigheten och Säkerhetspolisen genom kamerabevakning på platser som allmänt används för trafik med motorfordon

Förslag: För att väga upp den integritetsförlust som en utökning av möjligheterna till kamerabevakning innebär införs en begränsning av vilka personuppgifter som får användas samt för vilka ändamål och hur länge användningen får ske.

Personuppgifter som har samlats in genom kamerabevakning på platser som allmänt används för trafik med fordon och som rör motorfordon får behandlas av Polismyndigheten eller Säkerhetspolisen endast om syftet med behandlingen är att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer. Sådan användning får alltid ske i sex månader efter det att uppgifterna samlades in. Detta ska inte gälla för personuppgifter i form av bilder av enskilda.

Den föreslagna regleringen innebär att en omfattande insamling kan ske av personuppgifter på väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon. Det innebär att insamling kan ske av personuppgifter som rör personer som inte har någon koppling till brottslig verksamhet. Hur sådana person- uppgifter får användas och lagras bör regleras tydligt i lag. Alltid när en personuppgift har samlats in måste användningen av uppgiften ske på ett sätt som är förenligt med dataskyddsregleringen, det måste bl.a. finnas en rättslig grund och ett berättigat ändamål för behandlingen. Eftersom kamerabevakning på platser som allmänt används för trafik med motorfordon regelbundet torde innebära att personuppgifter samlas in bör det införas regler som begränsar vilka personuppgifter som får användas, för vilket ändamål och hur länge de får lagras för att vara förenlig med skyddet för den personliga integriteten och dataskyddsregleringen, bl.a. principerna om uppgifts- och lagringsminimering och kraven på att behandlingen ska vara nödvändig och proportionerlig. En specifik rättslig grund bör införas i polisens brottsdatalag för Polismyndighetens och Säkerhetspolisens användning och lagring av personuppgifter som

168

Ds 2024:11

Överväganden

samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon.

Genom den föreslagna bestämmelsen om utökade möjligheter till kamerabevakning på platser som allmänt används för motortrafik kan olika typer av personuppgifter samlas in beroende på hur kamerabevakningen bedrivs. De personuppgifter som föreslås få användas med stöd av den föreslagna regleringen är uppgifter om motorfordon. Med motorfordon avses detsamma som i 2 § lagen (2001:559) om vägtrafikdefinitioner. Det kan bl.a. vara bilder på fordons registreringsskyltar med tillhörande uppgift om tid och plats för fordonets passage av kameran. Det kan även vara uppgifter om fordonets registreringsland och modell. En förutsättning för bestämmelsens tillämplighet är att uppgifterna utgör person- uppgifter. Begreppet personuppgifter är avsett att ha samma innebörd som 1 kap. 6 § brottsdatalagen.

Med uppgifter om motorfordon avses inte sådana uppgifter som inte framgår av själva kamerabilden. Det kan bl.a. handla om ägar- uppgifter som tas fram genom exempelvis vägtrafikregistret med hjälp av registreringsnummer. Sådana uppgifter samlas inte in genom kamerabevakningen utan på annat sätt (SOU 2021:92 s. 581). Med uppgifter om motorfordon avses inte heller bild på enskilda, det vill säga identifierbara förare eller passagerare i ett fordon. Att enbart uppgifter om motorfordon får användas med stöd av den föreslagna regleringen innebär ett mindre integritetsintrång och överens- stämmer med vad som gäller för behandling av uppgifter från kamerabevakning i gränsnära områden (se 13 § lagen om polisiära befogenheter i gränsnära områden). Att insamlade uppgifter om motorfordon blir föremål för omfattande behandling kan anses vara mindre känsligt från integritetssynpunkt än behandling av många andra typer av personuppgifter (jfr prop. 2022/23:109 s. 40). För det fall Polismyndigheten eller Säkerhetspolisen vill använda andra personuppgifter i material från kamerabevakning på platser som allmänt används för trafik med motorfordon än motorfordon måste det ske med stöd av annan rättslig grund i tillämplig dataskydds- reglering.

Polismyndigheten har lyft fram ett behov av att kunna använda insamlade uppgifter från kamerabevakning i sin underrättelse- verksamhet och framhållit att genom att analysera fordonsdata och mönster kan tidigare okända förhållanden om brottslighet

169

Överväganden

Ds 2024:11

upptäckas. Det saknas anledning att betvivla att det finns en stor polisiär och operativ nytta med att t.ex. kunna sammanföra uppgifter om insamlade fordonsrörelser med uppgifter om motorfordon som underrättelseverksamheten bedömer ha samband med brottslig verksamhet, utan att det för den skull föreligger någon konkret brottsmisstanke. För att den nu föreslagna regleringen om kamerabevakning på platser som allmänt används för trafik med motorfordon ska vara förenlig med de dataskyddsrättsliga reglerna och skyddet för den personliga integriteten görs bedömningen att användningen av personuppgifter begränsas till ett visst ändamål. Ett sådant ändamål kan exempelvis vara att förebygga, förhindra, upptäcka, utreda eller lagföra brottsliga gärningar av viss svårhets- grad.

Olika lösningar kan väljas när det kommer till att avgränsa vilka brott som ska kunna träffas av den föreslagna bestämmelsen. Det är angeläget att integritetsintrånget inte blir oproportionerligt i förhållande till de vinster som intrånget innebär för bekämpningen av den allvarliga brottsligheten. I sammanhanget kan nämnas lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen, som reglerar överföring och behandling av PNR-uppgifter (uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning) för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Lagen bygger på det s.k. PNR-direktivet21. Av 1 § fjärde stycket i den nyss nämnda lagen framgår att med annan allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer. Syftet med den nu föreslagna utvidgningen av kamerabevakning och lagen om flygpassageraruppgifter i brotts- bekämpningen överensstämmer i allt väsentligt. Beaktas bör att det i den nämnda lagen är fråga om behandling av bl.a. resenärers namn, adress och kontaktuppgifter, fullständig resplan samt all betalnings- och bagageinformation, vilket får anses utgöra mer känsliga personuppgifter än fordonsuppgifter sett från en integritets- synpunkt.

21Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

170

Ds 2024:11

Överväganden

En bestämmelse om hur personuppgifter som samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon får användas bör föreskriva att användningen av insamlade uppgifter får avse personuppgifter som rör motorfordon samt att användning endast får ske om syftet med den är att förebygga, förhindra, upptäcka, utreda eller lagföra ett brott för vilka är föreskrivet fängelse i tre år eller mer. En sådan ordning innebär en teknikneutral bestämmelse som kan tillgodose användningen av personuppgifter i form av motorfordon som har samlats in på platser som allmänt används för trafik med motorfordon i Polis- myndighetens och Säkerhetspolisens verksamhet samtidigt som skyddet för den personliga integriteten tillgodoses. Förslaget får anses falla inom gränserna för vad som kan anses vara nödvändig och proportionerlig användning av insamlade personuppgifter.

Beträffande den lagtekniska lösningen och placeringen av den nya föreslagna regeln görs följande överväganden. När brottsdatalagen infördes uttalade regeringen att utgångspunkten för lagens tillämpningsområde är att myndigheternas personuppgifts- behandling i så stor utsträckning som möjligt ska regleras i respektive registerförfattning. En annan ordning, med enstaka bestämmelser om personuppgiftsbehandling i andra lagar, ansågs innebära att regleringen blir svåröverskådlig. (Se prop. 2017/18:269 s. 158.) Den bestämmelse som möjliggör behandling av person- uppgifter om fordon såvitt gäller kamerabevakning i gränsnära områden har placerats i 13 § lagen om polisiära befogenheter i gränsnära områden. Bakgrunden till denna placering var att åstadkomma ett överskådligt regelverk och tydliggöra att bestämmelsen gäller just i gränsnära områden och ingen annanstans. (Se SOU 2021:92 s. 405.)

Regleringen om kamerabevakning på platser som allmänt används för trafik med motorfordon som föreslås får en generell geografisk giltighet och införandet av regleringen sker inte vid sidan av fram- tagandet av en helt ny lag för det specifika ändamålet. Det framstår därför som lämpligast att föra in en specifik reglering om rättslig grund gällande användandet av personuppgifter som samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon efter den grundläggande bestämmelsen om rättslig grund för behandling av personuppgifter i 2 kap. 1 § polisens brottsdatalag.

171

Överväganden

Ds 2024:11

Det bör, i likhet med bestämmelsen i 13 § lagen om polisiära befogenheter i gränsnära områden, framgå av lagtexten att bestämmelsen inte gäller uppgifter i form av bild av en enskild, det vill säga bild av identifierbara personer. För användning av sådana bilder måste stöd finnas i annan tillämplig dataskyddsrättslig reglering. I vilken utsträckning behandling av bilder av enskilda och andra personuppgifter som kan samlas in genom kamerabevakning på plats som allmänt används för trafik med motorfordon kan bedömas vara nödvändig och stå i proportion till de eventuella integritetsintrång som behandlingen innebär kan skifta kraftigt.

Tiden för användningen

I artikel 4.1 e dataskyddsdirektivet föreskrivs att personuppgifter inte ska förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det ska vidare enligt artikel 5 i direktivet föreskrivas lämpliga tidsgränser för radering av person- uppgifter eller för periodisk översyn av behovet av att lagra person- uppgifter. Dataskyddsdirektivet har i dessa delar genomförts genom bestämmelserna i 2 kap. 17 och 18 §§ brottsdatalagen och vissa bestämmelser om längsta tid för behandling i myndigheternas registerlagstiftning, bl.a. i 4 kap. polisens brottsdatalag.

I 2 kap. 17 § brottsdatalagen föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Av 4 kap. 2 § polisens brottsdatalag framgår att personuppgifter som inte har gjorts gemensamt tillgängliga inte får behandlas längre än ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. I 4 kap. 7–11 §§ finns bestämmelser om den längsta tid under vilken personuppgifter som har gjorts gemensamt tillgängliga får behandlas. Det kan i vissa fall bli aktuellt med kortare lagringstid än de tider som anges i 4 kap. polisens brottsdatalag, om det enligt den grundläggande regeln i 2 kap. 17 § brottsdatalagen inte bedöms nödvändigt att behandla en personuppgift så länge. Reglerna i 4 kap. polisens brottsdatalag är alltså just längsta tider, inte

172

Ds 2024:11

Överväganden

minimitider under vilka det alltid ska anses nödvändigt och proportionerligt för polisen att behandla personuppgifter.

Den tidigare gällande kameraövervakningslagen, som år 2018 ersattes med den nuvarande kamerabevakningslagen, innehöll en uttrycklig bestämmelse om att bild- eller ljudmaterial från kamera- bevakning av en plats dit allmänheten har tillträde som huvudregel fick bevaras under högst två månader. Att någon särskild tid för bevarande av kameramaterial i dag inte anges i lag kan dock inte utan vidare tolkas som att lagstiftaren avsett att en mer generös lagring av obearbetat videomaterial från kamerabevakning av en plats dit allmänheten har tillträde generellt sett skulle vara tillåten. Å andra sidan skulle det faktum att lagstiftaren valt att ta bort en tidigare gällande tidsgräns kunna indikera att det nu bör kunna vara möjligt att i större utsträckning göra olika bedömningar och att två månader inte längre är en självklar gräns. (Jfr SOU 2021:92 s. 374.)

Skälen för att tillåta att obearbetat videomaterial fick bevaras under två månader angavs i förarbetena till kameraövervaknings- lagen vara att det krävdes för att materialet skulle kunna användas exempelvis i brottsutredningar (prop. 2012/13:115 s. 123 f.). Detta är ett argument för lagring som fortsatt är aktuellt och relevant. I regel bör en lagringstid om i vart fall två månader därför kunna motiveras enligt gällande rätt avseende lagring av obearbetat videomaterial från kamerabevakning i allmänhet. Detta motsvarar den bedömning som gjordes beträffande bestämmelsen om lagring av personuppgifter som infördes i 13 § lagen om polisiära befogenheter i gränsnära områden. Utredningen ansåg att en lagringstid om sex månader utgjorde en balans mellan intresset av behandling av uppgifterna för brottsförebyggande och brotts- bekämpande ändamål och skyddet för den personliga integriteten. Tiden ansågs tillgodose de brottsbekämpande myndigheternas behov, såväl inom underrättelseverksamheten som den brotts- utredande verksamheten. Det konstaterades vidare att det har bedömts rimligt i andra sammanhang att obearbetat material får analyseras i sex månader för specifika ändamål. (Se SOU 2021:92 s. 394.)

Användning av personuppgifter under en längre tid än två månader kan, enligt dagens lagstiftning, anses tillåtet i de fall när uppgifterna blir föremål för vidare bearbetning eller analys i ett särskilt ärende med ett mer specificerat ändamål. Ett exempel på

173

Överväganden

Ds 2024:11

sådan behandling kan vara om en uppgift om ett motorfordons registreringsnummer, som inhämtats genom att kamerabevaknings- bilder bearbetats med ANPR-teknik, ger en ”träff” mot Polis- myndighetens eller Säkerhetspolisens bevakningsregister eller annars är intressant inom ramen för en förundersökning. Behandlingen av personuppgifter sker då med stöd av bestämmelser i 4 kap. polisens brottsdatalag som innehåller lagringstider om minst ett år (jfr a. SOU s. 371 ff., 392 och 395).

Användning och lagring av personuppgifter om fordon som samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon för de föreslagna ändamålen får bedömas vara nödvändig under längre tid än två månader för att tillgodose Polismyndighetens och Säkerhetspolisens behov, inte minst inom underrättelseverksamheten. Som framgått ovan får riskerna för intrång i den personliga integriteten anses vara mer begränsade vid användning av personuppgifter om motorfordon än de som föreligger vid behandling av personuppgifter som är direkt hänförbara till en identifierbar fysisk person. Detta eftersom fordonsuppgifter är av mindre integritetskänsligt slag. Om tiden för vilken lagring och behandling av uppgifter får ske är för kort hinner de brottsbekämpande myndigheterna inte bearbeta uppgifterna i tillräcklig utsträckning för att användningen ska fylla det syfte som ligger till grund för kamerabevakningen. Uppgifterna måste alltså få användas under en tillräckligt lång tid för att användningen ska vara meningsfull.

Polismyndigheten har lyft fram ett behov av att kunna behandla uppgifter från kamerabevakning bl.a. med ANPR-teknik under en tid av minst ett år. Det ifrågasätts inte att det kan finnas ett polisiärt behov av att få behandla material från kamerabevakning under så lång tid. En sådan lång lagringstid bedöms dock inte förenlig med den dataskyddsrättsliga principen om lagringsminimering. En lagringstid om ett år för så pass omfattande behandling av person- uppgifter som den nu föreslagna utökningen av kamerabevakning innebär torde inte ha accepterats i några andra sammanhang som styrs av dataskyddsdirektivets reglering. Mot den bakgrunden görs bedömningen att det inte är möjligt att införa en reglering som tillåter att insamlade personuppgifter om fordon från kamera- bevakning på plats som allmänt används för trafik med motorfordon får användas under ett år.

174

Ds 2024:11

Överväganden

Av 13 § lagen om polisiära befogenheter i gränsnära områden framgår att personuppgifter som rör fordon och som har samlats in genom kamerabevakning i ett gränsnära område alltid får behandlas av bl.a. Polismyndigheten och Säkerhetspolisen i sex månader efter det att uppgifterna samlades in. En skillnad mellan den nu föreslagna regleringen och regleringen i lagen om polisiära befogenheter i gränsnära områden är att det geografiska tillämpningsområdet är väsentligt större i den här föreslagna regleringen. De risker för den personliga integriteten som den nu föreslagna regleringen innebär balanseras dock av att uppgifterna om motorfordon bara får användas för ett visst, begränsat ändamål. Detta ändamål är påtagligt mer begränsat än det för vilket fordonsuppgifter från kamera- bevakning i gränsnära områden får användas, det vill säga att förebygga, förhindra, upptäcka, utreda eller lagföra brottslig verksamhet.

En möjlighet till användning av personuppgifter måste kunna godtas under i vart fall sex månader, om användningen begränsas till sådana personuppgifter och för sådant ändamål som nu föreslås. Det föreslås därför att personuppgifter om fordon som samlats in genom kamerabevakning på platser som allmänt används för trafik med motorfordon som ska användas för att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer alltid ska få användas i sex månader efter det att de samlades in. Uppgifterna får användas så länge användningen sker för det konkreta ändamålet. Efter att den angivna tiden har gått ut, eller om användningen sker för andra ändamål, får möjligheten att använda uppgifterna avgöras med stöd av annan tillämplig dataskyddsrättslig reglering.

Det kan här noteras att s.k. PNR-uppgifter får behandlas i sex månader, vilket har bedömts vara förenligt med grundläggande dataskyddsrättsliga principer. Även denna reglering bygger på EU- rätt (PNR-direktivet). Den nu föreslagna regleringen har samma ändamål som behandlingen av PNR-uppgifter, det vill säga att bekämpa mycket allvarlig brottslighet.

Det kan även tilläggas att det kan finnas tekniska och praktiska aspekter som talar för att personuppgifter om fordon som samlats in genom kamerabevakning på plats som allmänt används för trafik med motorfordon får användas under samma tid som sådana uppgifter som är insamlade genom kamerabevakning i ett gränsnära

175

Överväganden

Ds 2024:11

område. Det kan leda till tillämpningssvårigheter och utmaningar vad gäller tekniska lösningar och plattformar om uppgifter insamlade från olika delar av vägnätet får användas under olika tids- rymder. En lämpligare lösning för att åstadkomma en sådan differentiering som är sakligt påkallad och förenlig med dataskydds- lagstiftningen är att i stället inskränka de ändamål för vilka de insamlade uppgifterna får användas.

11.3Inget avskaffat krav på upplysning om kamerabevakning på platser som allmänt används för trafik med motorfordon

Bedömning: Det föreslås inte något ytterligare undantag från kravet på upplysning om kamerabevakning genom tydlig skyltning eller på något annat verksamt sätt enligt 15 § kamerabevakningslagen vid kamerabevakning på platser som allmänt används för trafik med motorfordon som bedrivs av Polismyndigheten eller Säkerhetspolisen.

Enligt 15 § första stycket kamerabevakningslagen ska en upplysning om kamerabevakning lämnas genom tydlig skyltning eller på något annat verksamt sätt. I andra stycket föreskrivs att om ljud kan avlyssnas eller tas upp vid bevakningen, ska en särskild upplysning lämnas om detta. Det vanligaste sättet att uppfylla kravet på upplysning är genom tydlig skyltning i direkt anslutning till den plats som kamerabevakas.

Från upplysningsplikten finns vissa undantag i 16 och 17 §§ kamerabevakningslagen. Av 16 § första stycket framgår bl.a. att upplysning om kamerabevakning och information om den personuppgiftsbehandling som kamerabevakningen innebär inte behöver lämnas vid bevakning som Polismyndigheten bedriver vid automatisk hastighetsövervakning. Av 17 § framgår att tillsyns- myndigheten, om det finns synnerliga skäl, får besluta i enskilda fall om undantag från upplysningskravet och rätten till information om den personuppgiftsbehandling som kamerabevakningen innebär.

Polismyndigheten har framfört att det kan uppstå svårigheter för myndigheten att uppfylla kravet på skyltning när det kommer till

176

Ds 2024:11

Överväganden

kamerabevakning i vägtrafiken. För att få sätta upp skyltar i anslutning till väg gäller vissa säkerhetsregler och en uppsättning av skylt kräver dessutom en samverkan med kommuner och Trafik- verket. Det är också, enligt myndigheten, svårt att uppfylla det underliggande syftet med upplysningskravet vid kamerabevakning på vägar eftersom trafikanter får svårt att uppfatta den information som ska framgå på skylten. Polismyndigheten påpekar vidare att det är svårt att ge enskilda en möjlighet att justera sitt beteende för att undvika att bli bevakade, det vill säga välja en annan väg.

Av dessa skäl har Polismyndigheten bl.a. efterfrågat ett generellt undantag från kravet på skyltning vid kamerabevakning i vägtrafiken likt det som gäller när Polismyndigheten bedriver automatisk hastighetsövervakning. Polismyndigheten har betonat att det inte är fråga om att myndigheten vill bedriva dold kamerabevakning på vägarna. Det handlar om i vilken mån lagens regler är meningsfulla och genomförbara.

Frågan om utökade undantag från kravet på upplysning om kamerabevakning genom tydlig skyltning eller på något annat verksamt sätt har i närtid övervägts grundligt av 2023 års kamerabevakningsutredning i betänkandet Kamerabevakning i offentlig verksamhet (SOU 2024:27). Där föreslås inte något bredare undantag från upplysningskravet, bl.a. på den grunden att upplysningskravet och rätten till information utgör en möjlighet för den enskilde att tillvarata sina rättigheter i samband med kamerabevakning, och att utökade undantag således bör vara väl avgränsade (a. SOU s. 405 ff.).

Det har inte här framkommit att det skulle finnas några avgörande praktiska hinder mot att sätta upp skyltar vid de platser som allmänt används för trafik med motorfordon. De svårigheter som en eventuell samverkan med andra aktörer kan innebära kan av allt att döma bemästras. Som exempel kan nämnas att bl.a. Trafikverket i relativt stor utsträckning bedriver kamerabevakning längs de allmänna vägarna som omfattas av kamerabevakningslagens skyltningskrav. Kravet på upplysning är viktigt från integritets- synpunkt och möjliggör för enskilda att kunna välja om de vill bli föremål för kamerabevakning eller inte. En upplysning om att det bedrivs kamerabevakning på en plats är också viktig för ett effektivt brottsförebyggande.

177

Överväganden

Ds 2024:11

Ett borttaget krav på att det ska lämnas en upplysning om kamerabevakning kan inte anses motsvara den vinst det ger för brottsbekämpande myndigheter när kamerabevakning bedrivs på platser som allmänt används för trafik med motorfordon. De undantag som i dag finns reglerade i kamerabevakningslagen tillkom bl.a. med hänvisning till att integritetsintrånget i de aktuella fallen är begränsat och att själva syftet med övervakningen skulle motverkas genom ett ovillkorligt krav på upplysning (se bl.a. prop. 1989/90:119 s. 30). Sådan kamerabevakning som föreslås få bedrivas på platser som allmänt används för trafik med motorfordon av Polis- myndigheten och Säkerhetspolisen innebär ett intrång i den personliga integriteten eftersom regleringen möjliggör att en stor mängd personuppgifter samlas in. En skyltning om att kamera- bevakning bedrivs kan i dessa fall inte heller anses motverka syftet med bevakningen. Det föreslås därför inte något undantag från kravet på att upplysning om kamerabevakning ska lämnas genom tydlig skyltning eller på något annat verksamt sätt när Polis- myndigheten eller Säkerhetspolisen bedriver kamerabevakning på platser som allmänt används för trafik med motorfordon. Att en person som uppmärksammar skyltningen på en väg sällan har möjlighet att ta en annan väg utgör inte tillräckliga skäl för ett slopat krav om att upplysa om att kamerabevakning sker. Avsaknad av sådan skyltning gör det inte heller enklare för trafikanten i fråga att välja annan väg.

11.4Polismyndigheten och Säkerhetspolisen får i vissa fall ges tillstånd att använda system för biometrisk fjärridentifiering i realtid på allmän plats för brottsbekämpningsändamål

Förslag: Polismyndigheten och Säkerhetspolisen ges möjlighet att i vissa fall få tillstånd att använda system för biometrisk fjärridentifiering i realtid på allmän plats för brottsbekämpnings- ändamål. Tillstånd ska få ges endast ges i den mån sådan användning är absolut nödvändig.

178

Ds 2024:11

Överväganden

Möjligheten att identifiera personer med hjälp av biometri har utvecklats mycket snabbt på senare tid. Det gäller inte minst teknik för avancerad ansiktsigenkänning. Biometriska uppgifter utgör s.k. känsliga personuppgifter och behandling av sådana uppgifter är särskilt reglerad i det dataskyddsrättsliga regelverket. Av 2 kap. 12 § brottsdatalagen, samt 2 kap. 4 § och 6 kap. 4 § polisens brottsdatalag, framgår att biometriska uppgifter endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Regleringarna utgår från artikel 10 i dataskyddsdirektivet. Utvecklingen går mot att i allt större utsträckning använda AI för ansiktsigenkänning. Genom att dra nytta av den tekniska utvecklingen kan arbetet med att bekämpa organiserad brottslighet effektiviseras. Det är dock viktigt att den tekniska utvecklingen inte nyttjas på ett sätt som innebär oproportionerliga intrång i den enskildes personliga integritet och andra grundläggande fri- och rättigheter.

Den 13 mars 2024 antogs texten till den kommande EU- förordningen om AI22. Förordningen, som kommer bli direkt tillämplig i svensk rätt, bygger på en riskbaserad metod där olika AI- system regleras på olika sätt beroende på vilken risk systemet anses utgöra. Alla system för biometrisk fjärridentifiering anses utgöra högrisksystem och omfattas därför av strikta krav (se skäl 54).

I vissa avseenden innehåller förordningen bestämmelser som förutsätter eller ger utrymme för kompletterande nationella regler av olika slag. En sådan bestämmelse finns i artikel 5.5, där det framgår att en medlemsstat får föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpningsändamål inom vissa gränser och på vissa villkor. Det är alltså upp till respektive medlemsstat att, genom kompletterande lagstiftning i nationell rätt, ta ställning till om och på vilket sätt användning av sådana system ska få ske.

Biometrisk fjärridentifiering i realtid definieras som ett system för biometrisk fjärridentifiering där infångning av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål

22Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

179

Överväganden

Ds 2024:11

och omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående (artikel 3.42 AI- förordningen). Realtidssystem involverar direktupptagningar eller näst intill direktupptagningar av material, såsom videoupptagningar, genererade med kamera eller annan utrustning med liknande funktion. Efterhandssystem baseras däremot på redan insamlade biometriska uppgifter och jämförelsen och identifieringen sker med en betydande fördröjning. Detta involverar sådant material som bilder eller videoupptagningar som genereras genom bevaknings- kameror (CCTV) eller privat utrustning och som har genererats före användningen av systemet vad gäller de berörda fysiska personerna (se skäl 17).

Enligt artikel 5.5 AI-förordningen ska medlemsstaterna i sin nationella lagstiftning ange för vilka av de syften som förtecknas i artikel 5.1 h, inbegripet för vilka av de brott som avses i led iii i artikel

5.1h, de behöriga myndigheterna kan få tillstånd att använda system för biometrisk fjärridentifiering i realtid för brottsbekämpnings- ändamål. Polismyndigheten har efterfrågat en möjlighet att få använda ansiktsigenkänning i realtid för att bl.a. eftersöka efterlysta personer för att kunna effektivisera sitt brottsbekämpande arbete.

