sou 2025 49

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 11 maj 2023 att tillkalla en särskild utredare med uppdrag att göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet (dir. 2023:64). Till särskild utredare utsågs lagmannen Mikael Forsgren. Genom tilläggsdirektiv som beslutades den 24 oktober 2024 förlängdes utredningstiden (dir. 2024:99).

Som experter i utredningen förordnades den 29 maj 2023 seniora verksjuristen Charlotte Persson (Säkerhetspolisen), avdelnings- chefen Daniel Karlsson (Säkerhetspolisen) och enhetschefen Gunilla Berglund (Säkerhets- och integritetsskyddsnämnden). Som sakkunnig förordnades samtidigt kanslirådet Jonatan Lundqvist. Den 30 november 2023 förordnades före detta ordföranden i För- svarsunderrättelsedomstolen Lars Lundgren som expert i utredningen. Gunilla Berglund entledigades genom beslut den 11 december 2023. Den 4 april 2024 förordnades i hennes ställe enhetschefen Ia Hamlin (Säkerhets- och integritetsskyddsnämnden). Samma datum utsågs även juristen Lisa Zettervall (Integritetskyddsmyndigheten) till expert i utredningen. Daniel Karlsson entledigades den 2 september 2024 och i stället förordnades kommissarien Rami Hamdeh (Säker- hetspolisen) som expert i utredningen.

Som sekreterare anställdes den 15 maj 2023 hovrättsassessorn, numera utnämnda rådmannen, Jon Karlsson.

Utredningen har antagit namnet Utredningen om Säkerhets- polisens informationshantering.

Utredningen överlämnar nu betänkandet Säkerhetspolisens behand- ling av personuppgifter (SOU 2025:49). Experterna och den sak- kunnige ställer sig i allt väsentligt bakom de bedömningar och för- slag som redovisas i betänkandet, även om olika uppfattningar kan

Innehåll

SOU 2025:49

	3.6.2	Försvarsmakten och Försvarets radioanstalt	....... 187
4	Internationella förhållanden ......................................		209
4.1	Inledning ...............................................................................		209
4.2	Danmark................................................................................		209
	4.2.1	Uppdrag och verksamhet......................................	210
	4.2.2	Personuppgiftsbehandling ....................................	210
	4.2.3	Behandling av stora datamängder.........................	212
	4.2.4	Tillsyn ....................................................................	213
4.3	Finland	..................................................................................	213
	4.3.1	Uppdrag och verksamhet......................................	214
	4.3.2	Personuppgiftsbehandling ....................................	214
	4.3.3	Behandling av stora datamängder.........................	218
	4.3.4	Tillsyn ....................................................................	221
4.4	Norge ....................................................................................		217
	4.4.1	Uppdrag och verksamhet......................................	217
	4.4.2	Personuppgiftsbehandling ....................................	217
	4.4.3	Behandling av stora datamängder.........................	218
	4.4.4	Tillsyn ....................................................................	221
4.5	Förenade kungariket.............................................................		222
	4.5.1	Uppdrag och verksamhet......................................	222
	4.5.2	Personuppgiftsbehandling ....................................	222
	4.5.3	Behandling av stora datamängder.........................	224
	4.5.4	Tillsyn ....................................................................	226
4.6	Nederländerna ......................................................................		226
	4.6.1	Uppdrag och verksamhet......................................	226
	4.6.2	Personuppgiftsbehandling ....................................	227
	4.6.3	Behandling av stora datamängder.........................	228
4.7	Europarådets dataskyddskonvention ..................................		231
	4.7.1	Konventionens ställning och syfte.......................	231
	4.7.2	Grundläggande principer ......................................	232
	4.7.3	Moderniserad konvention (108+) .......................	233

Sammanfattning

Uppdraget

Utredningens uppdrag har varit att genomföra en översyn av bestäm- melserna om Säkerhetspolisens personuppgiftsbehandling inom området nationell säkerhet. Sådana regler finns i den så kallade säpo- datalagen. Målet har varit att utforma ett modernare och mer ända- målsenligt regelverk anpassat till dagens förhållanden. I uppdraget har ingått att:

•Kartlägga Säkerhetspolisens rättsliga möjligheter att behandla personuppgifter.

•Identifiera hur nuvarande regelverk försvårar effektiv informa- tionshantering.

•Utarbeta förslag för effektivare informationshantering med bibehållet skydd för personlig integritet.

•Säkerställa en effektiv tillsyn.

En central målsättning för utredningen har varit att finna en lämplig balans mellan Säkerhetspolisens behov och skyddet för grundläg- gande fri- och rättigheter enligt regeringsformen och Europakon- ventionen. Enligt direktiven ska förslagen även vara anpassade till Europarådets moderniserade dataskyddskonvention från år 2018 (dataskyddskonventionen 108+).

Sammanfattning

SOU 2025:49

Reformbehovet

Säkerhetspolisens uppdrag är främst att förebygga, förhindra och upptäcka brott mot nationell säkerhet

Säkerhetspolisens uppdrag som nationell säkerhetstjänst är att skydda Sveriges grundläggande demokratiska funktioner och den nationella säkerheten. Dess kärnverksamhet syftar till att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terroristbrott. I myndighetens uppdrag ingår även att utreda och lagföra sådan brottslighet. Denna brottslighet utmärks av att den kan få mycket stora konsekvenser för samhället och för enskilda individer. Målet för verksamheten är därför att förhindra att brott överhuvudtaget begås genom att exempelvis avslöja en spion eller en terrorist innan några brottsliga gärningar ens har begåtts.

Såväl spioneri som terrorism bedrivs med nödvändighet i det fördolda och i former som till sin natur är slutna. Det innebär att det sällan finns några anmälningar eller uppslag från allmänheten att utgå ifrån. Säkerhetspolisen måste därför bedriva ett aktivt under- rättelsearbete inriktat på att kartlägga personer och miljöer i syfte att förebygga, förhindra och upptäcka brottslig och säkerhets- hotande verksamhet.

En förändrad hotbild

Sverige står inför en bredare och alltmer komplex hotbild. Auktori- tära stater som Ryssland, Kina och Iran bedriver omfattande säker- hetshotande verksamhet mot Sverige genom underrättelseinhämt- ning, påverkansoperationer, cyberangrepp samt olovlig teknik- och kunskapsanskaffning. Samtidigt har hotet från våldsbejakande extre- mism förändrats. Extremistiska budskap får större spridning via digitala plattformar och gränserna mellan våldsbejakande extremism och annan extremism har blivit mer otydliga.

SOU 2025:49

Sammanfattning

Den nuvarande lagstiftningen är inte anpassad till Säkerhetspolisens verksamhet eller dagens informationsmängder

Säkerhetspolisen har ett särpräglat uppdrag i förhållande till de andra brottsbekämpande myndigheterna. Kärnan i Säkerhetspolisens verk- samhet är att som säkerhetstjänst skydda Sveriges säkerhet och det svenska statsskicket mot säkerhetshotande verksamhet. Brottsutre- dande verksamhet, bestående i att utreda brott och bedriva förunder- sökning, utgör endast en liten del av detta uppdrag. Säkerhetspoli- sen intar därför en särställning inom brottsbekämpningen med ett uppdrag som nationell säkerhetstjänst. Trots de stora skillnaderna i myndigheternas uppdrag, mål och metoder har Säkerhetspolisen i stora delar identisk lagstiftning vad gäller behandling av personupp- gifter som övriga brottsbekämpande myndigheter.

Säkerhetspolisens uppdrag förutsätter att myndigheten på ett effektivt sätt kan bearbeta och analysera stora mängder information, för att på ett tidigt stadium kunna förebygga, förhindra och upptäcka säkerhetshotande verksamhet. Säpodatalagen reglerar stora delar av denna verksamhet och är därmed påtagligt styrande för myndig- hetens underrättelseverksamhet och -förmåga.

Informationsmängderna i samhället ökar exponentiellt. Det har förändrat förutsättningarna för Säkerhetspolisens verksamhet. Stora delar av den nuvarande säpodatalagen har överförts från tidigare lagstiftningar och har sitt ursprung i en tid då tekniken och infor- mationsmängderna såg väsentligt annorlunda ut. År 1992 skickades världens första sms. I dag skickas det cirka 500 miljarder textmed- delanden, över olika plattformar, varje dag. Ett it-beslag av en tele- fon eller dator kan innebära att hundratusentals meddelanden, bilder och dokument behöver bearbetas. Det finns även hot mot Sveriges säkerhet som uppstår och utvecklas i mer öppna former på internet och i olika sociala medier. Både terroristrekrytering, destabiliserande påverkanskampanjer och försök av främmande makt att olovligt an- skaffa information sker i dag över internet. För att upptäcka och motverka sådana säkerhetshot krävs att stora informationsmängder behandlas.

Dagens regelverk är emellertid snarare anpassat till 1990-talets informationsmängder än 2020-talets och har svårt att hantera de miljöer där säkerhetshot i dag uppstår och utvecklas. Den nuvarande lagstiftningen tvingar ofta Säkerhetspolisen att radera betydande

Sammanfattning

SOU 2025:49

mängder inhämtad information som kan vara av stor betydelse för myndighetens möjlighet att lösa sitt uppdrag. Den nuvarande säpo- datalagen medför nämligen att varje enskild personuppgift ska gran- skas och bedömas för sig för att få behandlas. Det innebär att myn- digheten avstår från att hämta in uppgifter som i och för sig behövs för verksamheten.

Som tydliga begränsningar i nuvarande regelverk kan nämnas:

•Krav på konkret behov och ändamål för varje enskild person- uppgift utan beaktande av sammanhang.

•Krav på att alla känsliga personuppgifter ska identifieras och prövas för sig. Sådana uppgifter får behandlas endast om upp- giften är absolut nödvändig.

•För kort längsta tid för behandling med hänsyn till Säkerhets- polisens uppdrag, vilket innebär att viktig information riskerar att gå förlorad.

•Begränsad möjlighet att behandla referensdatabaser eller utveckla moderna tekniska verktyg (som AI).

Reformens inriktning

Avvägning mot grundläggande fri- och rättigheter

Säkerhetspolisens behov av att behandla personuppgifter måste noggrant balanseras mot skyddet för grundläggande fri- och rättig- heter. Det svenska statsskickets grunder slås fast i regeringsformen. Där framgår bland annat att den svenska folkstyrelsen bygger på fri åsiktsbildning, att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. Vidare anges att det allmänna ska värna den enskildes privatliv och familjeliv.