Enligt artikel 5.1 h kan tillstånd att använda system för biometrisk fjärridentifiering i realtid endast ges i den mån sådan användning är absolut nödvändig för följande syften.

i.Målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, samt sökning efter försvunna personer.

ii.Förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack.

iii.Lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning, lagföring eller ett verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlems- staten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år.

180

Ds 2024:11

Överväganden

För att möta de behov som Polismyndigheten har lyft fram och för att möjliggöra effektiva sätt att förhindra potentiella terrorist- attacker samt hitta vissa brottsoffer bör Polismyndigheten och Säkerhetspolisen ges tillstånd att använda system för biometrisk fjärridentifiering i realtid för samtliga de syften som artikel 5.1 h AI- förordningen möjliggör. Det har inte framkommit att det finns ett behov för någon annan myndighet att få ges tillstånd till användning av sådana system. Användningen får ske inom Polismyndighetens verksamhet att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, eller upprätthålla allmän ordning och säkerhet samt i Säkerhetspolisens verksamhet gällande frågor som inte rör nationell säkerhet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott (jfr 1 kap. 1 § polisens brottsdatalag och artikel 3.45 och 3.46 AI- förordningen).

Det framgår av artikel 5.3 i AI-förordningen att ett tillstånd, som huvudregel, måste lämnas i förväg för varje användning av system för biometrisk fjärridentifiering i realtid. Detta måste som utgångs- punkt förstås som att tillståndet endast kan gälla en insats som är begränsad till tid och plats, och att någon av de förutsättningar som föreskrivs i artikel 5.1 h i–iii alltid måste vara för handen beträffande insatsen som helhet.

Gällande på vilka platser systemen får tillämpas används begreppet allmänt tillgänglig plats i AI-förordningen. Förordningens begrepp får anses stämma överens med begreppet allmän plats i den mening som det används i brottsbalken, det vill säga alla platser dit allmänheten har tillträde.

I förordningens artikel 5.1 h första punkten regleras bl.a. möjligheten att eftersöka offer för sexuellt utnyttjande av människor. Därmed ges stöd för att använda teknik för ansikts- igenkänning i realtid för att eftersöka offer för bl.a. barnpornografi- brott och sådana brott som regleras i 6 kap. BrB.

Ett sådant hot mot fysiska personers liv eller fysiska säkerhet som avses enligt andra punkten kan vara följden av en allvarlig driftsstörning vid kritisk infrastruktur enligt definitionen i artikel

2.4i Europaparlamentets och rådets direktiv (EU) 2022/255723, om en driftsstörning vid eller förstörelse av sådan infrastruktur skulle

23Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.

181

Överväganden

Ds 2024:11

leda till en omedelbar fara för en persons liv eller fysiska säkerhet, inbegripet genom allvarlig skada på tillhandahållandet av bas- förnödenheter till befolkningen eller på utövandet av statens kärnfunktion (skäl 33 AI-förordningen). Eftersom det enligt punkten ska vara ett övervägande och aktuellt hot ska det vara fråga om ett brådskande fall. Med begreppet terroristattack bör avses en sådan gärning som kan utgöra brott enligt 4 § terroristbrottslagen (2022:666).

De brott som omfattas av tredje punkten och som framgår av bilaga II i förordningen grundas på de 32 brott som förtecknas i rådets rambeslut 2002/584/RIF1924. Vid tillståndsförfarandet får en bedömning göras av om de brott som finns upptagna i bilagan har en motsvarighet i svensk rätt. Det föreskrivna straffet för brottet i svensk rätt måste vara fängelse i fyra år eller mer. Bedömningen är hänförlig till brottets straffskala och inte till en straffvärde- bedömning. En tydlig uppräkning av vilka brott som avses har inte ansetts nödvändig för att en reglering ska vara så tydlig och förutsebar att den lever upp till legalitetsprincipens krav (jfr prop. 2021/22:133 s. 77).

Artikel 5.1 h AI-förordningen föreskriver att brottsbekämpande myndigheter – utöver att användning av system för biometrisk fjärridentifiering i realtid endast får ske för något av de syften som anges – bara får ges tillstånd till användning av tekniken i den mån sådan är absolut nödvändig. En sådan begränsning tydliggör, likt bl.a. bestämmelserna i 2 kap. 12 § brottsdatalagen samt 2 kap. 4 § och 6 kap. 4 § polisens brottsdatalag, att det är fråga om undantagsfall som kräver ingående bedömningar om användningen verkligen är nödvändig då det handlar om behandling av känsliga person- uppgifter. Detta är en viktig begränsning för att skydda bl.a. den personliga integriteten. Tillstånd får vidare bara ges för brotts- bekämpningsändamål.

För att en regel som ger Polismyndigheten och Säkerhetspolisen möjlighet att använda teknik för ansiktsigenkänning i realtid ska kunna träda i kraft krävs att ytterligare bestämmelser införs. Det är fråga om bl.a. föreskrifter om vilken eller vilka myndigheter som ska vara marknadskontrollmyndighet till vilken varje användning av ett system för biometrisk fjärridentifiering i realtid på allmän plats ska

24Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna.

182

Ds 2024:11

Överväganden

anmälas och vilken rättslig eller oberoende administrativ myndighet som ska vara tillståndsgivare för sådana system (se artikel 5 punkterna 4 och 5 AI-förordningen). Det torde även behövas kompletterande bestämmelser som anger hur systemen och utdata från dessa får användas. Sådana bestämmelser är av stor vikt för att ge ett ytterligare skydd åt den personliga integriteten och andra grundläggande fri- och rättigheter.

Den föreslagna regleringen bör lämpligen föras in som en ny bestämmelse i polisens brottsdatalag eftersom det är fråga om tillstånd för insamling av personuppgifter som sker inom lagens tillämpningsområde.

11.5Användning av teknik som extraherar information i bildmaterial från kamerabevakning

Bedömning: Användning av teknik som innebär att bildmaterial från kamerabevakning regelmässigt behandlas genom att viss information om innehållet i materialet extraheras kan inte anses förenlig med den dataskyddsrättsliga regleringen eller AI- förordningen.

Teknik som innebär att bild- och filmmaterial behandlas med AI- baserade bildanalysalgoritmer som extraherar viss information om innehållet i materialet kallas ibland för krunchning. Polis- myndigheten har framhållit att myndigheten har ett behov av att mer regelmässigt kunna använda krunchning på bildmaterial från myndighetens bevakningskameror och från annans kamera- bevakning som myndigheten får tillgång till. Syftet med krunchningen är att effektivisera användningen av den teknik som i dag finns tillgänglig. Polismyndigheten har framfört att myndigheten har ett behov av att kruncha bild- och filmmaterial redan vid insamlingen av materialet eftersom materialet då skulle kunna göras sök- och filtreringsbart direkt. På detta sätt skulle det kunna skapas sökbara databaser som exempelvis skulle kunna användas i nära tidsmässig anslutning till att ett brott begås.

Den hantering som krunchning innebär utgör en behandling av personuppgifter i form av biometriska uppgifter. Det är alltså fråga om behandling av sådana känsliga personuppgifter som Polis-

183

Överväganden

Ds 2024:11

myndigheten och Säkerhetspolisen enligt 2 kap. 4 § polisens brottsdatalag får behandla endast om det är absolut nödvändigt för ändamålet med behandlingen. När kamerabevakning bedrivs är det ofta fråga om en omfattande insamling av personuppgifter. Det går att ifrågasätta om krunchning kan anses absolut nödvändig i förhållande till de kränkningar av de grundläggande rättigheterna som behandlingen ger upphov till sett i förhållande till ändamålet med behandlingen (jfr EU-domstolens dom av den 26 januari 2023 V.S. mot Ministerstvo na vatreshnite raboti m.fl., C 205/21, EU:C:2023:49, p. 128-130). Det är vidare tveksamt om det är förenligt med principen om uppgiftsminimering att utföra en sådan storskalig behandling av känsliga personuppgifter som krunchning av material från bevakningskameror i omedelbar anslutning till att materialet samlats in innebär.

Vidare måste reglerna i AI-förordningen beaktas. Eftersom krunchning inte innefattar något moment av jämförelse kan visserligen inte någon annan slutsats dras än att kruchning i och för sig inte innefattar någon biometrisk fjärridentifiering i realtid och således inte träffas av artikel 5.1 h i AI-förordningen. I artikel 5.1 e i förordningen föreskrivs emellertid att utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI- system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror är förbjudet. Av skäl 43 framgår att sådana nämnda metoder ökar känslan av att det förekommer mass- övervakning och kan leda till grova kränkningar av grundläggande rättigheter, inbegripet rätten till integritet.

Vad begreppet skrapning innebär enligt artikel 5.1 e i AI- förordningen är inte helt klart. Utifrån hur begreppet används i förordningen får det dock anses innebära att information extraheras automatiskt eller med hjälp av en dator ur en bild. Med oriktad skrapning måste anses menas att skrapningen inte är inriktad på bilder av en viss person, utan att extrahering av information sker från bilder i ett obestämt material. Vid kamerabevakning styr vanligen händelseförlopp på platsen där bevakningen bedrivs vilket bildmaterial som samlas in. Det får därmed anses vara fråga om insamling av ett obestämt material. Behandling i form av krunchning av ett bildmaterial från kamerabevakning kan alltså inte anses förenligt med artikel 5.1 e AI-förordningen. Det föreslås därför

184

Ds 2024:11Överväganden

ingen reglering som möjliggör regelmässig användning av krunchning.

11.6En utvidgad uppgiftsskyldighet för Transportstyrelsen avseende uppgifter från trängselskattekameror och infrastrukturavgiftskameror

Förslag: Transportstyrelsen ska på begäran av Polismyndigheten eller Säkerhetspolisen utan dröjsmål lämna ut uppgifter om trängselskatt eller infrastrukturavgift som gäller passager av en betalstation eller kontrollpunkt om det av begäran framgår att uppgifterna behövs i ett brådskande fall för att förebygga, förhindra, upptäcka eller utreda ett brott för vilket det är föreskrivet fängelse i tre år eller mer eller ett straffbart försök eller en straffbar förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott.

Polismyndigheten har framhållit att myndigheten har ett operativt intresse av att i större utsträckning kunna ta del av material från trängselskattekameror. Myndigheten har även framfört ett behov av att på ett snabbt sätt kunna ta del av material från kameror som är uppsatta för att ta ut infrastrukturavgift. Eftersom de inledande skydds- och spaningsåtgärderna ofta är avgörande för utredningen av ett brott är det fördelaktigt för Polismyndigheten att snabbt och effektivt kunna ta del av uppgifter om brott som har inträffat i realtid. Detta bl.a. för att identifiera en gärningsperson och för att förhindra att ytterligare brott inträffar. Samma sak gäller när en brottsbekämpande myndighet har underrättelser som tyder på att ett brott planeras eller är nära förestående (se även SOU 2023:69 s. 645).

När systemet med trängselskatt infördes lades under lag- stiftningsprocessen stor vikt vid integritetsaspekten. Bland annat uttalade regeringen i förarbetena att det är angeläget att den enskildes integritet värnas så långt som möjligt. Möjligheten att kartlägga en persons förflyttningar in i och ut ur ett område som omfattas av trängselskatt skulle därför, enligt regeringen, omfattas av sekretess. (Se prop. 2003/04:145 s. 90 och 102 f.) Motsvarande

185

Överväganden

Ds 2024:11

överväganden och uttalanden gjordes knappt tio år senare när systemet med infrastrukturavgifter infördes. I samband med detta uttalade även regeringen att de överväganden som gjordes vid införandet av systemet med trängselskatt enligt regeringens uppfattning fortfarande var relevanta (prop. 2013/14:25 s. 77 f.).

Enligt 27 kap. 1 § första stycket OSL föreligger absolut sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden bl.a. i en verksamhet som avser bestämmande av skatt. I verksamhet som avser bestämmande av infrastrukturavgift på väg, avgift med anledning av att infrastrukturavgift inte har betalats i rätt tid eller fastställande av underlag för bestämmande av sådana avgifter gäller 29 kap. 5 a § OSL. Precis som skattesekretessen gäller absolut sekretess för uppgifter om enskilds personliga eller ekonomiska förhållanden i verksamhet som avser infrastrukturavgift.

Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. En sådan uppgiftsskyldighet finns i 5 kap. 3 a § vägtrafikdataförordningen (2019:382). Enligt bestämmelsen ska Transportstyrelsen på begäran av Polis- myndigheten eller Säkerhetspolisen utan dröjsmål lämna ut uppgifter om trängselskatt som gäller passager av en betalstation eller kontrollpunkt om det av begäran framgår att uppgifterna i ett brådskande fall behövs för att förhindra eller på annat sätt ingripa mot en handling som kan utgöra terroristbrott enligt 4 § terroristbrottslagen (2022:666) eller försök, förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott.

Gällande infrastrukturavgift finns ingen reglerad uppgifts- skyldighet som den i 5 kap. 3 a § vägtrafikdataförordningen. Uppgifter om infrastrukturavgift kan, i likhet med uppgifter om trängselskatt som behövs för att förhindra eller ingripa mot andra brott än potentiella terroristbrott, i stället lämnas ut till Polismyndigheten och Säkerhetspolisen med tillämpning av 10 kap. 24 och 27 §§ OSL. Även om Transportstyrelsen torde ha stöd i bestämmelserna för att lämna ut uppgifter om såväl infrastrukturavgifter som trängselskatt i andra fall än de som omfattas av uppgiftsskyldigheten till Polismyndigheten eller Säkerhetspolisen i nämnda situationer måste ett utlämnande alltid föregås av en sekretessprövning. Bestämmelserna kan alltså inte

186

Ds 2024:11

Överväganden

läggas till grund för ett löpande eller mer rutinmässigt utlämnande och kan därmed inte tillgodose Polismyndighetens och Säkerhetspolisens behov i de mest brådskande fallen.

Ett möjligt sätt att tillmötesgå Polismyndighetens identifierade behov är att utvidga tillämpningsområdet för 5 kap. 3 a § vägtrafikdataförordningen till att gälla vid fler brott. En sådan utvidgad uppgiftsskyldighet måste dock vara proportionerlig i förhållande till det integritetsintrång som utvidgningen innebär. Vid denna bedömning måste bl.a. beaktas vilken karaktär de uppgifter som kan komma att omfattas av uppgiftsskyldigheten har. Kameror vid betalstationerna för trängselskatt och infrastrukturavgift är inställda på så sätt att enbart registreringsnumret på passerande fordon ska läsas av. Viss överskottsinformation kan registreras, som t.ex. den del av fordonet som är närmast registreringsskylten, men de aktuella kamerorna tar inte bild på personer som färdas i fordonet. Enbart uppgifter från en kamera vid en betalstation kan därför inte användas för att kartlägga en persons rörelsemönster. Uppgifter om fordon, inklusive uppgifter om när fordon passerar en kamera, anses typiskt sett inte vara känsliga personuppgifter. Vägar är inte heller platser där personer uppehåller sig i någon större utsträckning annat än som transportsträcka mellan två platser, vilket också gör uppgifterna mindre känsliga från integritetssynpunkt.

Ett förslag om att utvidga tillämpningsområdet för 5 kap. 3 a § vägtrafikförordningen har lämnats i betänkandet Ökat informations- flöde till brottsbekämpningen gällande trängselskattekameror (SOU 2023:69). I betänkandet föreslås att Transportstyrelsen ska vara skyldig att lämna ut uppgifter från trängselskattekameror till Polismyndigheten, Säkerhetspolisen eller Tullverket när de behövs i ett brådskande fall för att förebygga, förhindra, upptäcka eller utreda en handling som kan utgöra brott för vilket det i straffskalan ingår fängelse i ett år eller mer, eller ett straffbart försök eller en straffbar förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott. Förslaget är under behandling i Regeringskansliet och har i dagsläget inte lett till någon ändring i förordningen.

En utvidgning som är mer begränsad än den som föreslagits i ovan nämnda betänkande är att Transportstyrelsen ska vara skyldig att lämna ut uppgifter till Polismyndigheten eller Säkerhetspolisen när det behövs för att förebygga, förhindra, upptäcka eller utreda brott

187

Överväganden

Ds 2024:11

för vilket det är föreskrivet fängelse i tre år eller mer. I likhet med beträffande terroristbrott får det anses finnas ett starkt samhälleligt intresse av att förebygga, förhindra, upptäcka eller utreda sådana brott. Inte minst i dagsläget där situationen är sådan att våldsbrott och skjutningar ökar i samhället. Polismyndighetens och Säkerhets- polisens intresse får i dessa mer allvarliga fall som utgångspunkt anses väga tyngre än den enskildes intresse av att passera en trängsel- skattekamera eller infrastrukturavgiftskamera utan att det ska komma till brottsbekämpande myndigheters kännedom. Genom att begränsa uppgiftsskyldigheten till att enbart gälla brott för vilket det är föreskrivet fängelse i tre år eller mer kan skyddet av den enskildes personliga integritet tillgodoses på ett balanserat sätt i förhållande till Polismyndighetens och Säkerhetspolisens behov av en enklare och mer enhetlig hantering av utlämnande av uppgifter från kameror i de brådskande fallen.

Den föreslagna regleringen innebär att uppgiftsskyldigheten även ska gälla för material från infrastrukturavgiftskameror. I dagsläget finns betalstationer för infrastrukturavgifter försedda med kameror uppsatta på tre platser i Sverige. Kamerorna samlar in samma typ av personuppgifter som trängselskattekamerorna, det vill säga uppgifter om fordon. Kamerorna är dock påslagna dygnet runt och genererar därmed fler bilder än trängselskattekamerorna. I likhet med skattesekretessen gäller absolut sekretess för uppgifter om infrastrukturavgift. Den sekretess som blir tillämplig hos mottagande myndigheter när uppgifter från kamerorna lämnas ut är visserligen något svagare, men får anses ge ett tillräckligt skydd (se bl.a. 18 kap. 1 §, 35 kap. 1 § och 32 kap. 3 § OSL). En uppgifts- skyldighet som även omfattar material från kameror vid betalstationer för infrastrukturavgift kan inte anses innebära att personuppgiftsbehandlingen går utöver vad som är nödvändigt med hänsyn till syftet med den föreslagna ändringen.

Det är upp till Polismyndigheten eller Säkerhetspolisen att avgöra om det föreligger en sådan situation som bestämmelsen omfattar innan en begäran om utfående av uppgifter görs.

188

Ds 2024:11

Överväganden

11.7Uppgifter från kamerabevakning ska kunna göras gemensamt tillgängliga

Förslag: Uppgifter som samlats in genom kamerabevakning med stöd av kamerabevakningslagen (2018:1200) eller annan författning ska få göras gemensamt tillgängliga. Tillgången till sådana uppgifter ska begränsas till särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra ett brott för vilket är föreskrivet fängelse i tre år eller mer.

Polismyndigheten bedriver kamerabevakning på flera olika sätt, bl.a. med fasta och tillfälliga egna kameror, samt i samverkan med externa aktörer. En stor del av det kameramaterial som Polismyndigheten har tillgång till lagras i myndighetens nationella kameraplattform. Polismyndigheten har framfört att det råder oklarheter kring om det finns laglig grund att göra personuppgifter som inhämtats genom kamerabevakning gemensamt tillgängliga.

Möjligheterna att göra personuppgifter gemensamt tillgängliga i Polismyndighetens och i vissa fall Säkerhetspolisens verksamhet regleras i 3 kap. 2 § polisens brottsdatalag. Bestämmelsen reglerar sådan behandling av uppgifter som sker i för verksamheten gemen- samma uppgiftssamlingar. Med gemensamt tillgängliga uppgifter avses inte sådana uppgifter som endast ett fåtal personer har rätt att ta del av (3 kap. 1 § första stycket polisens brottsdatalag). En tumregel för hur många personer som avses med ett fåtal är ett tiotal (prop. 2009/10:85 s. 128 f.).

Av 3 kap. 2 § första stycket polisens brottsdatalag framgår att uppgifter får göras gemensamt tillgängliga om de kan antas ha samband med misstänkt brottslig verksamhet, under förutsättning att den misstänkta verksamheten innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer eller sker systematiskt (punkten

1)samt om de behövs för övervakningen av en person som kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer och är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet (punkten 2). Dessa två punkter motsvarar de som tidigare fanns i 3 kap. 2 § första stycket 1 och 2 polisdatalagen (2010:361).

189

Överväganden

Ds 2024:11

Av förarbetena till polisdatalagen framgår att personuppgifter enligt punkterna 1 och 2 får göras gemensamt tillgängliga i polis- arbete som avser att förebygga, förhindra eller upptäcka brottslig verksamhet (prop. 2009/10:85 s. 131–136). Begreppet förebygga, förhindra eller upptäcka brott innefattar all egentlig brotts- bekämpande verksamhet inom Polismyndigheten som inte direkt kan knytas till en brottsutredning, däribland behandling i myndighetens underrättelseverksamhet och där det inte finns någon misstanke om ett konkret brott (a. prop. s. 102 ff.). När polisens brottsdatalag infördes framhöll regeringen att begreppet förebygga, förhindra eller upptäcka brott är avsett att ha samma betydelse som i polisdatalagen. Bestämmelsen i polisens brottsdatalag om vilka personuppgifter som får göras gemensamt tillgängliga motsvarar de som gällde i polisdatalagen, med den skillnaden att två nya punkter tillkom. (Se prop. 2017/18:269 s. 294 och 300 f.)

Av 3 kap. 2 § polisens brottsdatalag första stycket 7 framgår att uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga. I förarbetena till polisdatalagen framhölls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning, vilket beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan också ofta övergå i brottsbekämpning (se prop. 2009/10:85 s. 75). I förarbetena till polisens brottsdatalag framgår vidare att det kan finnas behov av att göra uppgifter om tillträdesförbud eller uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga inför kommenderingar vid särskilda händelser där ordnings- störningar befaras, t.ex. en fotbollsmatch eller en demonstration. Regeringen uttalade att det inte var givet att sådana uppgifter alltid kunde göras gemensamt tillgängliga med stöd av befintlig reglering. (Se prop. 2017/18:269 s. 163.) Bestämmelsen ger en generell möjlighet att göra personuppgifter tillgängliga utan någon kontroll av om den som personuppgiften rör är registrerad i underrättelse- verksamheten, är misstänkt för brott eller förekommer i något annat sammanhang som ger möjlighet att göra personuppgifterna gemen- samt tillgängliga (a. prop. s 301).

Även vissa uppgifter om personer som inte misstänks för delaktighet i brottslig verksamhet får göras gemensamt tillgängliga. Detta gäller exempelvis uppgifter om den som har informerat

190

Ds 2024:11

Överväganden

Polismyndigheten om den misstänkta brottsliga verksamheten, om en person som äger ett garage eller annan lokal där den misstänkta brottsliga verksamheten bedrivs, om anhöriga eller andra som genom sitt samröre med den misstänkte kan vara av intresse i underrättelsearbetet samt uppgifter om att en bevakad person är anställd hos en viss annan person eller att den bevakade personen regelbundet besöker vissa personer. En förutsättning är att uppgifterna har koppling till misstänkt brottslig verksamhet eller att det finns ett behov av uppgifterna för övervakning av vissa personer. För att skydda den enskildes integritet i dessa fall finns bl.a. bestämmelser som förhindrar att uppgifterna ges omotiverad spridning. (Se prop. 2009/10:85 s. 135 f. och 138.)

Polismyndigheten och Säkerhetspolisen behöver på ett effektivt sätt kunna nyttja information som samlats in genom kamera- bevakning. Material från kamerabevakning lagras i dag till stor del i en nationell kameraplattform hos Polismyndigheten. En del i ett effektivt nyttjande av information är att den ska kunna göras gemensamt tillgänglig så att det finns ett informationsflöde inom myndigheterna. I många fall kan vissa personuppgifter som samlas in genom kamerabevakning göras gemensamt tillgängliga bl.a. med stöd av ovan nämnda punkter i 3 kap. 2 § polisens brottsdatalag. När kamerabevakning bedrivs samlas stora mängder uppgifter in. Det är oundvikligt att insamlingen omfattar överskottsinformation. Sådan kan svårligen separeras från uppgifter som är relevanta för det ändamål som kamerabevakningen bedrivs. Detta innebär att Polismyndigheten och Säkerhetspolisen kan behöva behandla uppgifter som rör personer som inte kan knytas till någon av de befintliga punkterna i 3 kap. 2 § polisens brottsdatalag när myndigheterna behandlar uppgifter från kamerabevakning för olika ändamål. Ett informationsflöde behöver regleras för att värna den enskildes integritet då det är fråga om en omfattande mängd personuppgifter som bl.a. kan röra personer utan koppling till ändamålet med kamerabevakningen.

Bestämmelserna i polisens brottsdatalag om när uppgifter får göras gemensamt tillgängliga tar genomgående sikte på olika situationer när uppgifterna behövs i ett specifikt ärende. I motiven till polisdatalagen anges att begreppet ärende där hade en särskild innebörd som kan avvika från den gängse innebörden av begreppet i den då gällande förvaltningslagen (1986:223). Med ärende avsågs en

191

Överväganden

Ds 2024:11

serie åtgärder som är avsedda att leda fram till ett bestämt slut. Särskilda underrättelseprojekt kunde t.ex. omfattas. Underrättelse- projekt med en obestämd varaktighet, exempelvis ett projekt som syftar till att fortlöpande undersöka ungdomsbrottsligheten på en viss ort, ansågs dock inte som ett ärende i den mening som avsågs i paragrafen. (Se prop. 2009/10:85 s. 328.) När det gäller organiserad brottslighet och grova våldsbrott finns det ett behov av att uppgifter får göras gemensamt tillgängliga i bl.a. underrättelseverksamheten utan att det finns ett specifikt ärende upplagt eller att materialet har strukturerats.