Utökade möjligheter för Säkerhetspolisen att, genom att bevara information, kartlägga enskildas aktiviteter kan medföra risker för den personliga integriteten. Dessa risker påverkar inte enbart rätten till privatliv utan indirekt även yttrandefriheten och andra opinions- friheter. Om medborgare uppfattar att olika former av åsiktsytt- ringar registreras och bevaras av säkerhetstjänsten, kan det få en

SOU 2025:49

Sammanfattning

avhållande inverkan på viljan att använda sina demokratiska rättig- heter.

En lagstiftning som syftar till att skydda de demokratiska kärn- värdena får inte samtidigt riskera att undergräva dem. Enligt reger- ingsformen får begränsningar av grundläggande fri- och rättigheter endast göras genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får inte gå utöver vad som är nödvändigt med hänsyn till ändamålet och inte heller sträcka sig så långt att de utgör ett hot mot den fria åsikts- bildningen. Utredningen har lagt stor vikt vid att analysera det för- slag som lämnas mot detta krav.

Principerna för en ny lagstiftning

Utredningen föreslår en genomgripande reform av regleringen för Säkerhetspolisens personuppgiftsbehandling. Det centrala elemen- tet är en helt ny säpodatalag som utgår från dataskyddskonventio- nen 108+ och Europakonventionen i stället för EU-rätten. Detta bygger på ställningstagandet att skyddet av nationell säkerhet är en nationell angelägenhet, där unionen saknar lagstiftningskompetens. Det är därför möjligt att föreslå en lagstiftning som bättre balanse- rar säkerhetsbehov med integritets- och rättighetsskydd.

Den nya lagstiftningen bygger på följande centrala principer:

•Proportionalitetsprincipen införs som grundläggande krav, där varje behandlingsåtgärd måste vara proportionerlig i förhållande till ändamålet och intrånget i den enskildes fri- och rättigheter.

•Situationsanpassade krav: Mer flexibla regler för ändamål, behov och behandlingstider som bättre motsvarar hur en underrättelse- och säkerhetstjänst faktiskt fungerar. Detta innebär att även till synes perifer information kan sparas över tid när den förekom- mer i relevanta sammanhang, eftersom sådan information senare kan visa sig avgörande för att upptäcka säkerhetshot.

•Teknikneutral utformning som möjliggör användning av mo- derna tekniker samtidigt som riskerna med dessa begränsas genom robusta skyddsmekanismer.

Sammanfattning

SOU 2025:49

•Systemorienterad tillsyn snarare än tillsyn av behandlingen av enskilda personuppgifter, vilket ger en mer effektiv och realistisk tillsyn av stora informationsmängder.

Som ett komplement till säpodatalagen föreslår utredningen en särskild lag, anpassad för behandling av stora informationsmängder. Denna lag innebär ett proportionerligt undantag från vissa data- skyddsprinciper, vilket utredningen bedömt nödvändigt för att skydda nationell säkerhet. Säkerhetspolisen ges därigenom ökade möjligheter att behandla stora mängder information och även upp- gifter som inte direkt behövs för uppdraget men som förekommer i sammanhang som är befogade att behandla.

För att motverka riskerna med denna utökade förmåga föreslås förstärkta mekanismer för tillsyn och kontroll med omfattande krav på förhandsprövning av domstol. Tillsynsmyndigheterna ges utökade befogenheter och resurser. De nya lagarna ställer nya krav på hur tillsynen utövas, med större fokus på hur personuppgifter behandlas och behandlingens potentiella effekter än på att granska formalia.

Förslagen skapar ett sammanhängande regelverk som ger Säker- hetspolisen moderna verktyg för att möta en komplex hotbild sam- tidigt som det upprätthåller rättssäkerhet och värnar grundläggande fri- och rättigheter i ett demokratiskt samhälle.

Huvudsakliga förslag

Ny lag om Säkerhetspolisens behandling av personuppgifter

Utredningen föreslår en ny säpodatalag som helt ersätter den nu- varande lagen från år 2019. De centrala förslagen innebär:

•En proportionalitetsprincip: Införs som ett grundläggande krav för all behandling. Skälet för behandlingen ska väga tyngre än intrånget i enskilda och allmänna intressen.

•Inledande behandling och granskning: Begreppet inledande behandling (insamling, inhämtning etc.) införs. Det ställs lägre krav för inledande behandling än annan behandling. Det får ske om det är befogat för ett ändamål. Efter den inledande behand- lingen regleras hur uppgifterna ska granskas (under max sex

SOU 2025:49

Sammanfattning

månader) för att säkerställa att de får fortsätta att behandlas enligt högre krav. Fortsatt behandling får ske om det behövs för ett särskilt, uttryckligt angivet och berättigat ändamål.

•Ändamål för underrättelseverksamhet: Nuvarande uppräkning av rättslig grund ersätts med verksamheter för personuppgifts- behandling. Ändamål för behandling ska bestämmas inom någon av dessa verksamheter. Underrättelseverksamheten förtydligas genom att det framgår att personuppgifter får behandlas för att bland annat kartlägga och klarlägga brottslig verksamhet. Det medger behandling av uppgifter som är relevanta på grund av sammanhang och kontext.

•Längre och mer flexibla behandlingstider: Behandlingstid för personuppgifter bestäms vid registrering utifrån behov och pro- portionalitet. Den längsta behandlingstiden som får bestämmas är 25 år, med undantag för kontraspionage (60 år) och teknisk utveckling (5 år). Förlängning utöver dessa tider kräver ett sär- skilt beslut och en underrättelse till Säkerhets- och integritets- skyddsnämnden. Det införs en särskild regel om att barns upp- gifter ska ges ett särskilt starkt skydd vid bestämmande av behandlingstid.

•Kvalitetskrav: Kraven på adekvans, relevans och uppgiftsmini- mering bibehålls men tillämpas inte före det att uppgifterna kunnat granskas.

•Känsliga personuppgifter: Ett förbud mot behandling som en- bart grundar sig på känsliga personuppgifter. Dagens krav på absolut nödvändighet tas bort, men förekomst av känsliga upp- gifter ska påverka proportionalitetsprövningen. Ett högre krav ställs för sökningar och sammanställningar grundade på känsliga uppgifter. Sådant urval får endast ske om skälen uppenbart över- väger intrånget.

•Privilegierade uppgifter: Ett absolut förbud införs mot att behandla uppgifter som omfattas av meddelarskydd enligt tryck- frihetsförordningen och yttrandefrihetsgrundlagen. Detsamma gäller förtrolig kommunikation mellan en misstänkt och dennes försvarare. Detta utgör en nyhet i den nya lagen som begränsar Säkerhetspolisens möjligheter att samla information som är sär- skilt känslig från ett rättighetsperspektiv.

Sammanfattning

SOU 2025:49

•Teknikutveckling: Tillåts uttryckligen som ändamål för person- uppgiftsbehandling, men uppgifter som samlats in enbart för detta ändamål får inte användas operativt.

•Automatiserat beslutsfattande: Förbjuds om det har betydande påverkan på den enskilde.

Förändringarna innebär att Säkerhetspolisen får en lag som är an- passad till myndighetens uppdrag. Utredningen har strävat efter en transparent lag som ska reglera den faktiska verksamheten och som inte innehåller bestämmelser som leder till omotiverade administra- tiva uppgifter. Förslaget frångår den nuvarande lagstiftningens kopp- ling till EU-rättens förlagor och vad som gäller för övriga brotts- bekämpande myndigheter. Lagförslaget innebär en avvägning på nationell nivå mellan behovet av skydd för nationell säkerhet och skydd för andra enskilda eller allmänna intressen. Utredningen bedömer att lagen är förenlig med dataskyddskonventionen 108+.

Ny lag om behandling av personuppgifter i särskilda uppgiftssamlingar

Utredningen föreslår även en helt ny lag med kompletterande bestämmelser om behandling av personuppgifter i särskilda upp- giftssamlingar:

•Syfte: Möjliggöra hantering av stora, inledningsvis ofta ostruk- turerade, informationsmängder där granskning enligt säpodata- lagen inte är möjlig. Lagen kompletterar och gör undantag från den nya säpodatalagen. Lagen innebär att Sverige utnyttjar möj- ligheten till undantag från vissa av dataskyddskonventionens bestämmelser. Sådana undantag är nödvändiga för att skydda nationell säkerhet.

•Registrering: Uppgifter får registreras i en särskild uppgiftssam- ling efter ett motiverat beslut. Samma krav ska gälla för regi- strering som för inledande behandling (befogat). Beslutet ska bland annat beskriva källan, ändamålet, och vilket intrång i enskilda och allmänna intressen som behandling av uppgifterna kan antas medföra. Behandlingstid bestäms vid registrering

SOU 2025:49

Sammanfattning

(max 10 år, förlängning möjlig upp till 25 år, eller längre vid synnerliga skäl).

•Framtagningsförbud: Huvudregeln är att uppgifter i en särskild uppgiftssamling inte får tas fram (läsas, tillgängliggöras). Detta utgör den centrala skyddsmekanismen.

•Tillstånd för framtagning: Uppgifter får tas fram endast efter tillstånd från Försvarsunderrättelsedomstolen. Av ansökan ska bland annat framgå ändamål, behov samt vilka sökbegrepp och teknik för urval som ska användas. Domstolen gör en fullständig legalitets-, behovs- och proportionalitetsprövning. Alla tillstånd är tidsbegränsade.

•Sekretess: Absolut sekretess föreslås gälla för uppgifterna så länge de behandlas i en särskild uppgiftssamling, både till skydd för enskild och för verksamheten.

•Användningsbegränsning: Uppgifter som tagits fram från en särskild uppgiftssamling får inte användas för att utreda brott, exempelvis i en förundersökning.

De rättssäkerhetsmekanismer som införs är omfattande och minst lika starka som de som gäller för signalspaning (ett system som har prövats i Europadomstolen). Utredningen bedömer därför att för- slaget är förenligt med Europakonventionen.

Förstärkt tillsyn

De utökade möjligheterna att behandla personuppgifter förutsätter en förstärkning av tillsynen. Utredningen föreslår att den nuvarande parallella tillsynen genom Integritetsskyddsmyndigheten och Säker- hets- och integritetsskyddsnämnden bibehålls, men med tydligare roller och förstärkta befogenheter:

•Säkerhets- och integritetsskyddsnämnden utpekas i lagen som särskild tillsynsmyndighet.

•Nämnden och Säkerhetspolisen får en skyldighet att löpande samverka i frågor som rör Säkerhetspolisens skyldigheter som personuppgiftsansvarig.

Sammanfattning

SOU 2025:49

•För att möta utmaningarna med ökad teknisk komplexitet får Säkerhetspolisen en skyldighet att i skälig omfattning vidta nöd- vändiga tekniska åtgärder för att möjliggöra effektiv tillsyn.

•Nämnden och Försvarsunderrättelsedomstolen utgör delar av samma kontrollsystem. Nämnden ska yttra sig över Säkerhets- polisens ansökan om tillstånd till att ta fram uppgifter ur en särskild uppgiftssamling. En sekretessbrytande bestämmelse införs för att domstolen ska kunna ta del av all relevant utred- ning vid prövningen.

•Nämnden får en ny korrigerande befogenhet att besluta om omedelbar radering av uppgifter som tagits fram från en särskild uppgiftssamling utan tillstånd eller i strid med tillstånd.

•Beslut om förelägganden eller förbud från Integritetsskydds- myndigheten ska överklagas till Försvarsunderrättelsedomstolen.

•Nämnden tillförs betydande ekonomiska resurser och ges möj- lighet att förstärka sig med teknisk kompetens för att kunna ut- öva en effektiv tillsyn över bland annat nya behandlingsmetoder.

Förändringarna syftar till ett robust och oberoende tillsynssystem som säkerställer att personuppgiftsbehandlingen sker i enlighet med de nya lagkraven. En effektiv tillsyn bidrar därmed till att upprätt- hålla rättssäkerheten och det allmänna förtroendet för Säkerhets- polisens personuppgiftsbehandling.

Ikraftträdande och övergångsbestämmelser

Utredningen föreslår att de nya lagarna träder i kraft den 1 januari 2027. Detta ger Säkerhetspolisen och tillsynsmyndigheterna till- räcklig tid att genomföra nödvändiga anpassningar av tekniska system, rutiner och arbetssätt. Även Försvarsunderrättelsedom- stolen får nya uppgifter med anledning av förslaget. Reformen inne- bär omfattande förändringar både organisatoriskt och tekniskt, vilket kräver grundlig förberedelse.

För att säkerställa en smidig övergång föreslås att personupp- gifter som redan behandlas vid ikraftträdandet får fortsätta att behandlas enligt den äldre lagen fram till och med den 31 december 2029. Under denna treåriga övergångsperiod ska Säkerhetspolisen

Summary1

The Assignment

The purpose of this investigation has been to conduct a review of the provisions regarding the Security Police’s processing of personal data in the field of national security. Such rules are found in the Se- curity Police Data Act. The goal has been to develop a more modern and appropriate regulatory framework adapted to current conditions. The assignment has included:

•Mapping the Security Police’s legal authority to process personal data.

•Identifying how the current regulatory framework hinders effi- cient information management.

•Developing proposals for more efficient information management while maintaining protection of personal privacy.

•Ensuring effective supervision.

A central objective of the investigation has been to find an appro- priate balance between the Security Police’s needs and the protection of fundamental rights and freedoms under the Instrument of Govern- ment and the European Convention on Human Rights. According to the directives, the proposals should also be adapted to the Council of Europe’s Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data, from 2018 (Data Protection Convention 108+).

1The translation was initially drafted with AI assistance but subsequently reviewed, edited and approved by humans.

Summary

SOU 2025:49

The Need for Reform

The Security Police’s mission is primarily to prevent, pre-empt and detect crimes against national security

The Security Police’s mission as a national security service is to protect Sweden’s fundamental democratic functions and national security. Its core activities aim to prevent, pre-empt and detect criminal activities that include crimes against national security or terrorist offenses. The authority’s duties also include investigating and prosecuting such crimes. These crimes are characterized by their potential to have very severe consequences for society and individuals. Therefore, the goal of the operations is to prevent crimes from being committed at all, for example by exposing a spy or a terrorist before any crime has even been committed.

Both espionage and terrorism are necessarily using methods that are inherently covert. This means that there are rarely any reports or leads from the public. The Security Police must therefore conduct active intelligence work focused on mapping individuals and environments with the aim of preventing, pre-empting and detecting criminal and security -threatening activities.

A changed threat landscape

Sweden faces a broader and increasingly complex threat landscape. Authoritarian states such as Russia, China, and Iran conduct exten- sive security-threatening activities against Sweden through intelli- gence gathering, influence operations, cyberattacks, and illegal acquisition of technology and knowledge. At the same time, the threat from violent extremism has evolved. Extremist messages spread more widely via digital platforms, and the boundaries be- tween violent extremism and other forms of extremism have be- come increasingly blurred.

SOU 2025:49

Summary

The current legislation is not adapted to the Security Police’s operations or today’s information volumes

The Security Police has a distinctive mission compared to other law enforcement agencies. The core of the Security Police’s operations is to protect Sweden’s security and constitutional order against security-threatening activities, acting in its capacity as a security service. Criminal investigative activities, consisting of investigating crimes and conducting preliminary investigations, constitute only a small part of this mission. The Security Police therefore holds a spe- cial position within law enforcement, with a mission as a national security service. Despite the major differences in the authorities’ missions, goals, and methods, the Security Police is largely subject to the same legislation regarding the processing of personal data as other law enforcement authorities.

The Security Police’s mission requires that the authority be able to efficiently process and analyze large volumes of information in order to prevent, pre-empt and detect security-threatening activi- ties at an early stage. The Security Police Data Act regulates large parts of this activity and is therefore significant in shaping the author- ity’s intelligence operations and capabilities.

The volume of information in society is increasing exponentially. This has changed the conditions for the Security Police’s operations. Large parts of the current Security Police Data Act have been carried over from previous legislation and originate from a time when tech- nology and information volumes were substantially different. In 1992, the world’s first SMS was sent. Today, approximately 500 billion text messages are sent across different platforms every day. An IT seizure of a phone or computer can result in hundreds of thousands of messages, images, and documents that must be processed. There are also threats to Sweden’s security that arise and develop in more open environments on the internet and across various social media platforms. Today, terrorist recruitment, destabilising influence cam- paigns, and attempts by foreign powers to unlawfully acquire infor- mation occur online. To detect and counter such security threats, large volumes of information must be processed.

However, the current regulatory framework is designed for the information volumes of the 1990s rather than those of the 2020s and struggles to cope with the environments where security threats

Summary

SOU 2025:49

now emerge and develop. The current legislation often forces the Security Police to delete significant amounts of collected informa- tion that could be of great importance for the authority’s ability to fulfil its mission. The current Security Police Data Act requires that each personal data item be reviewed and assessed individually in order to be processed. This means that the authority refrains from collecting data that is, in fact, necessary for its operations.

Clear limitations in the current regulatory framework include the following:

•Requirements for a specific need and purpose for each personal data item, without consideration of context.

•Requirements that all sensitive personal data shall be identified and assessed individually. Such data may only be processed if the specific data item is strictly necessary.

•A maximum processing time that is too short given the Security Police’s mission, which means that important information risks being lost.

•Limited ability to process reference databases or to develop modern technical tools (including AI).

The Direction of Reform

Balance against fundamental rights and freedoms

The Security Police’s need to process personal data must be care- fully balanced against the protection of fundamental rights and freedoms. The foundations of Sweden’s constitutional order are established in the Instrument of Government. It states, among other things, that Swedish democracy is founded on the free for- mation of opinion, that public power shall be exercised with respect for the equal worth of all people and for the freedom and dignity of the individual. Furthermore, it states that the public sector shall protect the privacy and family life of individuals.

Enhanced capabilities for the Security Police to map individuals’ activities by retaining information can pose risks to personal privacy. These risks affect not only the right to privacy but indirectly also freedom of expression and other freedoms of opinion. If citizens

SOU 2025:49

Summary

perceive that different forms of expression of opinion are regis- tered and preserved by the security service, it can discourage citi- zens from exercising their democratic rights. Legislation aimed at protecting democratic core values must not simultaneously risk undermining them. According to the Instrument of Government, restrictions on fundamental rights and freedoms may only be made by law and only to satisfy purposes that are acceptable in a demo- cratic society. The restrictions must not go beyond what is neces- sary with regard to the purpose, nor extend so far as to constitute a threat to the free formation of opinion. The investigation has placed great emphasis on analyzing the proposal against this require- ment.

Principles for new legislation

The investigation proposes a comprehensive reform of the regula- tions for the Security Police’s processing of personal data. The central element is an entirely new Security Police Data Act based on Data Protection Convention 108+ and the European Convention on Human Rights instead of EU law. This is based on the position that the protection of national security is a national matter, in which the union lacks legislative competence. It is therefore possible to propose legislation that better balances security needs with privacy and the protection of rights.

The new legislation is based on the following central principles:

•The principle of proportionality is introduced as a fundamen- tal requirement, where each processing measure must be propor- tionate to the purpose and the intrusion into the individual’s rights and freedoms.

•Situation-specific requirements providing more flexibility regarding purpose, need, and processing times that better reflect how an intelligence and security service functions. This means that even seemingly peripheral information can be retained over time when it appears in relevant contexts, because such informa- tion may later prove crucial for detecting security threats.

Summary

SOU 2025:49

•Technology-neutral design that enables the use of modern technologies while limiting the risks through robust protective mechanisms.

•System-oriented supervision rather than supervision of individual personal data processing, which provides more effective and real- istic oversight of large volumes of information.

As a complement to the Security Police Data Act, the investigation proposes a special law, adapted for processing large volumes of infor- mation. This law represents a proportionate exception to certain data protection principles, which the investigation has deemed necessary to protect national security. The Security Police is there- fore granted expanded possibilities to process large amounts of in- formation, including data that is not directly needed for the mission but appears in contexts that are justified to process.

To counter the risks associated with this enhanced capability, strengthened mechanisms for supervision and control, with exten- sive requirements for preliminary judicial review, are proposed.

The supervisory authorities are given expanded powers and resources. The new laws place new demands on how supervision is exercised, with greater focus on how personal data is processed and the poten- tial effects of the processing, rather than on reviewing formalities.

The proposals create a coherent regulatory framework that gives the Security Police modern tools to meet a complex threat landscape while maintaining the rule of law and safeguarding fundamental rights and freedoms in a democratic society.

Main Proposals

New law on the Security Police’s processing of personal data

The investigation proposes a new Security Police Data Act that completely replaces the current law from 2019. The central provi- sions include:

•A principle of proportionality: Introduced as a fundamental requirement for all processing. The reason for processing must outweigh the intrusion into individual and public interests.

SOU 2025:49

Summary

•Initial processing and review: The concept of initial processing (collection, acquisition, etc.) is introduced. Lower requirements are set for initial processing than for subsequent processing. It may occur if it is justified for a purpose. After the initial process- ing, regulations specify how the data should be reviewed (for a maximum of six months) to ensure that it may continue to be processed, according to stricter requirements. Continued pro- cessing may occur if it is needed for a specific, explicitly stated, and legitimate purpose.