Bestämmelsen i 3 kap. 2 § polisens brottsdatalag har till syfte att motverka risken för otillbörliga intrång i den personliga integriteten när personuppgifter behandlas av eller är tillgängliga för fler än ett fåtal personer och samtidigt ge Polismyndigheten och Säkerhets- polisen nödvändigt utrymme att behandla personuppgifter för att förebygga, förhindra, upptäcka eller utreda och lagföra brott samt upprätthålla allmän ordning och säkerhet. Ett sätt att tillgodose båda dessa behov är att möjliggöra att uppgifter från kamerabevakning får göras gemensamt tillgängliga för dessa ändamål men att tillgången till sådana uppgifter begränsas. En sådan begränsning finns bl.a. i 3 kap. 2 § tredje stycket polisens brottsdatalag som föreskriver att endast särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen får ges tillgång till uppgifter som har gjorts gemensamt tillgängliga med stöd av första stycket 2.

Det får anses finnas ett behov av att möjliggöra att uppgifter i bl.a. Polismyndighetens nationella kameraplattform får göras gemensamt tillgängliga. Mot bakgrund av det stora antalet person- uppgifter som material från kamerabevakning ofta innehåller bör det införas en begränsning av den personkrets som får tillgång till uppgifterna. Det föreslås att en ny reglering införs i polisens brotts- datalag som föreskriver att personuppgifter som samlats in genom kamerabevakning får göras gemensamt tillgängliga. Bestämmelsen innebär att allt material som samlats in genom kamerabevakning med stöd av kamerabevakningslagen eller annan författning får göras gemensamt tillgängliga. Detta innebär att även sådant material som inte härrör från kamerabevakning som Polismyndigheten eller Säkerhetspolisen bedriver men som är tillgängligt för dessa myndigheter kan göras gemensamt tillgängligt. Tillgången till sådant material bör dock begränsas till särskilt angivna tjänstemän som är i

192

Ds 2024:11

Överväganden

behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra ett brott för vilket är föreskrivet fängelse i tre år eller mer. Genom att begränsa tillgången till uppgifterna minskar risken för otillbörliga intrång i den personliga integriteten. Till detta kommer bl.a. bestämmelsen om sökbegränsningar i 3 kap. 5 § polisens brotts- datalag som ytterligare tillgodoser skyddet för den personliga integriteten genom att möjligheten att kartlägga enskildas personliga förhållanden begränsas. Det ankommer på Polismyndigheten och Säkerhetspolisen att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas samt säkerställa att det finns tekniska begränsningar i bl.a. den nationella kamera- plattformen och att slagningar i denna loggas m.m.

I sammanhanget kan noteras att den s.k. PNR-lagstiftningen, som härrör från EU-rätt, innehåller en uttrycklig reglering om insamling och fortsatt behandling av en omfattande mängd person- uppgifter avseende personer som till största del inte är misstänkta för brott, nämligen flygpassageraruppgifter. Möjligheten är begränsad till att gälla endast för mycket allvarlig brottslighet, likt sådan som den föreslagna bestämmelsen tar sikte på. Den föreslagna regleringen får anses vara nödvändig och proportionerlig.

Direktåtkomst

Genom att uppgifter som samlats in genom kamerabevakning görs gemensamt tillgängliga blir även bestämmelsen i 3 kap. 7 § polisens brottsdatalag tillämplig. Där föreskrivs att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) till personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § polisens brottsdatalag. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslighet förutsätter att man kan dra nytta av den samlade kunskap om brott som finns inte bara inom olika delar av polisorganisationen utan också hos andra brottsbekämpande myndigheter. Av samma skäl som det är viktigt att man inom Polismyndigheten på ett effektivare sätt kan tillgodogöra sig den information som finns inom den egna

193

Överväganden

Ds 2024:11

organisationen, är det viktigt att nyttiggöra informationen i samarbetet med andra brottsbekämpande organ. Det är också en strävan inom EU att öka informationsutbytet mellan medlems- staternas brottsbekämpande myndigheter (jfr bl.a. PNR- direktivet25). (Se prop. 2009/10:85 s. 166 f.)

Vid informationsutbyte mellan brottsbekämpande myndigheter bör beaktas att de myndigheter som bedriver underrättelse- verksamhet har likartade regler om sådan verksamhet och att alla myndigheter tillämpar samma grundläggande regler för brottsutredning. Vidare har uppgifter som rör brott och brotts- bekämpning samma sekretesskydd hos alla berörda myndigheter. Skyddet vid personuppgiftsbehandling är också likartat. (Se a. prop. s. 167.) En bestämmelse om direktåtkomst reglerar endast formen för utlämnande av uppgifter. Regleringen i 3 kap. 7 § polisens brottsdatalag är alltså inte sekretessbrytande och direktåtkomst kan därför endast medges till uppgifter som inte omfattas av sekretess.

Det finns en sekretessbrytande bestämmelse i 2 kap. 8 § polisens brottsdatalag som möjliggör för Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kust- bevakningen och Tullverket att, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL, ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § polisens brottsdatalag, om den mottagande myndigheten behöver upp- gifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Bestämmelsen är utformad som en uppgiftsskyldighet (se prop. 2009/10:85 s. 331). Uppgift om enskildas personliga förhållanden som samlats in genom kamerabevakning omfattas enligt 32 kap. 3 § OSL av sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Genom den sekretessbrytande bestämmelsen i 32 kap. 3 a § OSL får sådana uppgifter lämnas ut till vissa angivna brottsbekämpande myndigheter om de behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet.

25Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

194

Ds 2024:11

Överväganden

Ju fler personer som har omedelbar tillgång till personuppgifter, desto mer påtaglig är risken för intrång. Direktåtkomst kan också minska möjligheterna att kontrollera den vidare användningen av uppgifterna. De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan dock motverkas genom bestämmelser av annat slag, såsom befintliga bestämmelser om sekretess hos den mottagande myndigheten och bestämmelser om tillgång till uppgifter och om informationssäkerhet (jfr prop. 2009/10:85 s. 176 f.). Det ska i sammanhanget beaktas att vid direktåtkomst överförs vanligen sekretessen hos den myndigheten som uppgiften finns hos till den mottagande myndigheten (se 11 kap. 4 § OSL). Vid direktåtkomst har samma begränsning om tillgång till personuppgifter ansetts gälla hos den mottagande myndigheten (a. prop. s. 177). Detta innebär att endast tjänstemän hos den mottagande myndigheten som behöver uppgifter för att förebygga, förhindra, upptäcka eller utreda och lagföra ett brott för vilket är föreskrivet fängelse i tre år eller mer ska kunna få tillgång till uppgifterna.

11.8Längsta tid för behandling av gemensamt tillgängliga uppgifter som samlats in genom kamerabevakning

Förslag: Personuppgifter som samlats in genom kamera- bevakning enligt reglerna i kamerabevakningslagen (2018:1200) eller annan författning och som gjorts gemensamt tillgängliga med stöd av den föreslagna bestämmelsen i punkt 9 i 3 kap. 2 § första stycket polisens brottsdatalag får inte behandlas längre än sex månader efter det att de samlades in.

Det föreslås att en bestämmelse införs om att personuppgifter som samlats in genom kamerabevakning med stöd av kamerabevaknings- lagen (2018:1200) eller annan författning ska få göras gemensamt tillgängliga för vissa ändamål. I och med detta aktualiseras frågan hur länge uppgifterna ska få behandlas. En bestämmelse om längsta lagringstid måste säkerställa att uppgifterna inte får behandlas längre

195

Överväganden

Ds 2024:11

än nödvändigt. Detta följer av principen om lagringsminimering (jfr 1 kap. 17 § första stycket brottsdatalagen).

I promemorian lämnas ett förslag på att behandling av personuppgifter i form av uppgifter om motorfordon som samlats in genom kamerabevakning som Polismyndigheten eller Säkerhets- polisen bedriver på plats som allmänt används för trafik med motorfordon får ske i sex månader från det att uppgifterna samlades in. Bedömningen är att sex månader får anses vara en tidsrymd som både säkerställer att användning av personuppgifterna får ske tillräckligt länge för att tillgodose ändamålet med kamera- bevakningen samtidigt som skyddet för den personliga integriteten värnas. De överväganden som gjorts i detta avseende (se avsnitt 11.2.2) gör sig i vissa avseenden gällande även för vilken längsta tid uppgifter som samlats in genom kamerabevakning och som har gjorts gemensamt tillgängliga ska få behandlas. Den föreslagna bestämmelsen i 3 kap. 2 § första stycket 9 innebär att alla typer av uppgifter från kamerabevakning som sker med stöd av kamera- bevakningslagen eller annan författning får göras gemensamt tillgängligt för vissa föreskrivna ändamål. Detta innebär att det är fråga om lagring och bearbetning av en stor mängd personuppgifter av olika karaktär.

En bestämmelse om att material från kamerabevakning som bedrivs med stöd av kamerabevakningslagen eller annan författning får göras gemensamt tillgängligt innebär att både obearbetat och strukturerat material kan göras tillgängligt. Enligt gällande uppfattning får obearbetat material från kamerabevakning vanligen lagras under två månader, om det inte sker för ett specifikt ändamål eller ärende (se avsnitt 11.2.2). Uppfattningen grundar sig i den tidigare gällande kameraövervakningslagen som innehöll en bestämmelse enligt vilken bild- eller ljudmaterial från kamera- bevakning av en plats dit allmänheten har tillträde som huvudregel fick bevaras under högst två månader (32 § kameraövervaknings- lagen [2013:460]). Om materialet däremot användes i någon annan verksamhet än den som bedrevs av den som ansvarade för bevakningen tillämpades dock i stället regleringen i person- uppgiftslagen eller annan författning som då gällde för behandling av personuppgifter i den verksamheten. Detta innebar exempelvis att Polismyndigheten inte var begränsad av den föreskrivna lagrings- tiden, om materialet togs in i en förundersökning. I föregångaren till

196

Ds 2024:11

Överväganden

kameraövervakningslagen, lagen om allmän kameraövervakning (1998:150), föreskrevs att sådant material endast fick bevaras i, som huvudregel, högst en månad. En något längre bevarandetid ansågs dock med tiden vara motiverad med hänvisning till ett behov av att kunna använda materialet för utredning av brott. Erfarenheter hade visat att många brott upptäcktes först efter att en månad hade gått och att materialet då var raderat. Tiden förlängdes därför till två månader för att bättre möta behoven. (Se prop. 2012/13: 115 s. 123 ff.)

Det faktum att någon tidsgräns för lagring numera inte anges skulle kunna ge en indikation på att det bör vara möjligt att i större utsträckning göra olika bedömningar av tillåten lagringstid och att två månader inte längre är en självklar gräns. Till detta kommer att den under senare tid kraftigt ökade förekomsten av organiserad brottslighet och grova våldsbrott gör att Polismyndighetens och Säkerhetspolisens behov ser annorlunda ut. När det gäller organiserad brottslighet och grova våldsbrott finns det ett ökat behov av att uppgifter får göras gemensamt tillgängliga utan att det finns ett specifikt ärende upplagt. Sådan brottslighet är nämligen mer komplex att bekämpa och föregås ibland av underrättelsearbete med obestämd varaktighet som inte tar sikte på en specifik individ och därmed inte nödvändigtvis utgör ett ärende. För att underrättelseverksamheten ska kunna bedrivas på ett effektivt sätt behöver uppgifter från bl.a. kamerabevakning kunna lagras och bearbetas under en längre tid än några månader. I dag är behovet påtagligt av att kunna kartlägga och analysera uppgifter som inte nödvändigtvis är ärendeanknutna under en längre tid än vad som tidigare ansetts godtagbart. Samtidigt är det av stor vikt att bl.a. principen om lagringsminimering och skyddet för den personliga integriteten beaktas och respekteras.

Att personuppgifter ska kunna behandlas inom ramen för underrättelseverksamhet har slagits fast redan genom att begreppen förebygga, förhindra eller upptäcka brottslig verksamhet räknas upp bland de tillåtna rättsliga grunderna för behandlingen inom ramen för brottsbekämpningen. Att kamerabevakning ska kunna användas som teknik i den verksamheten följer också av att begreppen återfinns i kamerabevakningslagen.

Utredningen om effektivare polisiära åtgärder i gränsnära områden gjorde i betänkandet Åtgärder i gränsnära områden (SOU

197

Överväganden

Ds 2024:11

2021:92) bedömningen att dataskyddsregleringens bestämmelser i regel är tillräckliga för att säkerställa att de brottsbekämpande myndigheterna i tillräcklig utsträckning får tillgång till nödvändig information även inom ramen för underrättelseverksamheten. Därför lämnade utredningen inget förslag om särskilda bestämmelser om bearbetning och lagring av obearbetat video- material för kamerabevakning i gränsnära områden. Utredningen framhöll dock att det inte är uteslutet att längre tids behandling skulle kunna bli aktuell i särskilda situationer, eller efter en mer genomgripande reform av regelverket. Utredningens uppdrag bestod av att säkerställa att Polismyndigheten hade förmåga att bekämpa brott i gränsnära områden. Det var alltså fråga om brottslighet inom ett begränsat geografiskt område. I förevarande fall ska föreslås regler som möjliggör för Polismyndigheten och Säkerhetspolisen att använda kamerabevakning i sin verksamhet för att bättre kunna bekämpa organiserad brottslighet och terrorist- brottslighet i hela landet. Det är således fråga om mycket allvarlig brottslighet som riktar sig mot liv och hälsa. Brottsligheten i och omkring de gränsnära områdena är i och för sig allvarlig men är i allt väsentligt inte direkt riktad mot människors liv och hälsa på det sätt som sprängningar och skjutningar är.

I sammanhanget kan noteras att lagen (2018:1180) om flyg- passageraruppgifter i brottsbekämpningen, som har sin grund i EU:s PNR-direktiv, innehåller en uttrycklig reglering om insamling och fortsatt behandling i sex månader, och under vissa förutsättningar i fem år, av en omfattande mängd personuppgifter avseende personer som till största del inte är misstänkta för brott. Möjligheten är begränsad till att gälla endast för mycket allvarlig brottslighet, likt sådan som den föreslagna bestämmelsen om att få göra uppgifter från kamerabevakning gemensamt tillgängliga tar sikte på.

Det föreslås att en reglering införs som föreskriver att uppgifter som samlats in genom kamerabevakning med stöd av kamera- bevakningslagen eller annan författning som gjorts gemensamt tillgängliga får behandlas i sex månader. Gällande obearbetat material från kamerabevakning innebär detta en utökning av den nu gällande uppfattningen att sådant material får lagras i två månader. Endast särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra ett brott för vilket är föreskrivet

198

Ds 2024:11

Överväganden

fängelse i tre år eller mer föreslås få tillgång till uppgifterna. Därigenom begränsas spridningen av uppgifterna och risken för otillbörliga intrång i den personliga integriteten minimeras. Utöver detta måste behandlingen ske i överensstämmelse med övrig dataskyddsrättslig reglering. Den föreslagna regleringen är proportionerlig och nödvändig för att tillgodose Polismyndighetens och Säkerhetspolisens behov av att effektivt kunna bekämpa organiserad och grov brottslighet.

Det bör även framhållas att när väl material från kamerabevakning har bearbetats och analyserats för ett mer avgränsat ändamål möjliggör bestämmelserna i 4 kap. polisens brottsdatalag att materialet lagras under längre tid än om det inte finns något sådant ändamål. Den föreslagna bestämmelsen hindrar inte att uppgifter från kameramaterial som hänför sig till ett ärende, exempelvis en förundersökning, kan göras gemensamt tillgängliga med stöd av någon annan bestämmelse i 3 kap. 2 § polisens brottsdatalag och därmed möjliggörs en annan lagringstid enligt 4 kap. samma lag.

11.9Tydligare reglering av möjligheterna att dela personuppgifter som samlats in från kamerabevakning med Polismyndigheten och Säkerhetspolisen

Förslag: Det ska införas en ny rättslig grund för vidarebehandling av personuppgifter i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den rättsliga grunden ger privata och offentliga aktörer en möjlighet att – på begäran av Polismyndigheten och Säkerhetspolisen – behandla personuppgifter som samlats in från kamerabevakning för att lämna sådana uppgifter som begärs av respektive myndighet för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet.

För att få behandla personuppgifter krävs bl.a. att det finns en rättslig grund för behandlingen. För andra aktörer än brotts- bekämpande myndigheter finns de rättsliga grunderna reglerade i

199

Överväganden

Ds 2024:11

artikel 6.1 i dataskyddsförordningen. Behandling av personuppgifter måste vidare alltid ske för ett specifikt ändamål. Möjligheten att vidarebehandla personuppgifter begränsas av den s.k. finalitets- principen, vilken kommer till uttryck i artikel 5.1 b i dataskydds- förordningen. Finalitetsprincipen innebär att personuppgifter, efter att de samlats in, inte får behandlas på ett sätt som är oförenligt med det ursprungliga ändamål för vilket de samlats in. Under förutsättning att Polismyndighetens eller Säkerhetspolisens ändamål med behandlingen inte är oförenlig med det ursprungliga insamlingsändamålet kan en aktör alltså lämna ut materialet till myndigheten. För detta krävs dock att materialet inte omfattas av tystnadsplikt.

Av artikel 6.4 i dataskyddsförordningen framgår att om en behandling för andra ändamål än de för vilka personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgifts- ansvarige för att fastställa huruvida behandling för andra ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in göra ett förenlighetstest enligt punkterna a–e i artikel 6.4 när personuppgifterna ska behandlas. Enligt artikel

23.1d är ett av målen att ”förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten”.

Ett utlämnande som innebär att personuppgifter kommer att behandlas för ett annat ändamål än det ursprungliga insamlings- ändamålet kan, enligt artikel 6.4 i dataskyddsförordningen, ske med stöd av bestämmelser i unionsrätten eller nationell rätt. I svensk rätt finns en sådan bestämmelse gällande personuppgifter som samlats in genom kamerabevakning i 32 kap. 3 a § OSL. Enligt bestämmelsen får personuppgifter som inhämtats genom kamerabevakning lämnas ut till bl.a. Polismyndigheten eller Säkerhetspolisen, om uppgiften behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet. Bestämmelsen bryter sekretessen enligt 32 kap. 3 § OSL som annars gäller för uppgifter om enskilds personliga förhållanden som har

200

Ds 2024:11

Överväganden

inhämtats genom kamerabevakning. Ett utlämnande som sker i enlighet med 32 kap. 3 a § OSL ska alltid anses förenligt med finalitetsprincipen (se prop. 2012/13:115 s. 111 och HFD 2021 ref. 10).

Polismyndigheten har framfört att det finns en osäkerhet om med vilken laglig rätt aktörer, framför allt privata, har att lämna ut material som innehåller personuppgifter från bevakningskameror till myndigheten. Det kan bl.a. handla om butiker, restauranger och hotell som besitter material från bevakningskameror som kan vara värdefullt för Polismyndigheten eller Säkerhetspolisen att få ta del av för att exempelvis utreda brott. När privata aktörer bedriver kamerabevakning, utan att utföra en uppgift av allmänt intresse, omfattas materialet inte av offentlighets- och sekretesslagens bestämmelser. Regeringen har dock framhållit att obehörighets- rekvisitet i 22 § första stycket kamerabevakningslagen är avsett att tolkas på så sätt att ett uppgiftslämnande av en enskild aktör som motsvarar ett uppgiftslämnande som är tillåtet enligt offentlighets- och sekretesslagen inte är att betrakta som obehörigt. (Se prop. 2017/18:231 s. 157.) Personuppgifter från kamerabevakning som bedrivs av privata aktörer med stöd av kamerabevakningslagen får alltså, på samma sätt som när kamerabevakning bedrivs av offentliga aktörer, vidarebehandlas, om det är förenligt med 32 kap. 3 a § OSL.

Det förekommer även att aktörer bedriver kamerabevakning som faller utanför kamerabevakningslagens tillämpningsområde. Detta gäller bl.a. fysiska personer som bedriver kamerabevakning som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Det kan tänkas att Polismyndigheten eller Säkerhetspolisen i vissa fall kan ha intresse av att få tillgång även till material från sådan kamerabevakning. Enligt 5 § första stycket 1 kamerabevakningslagen är lagen inte tillämplig på kamerabevakning av rent privat natur. För behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll gäller inte heller dataskyddsförordningens bestämmelser (se artikel 1), varför ett utlämnande i en sådan situation kan ske utan beaktande av nämnda regleringar.

Som framgått ovan behöver en bedömning av förenligheten med artikel 6.4 a–e i dataskyddsförordningen inte göras, om det finns en rättslig grund för vidarebehandlingen i nationell rätt. I Utredningen

201

Överväganden

Ds 2024:11

om förbättrade möjligheter att utbyta information med brotts- bekämpande myndigheters betänkande (SOU 2023:69) föreslås att en ny reglering införs i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning som möjliggör för enskilda att behandla personuppgifter för att lämna sådana uppgifter som begärs av Ekobrottsmyndigheten, Kustbevakningen, Polis- myndigheten, Skatteverket, Säkerhetspolisen, Tullverket och Åklagarmyndigheten för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller lagföra brott. Förslaget är under behandling i Regeringskansliet och har i dagsläget inte lett till någon lagändring.

Polismyndigheten har framfört att det finns behov av en uttrycklig bestämmelse som slår fast att enskilda får behandla personuppgifter i syfte att lämna dem till Polismyndigheten eller Säkerhetspolisen när uppgifterna behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller lagföra brott. Som framgått ovan är det redan enligt gällande rätt möjligt för både privata och offentliga aktörer att behandla personuppgifter och lämna ut material från kamerabevakning när det behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet. Mot bakgrund av den osäkerhet som råder i detta avseende, vilken riskerar att få till följd att Polismyndigheten och Säkerhetspolisen inte får tillgång till all information som myndigheterna lagligen har rätt att få del av, föreslås att det införs en specifik bestämmelse i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning som reglerar detta.

Den föreslagna bestämmelsen utgör en rättslig grund för privata och offentliga aktörer som bedriver verksamhet som faller under dataskyddsförordningens tillämpningsområde att behandla person- uppgifter som samlats in från kamerabevakning för att lämna sådana uppgifter som begärs av Polismyndigheten eller Säkerhetspolisen för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet. Då det i de utpekade situationerna är tillåtet för enskilda att behandla personuppgifter, behöver det inte göras några närmare överväganden om personuppgiftsbehandlingens förenlighet med finalitets-

202

Ds 2024:11

Överväganden

principen inför ett utlämnande av uppgifter. Den föreslagna utformningen av bestämmelsen möjliggör även personuppgifts- behandling som sker inför ett utlämnande, t.ex. strukturering eller bearbetning av uppgifter. Bestämmelsen utgör ingen skyldighet att behandla eller lämna ut personuppgifter på en begäran från Polismyndigheten eller Säkerhetspolisen. Den fråntar inte heller den utlämnande aktören från ansvar för att personuppgiftsbehandlingen inte går utöver vad som är nödvändigt för att efterkomma myndighetens begäran, vilket följer av principen om uppgifts- minimering. Om det uppstår tveksamhet i frågan om vilka uppgifter som bör lämnas ut för att tillmötesgå Polismyndighetens eller Säkerhetspolisens begäran bör samråd ske med den begärande myndigheten.

Mot bakgrund av att det redan i gällande rätt finns stöd för vidarebehandling i de situationer som här föreslås bedöms den föreslagna bestämmelsen vara nödvändig och proportionerlig i enlighet med dataskyddsförordningen. Här beaktas även att den behandling av personuppgifter som sker hos Polismyndigheten och Säkerhetspolisen sammantaget är underställd stränga krav enligt brottsdatalagen (2018:1177) och att uppgifterna skyddas av stark sekretess hos de mottagande myndigheterna genom bl.a. bestämmelserna i 18 kap. 1 och 2 §§ och 35 kap. 1 § OSL.

203

12 Ikraftträdande- och övergångsbestämmelser

Ds 2024:11

förordningen26). Mot denna bakgrund föreslås att regeringen bemyndigas att besluta om när den aktuella bestämmelsen ska träda i kraft. Vad gäller övriga författningsförslag som lämnas föreslås det att dessa ska träda i kraft den 1 januari 2025.

12.2Övergångsbestämmelser

Bedömning: Det behövs inga övergångsbestämmelser.

De lämnade förslagen gäller personuppgiftsbehandling på olika sätt i form av insamling, användning och lagring. Som huvudregel gäller att redan när personuppgifter samlas in måste ändamålet med behandlingen bestämmas. När personuppgifter väl har samlats in kan nya ändamål för behandlingen i allmänhet inte läggas till efterhand. I vissa fall kan dock behandling av redan insamlade personuppgifter ske för nya ändamål. Detta följer av den allmänna dataskydds- rättsliga principen om ändamålsbegränsning och finalitetsprincipen, som bl.a. kommer till uttryck i artikel 4 och 9 dataskyddsdirektivet och 2 kap. 3 och 4 §§ brottsdatalagen. Fråga om sådant kamera- bevakningsmaterial som före ikraftträdandet har samlats in av Polismyndigheten eller Säkerhetspolisen vid kamerabevakning av vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordon ska få användas för de ändamål som anges i promemorians förslag till ändring i polisens brottsdatalag efter ikraftträdandet får avgöras genom en bedömning av förenligheten med finalitetsprincipen. Polismyndigheten och Säkerhetspolisen bedriver redan i dagsläget kamerabevakning med ändamålet att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott (jfr 8 § andra stycket 1 kamerabevakningslagen). Det bedöms inte finnas några behov av särskilda övergångs- bestämmelser gällande detta författningsförslag. Vad gäller övriga förslag finns inte heller några hinder mot att låta de föreslagna

26Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

206

Ds 2024:11

12 Ikraftträdande- och övergångsbestämmelser

regleringarna gälla fullt ut från och med ikraftträdandet. Det föreslås därför inga särskilda övergångsbestämmelser.

207

Förslagens konsekvenser

Ds 2024:11

Genom förslaget skulle den s.k. SOT-lösningen kunna användas i större utsträckning. I avsnitt 9.3.1 redogörs för denna lösning, som i dagsläget används inom ramen för samverkan mellan Polis- myndigheten och andra aktörer som bedriver kamerabevakning. Denna typ av samverkan är dock helt frivillig. Förslaget att Polis- myndigheten och Säkerhetspolisen ska få bedriva kamerabevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik innebär att en sådan samverkan skulle kunna ske med exempelvis Trafikverket, som har olika kameror uppsatta längs de allmänna vägarna. En förutsättning är dock att det finns teknisk kapacitet för SOT-lösningen, vilket Trafikverket har upplyst om att myndigheten i dagsläget saknar.