•Purposes for intelligence activities: The current enumeration of legal grounds is replaced with defined categories of activities for personal data processing. Purposes for processing must be linked to one of these activities. Intelligence activities are clari- fied by stating that personal data may be processed to, among other things, map and clarify criminal activities. This allows for the processing of data that is relevant due to context and connec- tions.

•Longer and more flexible processing times: Processing time for personal data is determined at registration based on need and proportionality. The maximum processing time that may be determined is 25 years, with exceptions for counterespionage (60 years) and technical development (5 years). Extensions be- yond these times require a special decision and notification to the Swedish Commission on Security and Integrity Protection. A special rule is introduced that children’s data shall be given particularly strong protection when determining the processing period.

•Quality requirements: The requirements for adequacy, rele- vance, and data minimization are maintained but not applied before the data has been reviewed.

•Sensitive personal data: A prohibition is introduced against processing solely based on sensitive data. Today’s requirement for absolute necessity is removed, but the presence of sensitive data shall affect the proportionality assessment. A stricter require- ment is placed on searches and compilations based on sensitive data. Such processing may only occur if the reasons clearly out- weigh the intrusion.

Summary

SOU 2025:49

•Privileged personal data: An absolute prohibition is introduced against processing data covered by source protection under the Freedom of the Press Act and the Fundamental Law on Freedom of Expression. The same applies to confidential communication between a suspect and their defence counsel. This constitutes a new feature in the new law that limits the Security Police’s abil- ity to collect information that is particularly sensitive from a rights perspective.

•Technology development: Explicitly allowed as a purpose for personal data processing, but data collected solely for this pur- pose may not be used operationally.

•Automated decision-making: Prohibited if it has a significant impact on the individual.

The changes mean that the Security Police will have a law adapted to the authority’s mission. The investigation has aimed to create a transparent law that regulates the actual operations and does not contain provisions that lead to unjustified administrative tasks. The proposal deviates from the current legislation’s connection to EU law frameworks and from what applies to other law enforcement authorities. The legislative proposal represents a balance at the natio- nal level between the need for protection of national security and the protection of other individual or public interests. The investi- gation concludes that the law is compatible with Data Protection Convention 108+.

New law on processing of personal data in special data collections

The investigation also proposes an entirely new law with supple- mentary provisions on the processing of personal data in special data collections:

•Purpose: To enable the handling of large, initially often unstruc- tured, volumes of information where review in accordance with the Security Police Data Act is not possible. The law complements and provides exceptions to the new Security Police Data Act. It allows Sweden to make use of the possibility of exemptions from

SOU 2025:49

Summary

certain provisions of the Data Protection Convention. Such exceptions are necessary to protect national security.

•Registration: Data may be registered in a special data collection based on a justified decision. The same requirements shall apply to registration as to initial processing (justified). The decision shall, among other things, describe the source, purpose, and the expected impact on individual and public interests resulting from the processing of the data. The Processing time is set at registration (maximum 10 years, extendable up to 25 years, or longer in extraordinary circumstances).

•Retrieval prohibition: The main rule is that data in a special data collection may not be retrieved (read, made available). This constitutes the central protective mechanism.

•Permission for retrieval: Data may only be retrieved with per- mission from the Swedish Foreign Intelligence Court (Försvars- underrättelsedomstolen). The application shall, among other things, state the purpose, need, and what search terms and selection technology will be used. The court conducts a com- prehensive assessment of legality, necessity, and proportio- nality. All permissions are time-limited.

•Secrecy: Absolute secrecy is proposed to apply to the data as long as it is processed in a special data collection, to protect both individuals and operations.

•Usage limitation: Data retrieved from a special data collection may not be used to investigate crimes, for example in a prelimi- nary investigation.

The rule-of-law safeguards that are introduced are extensive and at least as strong as those that apply to signals intelligence (a system that has been tested before the European Court of Human Rights). The investigation therefore concludes that the proposal is compatible with the European Convention on Human Rights.

Summary

SOU 2025:49

Strengthened supervision and court control

The enhanced possibilities to process personal data require a strength- ening of supervision. The investigation proposes that the current parallel supervision through the Swedish Authority for Privacy Protection and the Swedish Commission on Security and Integrity Protection be maintained, but with clearer roles and strengthened powers:

•The Commission on Security and Integrity Protection is desig- nated by law as a special supervisory authority.

•The Commission and the Security Police have a duty to collabo- rate continuously on issues concerning the Security Police’s obligations as a data controller.

•To meet the challenges of increased technical complexity, the Security Police is required to take necessary technical measures to a reasonable extent to enable effective supervision.

•The Commission and the Foreign Intelligence Court are parts of the same oversight system. The Commission shall issue an opinion on the Security Police’s application for permission to retrieve data from a special data collection. A statutory exemp- tion from confidentiality is introduced so that the court can access all relevant material during the review.

•The Commission is given a new corrective power to decide on immediate deletion of data that has been retrieved from a special data collection without permission or in violation of permission.

•Decisions on injunctions or prohibitions issued by the Swedish Authority for Privacy Protection shall be appealed to the Foreign Intelligence Court.

•The Commission is provided with significant financial resources and given the possibility to strengthen its capacity with technical expertise, in order to exercise effective supervision of, among other things, new methods of processing.

The changes aim at a robust and independent supervisory system that ensures that personal data processing is carried out in accor- dance with the new legal requirements. Effective supervision thus

SOU 2025:49

Summary

contributes to maintaining the rule of law and public confidence in the Security Police’s processing of personal data.

Entry into force and transitional provisions

The investigation proposes that the new laws enter into force on 1 January 2027. This gives the Security Police and supervisory authorities sufficient time to implement necessary adaptations to technical systems, routines, and working methods. The Foreign Intelligence Court also receives new tasks as a result of the pro- posal. The reform involves extensive changes both organizationally and technically, which requires thorough preparation.

To ensure a smooth transition, it is proposed that personal data already being processed at the time the new laws take effect may continue to be processed under the older law until 31 December 2029. During this three-year transitional period, the Security Police shall gradually adapt its existing personal data processing to the new regulatory frameworks. For new personal data processed after the entry into force, however, the new laws shall apply immediately.

This gradual introduction strikes a balance between the need to swiftly establish a more modern regulatory framework and the Security Police’s ability to maintain operational continuity during the transitional period.

1 Författningsförslag

1.1Förslag till lag om Säkerhetspolisens behandling av personuppgifter

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens syfte

1 § Syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla personuppgifter på ett ändamålsenligt sätt.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande verksamhet.

Lagen gäller även vid Polismyndighetens behandling av person- uppgifter, när myndigheten har övertagit en uppgift från Säkerhets- polisen inom denna lags tillämpningsområde.

När Polismyndigheten har övertagit en uppgift enligt andra stycket, ska vad som i denna lag sägs om Säkerhetspolisen i stället gälla Polis- myndigheten.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av person- uppgifter som ingår i eller är avsedda att ingå i en strukturerad samling

Betydelse

En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsätt- ningar av personuppgifter, oav- sett om det görs automatiserat eller inte, t.ex. insamling, gransk- ning, registrering, organisering, strukturering, lagring, bearbet- ning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, samman- föring, begränsning, radering eller förstöring.

Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möj- liggör eller bekräftar unik identi- fiering av personen.

Personuppgifter som rör en persons nedärvda eller förvär- vade genetiska kännetecken och

Författningsförslag

SOU 2025:49

av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier.

4 § Om en annan lag innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

I lagen (2026:000) om Säkerhetspolisens behandling av personupp- gifter i särskilda uppgiftssamlingar finns bestämmelser om Säker- hetspolisens behandling av personuppgifter i vissa fall.

Definitioner

5 § I denna lag används följande uttryck med nedan angiven be- tydelse.

Uttryck

Behandling av personuppgifter

Biometriska uppgifter

Genetiska uppgifter

SOU 2025:49

Författningsförslag

	som härrör från analys av ett spår
	av eller ett prov från personen.
Inledande behandling	Behandling av personuppgifter
	som innebär att personuppgifter
	samlas in, hämtas in, tas emot
	eller på något annat sätt kommer
	Säkerhetspolisen till handa eller
	att personuppgifter nedtecknas,
	upprättas eller på något annat sätt
	skapas inom myndigheten, eller
	att personuppgifter tas fram från
	en särskild uppgiftssamling enligt
	lagen (2026:000) om Säkerhets-
	polisens behandling av person-
	uppgifter i särskilda uppgiftsin-
	samlingar.
Känsliga personuppgifter	Biometriska uppgifter, gene-
	tiska uppgifter och uppgifter som
	avslöjar	ras, etniskt ursprung,
	politiska	åsikter, religiös eller
	filosofisk övertygelse eller med-
	lemskap i fackförening eller som
	rör hälsa, sexualliv eller sexuell
	läggning.
Personuppgift	Varje upplysning om en identi-
	fierad eller identifierbar fysisk
	person som är i livet.
Personuppgiftsansvarig	Den som ensam eller till-
	sammans med andra bestämmer
	ändamålen med och medlen för
	behandlingen av personuppgifter.
Personuppgiftsbiträde	Den som behandlar person-
	uppgifter för den personuppgifts-
	ansvariges räkning.
Registrerad	Den fysiska person som per-
	sonuppgiften gäller.

Författningsförslag

SOU 2025:49

Personuppgiftsansvar

6 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Den personuppgiftsansvarige är ansvarig för all behandling av per- sonuppgifter som utförs under dennes ledning eller på dennes vägnar.

2 kap. Behandling av personuppgifter

Grundläggande krav på behandling

Proportionalitet

1 § All behandling av personuppgifter ska vara proportionerlig. En behandling är proportionerlig, om skälet för att utföra den överväger intrånget i de enskilda eller allmänna intressen som kan påverkas.

Rättslig grund

2 § Personuppgifter får endast behandlas för att bedriva verksamhet som följer av lag, förordning, internationella åtaganden eller särskilt beslut av regeringen.

Författningsenlig och korrekt behandling

3 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Verksamheter för behandling av personuppgifter

Underrättelse- och säkerhetstjänst

4 § I sin uppgift att förebygga, förhindra och upptäcka brottslig verksamhet får Säkerhetspolisen behandla personuppgifter för att

1.kartlägga och klarlägga brottslig verksamhet, eller

2.vidta åtgärder som hindrar eller försvårar brottslig verksamhet.

SOU 2025:49

Författningsförslag

Brottsutredning och lagföring

5 § Personuppgifter får behandlas för att utreda och lagföra brott.

Övrig verksamhet

6 § Personuppgifter får behandlas för annan verksamhet som bedrivs enligt 2 §.

7 § Säkerhetspolisen får behandla personuppgifter för att fort- löpande utveckla den teknik och metodik som behövs inom denna lags tillämpningsområde (utvecklingsändamål).

Personuppgifter som behandlas endast för utvecklingsändamål får inte behandlas för något annat ändamål.

Inledande behandling

8 § Inledande behandling av personuppgifter får ske, om det är befogat för ett ändamål inom någon av de verksamheter som anges i 4–7 §§.

Vid inledande behandling tillämpas inte 13–16 §§.

Inledande granskning

9 § Efter inledande behandling ska personuppgifter granskas, om det behövs för att säkerställa författningsenlig behandling. Innan gransk- ningen har genomförts får personuppgifterna behandlas endast för granskningsändamål.

Granskningen enligt första stycket ska ske så snart det är möjligt och får inte pågå längre än nödvändigt. Sådan behandling får pågå i högst sex månader.

Granskningen ska utföras av särskilt angivna tjänstemän som har tillräckliga kunskaper för uppgiften. Under granskningen ska till- gången till uppgifterna vara begränsad till vad var och en behöver för att fullgöra uppgiften.

Författningsförslag

SOU 2025:49

10 § De befattningshavare vid Säkerhetspolisen som regeringen före- skriver får besluta att personuppgifter som behandlas med stöd av 9 § även får behandlas av andra tjänstemän och för andra ändamål än granskning, om det är absolut nödvändigt för att fullgöra en uppgift av synnerlig vikt.

Behandling enligt första stycket får pågå i högst trettio dagar och tillgången till sådana personuppgifter ska vara strikt begränsad till vad var och en behöver för att fullgöra uppgiften.

Beslut enligt första stycket ska dokumenteras och omedelbart an- mälas till den särskilda tillsynsmyndigheten.

Fortsatt behandling

11 § Efter inledande granskning får personuppgifter behandlas endast om det behövs för ett särskilt, uttryckligt angivet och berättigat ända- mål.

Finalitetsprincipen

12 § Personuppgifter får inte behandlas för ett ändamål som är oför- enligt med ändamålet för den inledande behandlingen.

Första stycket hindrar dock inte att personuppgifter som behand- las enligt 4–6 §§ behandlas för

1.utvecklingsändamål enligt 7 §,

2.vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde, eller

3.diarieföring, handläggning och liknande verksamhet inom denna lags tillämpningsområde.

Personuppgifters kvalitet

Korrekta uppgifter

13 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

SOU 2025:49

Författningsförslag

Uppgiftsminimering

14 § Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen.

Särskilda upplysningar

15 § Om det ändamål som personuppgifter behandlas för inte fram- går av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

16 § När personuppgifter behandlas för att utreda och lagföra brott som Säkerhetspolisen ansvarar för, ska personuppgifter som rör olika kategorier av registrerade så långt det är möjligt särskiljas. Genom särskiljningen ska det framgå om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott.

Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upp- lysning.

Särskilda kategorier av personuppgifter

Känsliga personuppgifter

17 § Uppgifter om en person får inte behandlas enbart utifrån sådant som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filo- sofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Första stycket hindrar inte behandling av personuppgifter som har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande.

18 § Genetiska uppgifter får inte behandlas.

Författningsförslag

SOU 2025:49

Privilegierade uppgifter

19 § Säkerhetspolisen får inte behandla personuppgifter

1.för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförord- ningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförordningen eller 2 kap. 5 § yttrandefrihetsgrundlagen, eller

2.i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken.

Sökbegränsningar

20 § Sökning i syfte att få fram ett urval av personer får grundas på känsliga personuppgifter endast om skälen för att utföra behand- lingen uppenbart överväger intrånget i de enskilda eller allmänna in- tressen som kan påverkas av den.

21 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt avseende det brottet.

Automatiserat beslutsfattande

22 § En persons personuppgifter får inte användas för att fatta auto- matiserade beslut som har en betydande påverkan för honom eller henne.

3 kap. Informationsutbyte

Behandling för att tillhandahålla information

1 § Uppgifter som behandlas enligt 2 kap. 4–6 §§ får även behandlas för att tillhandahålla information

1. om uppgifterna behövs i

a)brottsbekämpande verksamhet hos en myndighet,

b)en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

SOU 2025:49

Författningsförslag

c)Försvarsmaktens militära säkerhetstjänst, eller

d)Försvarsmaktens eller Försvarets radioanstalts försvarsunder- rättelseverksamhet, eller

2. om uppgifterna behövs i

a)brottsbekämpande verksamhet hos en utländsk myndighet,

b)brottsbekämpande verksamhet hos en mellanfolklig organisa-

tion,

c)verksamhet hos utländsk underrättelse- eller säkerhetstjänst, eller

d)ett säkerhets- eller underrättelseorgan i en mellanfolklig orga- nisation som Sverige är medlem i, eller

3. till riksdagen eller regeringen, eller

4. om det sker i överensstämmelse med lag eller förordning.

2 § Personuppgifter som behövs för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Utlämnande av personuppgifter till annat land

3 § Om det är förenligt med svenska intressen, får personuppgifter som behandlas med stöd av 2 kap. 4–6 §§ lämnas ut

1.enligt 1 § 2, eller

2.till en annan utländsk myndighet eller mellanfolklig organisa- tion, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

Utlämnande av personuppgifter enligt första stycket får bara ske till mottagare som kan garantera ett tillräckligt skydd för person- uppgifterna.

4 § Personuppgifter som behandlas med stöd av 2 kap. 4–6 §§ får i ett enskilt fall lämnas ut till annan utländsk mottagare än vad som anges i 3 § om

1.sekretess inte hindrar utlämnandet, och

2.skälen för att lämna ut uppgifterna uppenbart överväger in- trånget i de enskilda eller allmänna intressen som kan påverkas av utlämnandet.

Författningsförslag

SOU 2025:49

Elektroniskt utlämnande

5 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

6 § Direktåtkomst får medges för personuppgifter som behandlas enligt 2 kap. 4–6 §§ och som

1. Polismyndigheten behöver för att

a)förebygga, förhindra eller upptäcka brottslig verksamhet,

b)utreda eller lagföra brott, eller

c)fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar,

2. Försvarsmakten behöver i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst, eller

3. Försvarets radioanstalt behöver i sin försvarsunderrättelse- verksamhet.

7 § En underrättelse- eller säkerhetstjänst i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet, i Förenade kungariket eller i Schweiz får medges direktåtkomst till personupp- gifter

1.som behandlas för att förebygga, förhindra och upptäcka brotts- lig verksamhet som innefattar terrorbrott, och

2.om det behövs för samarbetet mot terrorism.

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst ska Säkerhetspolisen informera regeringen.

Sekretessbrytande bestämmelser

8 § Trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400) har

1.Polismyndigheten rätt att ta del av personuppgifter som be- handlas med stöd av 2 kap. 4–6 §§, om myndigheten behöver upp- gifterna för att

a) förebygga, förhindra eller upptäcka brottslig verksamhet, b) utreda eller lagföra brott, eller

c) fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar,

SOU 2025:49

Författningsförslag

2.Försvarsmakten rätt att ta del av personuppgifter som behand- las med stöd av 2 kap. 4 eller 5 §, om myndigheten behöver uppgifterna

isin försvarsunderrättelseverksamhet eller militära säkerhetstjänst, och

3.Försvarets radioanstalt rätt att ta del av personuppgifter som behandlas med stöd av 2 kap. 4 eller 5 §, om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet.

Rätt att meddela föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om om- fattningen av direktåtkomst enligt 6 och 7 §§ och om behörighet och säkerhet vid sådan åtkomst.

Regeringen kan också meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 5 §.

4 kap. Längsta tid som personuppgifter får behandlas

Bestämmande av behandlingstid

1 § När personuppgifter registreras för ett ändamål eller börjar behandlas för ett nytt ändamål ska Säkerhetspolisen bestämma hur lång tid uppgifterna får behandlas för det ändamålet.

Tiden enligt första stycket får inte vara längre än vad som behövs för ändamålet med behandlingen och inte vara längre än

1.sextio år, om ändamålet för behandlingen hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt,

2.fem år, om uppgifterna behandlas endast för utvecklingsända- mål, och

3.tjugofem år, om uppgifterna behandlas för något annat ända- mål enligt denna lag.

Behandlingstiden får bestämmas gemensamt för personuppgifter som är förenade av sammanhanget. Behandlingstiden ska avse antingen viss tid eller räknas från den senaste registreringen avseende personens anknytning till ändamålet för behandlingen.

Författningsförslag

SOU 2025:49

Behandlingens upphörande

2 § Personuppgifter får inte behandlas för något ändamål inom denna lags tillämpningsområde efter utgången av det kalenderår då behandlingstiden enligt 1 § löper ut. Om behandlingstiden är kortare än ett år, får uppgifterna inte behandlas efter att den tiden löpt ut. Personuppgifter får inte heller behandlas om det framgår att upp- gifterna inte längre behövs för ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Förlängning av behandlingstid

3 § Säkerhetspolisen får i ett enskilt fall bestämma att personupp- gifter får behandlas under längre tid än vad som följer av 1 § första stycket, om uppgifterna fortfarande behövs för det ändamål som de behandlas för.

Vid ett beslut enligt första stycket får behandlingstiden förlängas med som längst den tid som anges i 1 § andra stycket.

Om den behandlingstid som bestäms enligt första stycket inne- bär att uppgifter behandlas längre än vad som anges i 1 § andra stycket, ska ett särskilt beslut fattas och den särskilda tillsynsmyndigheten underrättas om det.

Bestämmande av behandlingstid för uppgifter om barn

4 § När Säkerhetspolisen bestämmer längsta tid för behandling av personuppgifter enligt 1 och 3 §§, ska särskilt beaktas att personupp- gifter som rör barn ska omfattas av ett särskilt starkt personupp- giftsskydd.

SOU 2025:49

Författningsförslag

Rätt att meddela föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål enligt 2 § andra stycket, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

5 kap. Säkerhetspolisens skyldigheter

Skyldighet att vidta åtgärder

1 § Om det framgår att personuppgifter behandlas i strid med lag eller annan författning, ska Säkerhetspolisen vidta de åtgärder som krävs för att behandlingen ska bli författningsenlig. Detsamma gäller om åtgärden krävs för att utföra en rättslig förpliktelse.

Om det till följd av första stycket krävs att personuppgifter raderas men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas till detta ändamål.

Tekniska och organisatoriska åtgärder

2 § Säkerhetspolisen ska, genom lämpliga tekniska och organisa- toriska åtgärder, säkerställa och kunna visa att behandlingen av person- uppgifter är författningsenlig och att registrerades rättigheter skyddas.