De lämnade förslagen syftar till att effektivisera Polis- myndighetens och Säkerhetspolisens arbete att förebygga, för- hindra, upptäcka, utreda och lagföra brott. Genom att förslaget om kamerabevakning på platser som allmänt används för trafik med motorfordon möjliggör användning av automatisk igenkännings- teknik av registreringsskyltar frigörs personella resurser då någon manuell granskning inte behöver ske i samma omfattning och arbetet kan bedrivas mer effektivt. Vidare blir resultatet av granskningen mer träffsäkert. Detta bedöms innebära en kostnads- minskning. Eftersom tekniken i dagsläget redan används, bl.a. i gränsnära områden, bör mjukvara och eventuella nödvändiga riktlinjer och rutiner för automatisk igenkänningsteknik av registreringsskyltar redan finnas, och kunna användas även på de platser som nu blir möjliga för Polismyndigheten och Säkerhets- polisen att kamerabevaka. Den föreslagna regleringen i denna del bedöms därmed inte föranleda några kostnader.

Det lämnas även förslag som syftar till att utöka Polis- myndighetens och Säkerhetspolisens möjligheter att ta del av uppgifter, både från andra aktörer och inom den egna myndigheten. Samtliga lämnade förslag i dessa delar innebär bättre möjligheter för Polismyndigheten och Säkerhetspolisen att samla in och ta del av information som kan vara av vikt i exempelvis brottsutredningar, vilket på sikt kan leda till att fler brott klaras upp och fler gärningspersoner lagförs. Att det tydligt framgår i en författning vilken typ av information som kan, och i vissa fall ska, lämnas ut till Polismyndigheten och Säkerhetspolisen innebär att mindre personella resurser behöver läggas på att administrera olika begäran

210

Ds 2024:11

Förslagens konsekvenser

om att få ta del av information. I den delen bedöms förslagen därmed medföra en potentiell kostnadsminskning.

Genom förslaget att uppgifter från kamerabevakning får göras gemensamt tillgängliga för särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer samt att behandlingen får ske i sex månader möjliggörs ett informationsflöde inom Polismyndigheten och Säkerhetspolisen. Detta gäller även för andra brottsbekämpande myndigheter då bestämmelsen innebär att dessa myndigheter kan ges direktåtkomst för uppgifter från kamerabevakning som Polismyndigheten och Säkerhetspolisen bedriver. Att rätt personer har tillgång till rätt information är en viktig förutsättning för en effektiv brottsbekämpning. Förslaget bedöms därmed leda till minskade kostnader.

Ett annat förslag är att enskilda ska få behandla personuppgifter för att lämna ut dessa till Polismyndigheten och Säkerhetspolisen för vissa föreskrivna syften. Förslaget är avsett att undanröja den osäkerhet som finns hos vissa aktörer som mottar en begäran om utlämnande av uppgifter. Förslaget bedöms leda till minskade kostnader hos Polismyndigheten och Säkerhetspolisen då begäran inte bör föranleda lika stor administrativ hantering i form av bl.a. efterföljande frågor. Polismyndigheten och Säkerhetspolisen kan även få del av uppgifterna snabbare. Det kan dock tänkas att det fortfarande kommer finnas ett behov av kontakt mellan den mottagande aktören och den efterfrågande myndigheten bl.a. gällande vilket material som avses. Denna kontakt bedöms rymmas inom ramen för ordinarie arbetsuppgifter och innebär ingen kostnadsökning.

Det föreslås även att Transportstyrelsens uppgiftsskyldighet enligt vägtrafikdataförordningen gällande uppgifter om trängsel- skatt ska utvidgas till att omfatta uppgifter som Polismyndigheten och Säkerhetspolisen behöver i ett brådskande fall för att förebygga, förhindra, upptäcka eller utreda ett brott för vilket det är föreskrivet fängelse i tre år eller mer, eller ett straffbart försök eller en straffbar förberedelse eller stämpling till eller underlåtenhet att avslöja eller förhindra sådant brott. Uppgiftsskyldigheten föreslås även omfatta uppgifter om infrastrukturavgift. Förslaget innebär att utlämnandet inte behöver föregås av en sekretessprövning eller en bedömning av

211

Förslagens konsekvenser

Ds 2024:11

om det är förenligt med finalitetsprincipen att uppgifterna lämnas ut. Polismyndigheten och Säkerhetspolisen kan därmed snabbt få del av uppgifter som kan användas för att se vilka platser ett fordon har passerat när det behövs för att bl.a. utreda ett allvarligt brott.

Ett ytterligare förslag som lämnas är att Polismyndigheten och Säkerhetspolisen ska få använda system för biometrisk fjärr- identifiering i realtid för vissa snävt angivna syften i enlighet med AI-förordningen. Förslaget innebär inget krav på att sådana system ska användas och medför därför som sådant inte någon kostnad. Genom att Polismyndigheten och Säkerhetspolisen tillåts använda system för biometrisk fjärridentifiering kan stora personella resurser frigöras framför allt i utredningsarbetet. Detta skulle innebära en stor kostnadsminskning. Systemen kan även generera träffsäkra resultat som kan användas som bevis i domstol för att lagföra gärningspersoner. För att den föreslagna bestämmelsen ska kunna genomföras krävs bl.a. att det införs bestämmelser om vilken aktör som ska vara tillståndsgivare. Det torde även krävas bestämmelser om hur systemen får användas. Användning av biometrisk fjärridentifiering i realtid kan således komma till användning först när i AI-förordningen uppställda förutsättningar för dess tillämpning klargjorts. Det finns därför inte skäl att i detta sammanhang närmare ta ställning till de kostnader detta förslag kan medföra.

13.2.2Integritetsskyddsmyndigheten

Den föreslagna regleringen att Polismyndigheten och Säkerhets- polisen får bedriva kamerabevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordon utan att en intresseavvägning först görs kan innebära att Integritets- skyddsmyndigheten kommer behöva utöva tillsyn i viss ökad utsträckning. Det kan även tänkas att det behöver ske fler samråd, eftersom kamerabevakning ofta innebär en omfattande insamling av personuppgifter. Detta är dock helt beroende av i vilken omfattning och på vilket sätt Polismyndigheten och Säkerhetspolisen kommer att bedriva kamerabevakning på aktuella platser. Den eventuella kostnadsökningen för ett utökat samråd får anses rymmas inom Integritetsskyddsmyndigheten befintliga anslag.

212

Ds 2024:11

Förslagens konsekvenser

13.2.3Transportstyrelsen

Den föreslagna utvidgningen av Transportstyrelsens uppgifts- skyldighet enligt vägtrafikdataförordningen gällande uppgifter om trängselskatt och infrastrukturavgift innebär att myndigheten i fler situationer än tidigare är skyldig att utan dröjsmål lämna ut uppgifter som Polismyndigheten eller Säkerhetspolisen begär att få ta del av. Eftersom en uppgiftsskyldighet innebär att ett utlämnade inte behöver föregås av en sekretessprövning eller en bedömning om förenligheten med finalitetsprincipen blir hanteringen av en sådan begäran enklare. De ökade personella kostnader som utökningen av uppgiftsskyldigheten kan tänkas innebära anses marginella och bedöms rymmas inom Transportstyrelsens befintliga anslag.

13.2.4Trafikverket

Som nämnts ovan innebär det föreslagna tillägget i kamera- bevakningslagen att samverkan genom en SOT-lösning skulle kunna bli aktuell för Trafikverkets kameror på allmänna vägar. Eftersom Trafikverket har upplyst om att en sådan teknisk lösning i dagsläget saknas skulle detta innebära en kostnad i form av att bl.a. en ny mjukvara behöver tas fram. En sådan samverkan är dock helt frivillig. De lämnade förslagen påverkar inte Trafikverkets ekonomi.

13.2.5Domstols- och åklagarväsendena

De förslag som lämnas bör leda till att fler grova brott klaras upp, vilket bl.a. får till följd att fler åtal kommer att väckas vid domstol. Det är mycket svårt att uppskatta om och i så fall vilken kostnadsökning detta innebär för de allmänna domstolarna och åklagarväsendet. Det kan även tänkas att fler tillsynsbeslut om kamerabevakning kan förekomma i allmän förvaltningsdomstol. Eventuella kostnadsökningar bedöms dock rymmas inom domstolarnas och åklagarväsendets befintliga anslag.

213

Förslagens konsekvenser

Ds 2024:11

13.2.6Enskilda aktörer

För att undanröja den osäkerhet som föreligger hos aktörer som mottar en begäran från Polismyndigheten eller Säkerhetspolisen om utlämnande av material från kamerabevakning lämnas ett förslag på en reglerad möjlighet för enskilda aktörer, privata och offentliga, att behandla personuppgifter som samlats in genom kamerabevakning för att lämna uppgifterna till Polismyndigheten och Säkerhets- polisen när det behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet. Genom regleringen tydliggörs att enskilda aktörer får behandla personuppgifter för föreskrivna syften. Detta bedöms innebära färre tidskrävande bedömningar för enskilda aktörer vid en begäran från Polismyndigheten eller Säkerhetspolisen om att få ta del av material från kamerabevakning.

Samtliga förslag förväntas förbättra förutsättningarna för att bekämpa olika typer av brottslighet, vilket bl.a. får positiva ekonomiska konsekvenser för enskilda aktörer och samhället i stort.

13.3Konsekvenser för den personliga integriteten och andra grundläggande fri- och rättigheter

De föreslagna ändringarna och tilläggen innebär utökade möjligheter för Polismyndigheten och Säkerhetspolisen att behandla person- uppgifter. Förslagen möjliggör även för andra brottsbekämpande myndigheter att ta del av uppgifter som samlats in genom kamerabevakning som Polismyndigheten och Säkerhetspolisen bedriver. Hantering av personuppgifter måste alltid vara förenlig med regleringen om dataskydd. Bestämmelser om personuppgifts- hantering måste vidare alltid beakta skyddet för den personliga integriteten och rätten till privat- och familjeliv. Vissa intrång i de senare nämnda fri- och rättigheterna får ibland tålas för att exempelvis brottsbekämpande myndigheter ska kunna bekämpa brott på ett effektivt sätt. En bestämmelse som innebär ett intrång i den personliga integriteten och rätten till privat- och familjeliv måste dock alltid vara proportionerlig och nödvändig i förhållande till bestämmelsens ändamål. Proportionalitet och nödvändighet är något som förändras i takt med att samhällsutvecklingen förändras.

214

Ds 2024:11

Förslagens konsekvenser

Det kan t.ex. handla om att samhället måste reagera på ett adekvat sätt på en allvarlig brottslighetsutveckling som på sikt riskerar att ha allvarliga konsekvenser för enskildas fri- och rättigheter.

Det är generellt svårt att med säkerhet bedöma konsekvenserna för den personliga integriteten och skyddet för rätten till privat- och familjeliv med anledning av förslaget om att Polismyndigheten och Säkerhetspolisen får bedriva kamerabevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordon. Detta beror på den inneboende svårigheten att mäta effekten av kamerabevakning samt att det även får betydelse hur många kameror Polismyndigheten och Säkerhetspolisen väljer att sätta upp, på vilka vägar de sätts upp och hur bevakningen sker. Det står dock klart att den föreslagna regleringen innebär att kamerabevakning kan komma att bedrivas i större utsträckning än i dag. Detta innebär att enskilda kommer att bevakas i större omfattning, vilket kan utgöra en ökad risk för intrång i den enskildes personliga integritet. Denna risk begränsas genom att det föreslås en bestämmelse om vilka typer av personuppgifter som får behandlas samt för vilka ändamål och hur länge de uppgifter som samlas in genom kamerabevakning på angivna platser får användas. Utöver den föreslagna begränsningen gäller även övriga dataskyddsrättsliga regler, vilka ger ett starkt skydd mot otillbörliga intrång i den personliga integriteten. Det kan förutsättas att kameror kommer att sättas upp endast där det finns stora behov av det. Vidare har kamerabevakning nödvändigtvis inte bara negativa följder för den personliga integriteten. Om kamerabevakning medför ökad trygghet och minskad brottslighet kan det anses förstärka skyddet för den personliga tryggheten och integriteten (jfr prop. 2018/17:147 s. 58). Det föreslås inte att upplysnings- och skyltningskravet ska tas bort. Det kommer därmed vara tydligt var kamerabevakning bedrivs, vilket möjliggör för den enskilde att undvika att bli kamerabevakad.

Ett annat förslag som lämnas är att personuppgifter från kamerabevakning ska få göras gemensamt tillgängliga inom Polis- myndigheten och Säkerhetspolisen. Förslaget innebär att andra brottsbekämpande myndigheter får ges direktåtkomst till uppgifterna. Det föreslås även att Transportstyrelsen ska vara skyldig att lämna ut fler uppgifter till Polismyndigheten och Säkerhetspolisen. När personuppgifter blir tillgängliga för fler personer ökar riskerna för otillbörliga intrång i den personliga

215

Förslagens konsekvenser

Ds 2024:11

integriteten. Genom att det föreslås att tillgången till material från kamerabevakning ska begränsas till särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer minimeras risken för ett obefogat integritetsintrång. Det tydliggörs även att material från kamerabevakning endast får delas inom myndigheten i den mån det är nödvändigt för föreskrivna syften. Till detta kommer att Polismyndigheten har fört fram att det kommer att innebära en mycket påtaglig effektivitetsvinst i den brottsbekämpande verksamheten att myndigheterna i större utsträckning få göra de aktuella uppgifterna gemensamt tillgängliga. Polismyndighetens och Säkerhetspolisens möjligheter att bekämpa grova brott kommer därmed förbättras. Den effektivisering av det brottsbekämpande arbetet som kan förutses innebär alltså i sig i viss mån att personer som riskerar att utsättas för brott känner en ökad trygghet. Det är vidare frivilligt att göra uppgifterna direkt åtkomliga för andra brottsbekämpande myndigheter. Vid direktåtkomst har samma begränsning om tillgång till personuppgifter ansetts gälla hos den mottagande myndighet (prop. 2009/10:85 s. 177). Uppgifterna som Transportstyrelsens utvidgade uppgiftsskyldighet omfattar är främst uppgifter om fordon och passager av olika kontrollpunkter. Sådana uppgifter får anses utgöra mindre känsliga personuppgifter.

Det föreslås även att Polismyndigheten och Säkerhetspolisen ska få använda system för biometrisk fjärridentifiering i realtid för vissa snävt angivna syften i enlighet med den kommande AI- förordningen. Användning av sådana system innebär ett potentiellt stort ingrepp i den personliga integriteten då de möjliggör bevakning av ett stort antal människor och innebär behandling av känsliga uppgifter i form av biometriska personuppgifter. Det är därför viktigt att användning av sådana system endast sker när det är absolut nödvändigt och proportionerligt. Genom att den föreslagna regleringen bl.a. slår fast att systemen får användas endast för vissa brott för vilka det är föreskrivet minst fyra års fängelse görs det tydligt att det bara är vid allvarlig brottslighet som biometrisk fjärridentifiering i realtid kan komma i fråga för att lokalisera eller identifiera en misstänkt gärningsperson. Enligt AI-förordningen krävs som huvudregel att en rättslig myndighet eller en oberoende administrativ myndighet ger tillstånd till sådan användning. För att

216

Ds 2024:11

Förslagens konsekvenser

den föreslagna bestämmelsen ska kunna genomföras krävs att det införs bestämmelser om vilken aktör som ska vara tillståndsgivare. Det torde även krävas ytterligare bestämmelser om hur systemen och utdata från dessa får användas. Utöver begränsningen att systemen enbart får användas för föreskrivna syften för brottsbekämpningsändamål när det är absolut nödvändigt utgör nämnda kompletterande bestämmelser ett ytterligare skydd för den personliga integriteten.

De föreslagna tilläggen och ändringarna har noga vägts mot det intrång i den personliga integriteten som förslagen innebär. Vid denna intresseavvägning har särskilt beaktats att det finns ett påtagligt behov av att komma till rätta med en ökad gängkriminalitet och negativ brottsutveckling. Detta behov är så pass stort att det innebär att de eventuella inskränkningar i enskildas fri- och rättigheter som lämnade förslag kan medföra är nödvändiga och proportionerliga. Kamerabevakning och informationsutbyte kan många gånger utgöra viktiga verktyg i Polismyndighetens och Säkerhetspolisens arbete att utreda och förhindra brott samt lagföra personer som har begått brott.

Ett eventuellt ökat intrång i den personliga integriteten för vissa människor innebär samtidigt en ökad trygghet för andra människor.

13.4Konsekvenser för det brottsbekämpande arbetet

Precis som med bedömningen av konsekvenserna för den personliga integriteten är det generellt svårt att med säkerhet avgöra vilken betydelse för den brottsutredande verksamheten och det brotts- förebyggande arbetet den föreslagna regleringen om kamera- bevakning på vägar, gator, torg och annan led eller plats som allmänt används för trafik med motorfordonkan tänkas få. Detta med anledning av den inneliggande svårigheten att mäta effekten av kamerabevakning samt då detta även avgörs av hur många kameror som Polismyndigheten och Säkerhetspolisen sätter upp och på vilka platser de sätts upp. Kamerabevakning och informationsutbyte fyller dock en viktig funktion och utgör väsentliga verktyg i brotts- bekämpningen. Det har bl.a. ett stort värde för myndigheternas underrättelseverksamhet samt vid utredningar av brott och som bevis i domstol. Genom att Polismyndigheten och Säkerhetspolisen

217

Förslagens konsekvenser

Ds 2024:11

utifrån de föreslagna ändringarna och tilläggen kan kamerabevaka på fler platser, göra uppgifter från kamerabevakning gemensamt tillgängliga och behandla dessa under längre tid, få del av information från andra aktörer och för vissa syften få använda sig av biometrisk fjärridentifiering i realtid kan arbetet med att bekämpa, utreda och lagföra brott förbättras och effektiveras. Detta bedöms leda till att utredningstider kortas samt att fler brott kan klaras upp och fler gärningspersoner lagföras. Förslagen möjliggör bl.a. att Polis- myndigheten och Säkerhetspolisen kan få information om hur ett fordon färdas, vilket är viktig information då olagliga transporter av människor och varor ofta sker på vägar. Genom att förutsättningarna för att bekämpa och lagföra brott förbättras kan förslagen på sikt bidra till att tryggheten i samhället ökar, att brottsligheten minskar och att fler brott förhindras.

218

Författningskommentar

Ds 2024:11

behandling av personuppgifter för nya ändamål, förutsatt att en sådan bestämmelse utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle som syftar till att skydda vissa mål som anges i artikel 23.1 i dataskyddsförordningen. Bland dessa återfinns den nationella och den allmänna säkerheten liksom förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten.

Bestämmelsen möjliggör att personuppgifter får behandlas för de ändamål som föreskrivs, oavsett om det är förenligt med det ursprungliga insamlingsändamålet eller inte. Detta medför att den utlämnande aktören inte behöver bedöma om behandlingen av personuppgifter är förenlig med den s.k. finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen.

Behandling av personuppgifter enligt bestämmelsen är bara tillåten om den sker i syfte att lämna ut uppgifter till Polis- myndigheten eller Säkerhetspolisen. Det ska vara fråga om uppgifter som behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet. Bestämmelsen ger därmed inte enskilda rätt att behandla personuppgifter för utlämnande till annan verksamhet som dessa myndigheter kan bedriva t.ex. för att verkställa straffrättsliga påföljder, upprätthålla allmän ordning och säkerhet eller sådan kontrollverksamhet som Polismyndigheten i vissa fall bedriver.

Bestämmelsen ska inte tolkas på så sätt att det är otillåtet att lämna ut uppgifter till Polismyndigheten och Säkerhetspolisen i andra situationer än de som uttryckligen omfattas av bestämmelsen, eller att det skulle vara otillåtet att lämna ut uppgifter till andra brottsbekämpande myndigheter. Möjligheten att behandla person- uppgifter i en sådan situation får avgöras av annan tillämplig data- skyddsrättslig reglering.

Bestämmelsen möjliggör även personuppgiftsbehandling som sker inför ett utlämnande, t.ex. strukturering eller bearbetning av uppgifter. Den fråntar dock inte den utlämnande aktörens ansvar för att personuppgiftsbehandlingen inte går utöver vad som är nödvändigt för att efterkomma myndighetens begäran, vilket följer av principen om uppgiftsminimering. Om det uppstår tveksamhet i

220

Ds 2024:11

Författningskommentar

frågan om vilka uppgifter som bör lämnas ut för att tillmötesgå Polismyndighetens eller Säkerhetspolisens begäran bör samråd ske med den begärande myndigheten. Bestämmelsen medför inte någon skyldighet att lämna ut eller på annat sätt behandla personuppgifter.

Övervägandena finns i avsnitt 11.9.

14.2Förslaget till lag om ändring i kamerabevakningslagen (2018:1200)

14 c § Bestämmelserna i 14 a och 14 b §§ gäller inte vid

1.kamerabevakning som Polismyndigheten bedriver vid automatisk hastighetsövervakning,

2.kamerabevakning som Kustbevakningen, Polismyndigheten, Säkerhetspolisen eller Tullverket bedriver i fall som avses i 9 § 2 och 6–10,

3.kamerabevakning som Kustbevakningen, Polismyndigheten, Säkerhetspolisen eller Tullverket bedriver i gränsnära områden som avses i 2 § lagen (2023:474) om polisiära befogenheter i gränsnära områden, eller av tillfartsvägar till sådana gränsnära områden som avses i 2 § 3 eller 4 samma lag, om bevakningen bedrivs inom 20 kilometer från området och

4.annan kamerabevakning som Polismyndigheten eller Säkerhets- polisen bedriver av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon.

Paragrafen utgör ett undantag från bestämmelserna i 14 a och 14 b §§ som reglerar förutsättningarna för bl.a. Polismyndigheten och Säkerhetspolisen att bedriva kamerabevakning. Innebörden av paragrafen är att Polismyndigheten och Säkerhetspolisen i vissa fall kan bedriva kamerabevakning utan att först behöva göra en bedömning av om intresset av sådan bevakning väger tyngre än den enskildes intresse av att inte bli bevakad och utan att dokumentera denna bedömning.

I paragrafen görs ett tillägg i form av en ny fjärde punkt i vilken det föreskrivs att bestämmelserna i 14 a och 14 b §§ kamera-

221

Författningskommentar

Ds 2024:11

bevakningslagen inte ska gälla för annan kamerabevakning än sådan som omfattas av punkterna 1–3 och som Polismyndigheten och Säkerhetspolisen bedriver av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon. Begreppet väg har samma innebörd här som i 2 § förordningen (2001:651) om vägtrafikdefinitioner.

De platser som omfattas av undantaget ska allmänt användas för trafik med motorfordon. Därmed omfattas i allt väsentligt inte enskilda vägar av undantaget.

Den nya punkten gäller endast när Polismyndigheten och Säkerhetspolisen bedriver kamerabevakning av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon. Bestämmelsen är således inte tillämplig på Kustbevakningens och Tullverkets kamerabevakning av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon.

Överväganden finns i avsnitt 11.2.1.

14.3Förslaget till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område

2 kap. Grundläggande bestämmelser om behandling av person- uppgifter

1 a § Personuppgifter som rör motorfordon och som har samlats in genom kamerabevakning som bedrivs med stöd av 14 c § 4 kamera- bevakningslagen (2018:1200) får behandlas av Polismyndigheten och Säkerhetspolisen endast om syftet med behandlingen är att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer. Sådan behandling får alltid ske i sex månader efter det att uppgifterna samlades in.

Första stycket gäller inte för personuppgifter i form av bilder av enskilda.

Paragrafen, som är ny, reglerar för vilket ändamål och hur länge Polismyndigheten och Säkerhetspolisen får använda person-

222

Ds 2024:11

Författningskommentar

uppgifter som samlats in med stöd av bestämmelsen 14 c § 4 kamerabevakningslagen. Den reglerar även vilka personuppgifter som får användas. Överväganden finns i avsnitt 11.2.2.

Bestämmelsen kompletterar brottsdatalagen (2018:1177) och de föreskrifter som har meddelats i anslutning till den lagen, liksom andra föreskrifter som genomför dataskyddsdirektivet (se 1 kap. 5 § brottsdatalagen).

Bestämmelsen i första stycket föreskriver att de personuppgifter som Polismyndigheten och Säkerhetspolisen får använda är person- uppgifter som rör motorfordon. Uppgifterna måste ha samlats in genom kamerabevakning av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon med stöd av bestämmelsen 14 c § 4 kamerabevakningslagen. De uppgifter som kan bli aktuella att använda är t.ex. ett motorfordons registrerings- nummer, registreringsland och modell. Det kan också handla om uppgifter om plats och tidpunkt för ett motorfordons passage av en kamera. Med motorfordon avses detsamma som i 2 § lagen (2001:559) om vägtrafikdefinitioner. En förutsättning för bestämmelsens tillämplighet är att uppgifterna utgör person- uppgifter. Begreppet personuppgifter är avsett att ha samma innebörd som i 1 kap. 6 § brottsdatalagen (jfr prop. 2022/23:109 s. 52).

Bestämmelsen begränsar för vilket ändamål personuppgifter som rör motorfordon som samlats in från kamerabevakning som bedrivs av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon stöd av bestämmelsen i kamerabevaknings- lagen får användas. För att Polismyndigheten och Säkerhetspolisen ska få använda uppgifterna måste syftet med användningen vara att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer. Bestämmelsen är teknikneutral och inrymmer användning av personuppgifter som rör motorfordon som har samlats in med bl.a. ANPR-teknik.

Om användningen av personuppgifter som rör motorfordon sker för andra ändamål än att förebygga, förhindra, upptäcka, utreda eller lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer, eller om uppgifter om motorfordon som samlats in för detta ändamål används för nya ändamål efter insamlingen, måste användningen ha stöd i andra tillämpliga bestämmelser i det dataskyddsrättsliga regelverket. Likaså måste uppgifterna ha samlats

223

Författningskommentar

Ds 2024:11

in genom kamerabevakning, vilket innebär att de ska framgå av material från kamerabevakningen. Bestämmelsen är därmed inte tillämplig på uppgifter som kommer fram t.ex. genom att material från kamerabevakning jämförs med olika register. Om det vid en sådan jämförelse framkommer uppgift om t.ex. vem som är ägare till ett motorfordon får den uppgiften alltså användas endast med stöd av annan tillämplig dataskyddsreglering.

Personuppgifter om motorfordon som samlats in på väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon med stöd av bestämmelsen 14 c § 4 kamerabevaknings- lagen får alltid användas av Polismyndigheten och Säkerhetspolisen för de i förevarande bestämmelse föreskrivna ändamålen i sex månader från det att de samlades in. I vissa fall kan det finnas stöd i 4 kap. polisens brottsdatalag för att använda personuppgifter som rör motorfordon under längre tid.

Enligt paragrafens andra stycke gäller första stycket inte för personuppgifter i form av bilder av enskilda, det vill säga sådana bilder av enskilda som direkt eller indirekt kan identifiera en person. För användning av sådana bilder måste stöd i stället finnas i annan tillämplig dataskyddsreglering.

Bestämmelsen är begränsad till att tillämpas på Polis- myndighetens och Säkerhetspolisens användning av personuppgifter om motorfordon som samlats in med stöd av den föreslagna bestämmelsen 14 c § 4 kamerabevakningslagen. Bestämmelsen är således inte tillämplig på någon annan brottsbekämpande myndighets användning av sådana personuppgifter.

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 eller 1 a § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).

Tillägget i paragrafen är en följd av att det införs en ny rättslig grund i 1 a § för användning av personuppgifter om motorfordon som samlats in genom kamerabevakning av väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon med stöd av bestämmelsen 14 c § 4 kamerabevakningslagen.

4 a § Polismyndigheten och Säkerhetspolisen får ges tillstånd att använda system för biometrisk fjärridentifiering i realtid på allmän

224

Ds 2024:11

Författningskommentar

plats under de förutsättningar och för de syften som anges i artikel 5.1 h i EU:s förordning om artificiell intelligens27.

Paragrafen, som är ny, reglerar för vilka syften och under vilka förutsättningar Polismyndigheten och Säkerhetspolisen får beviljas tillstånd att använda system för biometrisk fjärridentifiering i realtid för brottsbekämpningsändamål. Precis som med övrig behandling av biometriska personuppgifter måste användningen vara absolut nödvändig för att tillstånd ska få ges.

Bestämmelsen är tillämplig på Polismyndighetens verksamhet att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, eller upprätthålla allmän ordning och säkerhet samt på Säkerhetspolisens verksamhet gällande frågor som inte rör nationell säkerhet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott (jfr 1 kap. 1 § polisens brottsdatalag och artikel 3.45 och 3.46 i EU:s förordning om AI).

Biometrisk fjärridentifiering i realtid är ett system för biometrisk fjärridentifiering där infångning av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål och omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående (artikel 3.42 AI- förordningen).

Begreppet allmän plats har här samma innebörd som i brotts- balken, det vill säga alla platser som allmänheten har tillträde till.

Tillstånd får bl.a. ges för att möjliggöra eftersökning av försvunna personer och offer för exempelvis barnpornografibrott och sådana brott som regleras i 6 kap. BrB och för att förhindra ett överhängande hot mot fysiska personers liv eller fysiska säkerhet eller en sådan handling som kan utgöra terroristbrott enligt 4 § terroristbrottslagen (2022:666). Även lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning, lagföring eller ett verkställande av en straff-

27Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens).

225

Författningskommentar

Ds 2024:11

rättslig påföljd för vissa utpekade allvarliga brott omfattas av bestämmelsen.

Övervägandena finns i avsnitt 11.4.

3 kap. Gemensamt tillgängliga uppgifter

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1.Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a)innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b)sker systematiskt.

2.Uppgifter som behövs för övervakningen av en person som

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och

b)är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.

3.Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.

4.Uppgifter som förekommer i ett ärende om uppbörd.

5.Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.

6.Uppgifter som har rapporterats till Polismyndighetens lednings- centraler.

7.Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.

8.Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

9.Uppgifter som har samlats in genom kamerabevakning med stöd av kamerabevakningslagen (2018:1200) eller annan författning.

226

Ds 2024:11

Författningskommentar

Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 9 ska begränsas till särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer.

Paragrafen anger vilka personuppgifter som får göras gemensamt tillgängliga. Med gemensamt tillgängliga uppgifter avses inte sådana uppgifter som endast ett fåtal personer har rätt att ta del av (3 kap. 1

§första stycket polisens brottsdatalag). En tumregel för hur många personer som avses med ett fåtal är ett tiotal (prop. 2009/10:85 s. 128 f.).

I paragrafen görs ett tillägg i första stycket i form av en ny nionde punkt som möjliggör att uppgifter som samlats in genom kamerabevakning med stöd av kamerabevakningslagen (2018:1200) eller annan författning får göras gemensamt tillgängliga.

I paragrafen görs även ett tillägg i form av ett nytt fjärde stycke som begränsar tillgången till uppgifter enligt första stycket 9. Endast särskilt angivna tjänstemän som är i behov av uppgifterna för att upprätthålla allmän ordning och säkerhet eller förebygga, förhindra, upptäcka eller utreda och lagföra brott för vilket det är föreskrivet fängelse i tre år eller mer får ges tillgång till sådana uppgifter. Begränsningen minimerar riskerna för otillbörliga intrång i den personliga integriteten.

Genom att uppgifter från kamerabevakning görs gemensamt tillgängliga kan Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direktåtkomst till uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Detta framgår av 3 kap. 7 § polisens brottsdatalag. Direktåtkomst får endast medges till uppgifter som kan lämnas ut utan hinder av sekretess. Uppgift om en enskilds personliga förhållanden som samlats in genom kamera-

227

Författningskommentar

Ds 2024:11

bevakning som avses i kamerabevakningslagen kan lämnas ut till vissa brottsbekämpande myndigheter, om uppgiften behövs för att utreda ett begånget brott för vilket fängelse är föreskrivet eller för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket fängelse är föreskrivet med stöd av 32 kap. 3 a § OSL. Vid direktåtkomst har samma begränsning om tillgång till personuppgifter ansetts gälla hos den mottagande myndighet (prop. 2009/10:85 s. 177).

Övervägandena finns i avsnitt 11.7.

4 kap. Längsta tid som personuppgifter får behandlas

6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 5–9 får som längst behandlas under den tid som anges i 7–11 a §§.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 7–11 a §§.

Paragrafen är ändrad med hänsyn till att det införs en ny punkt i 3 kap. 2 § första stycket som reglerar att personuppgifter som samlats in genom kamerabevakning med stöd av kamerabevakningslagen (2018:1200) eller annan författning får göras gemensamt tillgängliga samt då det införs en ny bestämmelse i 4 kap. 11 a § som reglerar vilken längsta tid sådana personuppgifter får behandlas.

11 a § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 9 får inte behandlas längre än sex månader efter det att de samlades in.

Paragrafen, som är ny, reglerar vilken längsta tid personuppgifter som samlats in genom kamerabevakning med stöd av kamera- bevakningslagen (2018:1200) eller annan författning och som gjorts gemensamt tillgängliga får behandlas. Bestämmelsen möjliggör att både obearbetat och strukturerat material från kamerabevakning får bearbetas och lagras i sex månader. Den föreslagna bestämmelsen hindrar inte att uppgifter från kameramaterial som hänför sig till ett ärende, exempelvis en förundersökning, kan göras gemensamt tillgängliga med stöd av någon annan bestämmelse i 3 kap. 2 §

228

Ds 2024:11

Författningskommentar

polisens brottsdatalag. Därmed möjliggörs en annan lagringstid enligt 4 kap. samma lag.

Övervägandena finns i avsnitt 11.8.

12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–11 a §.

Paragrafen är ändrad med hänsyn till att det införs en ny bestämmelse i 4 kap. 11 a § som reglerar vilken längsta tid personuppgifter som gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 9 får behandlas.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–11 a § och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

Paragrafen är ändrad med hänsyn till att det införs en ny bestämmelse i 4 kap. 11 a § som reglerar vilken längsta tid person- uppgifter som gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 9 får behandlas.

229

Ds 2024:11

Bilaga 1

Bilaga

2023-11-29

Justitiedepartementet

Enheten för lagstiftning om allmän ordning och säkerhet

Uppdrag att förbättra polisens möjlighet till kamerabevakning

1. Uppdraget i korthet

En utredare ges i uppdrag att förbättra förutsättningarna för Polismyndigheten och Säkerhetspolisen att använda kamerabevakning i sin verksamhet.

Utredaren ska bl.a. lämna författningsförslag som gör att polisen i större utsträckning och på ett verkningsfullt sätt kan

•använda teknik som innebär kamerabevakning med automatisk ansiktsigenkänning och igenkänning av registreringsnummer, och

•få ta del av bevakningsmaterial från annans kamerabevakning. Uppdraget ska redovisas senast den 29 maj 2024.

2.Bakgrund och behovet av en utredning

Organiserad brottslighet och terroristbrottslighet utgör allvarliga hot mot enskilda, men också mot samhället i stort. Brottsutvecklingen med skjutningar och sprängningar är exceptionell och det föreligger en förhöjd hotnivå i Sverige. Det finns därför ett mycket angeläget behov av att säkerställa att de brottsbekämpande myndigheterna får utökad tillgång till effektiva, resurssparande och kraftfulla verktyg. Kamerabevakning är ett viktigt inslag i det polisiära arbetet. Det kan användas i såväl brotts- förebyggande arbete som brottsutredande arbete. Med hjälp av kamerabevakning kan polisen exempelvis hitta, identifiera och följa kriminella aktörer. Kamerautrustning i olika former finns i dag hos t.ex. myndigheter, kommuner och regioner samt hos privata aktörer.

231

Bilaga 1

Ds 2024:11

Förutsättningarna för kamerabevakning styrs av kamerabevakningslagen (2018:1200) och regelverket för behandling av personuppgifter, bl.a. brottsdatalagen (2018:1177) och lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter (Säkerhetspolisens datalag). Vid kamerabevakning behöver det ske en intresseavvägning mellan behovet av bevakning och risken för intrång i den personliga integriteten.

I svensk rätt finns ingen definition av begreppet integritet. En kränkning av den personliga integriteten kan beskrivas som ett intrång i en fredad sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång, såväl psykiskt som fysiskt, bör kunna avvisas (jfr prop. 2005/06:173 s. 15). En annan aspekt på integritetsskydd är emellertid att enskilda också ska kunna kräva att staten vidtar effektiva åtgärder för att skydda hans eller hennes säkerhet. I detta ligger att staten måste vidta åtgärder för att se till att förebygga och förhindra brott. Staten har ett ansvar för att skydda enskildas liv, frihet och personliga säkerhet (jfr prop. 2015/16:167 s. 26). En väl fungerande samhällsorganisation kommer alltid att medföra vissa intrång i enskildas personliga integritet.

Kamerabevakning kan användas för att förebygga och utreda brott och har en trygghetsskapande effekt. Kamerabevakning behöver därför kunna bedrivas mer flexibelt, snabbt och resurseffektivt samt på fler platser i samhället. Det är avgörande att reglerna inte på ett omotiverat sätt hindrar polisen från att dra nytta av den teknikutveckling som har skett kopplat till kamerabevakning, t.ex. vad gäller tekniker för olika typer av automatisk igenkänning.

Nyligen genomfördes författningsändringar som underlättar användningen av teknik som innebär kamerabevakning med automatisk igenkänning av registreringsnummer i gränsnära områden (prop. 2022/23:109). Med hjälp av sådan igenkänning kan polisen följa ett fordons rörelsemönster. Informa- tionen kan användas i syfte att förebygga, upptäcka, förhindra, utreda och lagföra brott. Med gränsnära områden avses vissa flygplatser, hamnar, järnvägsstationer, broar till andra länder och gränsövergångsställen på allmänna vägar. Teknik som innebär kamerabevakning med automatisk igenkänning av registreringsnummer skulle vara av stort värde även utanför gränsnära områden och för att bl.a. bekämpa organiserad brottslighet och terroristbrott.

2 (5)

232

Ds 2024:11

Bilaga 1

Ansiktsigenkänning är ett sätt att behandla och bearbeta kamerabevaknings- material. En på så sätt hanterad ansiktsbild är en biometrisk uppgift och utvecklingen går mot att i allt större utsträckning använda AI-teknik för behandling och bearbetning av sådana bilder. Biometriska uppgifter får enligt artikel 10 i EU:s dataskyddsdirektiv1 behandlas endast om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Detta framgår också av 2 kap. 12 § brottsdatalagen.

Enligt 1 kap. 4 § brottsdatalagen gäller lagen inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polis- myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. En bestämmelse motsvarande 2 kap. 12 § brottsdatalagen har dock tagits in även i Säkerhetspolisens datalag (se 2 kap. 10 § den lagen).

Med hänsyn till att ansiktsigenkänning utgör ett kraftfullt verktyg i kampen mot den organiserade brottsligheten är det av stor vikt att tekniken, i den utsträckning som dataskyddsdirektivet medger, kan användas effektivt och ändamålsenligt. Det finns skäl att även se över hur tekniken skulle kunna användas i större utsträckning för att bl.a. bekämpa terroristbrott och brott mot Sveriges säkerhet.

Myndigheter och andra relevanta aktörer måste ha goda förutsättningar att inhämta, behandla och utbyta information. Det finns därför ett behov av att också utreda på vilket sätt polisen på ett effektivt sätt kan få del av kamera- bevakningsmaterial när det har betydelse för brottsbekämpningen.

3. Uppdraget till utredaren

3.1 Uppdraget

En utredare ges i uppdrag att se över vissa frågor kopplat till kamera- bevakning. En allmän utgångspunkt för arbetet är att Polismyndighetens och Säkerhetspolisens möjligheter att använda sig och på andra sätt dra nytta av kamerabevakning behöver förbättras.

Utredaren ska analysera och lämna författningsförslag som gör att Polis- myndigheten och Säkerhetspolisen i större utsträckning och på ett mer

1Europarlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgift er och om upphävande av rådets rambeslut 2008/977/RIF.

3 (5)

233

Bilaga 1

Ds 2024:11

effektivt sätt kan använda teknik som innebär kamerabevakning med automatisk igenkänning av fordons registreringsnummer. Utredaren ska också analysera om det finns förutsättningar att låta myndigheterna i större utsträckning använda teknik som innebär kamerabevakning med automatisk ansiktsigenkänning. Utredaren ska bedöma under vilka förutsättningar som tekniken ska kunna användas i det brottsbekämpande arbetet och i förhållande till vilket kamerabevakningsmaterial. Om sådana förutsättningar finns ska utredaren lämna författningsförslag som möjliggör ett effektivt och ändamålsenligt användande av tekniken. Vidare ska utredaren analysera och lämna författningsförslag som gör att Polismyndigheten och Säkerhetspolisen i fler fall kan få ta del av kamerabevakningsmaterial från annans bevakning, t.ex. material från kamerasystem kopplade till statlig transportinfrastruktur eller från kommuner och regioners kamerabevakning.

Utredarens förslag kan innefatta utökade möjligheter att dela kamerateknik med aktörer samt samla in, använda och lagra personuppgifter. En fråga i detta sammanhang är om polisen bör ges direktåtkomst i realtid till material från annans kamerabevakning. Utredarens förslag kan även innefatta undantag från kravet att med tydlig skyltning upplysa om kamerabevakning. Förslagen ska utformas med beaktande av skyddet för den personliga integriteten liksom av EU:s dataskyddsreglering.

Utredaren får även överväga och lämna förslag i andra närliggande frågor.

Det ingår inte i utredarens uppdrag att överväga eller föreslå ändringar i bestämmelserna om hemlig kameraövervakning i 27 kap. rättegångsbalken eller i lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.

3.2 Utredningsarbetet

Utredaren ska under arbetet ha en dialog med och inhämta upplysningar från Integritetsskyddsmyndigheten, Polismyndigheten, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Tullverket. Vid behov ska utredaren hämta in synpunkter och upplysningar även från andra relevanta aktörer och andra jämförbara länder. Utredaren ska också hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet, utrednings- väsendet och EU. Som exempel kan nämnas 2023 års kamerabevaknings- utredning (Ju 2023:01), Utredningen om Säkerhetspolisens informations- hantering (Ju 2023:02) och regeringsuppdraget att se över Polismyndighetens

4 (5)

234

Ds 2024:11

Bilaga 1

tillgång till uppgifter från befintliga kamerasystem (Ju2023/02261). Som exempel kan också nämnas förhandlingarna om den s.k. AI-förordningen (se Faktapromemoria 2020/21:FPM109).

Utredaren ska analysera och redovisa konsekvenserna av sina förslag. Vidare ska utredaren särskilt redovisa förslagens konsekvenser för den personliga integriteten samt säkerställa att förslagen är förenliga med grundläggande fri- och rättigheter, bl.a. skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen. Förslagen ska också vara förenliga med Sveriges konventionsåtaganden om mänskliga rättigheter. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren beräkna kostnaderna och lämna förslag om hur dessa ska finansieras.

3.3 Redovisning av uppdraget

Uppdraget ska redovisas senast den 29 maj 2024.

5 (5)

235

Ds 2024:11

Bilaga 2

Europaparlamentet

2019-2024

ANTAGNA TEXTER

P9_TA(2024)0138

Rättsakten om artificiell intelligens

Europaparlamentets lagstiftningsresolution av den 13 mars 2024 om förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD))

(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2021)0206),

–med beaktande av artiklarna 294.2, 16 och 114 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C9-0146/2021),

–med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–med beaktande av Europeiska centralbankens yttrande av den 29 december 20211,

–med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande av den 22 september 20212,

–med beaktande av den preliminära överenskommelse som godkänts av det ansvariga utskottet enligt artikel 74.4 i arbetsordningen och av det skriftliga åtagandet från rådets företrädare av den 2 februari 2024 att godkänna parlamentets ståndpunkt i enlighet med artikel 294.4 i fördraget om Europeiska unionens funktionssätt,

–med beaktande av artikel 59 i arbetsordningen,

–med beaktande av den gemensamma behandlingen av ärendet i utskottet för den inre marknaden och konsumentskydd och utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, i enlighet med artikel 58 i arbetsordningen,

1EUT C 115, 11.3.2022, s. 5.

2EUT C 517, 22.12.2021, s. 56.

237

Bilaga 2

Ds 2024:11

–med beaktande av yttrandena från utskottet för industrifrågor, forskning och energi, utskottet för kultur och utbildning, utskottet för rättsliga frågor, utskottet för miljö, folkhälsa och livsmedelssäkerhet och utskottet för transport och turism,

–med beaktande av betänkandet från utskottet för den inre marknaden och konsumentskydd och utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A9-0188/2023).

1.Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen3.

2.Europaparlamentet uppmanar kommissionen att på nytt lägga fram ärendet för parlamentet om den ersätter, väsentligt ändrar eller har för avsikt att väsentligt ändra sitt förslag.

3.Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

3Denna ståndpunkt ersätter ändringarna antagna den 14 juni 2023 (Antagna texter, P9_TA(2023)0236).

238

Ds 2024:11

Bilaga 2

P9_TC1-COD(2021)0106

Europaparlamentets ståndpunkt fastställd vid första behandlingen den 13 mars 2024 inför antagandet av Europaparlamentets och rådets förordning (EU) 2024/… om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt

direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (rättsakt om artificiell intelligens)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 16 och 114, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande1,

med beaktande av Europeiska centralbankens yttrande2,

med beaktande av Regionkommitténs yttrande3,

i enlighet med det ordinarie lagstiftningsförfarandet4, och

∗TEXT HAR GENOMGÅTT PARTIELL JURISTLINGVISTISK SLUTGRANSKNING.

1EUT C 517, 22.12.2021, s. 56.

2EUT C 115, 11.3.2022, s. 5.

3EUT C 97, 28.2.2022, s. 60.

4Europaparlamentets ståndpunkt av den 13 mars 2024.

239

Bilaga 2

Ds 2024:11

av följande skäl:

(1)Syftet med denna förordning är att förbättra den inre marknadens funktionssätt genom att fastställa en enhetlig rättslig ram för i synnerhet utveckling, utsläppande på marknaden, ibruktagande och användning av system för artificiell intelligens (AI-system) i unionen i enlighet med unionens värden, främja användningen av människocentrerad och tillförlitlig artificiell intelligens (AI) och samtidigt säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter såsom fastställs i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), inbegripet demokrati och rättsstatsprincipen och miljöskydd, mot skadliga effekter av AI-system i unionen, och stödja innovation. Denna förordning säkerställer fri rörlighet över gränserna för AI- baserade varor och tjänster, och förhindrar således att medlemsstaterna inför begränsningar av utvecklingen, saluföringen och användningen av AI- system, om sådana inte uttryckligen tillåts enligt denna förordning.

(2)Denna förordning bör tillämpas i enlighet med unionens värden, som fastställs i stadgan, och underlätta skyddet av fysiska personer, företag, demokratin, rättsstatsprincipen och miljöskyddet, och samtidigt främja innovation och sysselsättning och göra unionen ledande när det gäller användningen av tillförlitlig AI.

240

Ds 2024:11

Bilaga 2

(3)▌ AI-system ▌ kan enkelt utnyttjas inom ett stort antal olika ekonomiska sektorer och i många delar av samhället, inklusive över gränser, och kan enkelt cirkulera i hela unionen. Vissa medlemsstater har redan undersökt antagandet av nationella regler för att säkerställa att AI är tillförlitligt och säkert samt utvecklas och används i enlighet med skyldigheter som rör grundläggande rättigheter. Skiljaktiga nationella regler kan leda till fragmentering av den inre marknaden och minska rättssäkerheten för operatörer som utvecklar, importerar eller använder AI-system. En enhetlig och hög skyddsnivå bör därför säkerställas i hela unionen för att tillförlitlig AI ska uppnås, medan avvikelser som hindrar den fria rörligheten för samt innovation inom och användning och spridning av AI- system och relaterade produkter och tjänster på den inre marknaden bör förhindras genom fastställande av enhetliga skyldigheter för operatörer och garanterande av ett enhetligt skydd för tvingande hänsyn till allmänintresset och personers rättigheter på hela den inre marknaden på grundval av artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). I den utsträckning som denna förordning omfattar särskilda regler för skydd av individer när det gäller behandling av personuppgifter avseende begränsning av användningen av AI-system för biometrisk fjärridentifiering för brottsbekämpningsändamål, av användningen av AI-system för riskbedömningar av fysiska personer för brottsbekämpningsändamål och av användningen av AI-system för biometrisk kategorisering för brottsbekämpningsändamål, är det, när det gäller dessa särskilda regler, lämpligt att grunda denna förordning på artikel 16 i EUF-fördraget. Mot bakgrund av dessa särskilda regler och användningen av artikel 16 i EUF-fördraget är det lämpligt att samråda med Europeiska dataskyddsstyrelsen.

241

Bilaga 2

Ds 2024:11

(4)AI ingår i en teknikfamilj under snabb utveckling som bidrar till en mängd ekonomiska, miljömässiga och samhälleliga vinster över hela spektrumet av näringslivssektorer och samhällsverksamheter. Genom att förbättra förutsägelserna, optimera verksamheter och resurstilldelning och individanpassa de digitala lösningar som är tillgängliga för enskilda och organisationer kan användningen av AI ge företagen viktiga konkurrensfördelar och stödja socialt och miljömässigt fördelaktiga utfall, exempelvis inom hälso- och sjukvård, jordbruk, livsmedelssäkerhet, utbildning, medier, sport, kultur, infrastrukturförvaltning, energi, transport och logistik, offentliga tjänster, säkerhet, rättsväsen, resurs- och energieffektivitet. miljöövervakning, bevarande och återställande av biologisk mångfald och ekosystem samt begränsning av och anpassning till klimatförändringar.

(5)Samtidigt kan AI, beroende på omständigheterna kring den specifika tillämpningen, användningen och den tekniska utvecklingsnivån, ge upphov till risker och skada allmänna intressen och grundläggande rättigheter som skyddas av unionsrätten. Dessa skador kan vara materiella eller immateriella, inbegripet fysiska, psykologiska, samhälleliga eller ekonomiska skador.

242

Ds 2024:11

Bilaga 2

(6)Med tanke på den stora inverkan som AI kan ha på samhället, och behovet av att bygga upp förtroende, är det mycket viktigt att AI och dess regelverk utvecklas i enlighet med unionens värden såsom de fastställs i artikel 2 i fördraget om Europeiska unionen (EU- fördraget), de grundläggande rättigheter och friheter som fastställs i fördragen och, i enlighet med artikel 6 i EU-fördraget, stadgan. En förutsättning är att AI bör vara en människocentrerad teknik. Den bör fungera som ett verktyg för människor, med slutmålet att öka människors välbefinnande.

(7)För att säkerställa en konsekvent och hög skyddsnivå för allmänintressen på områdena hälsa, säkerhet och grundläggande rättigheter bör gemensamma regler fastställas för AI-system med hög risk. Dessa regler bör vara förenliga med stadgan. icke- diskriminerande och i linje med unionens internationella handelsåtaganden. De bör också ta hänsyn till den europeiska förklaringen om digitala rättigheter och principer för det digitala decenniet och de etiska riktlinjerna för tillförlitlig AI från högnivåexpertgruppen för artificiell intelligens (AI-expertgruppen).

243

Bilaga 2

Ds 2024:11

(8)Därmed behövs en rättslig ram för unionen som fastställer harmoniserade regler för AI för att främja utvecklingen, användningen och spridningen av AI på den inre marknaden, varigenom samtidigt en hög skyddsnivå uppnås för allmänintressen, såsom hälsa, säkerhet och skydd av grundläggande rättigheter, inbegripet demokrati, rättsstatsprincipen och miljöskydd, såsom erkänns och skyddas enligt unionsrätten. För att uppnå detta syfte bör det fastställas regler som reglerar utsläppandet på marknaden, ibruktagandet och användningen av vissa AI-system, för att på så sätt säkerställa en fungerande inre marknad och göra det möjligt för dessa system att omfattas av principen om fri rörlighet för varor och tjänster. Dessa regler bör vara tydliga och robusta när det gäller att skydda de grundläggande rättigheterna, stödja nya innovativa lösningar, möjliggöra ett europeiskt ekosystem av offentliga och privata aktörer som skapar AI-system i linje med unionens värden och ta tillvara den digitala omställningens potential i hela unionen. Genom fastställandet av dessa regler, och åtgärder till stöd för innovation med särskild inriktning på små och medelstora företag, inbegripet uppstartsföretag, stöder denna förordning unionens mål att främja den europeiska människocentrerade AI-strategin och att bli världsledande inom utvecklingen av säker, tillförlitlig och etisk AI ▌ , såsom fastställts av Europeiska rådet5, och den säkerställer skyddet av etiska principer, vilket särskilt har begärts av Europaparlamentet6.

5Europeiska rådet, extra möte i Europeiska rådet (den 1 och 2 oktober 2020) – Slutsatser, EUCO 13/20, 2020, s. 6.