3 § Säkerhetspolisen ska när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åt- gärder, se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).

4 § Säkerhetspolisen ska se till att det i automatiserade behandlings- system som regel inte är möjligt att behandla andra personuppgifter än de som behövs för varje särskilt angivet ändamål med behand- lingen (dataskydd som standard).

Författningsförslag

SOU 2025:49

5 § Säkerhetspolisen ska säkerställa att det i automatiserade behand- lingssystem förs loggar över personuppgiftsbehandling i den utsträck- ning det behövs eller är särskilt föreskrivet.

För behandling som avses i 2 kap. 20 § ska loggar föras.

Tillgången till personuppgifter

6 § Säkerhetspolisen ska se till och kunna visa att tillgången till per- sonuppgifter begränsas till vad var och en behöver för att kunna full- göra sina arbetsuppgifter.

Säkerhetsåtgärder

7 § Säkerhetspolisen ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Konsekvensbedömning

8 § Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för in- trång i den registrerades personliga integritet, ska Säkerhetspolisen innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Förhandssamråd

9 § Om konsekvensbedömningen visar att det finns en särskild risk för intrång i den registrerades personliga integritet, eller om typen av behandling innebär en särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen på- börjas eller betydande förändringar genomförs (förhandssamråd).

SOU 2025:49

Författningsförslag

Samarbetsskyldighet

10 § Säkerhetspolisen ska samarbeta med de myndigheter som utövar tillsyn över personuppgiftsbehandling enligt denna lag och föreskrif- ter som har meddelats i anslutning till lagen.

Dataskyddsombud

11 § Säkerhetspolisen ska inom myndigheten utse ett eller flera data- skyddsombud och anmäla till tillsynsmyndigheten och den särskilda tillsynsmyndigheten när dataskyddsombud utses och entledigas.

12 § Dataskyddsombud ska

1.självständigt kontrollera att Säkerhetspolisen behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt full- gör sina skyldigheter,

2.informera och ge råd till Säkerhetspolisen och de som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.på begäran ge Säkerhetspolisen råd vid en konsekvensbedöm- ning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör Säkerhets- polisens behandling av personuppgifter, och

5.samarbeta med tillsynsmyndigheten och den särskilda tillsyns- myndigheten och vara kontaktpunkt för dessa vid förhandssamråd och andra frågor som rör behandling av personuppgifter.

Personuppgiftsbiträden

13 § Säkerhetspolisen får, om det är lämpligt, anlita personupp- giftsbiträden för behandling av personuppgifter på myndighetens vägnar. Innan ett personuppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

Författningsförslag

SOU 2025:49

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse mellan Säkerhetspolisen och biträdet.

14 § Ett personuppgiftsbiträde får inte anlita ett annat personupp- giftsbiträde utan skriftligt tillstånd från Säkerhetspolisen.

15 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från Säkerhetspolisen.

Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgifts- ansvarig för den behandlingen.

16 § Det som sägs om Säkerhetspolisens skyldigheter i 2–8 §§ och 10 § gäller även för personuppgiftsbiträden.

6 kap. Den registrerades rättigheter

Rätt till registerutdrag

1 § På begäran av en enskild ska Säkerhetspolisen lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få skriftlig information om

1.vilka personuppgifter om sökanden som behandlas,

2.varifrån personuppgifterna kommer,

3.den rättsliga grunden och ändamålen med behandlingen,

4.mottagare eller kategorier av mottagare av personuppgifterna,

och

5.hur länge personuppgifterna får behandlas.

Uppgifter enligt första stycket, som den sökanden inte redan tagit del av, ska lämnas utan kostnad en gång per år. I andra fall får Säker- hetspolisen ta ut en rimlig avgift.

2 § Säkerhetspolisens skyldighet att lämna information enligt 1 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.

SOU 2025:49

Författningsförslag

Om förutsättningarna i första stycket är uppfyllda, är Säkerhets- polisen inte skyldig att lämna ut skälen för beslutet. Säkerhetspolisen ska i dessa fall informera sökanden om andra möjligheter att pröva om dennes personuppgifter behandlas författningsenligt.

Skadestånd

3 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

7 kap. Tillsyn

Tillsynsmyndighetens uppgifter

1 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling, och

2.vid förhandssamråd enligt 5 kap. 9 § och när det i övrigt är på- kallat ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträ- den om deras skyldigheter enligt lag eller annan författning.

Undersökningsbefogenheter

2 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen och person- uppgiftsbiträdet på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som Säkerhetspolisen eller personuppgifts- biträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.den hjälp och den information som behövs för tillsynen.

Författningsförslag

SOU 2025:49

Förebyggande befogenheter

3 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgifts- biträdet att vidta åtgärder för att motverka den risken.

4 § Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning eller att Säkerhetspolisen eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyl- digheter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 3 § försöka förmå Säkerhets- polisen eller personuppgiftsbiträdet att vidta åtgärder för att behand- lingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,

2.förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att upp- fylla andra skyldigheter, eller

3.förbjuda fortsatt behandling om bristen är allvarlig.

Om ett föreläggande utfärdas, ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

6 § Tillsynsmyndighetens beslut får inte verkställas omedelbart.

Särskild tillsyn

7 § Bestämmelser om särskild tillsyn över Säkerhetspolisens behand- ling av personuppgifter finns i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

SOU 2025:49

Författningsförslag

8 § Den myndighet som utövar tillsyn enligt 7 § (särskild tillsyns- myndighet) och Säkerhetspolisen ska löpande samverka i frågor som rör Säkerhetspolisens skyldigheter enligt lag eller annan författning.

9 § Säkerhetspolisen ska i skälig omfattning vidta de tekniska åt- gärder som är nödvändiga för att den särskilda tillsynsmyndigheten ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt.

Den särskilda tillsynsmyndigheten har utöver de befogenheter som följer av särskild lagstiftning även de befogenheter som följer av 2 §.

8 kap. Överklagande

Överklagande av den personuppgiftsansvariges beslut

1 § Beslut om att inte lämna information eller att ta ut avgift enligt 6 kap. 1 § får överklagas till kammarrätt.

Överklagande av tillsynsmyndighetens beslut

2 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till Försvarsunderrättelsedomstolen.

3 § Vid prövning enligt 2 § ska Försvarsunderrättelsedomstolen tillämpa 2–8, 10–15, 17–26, 28–32 och 38–53 §§ förvaltningsprocess- lagen (1971:291) i tillämpliga delar samt 9 §, 10 § första stycket 1 och 15 § lagen (2009:966) om Försvarsunderrättelsedomstol.

Muntliga förhandlingar i domstolen är inte offentliga. Rätten får besluta att en förhandling ska vara offentlig i de delar där det står klart att inga uppgifter för vilka det hos domstolen gäller sådan sekre- tess som avses i offentlighets- och sekretesslagen (2009:400) kommer att uppenbaras.

När ett beslut överklagas är tillsynsmyndigheten motpart i dom- stolen. Den särskilda tillsynsmyndigheten ska beredas tillfälle att yttra sig i målet om det behövs.

SOU 2025:49

Författningsförslag

1.2Förslag till lag om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller utöver lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter. Lagen är tillämplig för automatiserad behandling av personuppgifter som registreras eller har registrerats i en särskild uppgiftssamling.

Vid tillämpning av denna lag ska följande bestämmelser i lagen om Säkerhetspolisens behandling av personuppgifter inte tillämpas

–2 kap. 5, 11, 13–16, 20 och 21 §§,

–3 kap.,

–4 kap.,

–6 kap. 1 och 2 §§, samt

–7 kap. 2 § 1.

Definitioner

2 § I denna lag används följande uttryck med nedan angiven be-

tydelse.
Uttryck	Betydelse
Särskild uppgiftssamling	En samling med uppgifter som
	inte får tas fram utan tillstånd och
	där tillgången till uppgifterna är
	begränsad genom tekniska eller
	organisatoriska åtgärder.
Registrering	Införande av uppgifter i en
	särskild uppgiftssamling.
Framtagning	Tillgängliggörande av person-
	uppgifter som innebär att inne-
	hållet i eller innebörden av dem
	avslöjas.

Författningsförslag

SOU 2025:49

2 kap. Registrering

Registreringsbeslut

1 § Säkerhetspolisen får besluta att personuppgifter ska registreras i en särskild uppgiftssamling, om det är befogat för ett ändamål inom någon av de verksamheter som anges i 2 kap. 4, 6 eller 7 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Säkerhetspolisen ska utse de personer som får fatta beslut enligt första stycket. Sådana personer ska ha de särskilda kunskaper och den erfarenhet som uppgiften kräver.

Dokumentation

2 § Ett beslut enligt 1 § ska dokumenteras. Av ett registrerings- beslut ska framgå

1.vad de registrerade uppgifterna i huvudsak avser och från vilken källa eller vilka källor de härrör,

2.vilket intrång i enskilda och allmänna intressen som behandling av uppgifterna kan antas medföra,

3.för vilket eller vilka ändamål uppgifterna registreras,

4.hur länge uppgifterna som längst får behandlas (behandlings- tid), och

5.de skäl och omständigheter i övrigt som föranlett registreringen. Varje uppgift i en särskild uppgiftssamling ska kunna spåras till ett

beslut enligt första stycket.

Behandlingstid

3 § Behandlingstiden i ett registreringsbeslut får inte bestämmas till längre än tio år.

Om behandlingstiden bestäms så att personuppgifter sammanlagt behandlas längre än fem år, ska skälen till det anges särskilt. Den sär- skilda tillsynsmyndigheten ska underrättas om sådana beslut.

SOU 2025:49

Författningsförslag

Förlängd behandlingstid

4 § Säkerhetspolisen får besluta att förlänga behandlingstiden, om fortsatt behandling av uppgifterna är befogad för något ändamål som anges i 1 § första stycket.

Vid ett beslut om förlängning av behandlingstiden ska 2 och 3 §§ tillämpas.

Den sammanlagda behandlingstiden får överstiga tjugofem år endast om det finns synnerliga skäl.

3 kap. Framtagning och annan behandling

Framtagning

1 § Uppgifter som är registrerade i en särskild uppgiftssamling får tas fram endast efter tillstånd.

2 § Säkerhetspolisen får ansöka om tillstånd till framtagning, om det behövs för ett särskilt ändamål inom någon av de verksamheter som anges i 2 kap. 4, 6 och 7 §§ lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

3 § De befattningshavare vid Säkerhetspolisen som regeringen före- skriver får besluta om tillstånd till framtagning, om ett inhämtande av domstolens tillstånd skulle medföra en fördröjning som är av väsentlig betydelse för att avvärja en omedelbart förestående fara för människors liv, hälsa eller omfattande förstörelse av egendom.

Ett tillstånd enligt första stycket ska vara förenligt med 5 § och beslutet ska utformas enligt 4 kap. 6 §. Den särskilda tillsynsmyndig- heten ska omedelbart underrättas om beslutet. Beslutet ska senast dagen efter att det fattats anmälas till domstolen. Om ett beslut inte anmälts i rätt tid, får det inte ligga till grund för framtagning och personuppgifter som tagits fram med stöd av beslutet får inte längre behandlas.

Författningsförslag

SOU 2025:49

Övrig behandling

4 § Annan personuppgiftsbehandling än registrering och framtag- ning får ske

1.för att tekniskt möjliggöra, effektivisera eller förenkla en fram- tagning,

2.om det behövs för att personuppgifter ska behandlas författnings- enligt och på ett korrekt sätt, eller

3.om det behövs för ett särskilt, uttryckligt angivet och berättigat ändamål.

Förutsättningar för tillstånd till framtagning

5 § Tillstånd till framtagning får lämnas endast om

1.behandlingen står i överensstämmelse med lag och Sveriges inter- nationella åtaganden,

2.behandlingen behövs för ändamålet, och

3.det står klart att skälet för att utföra behandlingen överväger in- trånget i de enskilda eller allmänna intressen som kan påverkas av den.

En framtagning enligt första stycket får inte förväntas leda till att fler personuppgifter än vad som behövs för ändamålet behandlas.

Ett tillstånd till framtagning ska gälla för viss tid.

4 kap. Handläggningen i domstol

Ansökan om framtagning

1 § Ansökan om tillstånd till framtagning görs hos Försvarsunder- rättelsedomstolen.

2 § I ansökan ska sökanden ange

1.vilka kategorier av uppgifter framtagningen ska avse och från vilka typer av källor framtagning ska ske,

2.det särskilda ändamålet med och behovet av framtagningen,

3.vilka sökbegrepp, kategorier av sökbegrepp eller andra urvals- kriterier som är avsedda att användas vid framtagningen och, om det finns skäl, med vilken teknik urvalet ska ske,

4.under vilken tid tillståndet ska gälla, och

SOU 2025:49

Författningsförslag

5.de skäl och omständigheter i övrigt som sökanden vill åberopa till stöd för sin ansökan.

Om sökbegrepp ska innehålla känsliga personuppgifter, eller om urvalet av annan anledning förväntas ske utifrån sådana uppgifter, ska det anges särskilt.

3 § Ett beslut om framtagning enligt 3 kap. 3 § som anmälts till dom- stolen ska anses vara en ansökan om framtagning. En sådan anmälan ska prövas skyndsamt.

Domstolen får bestämma att ett beslut som avses i första stycket inte får ligga till grund för framtagning. Domstolen får också besluta att personuppgifter som tagits fram med stöd av ett anmält beslut inte längre får behandlas.

Domstolen får fatta beslut enligt andra stycket innan ansökan slutligen har prövats.

Sammanträde

4 § När en ansökan om framtagning har inkommit ska domstolen, om det behövs, hålla sammanträde. Till sammanträdet ska Säkerhets- polisen och den särskilda tillsynsmyndigheten kallas.

Den särskilda tillsynsmyndighetens yttrande

5 § Innan domstolen avgör en tillståndsfråga ska den särskilda till- synsmyndigheten ges tillfälle att yttra sig, om det inte är obehövligt.

Tillstånd till framtagning

6 § Försvarsunderrättelsedomstolen får lämna tillstånd till fram- tagning. I tillståndet ska domstolen ange

1.från vilka kategorier av uppgifter och från vilken typ av källor som framtagning får ske,

2.de sökbegrepp, kategorier av sökbegrepp eller andra urvals- kriterier som får användas vid framtagning samt, om det finns skäl, med vilken teknik urvalet får ske,

3.under vilken tid tillståndet gäller,

Författningsförslag

SOU 2025:49

4.de villkor i övrigt som behövs för att begränsa intrånget i en- skilda eller allmänna intressen samt för att möjliggöra en effektiv tillsyn, och

5.de skäl som bestämt utgången.

Ändring av tillstånd

7 § Domstolen får besluta om ändring av vad som föreskrivits i ett tillstånd.

Domstolen

8 § I fråga om domförhet gäller 9 § lagen (2009:966) om Försvars- underrättelsedomstol.

9 § En ordförande eller en vice ordförande får ensam

1.företa förberedande åtgärder och besluta om avskrivning,

2.fatta beslut enligt 3 § tredje stycket, och

3.besluta om ändring enligt 7 §, om ändringen är av enkel be- skaffenhet.

Ordföranden får förordna en lagfaren tjänsteman vid domstolen att ensam på domstolens vägnar vidta förberedande åtgärder.

10 § Om inte annat följer av denna lag, gäller 3–5, 8, 14, 17–26, 29–32 och 38–53 §§ förvaltningsprocesslagen (1971:291) i tillämpliga delar vid förfarandet i domstolen.

11 § Muntliga förhandlingar i domstolen är inte offentliga. Rätten får besluta att en förhandling ska vara offentlig i de delar

där det är uppenbart att inga sekretessbelagda uppgifter enligt offent- lighets- och sekretesslagen (2009:400) kommer att avslöjas.

12 § Domstolens avgörande av saken sker genom dom. Andra av- göranden sker genom beslut.

13 § I fråga om omröstning gäller 16 kap. rättegångsbalken i tillämp- liga delar.

SOU 2025:49

Författningsförslag

Överklagandeförbud

14 § Domstolens avgöranden enligt denna lag får inte överklagas.

5 kap. Tillsyn Radering

1 § Den särskilda tillsynsmyndigheten får besluta att framtagna upp- gifter ska raderas, om det kan konstateras att framtagningen inte har varit förenlig med ett tillstånd enligt denna lag.

Framtagning för tillsyn

2 § Den särskilda tillsynsmyndigheten har rätt att ansöka om till- stånd till framtagning för tillsynsändamål. I ett enskilt fall har också tillsynsmyndigheten rätt att ansöka om framtagning för ett sådant ändamål.

Säkerhetspolisen ska ges tillfälle att yttra sig över ansökan.

Denna lag träder i kraft den 1 januari 2027.

Författningsförslag

SOU 2025:49

1.3Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

Härigenom föreskrivs i fråga om lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet att 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §1

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över

1.brottsbekämpande myndigheters användning av hemliga tvångs- medel och kvalificerade skyddsidentiteter,

2.brottsbekämpande myndigheters användning av andra tvångs- medel enligt lagen (2007:979) om åtgärder för att förhindra vissa sär- skilt allvarliga brott än de som avses i 1, om inte den som åtgärden utförts hos eller annars riktats mot har närvarat vid åtgärden,

3.Säkerhetspolisens användning av hemliga tvångsmedel vid sär- skild kontroll av vissa utlänningar, och

4.därmed sammanhängande verksamhet.

1Senaste lydelse 2024:563.

SOU 2025:49

lagen om Säkerhetspolisens behand- ling av personuppgifter.

Nämnden ska också utöva tillsyn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa upp- gifter för att utreda brott.

Författningsförslag

Nämnden ska också utöva tillsyn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa upp- gifter för att utreda brott. Nämnden ska även utöva tillsyn över Säkerhetspolisens behandling av personuppgifter enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första–tredje styckena bedrivs i enlighet med lag eller annan för- fattning.

1.Denna lag träder i kraft den 1 januari 2027.

2.Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling som utförts före ikraft- trädandet eller som sker med stöd av övergångsbestämmelser till lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Författningsförslag

SOU 2025:49

1.4Förslag till lag om ändring av offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 18 kap. 2 §, 35 kap. 1 och 10 §§ ska ha följande lydelse, dels att rubriken närmast före 42 kap. 5 § i stället ska sättas när-

mast före den nya 42 kap. 4 d §,

dels att det ska införas nya paragrafer, 18 kap. 2 a §, 35 kap. 1 a § samt 42 kap. 4 d och 4 e §§, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

18 kap.

2 §1

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § 1 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i

1.2 kap. 1 § 1 lagen (2018:1694) om Tullverkets behandling av per- sonuppgifter inom brottsdatalagens område,

2.2 kap. 1 § 1 lagen (2018:1695) om Kustbevakningens behand- ling av personuppgifter inom brottsdatalagens område,

3.2 kap. 1 § 1 lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, eller

4. 2 kap. 1 § 1 lagen (2019:1182)	4. 2 kap. 4 § lagen (2026:000)
om Säkerhetspolisens behandling	om Säkerhetspolisens behandling
av personuppgifter.	av personuppgifter.

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en all- män handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år

1Senaste lydelse 2019:1184.

SOU 2025:49

Författningsförslag

2 a §

Sekretess gäller för uppgift i sär- skilda uppgiftssamlingar, enligt lagen (2026:000) om Säkerhetspoli- sens behandling av personuppgifter i särskilda uppgiftssamlingar, som lämnar eller kan bidra till upp- lysning om Säkerhetspolisens verk- samhet att förebygga, förhindra och upptäcka brottslig verksamhet.

För uppgift i allmän handling gäller sekretessen i sjuttio år.

Sekretess enligt första stycket hindrar inte en framtagning enligt lagen om Säkerhetspolisens behand- ling av personuppgifter i särskilda uppgiftssamlingar.

35kap. 1 §2

Sekretess gäller för uppgift om en enskilds personliga och eko- nomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott eller i ärende enligt lagen (2024:326) om hemliga tvångsmedel i syfte att verkställa frihets- berövande påföljder,

3.angelägenhet som avser säkerhetsprövning enligt säkerhets- skyddslagen (2018:585),

4.annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

2Senaste lydelse 2024:788.

FörfattningsförslagSOU 2025:49

5. register som förs av Polis-	5. register som förs av Polis-
myndigheten enligt 5 kap. lagen	myndigheten enligt 5 kap. lagen
(2018:1693) om polisens behand-	(2018:1693) om polisens behand-
ling av personuppgifter inom	ling av personuppgifter inom
brottsdatalagens område eller som	brottsdatalagens område eller som
annars behandlas med stöd av de	annars behandlas med stöd av de
bestämmelserna, eller uppgifter	bestämmelserna, eller uppgifter
som behandlas av Säkerhetspolisen	som behandlas av Säkerhetspolisen
eller Polismyndigheten med stöd	eller Polismyndigheten med stöd
av lagen (2019:1182) om Säker-	av lagen (2026:000) om Säker-
hetspolisens behandling av person-	hetspolisens behandling av person-
uppgifter,	uppgifter,

6.register som förs enligt lagen (1998:621) om misstankeregister,

7.register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,

8.särskilt ärenderegister över brottmål som förs av åklagarmyndig- het, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

9.register som förs av Tullverket enligt lagen (2018:1694) om Tull- verkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag, eller

10.utredning om självständigt förverkande.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rätt- skipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångs- medel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

1 a §

Sekretess gäller för uppgift om en enskilds personliga och ekono- miska förhållanden i särskilda uppgiftssamlingar enligt lagen (2026:000) om Säkerhetspolisens

SOU 2025:49

Författningsförslag

behandling av personuppgifter i särskilda uppgiftssamlingar.