6Europaparlamentets resolution av den 20 oktober 2020 med rekommendationer till kommissionen om en ram för etiska aspekter av artificiell intelligens, robotteknik och tillhörande teknik (2020/2012(INL)).

244

Ds 2024:11

Bilaga 2

(9)Harmoniserade regler som är tillämpliga på utsläppande på marknaden, ibruktagande och användning av AI-system med hög risk bör fastställas i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/20087, Europaparlamentets och rådets beslut

nr 768/2008/EG8 och Europaparlamentets och rådets förordning (EU) 2019/10209(den nya lagstiftningsramen). De harmoniserade regler som fastställs i denna förordning bör gälla i alla sektorer och bör, i linje med den nya lagstiftningsramen, inte påverka befintlig unionslagstiftning, särskilt om dataskydd, konsumentskydd, grundläggande rättigheter, sysselsättning och skyddet av arbetstagare, samt produktsäkerhet, vilken denna förordning kompletterar.

7Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

8Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter och upphävande av rådets beslut 93/465/EEG (EUT L 218, 13.8.2008, s. 82).

9Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (Text av betydelse för EES) (EUT L 169, 25.6.2019, s. 1).

245

Bilaga 2

Ds 2024:11

Alla rättigheter och rättsmedel som föreskrivs genom sådan unionslagstiftning för konsumenter, och andra personer som AI-system kan ha en negativ inverkan på, inbegripet när det gäller ersättning för eventuella skador enligt rådets

direktiv 85/374/EEG10, förblir som en följd av detta opåverkade och fullt tillämpliga.

Vidare bör denna förordning, när det gäller anställning och skydd av arbetstagare, därför inte påverka unionsrätten om socialpolitik och nationell arbetsrätt, i enlighet med unionsrätten, om anställnings- och arbetsvillkor, inbegripet hälsa och säkerhet på arbetsplatsen och förhållandet mellan arbetsgivare och arbetstagare. Denna förordning bör inte heller påverka utövandet av de grundläggande rättigheter som erkänns i medlemsstaterna och på unionsnivå, inbegripet rätten eller friheten att strejka eller att vidta annan åtgärd som ingår i medlemsstaternas respektive arbetsmarknadsmodell, eller rätten att förhandla om, ingå och tillämpa kollektivavtal eller vidta kollektiva åtgärder i enlighet med nationell rätt.

10Rådets direktiv 85/374/EEG av den 25 juli 1985 om tillnärmning av medlemsstaternas lagar och andra författningar om skadeståndsansvar för produkter med säkerhetsbrister (EGT L 210, 7.8.1985, s. 29).

246

Ds 2024:11

Bilaga 2

Denna förordning bör inte påverka de bestämmelser som syftar till att förbättra arbetsvillkoren för plattformsarbete och som fastställs i Europaparlamentets och rådets direktiv (EU) 2024/...11+. Dessutom syftar denna förordning till att stärka effektiviteten hos sådana befintliga rättigheter och rättsmedel genom att särskilda krav och skyldigheter fastställs, bland annat när det gäller transparens, teknisk dokumentation och arkivering avseende AI-system. Vidare bör de skyldigheter som åläggs olika operatörer som ingår i AI-värdekedjan enligt denna förordning tillämpas utan att det påverkar nationell rätt i enlighet med unionsrätten, med verkan att användningen av vissa AI-system begränsas när sådan lagstiftning inte omfattas av denna förordning eller eftersträvar andra legitima mål av allmänt intresse än dem som eftersträvas genom denna förordning. Till exempel bör nationell arbetsrätt och lagstiftningen om skydd av minderåriga, dvs. personer under 18 år, med beaktande av FN:s allmänna kommentar nr 25 (2021) om barns rättigheter i den digitala miljön, i den mån de inte är specifika för AI-system och eftersträvar andra legitima mål av allmänt intresse, inte påverkas av denna förordning.

11Europaparlamentets och rådets direktiv (EU) 2024/... av den... om bättre arbetsvillkor för plattformsarbete (EUT L,..., ELI: …).

+För in numret på direktivet i PE XX/YY (2021/0414 (COD)) i texten och komplettera fotnoten.

247

Bilaga 2

Ds 2024:11

(10)Den grundläggande rätten till skydd av personuppgifter garanteras särskilt genom Europaparlamentets och rådets förordningar (EU) 2016/67912 och (EU) 2018/172513 samt Europaparlamentets och rådets direktiv (EU) 2016/68014. Europaparlamentets och rådets direktiv 2002/58/EG15 skyddar dessutom privatlivet och konfidentialitet vid kommunikation, bland annat genom att villkor föreskrivs för all lagring av personuppgifter och icke-personuppgifter i terminalutrustning och för åtkomst från terminalutrustning. Dessa unionsrättsakter ger grunden för en hållbar och ansvarsfull databehandling, även i de fall då dataset innehåller en blandning av personuppgifter och icke-personuppgifter. Denna förordning syftar inte till att påverka tillämpningen av befintlig unionslagstiftning om behandling av personuppgifter, inbegripet uppgifter och befogenheter för de oberoende tillsynsmyndigheter som är behöriga att övervaka efterlevnaden av dessa instrument.

12Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

13Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

14Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

15Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (Direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

248

Ds 2024:11

Bilaga 2

Den påverkar inte heller de skyldigheter som leverantörer och spridare av AI-system har i sin roll som personuppgiftsansvariga eller personuppgiftsbiträden enligt unionsrätten eller nationell rätt om skydd av personuppgifter, i den mån utformningen, utvecklingen eller användningen av AI-system inbegriper behandling av personuppgifter. Det är också lämpligt att klargöra att registrerade fortsätter att åtnjuta alla de rättigheter och garantier som de tillerkänns genom sådan unionslagstiftning, inbegripet de rättigheter som rör uteslutande automatiserat individuellt beslutsfattande, inbegripet profilering. Harmoniserade regler för utsläppande på marknaden, ibruktagande och användning av AI-system som inrättas enligt denna förordning bör underlätta ett effektivt genomförande och göra det möjligt för de registrerade att utöva sina rättigheter och andra rättsmedel som garanteras enligt unionsrätten om skydd av personuppgifter och av andra grundläggande rättigheter.

(11)Denna förordning bör inte påverka tillämpningen av bestämmelserna om tjänstelevererande mellanhänders ansvar enligt Europaparlamentets och rådets direktiv 2000/31/EG16.

16Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

249

Bilaga 2

Ds 2024:11

(12)Begreppet AI-system i denna förordning bör vara tydligt definierat och nära anpassat till det arbete som utförs av internationella organisationer som arbetar med AI för att säkerställa rättssäkerhet, underlätta internationell konvergens och bred acceptans, och samtidigt ge flexibilitet för att hantera den snabba tekniska utvecklingen på detta område. Dessutom bör det baseras på centrala egenskaper hos AI-system som skiljer det från enklare traditionella programvarusystem eller programmeringsmetoder och inte omfatta system som bygger på de regler som endast fysiska personer fastställer för att automatiskt utföra operationer. En viktig egenskap hos AI-system är deras förmåga att dra slutsatser. Denna slutsatsförmåga avser processen att erhålla utdata, såsom förutsägelser, innehåll, rekommendationer eller beslut, som kan påverka fysiska och virtuella miljöer och AI-systemens förmåga att härleda modeller eller algoritmer från indata eller data. De tekniker som gör inferens möjlig när man bygger upp ett AI-system inbegriper metoder för maskininlärning för inlärning genom data om hur man uppnår vissa mål och logik- och kunskapsbaserade strategier som drar slutsatser av kodad kunskap om eller symbolisk representation av den uppgift som ska lösas. Ett AI-systems kapacitet att dra slutsatser går utöver grundläggande databehandling och möjliggör inlärning, resonemang eller modellering. Termen ”maskinbaserad” avser det faktum att AI-system körs på maskiner.

250

Ds 2024:11

Bilaga 2

Hänvisningen till uttryckliga eller underförstådda mål understryker att AI-system kan fungera enligt uttryckliga definierade mål eller underförstådda mål. AI-systemets mål kan skilja sig från AI-systemets avsedda ändamål i ett specifikt sammanhang. Vid tillämpningen av denna förordning bör miljöer förstås som de sammanhang där AI- systemen är i drift, medan utdata som genereras av AI-systemet återspeglar olika funktioner som utförs av AI-system och inbegriper förutsägelser, innehåll, rekommendationer eller beslut. AI-system är utformade för att fungera med varierande grad av autonomi, vilket innebär att de är oberoende av mänsklig kontroll i viss mån och har förmåga att fungera utan mänskligt ingripande. Den anpassningsförmåga som ett AI-system kan uppvisa när det införts avser förmågan till självlärande, vilket gör det möjligt för systemet att förändras under sin användning. AI-system kan användas fristående eller som komponent i en produkt, oavsett om systemet är fysiskt integrerat i produkten (inbyggt) eller tjänar produktens funktioner utan att vara integrerat i produkten (ej inbyggt).

(13)Begreppet spridare, som det hänvisas till i denna förordning, bör tolkas som varje fysisk eller juridisk person, inbegripet en offentlig myndighet, offentlig byrå eller ett annat organ, som under eget överinseende använder ett AI-system, med undantag för om AI- systemet används under personlig icke-yrkesmässig verksamhet. Beroende på typen av AI-system kan användningen av systemet påverka andra personer än spridaren.

251

Bilaga 2

Ds 2024:11

(14)Begreppet biometriska uppgifter som används i denna förordning ▌ bör tolkas mot bakgrund av begreppet biometriska uppgifter enligt definitionen i artikel 4.14 i förordning (EU) 2016/679, artikel 3.18 i förordning (EU) 2018/1725 och artikel 3.13 i direktiv

(EU) 2016/680. Biometriska uppgifter kan ge möjlighet till autentisering, identifiering och kategorisering av fysiska personer och igenkänning av fysiska personers känslor

(15)Begreppet biometrisk identifiering, som det hänvisas till i denna förordning, bör definieras som automatiserad igenkänning av fysiska, fysiologiska och beteendemässiga mänskliga särdrag såsom ansikte, ögonrörelser, kroppsform, röst, prosodi, gång, hållning, hjärtfrekvens, blodtryck, lukt eller tangenttryckningskarakteristik för att fastställa en enskild persons identitet genom att jämföra denna individs biometriska uppgifter med lagrade biometriska uppgifter tillhörande individer i en referensdatabas, oavsett om individen har givit sitt medgivande eller inte. Detta utesluter AI-system som är avsedda att användas för biometrisk verifiering, vilket inbegriper autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den person som denne utger sig för att vara att bekräfta identiteten för en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler.

252

Ds 2024:11

Bilaga 2

(16)Begreppet biometrisk kategorisering, som det hänvisas till i denna förordning, bör definieras som att fysiska personer hänförs till särskilda kategorier på grundval av deras biometriska uppgifter. Sådana särskilda kategorier kan avse aspekter som kön, ålder, hårfärg, ögonfärg, tatueringar, beteende- eller personlighetsdrag, språk, religion, tillhörighet till nationell minoritet eller sexuell eller politisk läggning. Detta omfattar inte system för biometrisk kategorisering som har en ren extrafunktion som är oupplösligt kopplad till en annan kommersiell tjänst, vilket innebär att funktionen av objektiva tekniska skäl inte kan användas utan den huvudsakliga tjänsten och att integreringen av denna funktion inte är ett sätt att kringgå tillämpligheten av bestämmelserna i denna förordning. Filter som kategoriserar ansikts- eller kroppsegenskaper som används på e-marknadsplatser kan till exempel utgöra en sådan extrafunktion, eftersom de kan användas endast i förhållande till den huvudsakliga tjänsten, som är att sälja en produkt genom att göra det möjligt för konsumenten att i förväg se produkten på sig själv och hjälpa konsumenten att fatta ett köpbeslut. Filter som används på sociala nätverkstjänster online och som kategoriserar ansikts- eller kroppsfunktioner för att göra det möjligt för användare att lägga till eller ändra bilder eller videor kan också betraktas som extrafunktioner, eftersom ett sådant filter inte kan användas utan den huvudsakliga tjänsten hos de sociala nätverkstjänsterna som utgörs av delning av innehåll online.

253

Bilaga 2

Ds 2024:11

(17)Begreppet system för biometrisk fjärridentifiering, som det hänvisas till i denna förordning, bör definieras utifrån funktion som ett AI-system avsett för identifiering av fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse mellan en persons biometriska uppgifter och biometriska uppgifter i en referensdatabas, oavsett den specifika teknik, process eller typ av biometriska uppgifter som används. Sådana system för biometrisk fjärridentifiering används vanligtvis för att samtidigt uppfatta flera personer eller deras beteende för att avsevärt underlätta identifieringen av fysiska personer utan deras aktiva medverkan. Detta utesluter AI-system som är avsedda att användas för biometrisk verifiering, vilket inbegriper autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den person som denne utger sig för att vara, och system som används för att bekräfta identiteten för en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Detta uteslutande motiveras av att sådana system sannolikt har mindre inverkan på fysiska personers grundläggande rättigheter än de system för biometrisk fjärridentifiering som kan användas för behandling av biometriska uppgifter om ett stort antal personer utan deras aktiva medverkan. När det gäller system i realtid sker insamlingen av biometriska uppgifter, jämförelsen och identifieringen omedelbart, näst intill omedelbart eller under alla omständigheter utan betydande dröjsmål. I detta avseende bör det inte finnas något utrymme för att kringgå denna förordnings regler om användning i realtid av de berörda AI-systemen genom att medge mindre fördröjningar. Realtidssystem involverar direktupptagningar eller näst intill direktupptagningar av material, såsom videoupptagningar, genererade med kamera eller annan utrustning med liknande funktion. Efterhandssystem baseras däremot på redan insamlade biometriska uppgifter och jämförelsen och identifieringen sker med en betydande fördröjning. Detta involverar sådant material som bilder eller videoupptagningar som genereras genom övervakningskameror (CCTV) eller privat utrustning och som har genererats före användningen av systemet vad gäller de berörda fysiska personerna.

254

Ds 2024:11

Bilaga 2

(18)Begreppet system för känsloigenkänning, som det hänvisas till i denna förordning, bör definieras som ett AI-system vars syfte är att identifiera eller uttyda fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter. Begreppet avser känslor eller avsikter som lycka, sorg, ilska, överraskning, avsky, förlägenhet, sinnesrörelse, skam, förakt, nöjdhet och förnöjelse. Det omfattar inte fysiska tillstånd, såsom smärta eller trötthet; detta avser till exempel system som används för att upptäcka trötthetstillståndet hos yrkespiloter eller yrkeschaufförer i syfte att förebygga olyckor. Detta omfattar inte heller enbart upptäckt av lätt skönjbara uttryck, gester eller rörelser, såvida de inte används för att identifiera eller dra slutsatser om känslor. De uttrycken kan vara grundläggande ansiktsuttryck såsom en sur min eller ett leende, eller gester som rörelser av händer, armar eller huvud, eller egenskaper hos en persons röst, till exempel höjd röst eller viskningar.

255

Bilaga 2

Ds 2024:11

(19)I denna förordning bör begreppet allmänt tillgänglig plats förstås som varje fysisk plats som är tillgänglig för ett obestämt antal fysiska personer och oberoende av om platsen i fråga är privatägd eller offentligägd, oberoende av den verksamhet för vilken platsen får användas, såsom handel (t.ex. affärer, restauranger, kaféer), tjänster (t.ex. banker, yrkesverksamhet, besöksnäring). idrott (t.ex. simbassänger, gym, arenor), transport (t.ex. buss-, tunnelbane- och järnvägsstationer, flygplatser, transportmedel), underhållning (t.ex. biografer, teatrar, museer, konsert- och konferenslokaler), fritid eller annat (t.ex. allmänna vägar och torg, parker, skogar, lekplatser). En plats bör klassificeras som allmänt tillgänglig även om tillträdet, oavsett potentiella kapacitets- eller säkerhetsbegränsningar, omfattas av vissa på förhand fastställda villkor som kan uppfyllas av ett obestämt antal personer, såsom köp av en biljett, förhandsregistrering eller en viss ålder. Däremot bör en plats inte anses vara allmänt tillgänglig om åtkomsten är begränsad till specifika och definierade fysiska personer antingen genom unionslagstiftning eller nationell lagstiftning med direkt anknytning till allmän säkerhet eller säkerhet eller genom att den person som har relevant befogenhet på platsen tydligt uttrycker sin vilja. Den faktiska möjligheten till tillträde (t.ex. en olåst dörr, en öppen grind i ett stängsel) innebär inte att platsen är allmänt tillgänglig om det finns indikationer eller omständigheter som tyder på motsatsen (t.ex. skyltar som förbjuder eller begränsar tillträdet). Företags- och fabrikslokaler samt kontor och arbetsplatser till vilka avsikten är att endast berörda anställda och tjänsteleverantörer ska ha tillträde är platser som inte är allmänt tillgängliga. Allmänt tillgängliga platser bör inte omfatta fängelser eller gränskontrollområden. Vissa andra områden kan bestå av både områden som inte är allmänt tillgängliga och områden som är allmänt tillgängliga, såsom en korridor i ett privat bostadshus som krävs för tillträde till en läkarmottagning eller en flygplats. Onlineplatser omfattas inte heller eftersom de inte är fysiska platser. Det bör dock avgöras från fall till fall om en viss plats är tillgänglig för allmänheten, med beaktande av den individuella situationens särdrag.

256

Ds 2024:11

Bilaga 2

(20)För att dra största möjliga nytta av AI-system och samtidigt skydda grundläggande rättigheter, hälsa och säkerhet och möjliggöra demokratisk kontroll bör AI-kunskap förse leverantörer, spridare och berörda personer med de begrepp som krävs för att fatta välgrundade beslut om AI-system. Dessa begrepp kan variera med avseende på det relevanta sammanhanget och kan inbegripa förståelse av den korrekta tillämpningen av tekniska delar under AI-systemets utvecklingsfas, de åtgärder som ska tillämpas under dess användning, lämpliga sätt att tolka AI-systemets utdata och, när det gäller berörda personer, den kunskap som krävs för att förstå hur beslut som fattas med hjälp av AI kommer att påverka dem. I samband med tillämpningen av denna förordning bör AI- kunskap ge alla relevanta aktörer i AI-värdekedjan de insikter som krävs för att säkerställa lämplig efterlevnad och korrekt verkställighet. Dessutom kan ett brett genomförande av åtgärder för AI-kunskap och införandet av lämpliga uppföljningsåtgärder bidra till att förbättra arbetsvillkoren och i slutändan upprätthålla konsolideringen av och innovationsbanan för tillförlitlig AI i unionen. Den europeiska nämnden för artificiell intelligens (nämnden) bör stödja kommissionen för att främja AI-kunskap, allmänhetens medvetenhet om och förståelse av fördelar, risker, skyddsåtgärder, rättigheter och skyldigheter i samband med användningen av AI-system. I samarbete med berörda parter bör kommissionen och medlemsstaterna underlätta utarbetandet av frivilliga uppförandekoder för att öka AI-kunskapen hos personer som arbetar med utveckling, drift och användning av AI.

257

Bilaga 2

Ds 2024:11

(21)För att säkerställa lika villkor och ett effektivt skydd av individers rättigheter och friheter i hela unionen bör de regler som fastställs genom denna förordning tillämpas på leverantörer av AI-system på ett icke-diskriminerande sätt, oavsett om de är etablerade i unionen eller i ett tredjeland, och på spridare av AI-system som är etablerade i unionen.

(22)Mot bakgrund av AI-systemens digitala natur bör vissa AI-system omfattas av denna förordning även om de inte släpps ut på marknaden, tas i bruk eller används i unionen. Detta är exempelvis fallet om en operatör som är etablerad i unionen lägger ut vissa tjänster på entreprenad hos en operatör som är etablerad i ett tredjeland i fråga om en aktivitet som ska utföras av ett AI-system som skulle klassificeras som hög risk ▌ . Under dessa omständigheter kan det AI-system som används i ett tredjeland av operatören behandla data som på lagligt sätt samlats in och överförts från unionen och förse den avtalsslutande operatören i unionen med utdata från detta AI-system som är resultatet av denna behandling, utan att det berörda AI-systemet släppts ut på marknaden, tagits i bruk eller använts i unionen. För att förhindra att denna förordning kringgås och säkerställa ett effektivt skydd av fysiska personer som befinner sig i unionen, bör förordningen också tillämpas på leverantörer och spridare av AI-system som är etablerade i tredjeländer, i den utsträckning som de utdata som produceras av dessa AI-system är avsedda att användas i unionen.

258

Ds 2024:11

Bilaga 2

För att ta hänsyn till befintliga arrangemang och särskilda behov av framtida samarbete med utländska partner med vilka information och bevis utbyts, bör denna förordning dock inte tillämpas på offentliga myndigheter i tredjeländer eller internationella organisationer som agerar inom ramen för samarbete eller internationella avtal som ingåtts på unionsnivå eller nationell nivå och som avser brottsbekämpande och rättsligt samarbete med unionen eller medlemsstaterna, förutsatt att det tredjeland eller de internationella organisationer som berörs erbjuder tillräckliga skyddsåtgärder vad avser skyddet av enskildas grundläggande rättigheter och friheter. I relevanta fall kan detta omfatta verksamhet som bedrivs av enheter som av tredjeländerna fått i uppdrag att utföra särskilda uppgifter till stöd för sådant brottsbekämpande och rättsligt samarbete. Sådana ramar för samarbete eller avtal har fastställts bilateralt mellan medlemsstater och tredjeländer eller mellan Europeiska unionen, Europol och andra unionsbyråer och tredjeländer och

internationella organisationer. De myndigheter som är behöriga att utöva tillsyn över brottsbekämpande och rättsliga myndigheter enligt denna förordning bör bedöma huruvida dessa ramar för samarbete eller internationella avtal innehåller lämpliga skyddsåtgärder med avseende på skyddet av enskildas grundläggande rättigheter och friheter. De av mottagarmyndigheterna i medlemsstaterna och av unionens institutioner, byråer och organ som använder sådana utdata i unionen förblir ansvariga för att säkerställa att användningen av dessa är förenlig med unionsrätten. När dessa internationella avtal ses över eller när nya ingås i framtiden bör de avtalsslutande parterna göra sitt yttersta för att anpassa dessa avtal till kraven i denna förordning.

259

Bilaga 2

Ds 2024:11

(23)Denna förordning bör också tillämpas på unionens institutioner, organ och byråer när de agerar som leverantör eller spridare av ett AI-system. ▌

(24)Om och i den mån AI-system släpps ut på marknaden, tas i bruk eller används med eller utan ändringar av sådana system för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, bör dessa utesluts från denna förordnings tillämpningsområde, oavsett vilken typ av enhet som bedriver denna verksamhet, t.ex. en offentlig eller privat enhet. När det gäller militära ändamål och försvarsändamål motiveras ett sådant uteslutande både av artikel 4.2 i EU-fördraget och av särdragen i medlemsstaternas och unionens gemensamma försvarspolitik som omfattas av kapitel 2 i avdelning V i EU-fördraget och som omfattas av folkrätten, som därför är den lämpligaste rättsliga ramen för reglering av AI-system i samband med användning av dödligt våld och andra AI-system inom ramen för militär verksamhet och försvarsverksamhet. När det gäller ändamål som rör nationell säkerhet motiveras uteslutandet både av att den nationella säkerheten helt och hållet faller under medlemsstaternas ansvarsområde i enlighet med artikel 4.2 i EU-fördraget och av den särskilda karaktär och de operativa behov som verksamheten avseende den nationella säkerheten har samt av de särskilda nationella bestämmelser som är tillämpliga på denna verksamhet. Om ett AI-system som utvecklas, släpps ut på marknaden, tas i bruk eller används för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet tillfälligt eller permanent används för andra ändamål, t.ex. civila eller humanitära ändamål, eller ändamål som rör brottsbekämpning eller allmän säkerhet, ska ett sådant system ändå omfattas av denna förordning.

260

Ds 2024:11

Bilaga 2

I så fall bör den enhet som använder systemet för andra ändamål än militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet säkerställa att systemet överensstämmer med denna förordning, såvida inte systemet redan är förenligt med denna förordning. AI-system som släpps ut på marknaden eller tas i bruk för ett ändamål som är uteslutet, dvs. militärt eller som rör försvar eller nationell säkerhet, och ett eller flera icke-uteslutna ändamål, såsom civila ändamål eller brottsbekämpning, omfattas av denna förordning, och leverantörer av dessa system bör säkerställa efterlevnad av denna förordning. I dessa fall bör det faktum att ett AI-system kan omfattas av denna förordning inte påverka möjligheten för enheter som bedriver verksamhet inom nationell säkerhet, försvarsverksamhet och militär verksamhet, oavsett vilken typ av enhet som bedriver denna verksamhet, att använda AI-system för nationell säkerhet, militära ändamål och försvarsändamål, vars användning är undantagen från denna förordnings tillämpningsområde. Ett AI-system som släpps ut på marknaden för civila ändamål eller brottsbekämpningsändamål och som används med eller utan ändringar för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet bör inte omfattas av denna förordning, oavsett vilken typ av enhet som utför denna verksamhet.

261

Bilaga 2

Ds 2024:11

(25)Denna förordning bör stödja innovation, respektera forskningsfriheten och inte underminera forsknings- och utvecklingsverksamhet. Det är därför nödvändigt att från dess tillämpningsområde undanta AI-system och AI-modeller som särskilt utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling. Det är dessutom nödvändigt att säkerställa att denna förordning inte på annat sätt påverkar vetenskaplig forsknings- och utvecklingsverksamhet avseende AI-system eller AI-modeller innan dessa släpps ut på marknaden eller tas i bruk. Inte heller när det gäller produktorienterad forsknings-, testnings- och utvecklingsverksamhet för AI-system eller AI-modeller bör bestämmelserna i denna förordning tillämpas innan dessa system och modeller tas i bruk eller släpps ut på marknaden. Detta uteslutande påverkar inte skyldigheten att följa denna förordning om ett AI-system som faller inom tillämpningsområdet för denna förordning släpps ut på marknaden eller tas i bruk till följd av sådan forsknings- och utvecklingsverksamhet eller tillämpningen av bestämmelser om regulatoriska sandlådor och testning under verkliga förhållanden. Utan att det påverkar tillämpningen av uteslutandet när det gäller AI-system som särskilt utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling bör alla andra AI-system som kan användas för att genomföra forsknings- och utvecklingsverksamhet även fortsättningsvis omfattas av bestämmelserna i denna förordning. All forsknings- och utvecklingsverksamhet bör i vilket fall genomföras i enlighet med erkända etiska och yrkesmässiga standarder för vetenskaplig forskning och bör bedrivas i enlighet med tillämplig unionslagstiftning.

262

Ds 2024:11

Bilaga 2

(26)För att införa en proportionerlig och effektiv uppsättning bindande regler för AI-system bör en tydligt definierad riskbaserad metod användas. Denna metod bör innebära att dessa reglers art och innehåll anpassas till intensiteten och omfattningen av de risker som AI- systemen kan generera. Det är därför nödvändigt att förbjuda vissa oacceptabla AI- metoder, fastställa vissa krav för AI-system med hög risk och skyldigheter för berörda operatörer samt fastställa transparensskyldigheter för vissa AI-system.

(27)Den riskbaserade metoden utgör grunden för en proportionerlig och effektiv uppsättning bindande regler, men det är viktigt att påminna om de etiska riktlinjer för tillförlitlig AI från 2019 som utarbetats av den oberoende AI-expertgruppen, som utsetts av kommissionen. I dessa riktlinjer utarbetade AI-expertgruppen sju icke-bindande etiska principer för AI som bör bidra till att säkerställa att AI är tillförlitlig och etiskt sund. De sju principerna omfattar mänskligt agentskap och mänsklig tillsyn, teknisk robusthet och säkerhet, integritet och dataförvaltning, transparens, mångfald, icke-diskriminering och rättvisa, samhällets och miljöns välbefinnande samt ansvarsskyldighet. Utan att det påverkar de rättsligt bindande kraven i denna förordning och annan tillämplig unionsrätt bidrar dessa riktlinjer till utformningen av en konsekvent, tillförlitlig och människocentrerad AI, i linje med stadgan och de värden som unionen bygger på. Enligt AI-expertgruppens riktlinjer innebär mänskligt agentskap och mänsklig tillsyn att AI- system utvecklas och används som ett verktyg som tjänar människor, respekterar mänsklig värdighet och personlig självständighet och ska fungera så att de på ett lämpligt sätt kan kontrolleras och övervakas av människor.

263

Bilaga 2

Ds 2024:11

Teknisk robusthet och säkerhet innebär att AI-system ska utvecklas och användas på ett sätt som möjliggör robusthet i händelse av problem och resiliens mot försök att ändra AI-systemets användning eller prestanda för att möjliggöra olaglig användning från tredje parters sida, och minimerar oavsiktlig skada. Integritet och dataförvaltning innebär att AI-system utvecklas och används i enlighet med integritets- och dataskyddsregler, samtidigt som data som uppfyller höga standarder i fråga om kvalitet och integritet behandlas. Transparens innebär att AI-system utvecklas och används på ett sätt som möjliggör lämplig spårbarhet och förklarbarhet, samtidigt som människor informeras om att de kommunicerar eller interagerar med ett AI-system och spridarna vederbörligen informeras om AI-systemets kapacitet och begränsningar och personer som påverkas informeras om sina rättigheter. Mångfald, icke-diskriminering och rättvisa innebär att AI-system utvecklas och används på ett sätt som inkluderar olika aktörer och främjar lika tillgång, jämställdhet och kulturell mångfald, samtidigt som man undviker diskriminerande effekter och oskäliga snedvridningar som är förbjudna enligt unionsrätten eller nationell rätt. Samhällets och miljöns välbefinnande innebär att AI-system utvecklas och används på ett hållbart och miljövänligt sätt samt för att gynna alla människor, samtidigt som man övervakar och bedömer de långsiktiga effekterna för individen, samhället och demokratin. Tillämpningen av dessa principer bör, när så är möjligt, omsättas i utformningen och användningen av AI-modeller. De bör under alla omständigheter ligga till grund för utarbetandet av uppförandekoder inom ramen för denna förordning. Alla berörda parter, inbegripet industrin, den akademiska världen, det civila samhället och standardiseringsorganisationer, uppmanas att på lämpligt sätt beakta de etiska principerna för utveckling av frivillig bästa praxis och standarder.

264

Ds 2024:11

Bilaga 2

(28)Vid sidan av de många nyttiga användningsområdena för AI kan tekniken också användas felaktigt och tillhandahålla nya och kraftfulla verktyg för manipulation, utnyttjande och social kontroll. Sådana metoder är särskilt skadliga och kränkande och bör förbjudas eftersom de strider mot unionens värden och respekten för människans värdighet, frihet, jämlikhet, demokrati och rättsstatsprincipen och grundläggande rättigheter som fastställs i stadgan, inbegripet rätten till icke-diskriminering, dataskydd och personlig integritet samt barnets rättigheter.

(29)AI-baserad manipulativ teknik kan användas för att övertyga personer att ägna sig åt oönskat beteende, eller för att vilseleda dem genom att puffa dem till beslut på ett sätt som undergräver och försämrar deras autonomi, beslutsfattande och fria val.

Utsläppandet på marknaden, ibruktagandet eller användningen av vissa AI-system med målet eller följden att det mänskliga beteendet väsentligt snedvrids och som sannolikt kan medföra betydande skador, i synnerhet med tillräckligt betydande negativa konsekvenser för den fysiska eller psykiska hälsan eller ekonomiska intressen, är särskilt farliga och bör därför förbjudas. Sådana AI-system utnyttjar subliminala komponenter såsom ljud-, bild- och videostimuli som människor inte kan uppfatta eftersom dessa stimuli ligger utanför människans uppfattningsförmåga eller annan manipulativ eller vilseledande teknik som undergräver eller försämrar människors autonomi, beslutsfattande eller fria val på ett sätt som människor inte är medvetna om, eller om de är medvetna om det, fortfarande vilseleds eller inte kan kontrollera eller stå emot. Detta kan underlättas av till exempel maskin–hjärna-gränssnitt eller virtuell verklighet eftersom det möjliggör en högre grad av kontroll av vilka stimuli som personer utsätts för, i den mån som de väsentligt kan snedvrida deras beteende på ett betydande skadligt sätt. Dessutom kan AI- system också på annat sätt utnyttja sårbarheterna hos en person eller en viss grupp av personer på grund av ålder, funktionsnedsättning i den mening som avses i Europaparlamentets och rådets direktiv (EU) 2019/88217 eller en specifik social eller ekonomisk situation som sannolikt kommer att göra dessa personer mer sårbara för utnyttjande, såsom personer som lever i extrem fattigdom, etniska minoriteter eller religiösa minoriteter.

17Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70).

265

Bilaga 2

Ds 2024:11

Sådana AI-system kan släppas ut på marknaden, tas i bruk eller användas med målet eller verkan att väsentligt snedvrida en persons beteende och på ett sätt som orsakar eller rimligt sannolikt kommer att orsaka betydande skada för den personen eller en annan person eller grupper av personer, inbegripet skador som kan ackumuleras över tid, och bör därför förbjudas. Det är kanske inte möjligt att anta att det finns en avsikt att snedvrida beteendet, om snedvridningen ▌ beror på faktorer utanför AI-systemet som ligger utanför leverantörens eller spridarens kontroll, dvs. faktorer som kanske inte är rimligen förutsebara och därför inte kan begränsas av leverantören eller spridaren av AI-systemet. I vilket fall som helst är det inte nödvändigt att leverantören eller spridaren har för avsikt att orsaka den betydande skadan, förutsatt att sådan skada beror på de manipulativa eller utnyttjande AI-baserade metoderna. Förbuden mot sådana AI- metoder kompletterar bestämmelserna i Europaparlamentets och rådets

direktiv 2005/29/EG18, särskilt att otillbörliga affärsmetoder som leder till ekonomisk eller finansiell skada för konsumenterna är förbjudna under alla omständigheter, oavsett om de har införts genom AI-system eller på annat sätt. Förbuden mot manipulativa och utnyttjande metoder i denna förordning bör inte påverka lagliga metoder i samband med medicinsk behandling, såsom psykologisk behandling av en psykisk sjukdom eller fysisk rehabilitering, när dessa metoder utförs i enlighet med tillämplig lag och tillämpliga medicinska normer, till exempel de enskilda personernas eller deras ombuds uttryckliga samtycke. Dessutom bör vanliga och legitima affärsmetoder, till exempel på reklamområdet, som är förenliga med tillämplig lagstiftning inte i sig anses utgöra skadliga manipulativa AI-metoder.

18Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 | (direktiv om otillbörliga affärsmetoder) (EUT L 149, 11.6.2005, s. 22).

266

Ds 2024:11

Bilaga 2

(30)System för biometrisk kategorisering som med utgångspunkt i fysiska personers biometriska uppgifter, såsom en enskild persons ansikte eller fingeravtryck, ska härleda eller dra slutsatser om en persons politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, ras, sexualliv eller sexuella läggning bör förbjudas. Detta förbud omfattar inte laglig märkning, filtrering eller kategorisering av biometriska dataset som förvärvats i enlighet med unionsrätten eller nationell rätt på grundval av biometriska uppgifter, såsom sortering av bilder enligt hår- eller ögonfärg, som till exempel kan användas inom brottsbekämpning.

(31)AI-system som tillhandahåller ▌ offentliga eller privata aktörers sociala poängsättning av fysiska personer kan medföra diskriminering och uteslutning av vissa grupper. De kan strida mot rätten till värdighet och icke-diskriminering och värdena jämlikhet och rättvisa. Sådana AI-system utvärderar eller klassificerar fysiska personer eller grupper av sådana på grundval av flera datapunkter relaterade till deras sociala beteende i olika sammanhang eller kända, uttydda eller förutsedda personliga egenskaper eller personlighetsegenskaper under vissa tidsperioder. Den sociala poängsättning som erhålls från sådana AI-system kan leda till negativ eller ogynnsam behandling av fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar koppling till det sammanhang där berörda data ursprungligen genererades eller samlades in, eller till en negativ behandling som är oproportionerlig eller omotiverad i förhållande till hur allvarligt deras sociala beteende är. AI-system som medför sådana oacceptabla poängsättningsmetoder och som leder till sådana negativa eller ogynnsamma resultat bör därför förbjudas. Detta förbud bör inte påverka lagliga metoder för bedömning av fysiska personer som utförs för ett specifikt ändamål i enlighet med unionsrätten och nationell rätt.

267

Bilaga 2

Ds 2024:11

(32)Användningen av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpningssyften inkräktar särskilt på de berörda personernas rättigheter och friheter, i och med att denna användning kan påverka privatlivet för en stor del av befolkningen, kan skapa en känsla av konstant övervakning och indirekt avskräcka från utövande av mötesfrihet och andra grundläggande rättigheter.

Tekniska brister i AI-system som är avsedda för biometrisk fjärridentifiering av fysiska personer kan leda till snedvridna resultat och medföra diskriminerande effekter. Sådana eventuella snedvridna resultat och diskriminerande effekter är särskilt relevanta när det gäller ålder, etnicitet, ras, kön eller funktionsnedsättning. De omedelbara effekterna och de begränsade möjligheterna till ytterligare kontroll eller korrigering när det gäller användningen av sådana system som fungerar i realtid innebär att de medför ökade risker för rättigheterna och friheterna för de personer som berörs av brottsbekämpningen.

(33)Användningen av sådana system för brottsbekämpning bör därför vara förbjuden, utom i de snävt definierade situationer som anges i den uttömmande förteckningen, i de fall då användningen är strikt nödvändig för att uppnå ett väsentligt allmänintresse, vars betydelse är större än riskerna. Dessa situationer inbegriper sökandet efter vissa brottsoffer, ▌inklusive försvunna personer, vissa hot mot fysiska personers liv eller fysiska säkerhet eller hot om en terroristattack, och lokalisering eller identifiering av gärningsmän till eller misstänkta för brott som förtecknas i bilagan till denna förordning, om dessa brott kan leda till fängelse eller annan frihetsberövande åtgärd för en maxperiod av minst fyra år i den berörda medlemsstaten, i enlighet med den medlemsstatens lagstiftning. En sådan tröskel för påföljden fängelse eller annan frihetsberövande åtgärd i enlighet med nationell rätt bidrar till att säkerställa att brottet är allvarligt nog för att potentiellt motivera användningen av system för biometrisk fjärridentifiering i realtid.

268

Ds 2024:11

Bilaga 2

Vidare grundas dessa brott på de 32 brott som förtecknas i rådets

rambeslut 2002/584/RIF19, med beaktande av att vissa av dessa brott i praktiken sannolikt kommer att vara mer relevanta än andra, i och med att det kommer att variera mycket hur nödvändig och proportionerlig användningen av biometrisk fjärridentifiering i realtid kan förutses vara för det praktiska arbetet med lokalisering eller identifiering av gärningsmän eller misstänkta när det gäller brott som anges i förteckningen, och med beaktande av de sannolika skillnaderna vad gäller allvarlighetsgrad, sannolikhet och omfattning på skadan eller de möjliga negativa konsekvenserna. Ett överhängande hot mot en persons liv eller fysiska säkerhet kan också vara följden av en allvarlig driftsstörning vid kritisk infrastruktur enligt definitionen i artikel 2.4 i Europaparlamentets och rådets direktiv (EU) 2022/255720, om en driftsstörning vid eller förstörelse av sådan kritisk infrastruktur skulle leda till en omedelbar fara för en persons liv eller fysiska säkerhet, inbegripet genom allvarlig skada på tillhandahållandet av basförnödenheter till befolkningen eller på utövandet av statens kärnfunktion. Dessutom bör denna förordning bevara möjligheten för brottsbekämpande myndigheter, gränskontrollmyndigheter, immigrations- eller asylmyndigheter att utföra identitetskontroller i närvaro av den berörda personen i enlighet med villkoren i unionsrätten och nationell rätt för sådana kontroller. I synnerhet bör brottsbekämpande myndigheter, gränskontrollmyndigheter, immigrationsmyndigheter eller asylmyndigheter kunna använda informationssystem, i enlighet med unionsrätten eller nationell rätt, för att identifiera personer som under en identitetskontroll antingen vägrar att identifieras eller inte kan ange eller bevisa sin identitet, utan att det enligt denna förordning krävs förhandstillstånd. Detta kan till exempel röra sig om en person som är inblandad i ett brott, är ovillig eller på grund av en olycka eller ett medicinskt tillstånd är oförmögen att uppge sin identitet för brottsbekämpande myndigheter.

19Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EGT L 190, 18.7.2002, s. 1).

20Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).

269

Bilaga 2

Ds 2024:11

(34)För att säkerställa att dessa system används på ett ansvarsfullt och proportionerligt sätt är det också viktigt att fastställa att hänsyn bör tas till vissa faktorer i var och en av de snävt definierade situationerna i den uttömmande förteckningen, i synnerhet vad gäller arten av situation som ger upphov till begäran och användningens konsekvenser för alla berörda personers rättigheter och friheter samt de skyddsåtgärder och villkor som föreskrivs i samband med användningen. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål bör utnyttjas endast för att bekräfta identiteten av den individ som särskilt avses och bör begränsas till vad som är strikt nödvändigt vad gäller tidsperiod samt geografiskt och personligt tillämpningsområde, med särskild hänsyn till bevis eller indikationer vad gäller hoten, offren eller gärningsmännen. Användningen av systemet för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats bör tillåtas endast om den relevanta brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter och, om inte annat föreskrivs i denna förordning, har registrerat systemet i den databas som föreskrivs i denna förordning. Referensdatabasen över personer bör vara ändamålsenlig för varje användningsfall i var och en av de situationer som anges ovan.

270

Ds 2024:11

Bilaga 2

(35)Varje användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål bör vara föremål för ett uttryckligt och specifikt tillstånd som lämnas av en oberoende administrativ myndighet vars beslut är bindande för en medlemsstat. Dessa tillstånd bör i princip erhållas innan AI-systemet används för att identifiera en eller flera personer. Undantag från denna regel bör tillåtas av hänsyn till vederbörligen motiverade brådskande situationer, främst situationer då behovet av att använda de ifrågavarande systemen är sådant att det i praktiken är objektivt omöjligt att erhålla ett tillstånd innan användningen av AI-systemet inleds. I sådana brådskande situationer bör användningen av AI-systemet begränsas till det absoluta minimum som är nödvändigt och bör omfattas av lämpliga skyddsmekanismer och villkor som fastställs i nationell lagstiftning och som specificeras av den berörda brottsbekämpande myndigheten i samband med varje enskilt fall av brådskande användning. Dessutom bör den brottsbekämpande myndigheten i sådana situationer begära ett sådant tillstånd ▌samtidigt som den anger skälen till att den inte har kunnat begära det tidigare, utan onödigt dröjsmål och senast inom 24 timmar. Om ett sådant tillstånd avslås bör användningen av system för biometrisk identifiering i realtid som är kopplade till det tillståndet stoppas med omedelbar verkan och alla uppgifter som rör sådan användning bör kasseras och raderas. Sådana data omfattar indata som erhållits direkt av ett AI-system i samband med användningen av ett sådant system samt resultat och utdata från den användning som är kopplad till godkännandet. Det bör inte omfatta indata som lagligen förvärvats i enlighet med annan unionslagstiftning eller nationell lagstiftning. Under inga omständigheter bör beslut som har negativa rättsliga följder för en person baseras enbart på grundval av utdata från systemet för biometrisk fjärridentifiering.

271

Bilaga 2

Ds 2024:11

(36)För att kunna utföra sina uppgifter i enlighet med kraven i denna förordning och i nationella regler bör den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten underrättas om varje användning av systemet för biometrisk identifiering i realtid. De nationella marknadskontrollmyndigheterna och de nationella dataskyddsmyndigheter som har underrättats bör lämna in en årlig rapport till kommissionen om användningen av systemet för biometrisk identifiering i realtid.

(37)Det är också lämpligt att, inom den uttömmande ram som fastställs genom denna förordning, föreskriva att en sådan användning på en medlemsstats territorium i enlighet med denna förordning endast bör vara möjlig i de fall och i den utsträckning som den berörda medlemsstaten har beslutat att uttryckligen föreskriva möjligheten att tillåta sådan användning i sina närmare bestämmelser i nationell lagstiftning. Enligt denna förordning behåller alltså medlemsstaterna sin frihet att inte alls föreskriva någon sådan möjlighet eller att endast föreskriva en sådan möjlighet med avseende på några av de syften som kan motivera användning som tillåten enligt denna förordning. Sådana nationella bestämmelser bör anmälas till kommissionen senast 30 dagar efter det att de har antagits.

272

Ds 2024:11

Bilaga 2

(38)Användningen av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpande ändamål involverar med nödvändighet behandling av biometriska uppgifter. Reglerna i denna förordning som med vissa undantag förbjuder sådan användning, och som baseras på artikel 16 i EUF-fördraget, bör tillämpas som lex specialis med avseende på de regler om behandling av biometriska uppgifter som anges i artikel 10 i direktiv (EU) 2016/680, och reglerar därmed sådan användning och behandling av berörda biometriska uppgifter på ett uttömmande sätt. Därför bör sådan användning och behandling vara möjlig endast i den utsträckning som den är förenlig med den ram som fastställs i denna förordning, utan att de behöriga myndigheterna har något utrymme, då de agerar för brottsbekämpningsändamål, att utanför den ramen använda sådana system och behandla sådana data i samband med detta av de skäl som förtecknas i artikel 10 i direktiv (EU) 2016/680. I det sammanhanget är denna förordning inte avsedd att tillhandahålla en rättslig grund för behandling av personuppgifter enligt artikel 8 i direktiv (EU) 2016/680. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för andra ändamål än brottsbekämpning, inbegripet av offentliga myndigheter, bör inte omfattas av den särskilda ram för sådan användning för brottsbekämpningsändamål som fastställs i denna förordning. Sådan användning för andra ändamål än brottsbekämpning bör därför inte omfattas av kravet på tillstånd enligt denna förordning och de tillämpliga närmare bestämmelser i nationell lagstiftning som kan ge verkan åt det tillståndet.

273

Bilaga 2

Ds 2024:11

(39)Användning av biometriska uppgifter och andra personuppgifter i samband med användningen av AI-system för biometrisk identifiering som inte sker i samband med användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats i brottsbekämpningssyfte som regleras av denna förordning bör även fortsättningsvis uppfylla alla krav som följer av artikel 10 i direktiv (EU) 2016/680. För andra ändamål än brottsbekämpning förbjuds enligt ▌artikel 9.1 i förordning (EU) 2016/679 och artikel 10.1 i förordning (EU) 2018/1725 behandling av biometriska uppgifter med förbehåll för begränsade undantag enligt dessa artiklar. Med tillämpning av artikel 9.1 i förordning (EU) 2016/679 har användningen av biometrisk fjärridentifiering för andra ändamål än brottsbekämpning redan förbjudits av nationella dataskyddsmyndigheter.

274

Ds 2024:11

Bilaga 2

(40)I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, är Irland inte bundet av bestämmelserna i artikel 5.1 c i den mån den gäller för system för biometrisk kategorisering inom polissamarbete och straffrättsligt samarbete, artikel 5.1 e och 5.1 f i den mån den gäller för användning av AI-system som omfattas av den bestämmelsen, artikel 5.3-5.8 samt artikel 26.10 i den här förordningen som antagits på grundval av artikel 16 i EUF-fördraget och som avser medlemsstaternas behandling av personuppgifter när de bedriver verksamhet som omfattas av avdelning V kapitel 4 eller 5 ii avdelning V tredje delen av EUF-fördraget i det fall då Irland inte är bundet av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i EUF-fördraget.

(41)I enlighet med artiklarna 2 och 2a i protokoll nr 22 om Danmarks ställning, fogat till EU- fördraget och EUF-fördraget, är Danmark inte bundet av reglerna i artikel 5.1 c i den mån den gäller användning av system för biometrisk kategorisering inom polissamarbete och straffrättsligt samarbete, artikel 5.1 e, 5.1 f i den mån den gäller för användning av AI- system som omfattas av den bestämmelsen, artikel 5.3-5.8 samt artikel 26.10 i den här förordningen som antagits på grundval av artikel 16 i EUF-fördraget, eller tillämpningen av dessa, som avser medlemsstaternas behandling av personuppgifter när dessa utövar verksamhet som omfattas av tillämpningsområdet för kapitel 4 eller 5 i avdelning V i tredje delen av EUF-fördraget.

275

Bilaga 2

Ds 2024:11

(42)I enlighet med oskuldspresumtionen bör fysiska personer i unionen alltid bedömas utifrån sitt faktiska beteende. Fysiska personer bör aldrig bedömas på grundval av genom AI förutsett beteende enbart grundat på deras profilering, personlighetsdrag eller egenskaper, såsom nationalitet, födelseort, bostadsort, antal barn, skuldnivå eller typ av bil, utan rimlig misstanke om att personen är inblandad i en brottslig verksamhet på grundval av objektiva, kontrollerbara fakta och utan mänsklig bedömning av detta. Därför bör riskbedömningar som genomförs med avseende på fysiska personer för att bedöma risken för att de begår brott eller för att förutsäga förekomsten av ett faktiskt eller potentiellt brott enbart på grundval av deras profilering eller en bedömning av deras personlighetsdrag och egenskaper förbjudas. I vilket fall som helst avser eller berör förbudet inte riskanalyser som inte baseras på profilering av enskilda personer eller på enskilda personers personlighetsdrag och egenskaper, såsom AI-system som använder riskanalyser för att bedöma risken för ekonomiska bedrägerier från företags sida på grundval av misstänkta transaktioner eller riskanalysverktyg för förutsägelser om sannolikheten för narkotikas eller olagliga varors läge från tullmyndigheternas sida, till exempel på grundval av kända smugglingsvägar.

(43)Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI-system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror bör förbjudas, eftersom metoden ökar känslan av att det förekommer massövervakning och kan leda till grova kränkningar av grundläggande rättigheter, inbegripet rätten till integritet.

276

Ds 2024:11

Bilaga 2

(44)Det råder allvarlig oro över den vetenskapliga grunden för AI-system som syftar till att identifiera eller uttyda känslor, särskilt som uttryck för känslor varierar avsevärt mellan olika kulturer och situationer och till och med hos en och samma individ. Några av de största bristerna i sådana system är begränsad tillförlitlighet, brist på specificitet och begränsad generaliserbarhet. AI-system som identifierar eller uttyder fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter kan därför leda till diskriminerande resultat och kan inkräkta på de berörda personernas rättigheter och friheter. Med tanke på maktobalansen i fråga om arbete eller utbildning, i kombination med dessa systems inkräktande karaktär, kan sådana system leda till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer. Därför bör utsläppande på marknaden, ibruktagande eller användning av AI-system som är avsedda att användas för att upptäcka känslomässiga förhållanden hos enskilda personer i situationer som rör arbetsplats och utbildning förbjudas. Förbudet bör inte omfatta AI-system som släpps ut på marknaden uteslutande av medicinska skäl eller säkerhetsskäl, såsom system som är avsedda för terapeutisk användning.

(45)Metoder som är förbjudna enligt unionsrätten, inbegripet dataskyddslagstiftning, lagstiftning om icke-diskriminering, konsumentskyddslagstiftning och konkurrensrätt, bör inte påverkas av denna förordning.

277

Bilaga 2

Ds 2024:11

(46)AI-system med hög risk bör endast släppas ut på unionsmarknaden eller tas i bruk om de uppfyller vissa obligatoriska krav. Dessa krav bör säkerställa att AI-system med hög risk vilka finns tillgängliga i unionen eller vars utdata på annat sätt används i unionen inte utgör någon oacceptabel risk för viktiga allmänna intressen för unionen som erkänns och skyddas av unionsrätten. Baserat på den nya lagstiftningsramen, som klargörs i kommissionens meddelande 2022 års blåbok om genomförandet av EU:s produktbestämmelser21, är den allmänna regeln att sådan unionsharmoniseringslagstiftning som Europaparlamentets och rådets förordningar (EU) 2017/74522 och (EU) 2017/74623 samt Europaparlamentets och rådets

direktiv 2006/42/EG24 kan äga tillämpning med avseende på en produkt, eftersom tillhandahållandet eller ibruktagandet endast kan ske när produkten överensstämmer med all tillämplig unionsharmoniseringslagstiftning. För att säkerställa konsekvens och undvika en onödig administrativ börda eller onödiga kostnader bör leverantörer av en produkt som innehåller ett eller flera AI-system med hög risk som omfattas av kraven i denna förordning eller i unionens harmoniseringslagstiftning i förteckningen i en bilaga till denna förordning vara flexibla när det gäller operativa beslut om hur man på bästa sätt ska säkerställa att en produkt som innehåller ett eller flera AI-system uppfyller alla tillämpliga krav i unionens harmoniseringslagstiftning på ett optimalt sätt. AI- system som identifieras som hög risk bör begränsas till sådana som har en betydande skadlig inverkan på hälsa, säkerhet och grundläggande rättigheter för personer i unionen och denna avgränsning minimerar de potentiella begränsningarna av den internationella handeln.

21EUT C 247, 29.6.2022, s. 1.

22Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1).

23Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176).

24Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG (EUT L 157, 9.6.2006, s. 24).

278

Ds 2024:11

Bilaga 2

(47)AI-system kan producera negativa effekter för personers hälsa och säkerhet, i synnerhet när sådana system fungerar som säkerhetskomponenter. I enlighet med syftena för unionens harmoniseringslagstiftning, som är att främja den fria rörligheten för produkter på den inre marknaden och säkerställa att endast säkra produkter som uppfyller kraven släpps ut på marknaden, är det viktigt att de säkerhetsrisker som kan genereras av produkten som helhet på grund av dess digitala komponenter, inklusive AI-system, förhindras och begränsas. Robotar som blir allt mer autonoma, oavsett om det är i samband med tillverkning eller personlig assistans och vård, bör också kunna arbeta säkert och utföra sina funktioner i komplexa miljöer. Inom vårdsektorn, där liv och hälsa i särskilt hög grad kan påverkas, bör de allt mer sofistikerade diagnossystemen och systemen som stöder mänskliga beslut vara tillförlitliga och noggranna. ▌

279

Bilaga 2

Ds 2024:11

(48)Omfattningen av de negativa effekter som AI-systemet har på de grundläggande rättigheter som skyddas av stadgan har särskilt stor betydelse när ett AI-system klassificeras som hög risk Dessa rättigheter innefattar rätten till människans värdighet, respekt för privatlivet och familjelivet, skydd av personuppgifter, yttrandefrihet och informationsfrihet, mötesfrihet och organisationsfrihet samt icke-diskriminering, rätten till utbildning, konsumentskydd, arbetstagares rättigheter, rättigheter för personer med funktionsnedsättning, jämställdhet, immateriella rättigheter, rätten till ett effektivt rättsmedel och till en opartisk domstol, rätten till försvar och oskuldspresumtion samt rätten till god förvaltning. Vid sidan av dessa rättigheter är det viktigt att lyfta fram den omständigheten att barn har särskilda rättigheter i enlighet med artikel 24 i stadgan och Förenta nationernas konvention om barnets rättigheter (som vidareutvecklas i konventionens allmänna kommentar nr 25 vad gäller den digitala miljön), som båda kräver att barns utsatthet beaktas och att de ges ett sådant skydd och sådan omsorg som krävs för deras välbefinnande. Även den grundläggande rättigheten till en hög nivå av miljöskydd, som också ingår i stadgan och genomförs i unionspolitik, bör beaktas vid bedömningen av allvarlighetsgraden i den skada som ett AI-system kan orsaka, inbegripet vad gäller människors hälsa och säkerhet.

280

Ds 2024:11

Bilaga 2

(49)När det gäller AI-system med hög risk som är säkerhetskomponenter i produkter eller system, eller som i sig själva utgör produkter eller system som omfattas av Europaparlamentets och rådets förordning (EG) nr 300/200825, Europaparlamentets och rådets förordning (EU) nr 167/201326, Europaparlamentets och rådets förordning (EU) nr 168/201327, Europaparlamentets och rådets direktiv 2014/90/EU28, Europaparlamentets och rådets direktiv (EU) 2016/79729, Europaparlamentets och rådets förordning

(EU) 2018/85830,

25Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002 (EUT L 97, 9.4.2008, s. 72).

26Europaparlamentets och rådets förordning (EU) nr 167/2013 av den 5 februari 2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon (EUT L 60, 2.3.2013,

s.1).

27Europaparlamentets och rådets förordning (EU) nr 168/2013 av den 15 januari 2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar (EUT L 60, 2.3.2013, s. 52).

28Europaparlamentets och rådets direktiv 2014/90/EU av den 23 juli 2014 om marin utrustning och om upphävande av rådets direktiv 96/98/EG (EUT L 257, 28.8.2014, s. 146).

29Europaparlamentets och rådets direktiv (EU) 2016/797 av den 11 maj 2016 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen (EUT L 138, 26.5.2016,

s.44).

30Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1).

281

Bilaga 2

Ds 2024:11

Europaparlamentets och rådets förordning (EU) 2018/113931 och Europaparlamentets och rådets förordning (EU) 2019/214432, är det lämpligt att ändra dessa akter för att säkerställa att kommissionen, på grundval av de tekniska och regleringsmässiga särdragen för varje sektor och utan att inkräkta på befintliga mekanismer för styrelseformer, för kontroll av överensstämmelse och för kontroll av efterlevnad och myndigheter som inrättats inom ramen för dessa, beaktar de obligatoriska krav för AI-system med hög risk som fastställs i denna förordning när de antar relevanta delegerade akter eller genomförandeakter på grundval av dessa akter.

31Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91, (EUT L 212, 22.8.2018, s. 1).

32Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG)

nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012,

(EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166 (EUT L 325, 16.12.2019, s. 1).

282

Ds 2024:11

Bilaga 2

(50)När det gäller AI-system som är säkerhetskomponenter i produkter, eller som i sig själva utgör produkter, vilka omfattas av viss unionslagstiftning om harmonisering, är det lämpligt att klassificera dessa som hög risk inom ramen för denna förordning om den berörda produkten genomgår förfarandet för bedömning av överensstämmelse hos ett tredjepartsorgan för bedömning av överensstämmelse i enlighet med den relevanta unionslagstiftningen om harmonisering. Det handlar närmare bestämt om sådana produkter som maskiner, leksaker, hissar, utrustning och skyddssystem avsedda för användning i potentiellt explosionsfarliga omgivningar, radioutrustning, tryckutrustning, utrustning för fritidsfartyg, linbaneanläggningar, anordningar för förbränning av gasformiga bränslen, medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik.

(51)En klassificering av ett AI-system som hög risk i enlighet med denna förordning bör inte nödvändigtvis innebära att den produkt vars säkerhetskomponent utgörs av AI-systemet, eller AI-systemet i sig självt som produkt, anses utgöra ett system med hög risk enligt de kriterier som fastställs i den relevanta unionslagstiftning om harmonisering som är tillämplig på produkten. Detta gäller i synnerhet för förordning (EU) 2017/745 och

(EU) 2017/746, i vilka tredjepartsbedömning av överensstämmelse föreskrivs för produkter med medelhög risk och hög risk.

283

Bilaga 2

Ds 2024:11

(52)När det gäller fristående AI-system, det vill säga andra AI-system med hög risk än sådana som utgör säkerhetskomponenter, eller AI-system med hög risk som i sig själva utgör produkter, är det lämpligt att klassificera dem som hög risk om de i ljuset av sitt avsedda ändamål utgör en hög risk för skada på personers hälsa och säkerhet eller grundläggande rättigheter, med beaktande både den möjliga skadans allvarlighetsgrad och sannolikheten för att den ska uppstå, och de används på ett antal specifikt fördefinierade områden som anges i denna förordning. Identifieringen av sådana system baseras på samma metoder och kriterier som även är avsedda att användas för framtida ändringar av förteckningen över AI-system med hög risk som kommissionen bör ges befogenhet att anta, genom delegerade akter, för att ta hänsyn till den snabba tekniska utvecklingen samt potentiella förändringar i användningen av AI-system.

284

Ds 2024:11

Bilaga 2

(53)Det är också viktigt att klargöra att det kan finnas särskilda fall där AI-system som avser fördefinierade områden som specificeras i denna förordning inte leder till en betydande risk för skada för de rättsliga intressen som skyddas inom dessa områden, eftersom de inte väsentligt påverkar beslutsfattandet eller inte skadar dessa intressen väsentligt. Vid tillämpningen av denna förordning bör ett AI-system som inte väsentligt påverkar resultatet av beslutsfattandet förstås som ett AI-system som inte påverkar innehållet, och därmed resultatet, av beslutsfattandet, oavsett om det är mänskligt eller automatiserat. Ett AI-system som inte väsentligt påverkar resultatet av beslutsfattandet kan omfatta situationer där ett eller flera av nedanstående villkor är uppfyllda. Det första sådana villkoret bör vara att AI-systemet är avsett att utföra en snäv processuell uppgift, såsom ett AI-system som omvandlar ostrukturerade data till strukturerade data, ett AI-system som klassificerar inkommande handlingar i kategorier eller ett AI-system som används för att upptäcka dubbletter bland ett stort antal applikationer. Dessa uppgifter är av så snäv och begränsad art att de endast medför begränsade risker som inte ökar genom användning i ett sammanhang som förtecknas som hög risk i en bilaga till denna förordning. Det andra villkoret bör vara att den uppgift som utförs av AI-systemet är avsedd att förbättra resultatet av tidigare fullbordad mänsklig verksamhet som kan vara relevant för den förteckningen. Med tanke på dessa egenskaper tillhandahåller AI- systemet endast ett extra skikt till mänsklig verksamhet och innebär följaktligen lägre risk. Detta villkor skulle till exempel tillämpas på AI-system som är avsedda att förbättra det språk som används i tidigare utarbetade dokument, till exempel när det gäller yrkesmässig ton eller akademisk språkstil eller genom att anpassa texten till ett visst varumärkesbudskap.

285

Bilaga 2

Ds 2024:11

Det tredje villkoret bör vara att AI-systemet är avsett att upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster. Risken skulle minska eftersom användningen av AI-systemet följer en tidigare slutförd mänsklig bedömning som den inte avser ersätta eller påverka utan ordentlig mänsklig granskning. Sådana AI-system omfattar till exempel system som, med tanke på en viss lärares betygsättningsmönster, kan användas för att i efterhand kontrollera om läraren har avvikit från betygsättningsmönstret för att på så sätt uppmärksamma potentiella inkonsekvenser eller avvikelser. Det fjärde villkoret bör vara att AI-systemet är avsett att utföra en uppgift som endast är förberedande för en bedömning som är relevant för de AI-system som förtecknas i en bilaga till denna förordning, så att den möjliga effekten av systemets utdata blir mycket låg när det gäller att utgöra en risk för den bedömning som ska följa. Detta villkor omfattar bland annat smarta lösningar för ärendehandläggning som omfattar olika funktioner såsom indexering, sökning, text- och talbehandling eller länkning av data till andra datakällor, eller AI-system som används för översättning av ursprungliga dokument. Under alla omständigheter bör dessa AI-system med hög risk anses utgöra en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter om AI-systemet innebär profilering i den mening som avses i artikel 4.4 i förordning (EU) 2016/679 eller artikel 3.4 i direktiv (EU) 2016/680 eller artikel 3.5 i förordning (EU) 2018/1725. För att säkerställa spårbarhet och transparens bör en leverantör som anser att ett AI-system inte är förenat med hög risk på grundval av dessa villkor upprätta dokumentation om bedömningen innan systemet släpps ut på marknaden eller tas i bruk och bör på begäran tillhandahålla denna dokumentation till de nationella behöriga myndigheterna. En sådan leverantör bör vara skyldig att registrera systemet i den EU-databas som inrättas enligt denna förordning. I syfte att ge ytterligare vägledning för det praktiska genomförandet av de villkor enligt vilka AI- system med hög risk som förtecknas i bilagan undantagsvis inte är förenade med hög risk bör kommissionen, efter samråd med nämnden, ge riktlinjer som specificerar detta praktiska genomförande, kompletterat med en omfattande förteckning över praktiska exempel på användning av AI-system med och utan hög risk.

286

Ds 2024:11

Bilaga 2

▌

(54)Eftersom biometriska uppgifter utgör en särskild kategori av känsliga personuppgifter är det lämpligt att klassificera flera kritiska användningsfall av biometriska system som hög risk, i den mån användningen av dem är tillåten enligt relevant unionsrätt och nationell rätt. Tekniska brister i AI-system som är avsedda för biometrisk fjärridentifiering av fysiska personer kan leda till snedvridna resultat och medföra diskriminerande effekter. Risken för sådana snedvridna resultat och diskriminerande effekter är särskilt relevant när det gäller ålder, etnicitet, ras, kön eller funktionsnedsättning. System för biometrisk fjärridentifiering bör därför klassificeras som system med hög risk med tanke på de risker de medför. En sådan klassificering utesluter AI-system som är avsedda att användas för biometrisk verifiering, inbegripet autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den som vederbörande utger sig för att vara och för att bekräfta identiteten för en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Dessutom bör AI-system som är avsedda att användas för biometrisk kategorisering enligt känsliga attribut eller egenskaper som skyddas enligt artikel 9.1 i förordning (EU) 2016/679 på grundval av biometriska uppgifter, i den mån dessa inte är förbjudna enligt denna förordning, och system för känsloigenkänning som inte är förbjudna enligt denna förordning, klassificeras som hög risk. Biometriska system som är avsedda att användas enbart för att möjliggöra cybersäkerhet och åtgärder för skydd av personuppgifter bör inte betraktas som system med hög risk.

287

Bilaga 2

Ds 2024:11

(55)När det gäller förvaltning och drift av kritisk infrastruktur är det lämpligt att som hög risk klassificera AI-system avsedda att användas som säkerhetskomponenter i förvaltningen och driften av kritisk digital infrastruktur enligt förteckningen i bilaga I punkt 8 till direktiv (EU) 2022/2557, vägtrafik och tillhandahållandet av vatten, gas, uppvärmning och el, eftersom funktionsavbrott eller funktionsstörning i sådana system kan medföra risk för personers liv och hälsa i stor skala och leda till märkbara störningar av det normala bedrivandet av social och ekonomisk verksamhet. Säkerhetskomponenter i kritisk infrastruktur, inbegripet kritisk digital infrastruktur, är system som används för att direkt skydda kritisk infrastrukturs fysiska integritet eller människors hälsa och säkerhet och egendom, men som inte är nödvändiga för att systemet ska fungera. Funktionsavbrott eller funktionsstörning i sådana komponenter kan direkt leda till risker för den kritiska infrastrukturens fysiska integritet och därmed till risker för människors hälsa och säkerhet och egendom. Komponenter som är avsedda att användas enbart för cybersäkerhetsändamål bör inte betraktas som säkerhetskomponenter. Exempel på säkerhetskomponenter i sådan kritisk infrastruktur kan omfatta system för övervakning av vattentryck eller styrsystem för brandlarm vid centrum för molntjänster.

288

Ds 2024:11

Bilaga 2

(56)Införandet av AI-system inom utbildningen är viktigt för att främja digital utbildning av hög kvalitet och göra det möjligt för alla studerande och lärare att förvärva och dela de digitala färdigheter och kompetenser som krävs, inbegripet mediekunnighet, och kritiskt tänkande, för att aktivt delta i ekonomin, samhället och i demokratiska processer. AI- system som används för yrkesutbildning eller annan utbildning, i synnerhet när det gäller fastställandet av personers tillgång till eller antagning till institutioner för yrkesutbildning eller annan utbildning eller program på alla nivåer, eller för utvärdering av personers läranderesultat, för bedömning av en persons lämpliga utbildningsnivå och för väsentlig påverkan av den utbildningsnivå som personer kommer att få eller kommer kunna få tillgång till, eller för övervakning och upptäckt av förbjudet beteende bland studerande under provtillfällen, bör klassificeras som AI-system med hög risk eftersom de kan avgöra en persons utbildningsväg och yrkeskarriär och därmed påverka en persons försörjningsmöjligheter. När sådana system utformas och används på otillbörligt sätt kan de vara särskilt inkräktande och kan innebära en kränkning av rätten till yrkesutbildning och annan utbildning liksom rätten att inte utsättas för diskriminering eller för en fortsättning på historiska diskrimineringsmönster mot till exempel kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller personer av vissa etniska ursprung eller av viss sexuell läggning.

289

Bilaga 2

Ds 2024:11

(57)AI-system som används i utbildning, arbetsledning och tillgång till egenföretagande, i synnerhet när det gäller rekrytering eller urval av personer, för beslutsfattande som påverkar villkoren för arbetsrelaterad befordran eller uppsägning av arbetsrelaterade avtalsförhållanden för fördelning av uppgifter på grundval av individuellt beteende eller personlighetsdrag och egenskaper och för övervakning eller utvärdering av personer i arbetsrelaterade avtalsförhållanden, bör också klassificeras som hög risk, eftersom dessa system märkbart kan påverka framtida karriärutsikter och försörjning för dessa personer samt arbetstagarnas rättigheter. Relevanta arbetsrelaterade avtalsförhållanden bör på ett meningsfullt sätt innefatta arbetstagare och personer som tillhandahåller tjänster via plattformar enligt kommissionens arbetsprogram för 2021. ▌Under hela rekryteringsförfarandet och vid utvärdering, befordran eller bibehållande av personer i arbetsrelaterade avtalsförhållanden, kan sådana system reproducera historiska mönster av diskriminering, exempelvis mot kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller mot personer på grund av ras, etniskt ursprung eller sexuell läggning. AI-system som används för att övervaka sådana personers prestation och beteende kan också undergräva deras grundläggande rätt till dataskydd och personlig integritet.

290

Ds 2024:11

Bilaga 2

(58)Ett annat område där användningen av AI-system förtjänar särskild vaksamhet är när det gäller tillgång till och åtnjutande av vissa väsentliga privata och offentliga tjänster och förmåner som är nödvändiga för att människor fullt ut ska kunna delta i samhället eller förbättra sin levnadsstandard. I synnerhet ▌är fysiska personer som ansöker om eller får viktiga offentliga bidragsförmåner och tjänster från offentliga myndigheter, nämligen hälso- och sjukvårdstjänster, sociala trygghetsförmåner, sociala tjänster som tillhandahåller skydd i fall som moderskap, sjukdom, arbetsolyckor, vårdbehov eller ålderdom och arbetslöshet samt socialbidrag och bostadsbidrag, vanligtvis beroende av dessa förmåner och tjänster och befinner sig i en utsatt situation i förhållande till de ansvariga myndigheterna. Om AI-system används för att avgöra om sådana förmåner och tjänster ska beviljas, vägras, minskas, upphävas eller återkallas av myndigheterna, inbegripet huruvida mottagarna är legitimt berättigade till sådana förmåner eller tjänster, kan dessa system ha en betydande inverkan på personers försörjning och kan inkräkta på deras grundläggande rättigheter, såsom rätten till socialt skydd, icke- diskriminering, mänsklig värdighet eller effektivt rättsmedel och bör där klassificeras som hög risk. Denna förordning bör dock inte hämma utvecklingen och användningen av innovativa metoder inom offentlig förvaltning, som kan gagnas av en bredare användning av säkra AI-system som uppfyller kraven, förutsatt att dessa system inte medför hög risk för juridiska och fysiska personer.

291

Bilaga 2

Ds 2024:11

Dessutom bör AI-system som används för att utvärdera fysiska personers kreditomdöme eller kreditvärdighet klassificeras som AI-system med hög risk, eftersom de avgör de berörda personernas tillgång till ekonomiska resurser eller väsentliga tjänster som bostad, el och telekommunikationstjänster. AI-system som används för dessa ändamål kan medföra diskriminering av personer eller grupper och kan reproducera sådana historiska diskrimineringsmönster som det som baseras på rasmässigt eller etniskt ursprung, kön, funktionsnedsättning, ålder eller sexuell läggning, eller skapa nya former av diskrimineringseffekter. AI-system som föreskrivs i unionsrätten i syfte att upptäcka bedrägerier i samband med tillhandahållande av finansiella tjänster och för tillsynsändamål för att beräkna kreditinstituts och försäkringsföretags kapitalkrav bör dock inte betraktas som högrisksystem enligt denna förordning. Vidare kan AI-system som är avsedda att användas för riskbedömning och prissättning när det gäller fysiska personer av sjuk- och livförsäkring också ha en betydande inverkan på människors försörjningsmöjligheter och kan, om de inte utformas, utvecklas och används på rätt sätt, inkräkta på deras grundläggande rättigheter och leda till allvarliga konsekvenser för människors liv och hälsa, inbegripet ekonomisk utestängning och diskriminering. Slutligen bör även AI-system som används för att utvärdera och klassificera nödsamtal

från fysiska personer eller för att sända ut eller fastställa prioriteringsordning för

utsändning av larmtjänster, inbegripet av polis, brandkår och sjukvård, samt av patientsorteringssystem för akutsjukvård klassificeras som hög risk, eftersom dessa

system fattar beslut i situationer som är mycket kritiska för personers liv, hälsa och egendom.

292

Ds 2024:11

Bilaga 2

(59)Med tanke på de brottsbekämpande myndigheternas roll och ansvar kännetecknas deras åtgärder, när de omfattar vissa typer av användning av AI-system, av en betydande grad av maktobalans och kan leda till övervakning, gripande eller frihetsberövande av en fysisk person, liksom annan negativ inverkan på grundläggande rättigheter som garanteras i stadgan. De kan – i synnerhet om AI-systemen inte tränats med data av hög kvalitet, inte uppfyller lämpliga krav i fråga om prestanda, noggrannhet eller robusthet, eller inte utformats och testats tillräckligt innan de släpps ut på marknaden eller på annat sätt tas i bruk – peka ut människor på ett diskriminerande eller på ett annat oriktigt eller orättvist sätt. Dessutom kan utövandet av viktiga förfarandemässiga grundläggande rättigheter, såsom rätten till effektivt rättsmedel och till en opartisk domstol samt rätten till försvar och presumtion för oskuld, hämmas, i synnerhet i de fall då AI-systemen inte är tillräckligt transparenta, förklarade och dokumenterade. Det är därför lämpligt att, i den mån deras användning är tillåten enligt relevant unionsrätt och nationell rätt, som hög risk klassificera ett antal AI-system som är avsedda att användas i brottsbekämpningssammanhang där det är särskilt viktigt med noggrannhet, tillförlitlighet och transparens för att undvika negativa effekter, upprätthålla allmänhetens förtroende och säkerställa ansvarsskyldighet och effektiv rättslig prövning.

293

Bilaga 2

Ds 2024:11

Mot bakgrund av åtgärdernas art och relaterade risker bör dessa AI-system med hög risk i synnerhet inbegripa AI-system avsedda att användas av eller på uppdrag av brottsbekämpande myndigheter eller av unionens organ, kontor eller byråer till stöd för brottsbekämpande myndigheter vid bedömning av risken för att en fysisk person ska falla offer för brott, som lögndetektorer och liknande verktyg, för utvärdering av bevisens tillförlitlighet i samband med utredning eller lagföring av brott, och, i den mån det inte är förbjudet enligt denna förordning, för bedömning av risken för att en fysisk person begår brott eller återfaller i brott inte enbart på grundval av profilering av fysiska personer eller en bedömning av personlighetsdrag och egenskaper eller tidigare brottsligt beteende hos fysiska personer eller grupper, för profilering i samband med upptäckt, utredning eller lagföring av brott ▌. AI-system som är specifikt avsedda att användas av skattemyndigheter och tullmyndigheter för administrativa förfaranden samt av

finansunderrättelseenheter som utför administrativa uppgifter för analys av information enligt unionsrätt på området penningtvätt bör inte klassificeras som AI-system med hög

risk som används av brottsbekämpande myndigheter i syfte att förebygga, förhindra,

avslöja, utreda eller lagföra brott ▌. Användningen av AI-verktyg inom brottsbekämpning och av myndigheter bör inte bli en faktor som bidrar till ojämlikhet, sociala klyftor eller utestängning. Den inverkan som användningen av AI-verktyg har på misstänktas rätt till försvar bör inte ignoreras, särskilt svårigheten att få meningsfull information om hur dessa system fungerar och den därav följande svårigheten att överklaga resultaten i domstol, särskilt för fysiska personer som är under utredning.

294

Ds 2024:11

Bilaga 2

(60)AI-system som används i samband med migration, asyl och gränskontrollförvaltning påverkar människor som ofta är i en särskilt utsatt situation och som är beroende av resultatet av de behöriga offentliga myndigheternas åtgärder. Det är därmed särskilt viktigt att de AI-system som används i dessa sammanhang är tillförlitliga, icke-diskriminerande och transparenta, för att garantera iakttagandet av de påverkade personernas grundläggande rättigheter, särskilt deras rätt till fri rörlighet, icke-diskriminering, skydd av privatliv och personuppgifter, internationellt skydd och god förvaltning. I den mån deras användning är tillåten enligt relevant unionsrätt och nationell rätt är det därför lämpligt att som AI- system med hög risk klassificera AI-system som är avsedda att användas av eller på uppdrag av de behöriga offentliga myndigheter eller av unionens institutioner, organ, kontor eller byråer, som anförtrotts uppgifter på områdena migration, asyl och gränskontrollförvaltning, såsom lögndetektorer och liknande verktyg, för bedömning av vissa risker som utgörs av fysiska personer som reser in till en medlemsstats territorium eller som ansöker om visering eller asyl, för att bistå behöriga offentliga myndigheter i granskningen, inbegripet den relaterade bedömningen av bevisens tillförlitlighet, av ansökningar om asyl, visering och uppehållstillstånd och därmed förbundna klagomål med avseende på syftet att fastställa om den ansökande fysiska personen uppfyller kraven för denna status, i syfte att upptäcka, känna igen eller identifiera fysiska personer i samband med migration, asyl och gränskontrollförvaltning, med undantag för kontroll av resehandlingar.

295

Bilaga 2

Ds 2024:11

AI-system på området migration, asyl och gränskontrollförvaltning vilka omfattas av denna förordning bör uppfylla de relevanta förfarandemässiga krav som fastställs i Europaparlamentets och rådets förordning (EG) 810/200933, Europaparlamentets och rådets direktiv 2013/32/EU34 och annan relevant unionsrätt. AI-system som används i samband med migration, asyl och gränskontrollförvaltning bör under inga omständigheter användas av medlemsstater eller unionens institutioner, organ, kontor eller byråer som ett medel för att kringgå sina internationella skyldigheter enligt FN- konventionen om flyktingars rättsliga ställning, som undertecknades i Genève

den 28 juli 1951 i dess ändrade lydelse genom protokollet av den 31 januari 1967. De bör inte heller användas för att på något sätt bryta mot principen om non-refoulement eller neka säkra och effektiva lagliga vägar in på unionens territorium, inbegripet rätten till internationellt skydd.

33▌Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) (EUT L 243, 15.9.2009, s. 1).

34▌Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (EUT L 180, 29.6.2013, s. 60).