För uppgift i allmän handling gäller sekretessen i sjuttio år.

Sekretess enligt första stycket hindrar inte en framtagning enligt lagen (2026:000) om Säkerhets- polisens behandling av personupp- gifter i särskilda uppgiftssamlingar.

10 §3

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2.till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:585) och i förordning som har meddelats med stöd i den lagen,

3.till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångs- balken,

4.enligt vad som föreskrivs i

–lagen (1998:621) om misstankeregister,

–lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1695) om Kustbevakningens behandling av person- uppgifter inom brottsdatalagens område,

–lagen (2018:1696) om Skatteverkets behandling av personupp- gifter inom brottsdatalagens område,

–lagen (2018:1697) om åklagarväsendets behandling av personupp- gifter inom brottsdatalagens område,

– lagen (2019:1182) om Säker-	– lagen (2026:000) om Säker-
hetspolisens behandling av person-	hetspolisens behandling av person-
uppgifter, eller	uppgifter, eller

förordningar som har stöd i dessa lagar.

3Senaste lydelse 2019:1184,

Författningsförslag

SOU 2025:49

42 kap.

4 d §

Får Säkerhets- och integritets- skyddsnämnden en sekretessreglerad uppgift från en myndighet i mål om tillstånd enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar blir sekretessbestäm- melsen tillämplig på uppgiften även hos nämnden.

4 e §

Sekretess som gäller hos Säker- hets- och integritetsskyddsnämn- den enligt 4 d §, 6–8 §§, 15 kap. eller 18 kap., hindrar inte att en uppgift lämnas till domstol, om uppgiften behövs för tillstånds- prövning enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar.

1.Denna lag träder i kraft den 1 januari 2027.

2.Äldre föreskrifter gäller fortfarande för uppgifter som behand- las med stöd av övergångsbestämmelser till lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

SOU 2025:49

Författningsförslag

1.5Förslag till lag om ändring i lagen (2009:966) om Försvarsunderrättelsedomstol

Härigenom föreskrivs i fråga lagen (2009:966) om Försvarsunderrät- telsedomstol

dels att 1, 2, 4, 5, 9 §§ ska ha följande lydelse,

dels att rubriken närmast före 5 § ska lyda ”Integritetsskydds- ombud i mål om signalspaning”,

dels att det ska införas en ny paragraf, 10 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1§

Försvarsunderrättelsedomstolen ska pröva frågor om tillstånd till

signalspaning enligt lagen (2008:717) om signalspaning i försvars- underrättelseverksamhet.

Försvarsunderrättelsedomstolen ska även

1.pröva frågor om tillstånd till framtagning enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar,

2.pröva beslut som ska över- klagas dit enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

2 §1

Försvarsunderrättelsedomsto-	Försvarsunderrättelsedomsto-
len består av en ordförande, en	len består av högst två ordförande,
eller högst två vice ordförande	högst två vice ordförande samt
samt minst två och högst sex	minst två och högst tio särskilda
särskilda ledamöter.	ledamöter. En av ordförandena
	ska vara chef för domstolen.

Ledamöterna ska vara svenska medborgare och får inte vara underåriga eller i konkurstillstånd eller ha förvaltare enligt 11 kap. 7 § föräldrabalken. Innan en ledamot börjar tjänstgöra i domstolen, ska han eller hon ha avlagt domared.

1Senaste lydelse 2010:1399.

Ett integritetsskyddsombud ska bevaka enskildas integritets- intresse i mål vid domstolen om tillstånd till signalspaning. Om- budet har rätt att ta del av det som förekommer i målet och att yttra sig.

Är en ordförande förhindrad att tjänstgöra, får en vice ord- förande inträda i ordförandens ställe.

Författningsförslag

SOU 2025:49

I lagen (2010:1390) om ut-	I lagen (2010:1390) om ut-
nämning av ordinarie domare	nämning av ordinarie domare
finns bestämmelser om utnäm-	finns bestämmelser om utnäm-
ning av ordförande i domstolen.	ning av ordförande tillika chef och
Vice ordförande och särskilda	övriga ordförande i domstolen.
ledamöter förordnas av reger-	Vice ordförande och särskilda
ingen för fyra år.	ledamöter förordnas av reger-
	ingen för fyra år.

4 §

Är ordföranden förhindrad att tjänstgöra, inträder en vice ord- förande i ordförandens ställe.

5 §

Ett integritetsskyddsombud ska bevaka enskildas integritets- intresse i mål vid domstolen. Ombudet har rätt att ta del av det som förekommer i målet och att yttra sig.

9 §

Försvarsunderrättelsedomsto- len är domför med ordförande och två särskilda ledamöter. Fler än tre ledamöter får inte delta i ett avgörande.

Försvarsunderrättelsedomsto- len är domför med en ordförande och två särskilda ledamöter. Fler än tre ledamöter får inte delta i ett avgörande.

10 a §

I lagen (2026:000) om Säkerhets- polisens behandling av personupp- gifter i särskilda uppgiftssamlingar finns regler om handläggningen av mål enligt den lagen.

Denna lag träder i kraft den 1 januari 2027.

7. ordförande tillika chef och övriga ordförande i Försvarsunder- rättelsedomstolen.

SOU 2025:49

Författningsförslag

1.6Förslag till lag om ändring i lagen (2010:1390) om utnämning av ordinarie domare

Härigenom föreskrivs i fråga om lagen (2010:1390) om utnämning av ordinarie domare att 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §2

Denna lag avser utnämning av ordinarie domare. Dessa är

1.justitieråd tillika ordförande, justitieråd tillika avdelnings- ordförande och övriga justitieråd i Högsta domstolen och Högsta förvaltningsdomstolen,

2.president, lagman samt råd tillika vice ordförande på avdelning och övriga råd i hovrätt och kammarrätt,

3.lagman, chefsrådman och rådman i tingsrätt och förvaltningsrätt,

4.tekniska råd,

5.patentråd,

6.ordförande tillika chef och övriga ordförande i Arbetsdom- stolen,

7. ordförande i Försvarsunder- rättelsedomstolen.

Denna lag träder i kraft den 1 januari 2027.

2Senaste lydelse 2016:227.

Författningsförslag

SOU 2025:49

1.7Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete

Härigenom föreskrivs i fråga om lagen (2017:496) om internationellt polisiärt samarbete att 6 kap. 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 kap.

1 §1

Om inte annat följer av denna lag eller föreskrifter som reger- ingen har meddelat i anslutning till lagen gäller brottsdatalagen (2018:1177) och följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete:

–lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,

–lagen (2018:1694) om Tullverkets behandling av personupp- gifter inom brottsdatalagens område

–lagen (2018:1695) om Kustbevakningens behandling av person- uppgifter inom brottsdatalagens område, eller

– lagen (2019:1182) om Säker-	– lagen (2026:000) om Säker-
hetspolisens behandling av person-	hetspolisens behandling av person-
uppgifter.	uppgifter.

Denna lag träder i kraft den 1 januari 2027.

1Senaste lydelse 2018:1247.

3. lagen (2026:000) om Säker- hetspolisens behandling av person- uppgifter.

SOU 2025:49

Författningsförslag

1.8Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs i fråga om lagen (2018:218) med komplette- rande bestämmelser till EU:s dataskyddsförordning att 1 kap. 3 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 3 §1

Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1.lagen (2021:1171) om behandling av personuppgifter vid För- svarsmakten,

2.lagen (2021:1172) om behandling av personuppgifter vid För- svarets radioanstalt, eller

3. lagen (2019:1182) om Säker- hetspolisens behandling av person- uppgifter.

1.Denna lag träder i kraft den 1 januari 2027.

2.Äldre föreskrifter ska fortsätta att tillämpas för personuppgifter som behandlas med stöd av övergångsbestämmelserna till lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

1Senaste lydelse 2021:114.

2. lagen (2026:000) om Säker- hetspolisens behandling av per- sonuppgifter.

Författningsförslag

SOU 2025:49

1.9Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) att 3 kap. 13 och14 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 kap.

13 §1

Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av

1.lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, eller

2. lagen (2019:1182) om Säker- hetspolisens behandling av per- sonuppgifter.

14 §2

Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksam-

heten pågår.
För säkerhetsklass 1 eller 2	För säkerhetsklass 1 eller 2
får uppgifter om den kontrol-	får uppgifter om den kontrol-
lerade som finns i belastnings-	lerade som finns i belastnings-
registret eller misstankeregistret	registret eller misstankeregistret
eller som behandlas med stöd av	eller som behandlas med stöd av
lagen (2018:1693) om polisens	lagen (2018:1693) om polisens
behandling av personuppgifter	behandling av personuppgifter
inom brottsdatalagens område	inom brottsdatalagens område
eller lagen (2019:1182) om Säker-	eller lagen (2026:000) om Säker-
hetspolisens behandling av per-	hetspolisens behandling av per-
sonuppgifter hämtas. Motsvar-	sonuppgifter hämtas. Motsvar-
ande uppgifter får även hämtas	ande uppgifter får även hämtas

1Senaste lydelse 2019:1187.

2Senaste lydelse 2019:1187.

SOU 2025:49Författningsförslag

om den kontrollerades make eller	om den kontrollerades make eller
sambo.	sambo.

För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som be- handlas hos Säkerhetspolisen med stöd av lagen om polisens behand- ling av personuppgifter inom brottsdatalagens område eller lagen om Säkerhetspolisens behandling av personuppgifter hämtas.

Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.

1.Denna lag träder i kraft den 1 januari 2027.

2.Äldre föreskrifter ska gälla för personuppgifter som behandlas enligt övergångsbestämmelser till lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter.

Författningsförslag

SOU 2025:49

1.10Förslag till lag om ändring i kamerabevakningslagen (2018:1200)

Härigenom föreskrivs i fråga om kamerabevakningslagen (2018:1200) att 7 och 14 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 §1

Vid utförande av en uppgift av allmänt intresse som följer av lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning får kamerabevakning bedrivas om

1.bevakningen är nödvändig för att utföra uppgiften, och

2.förutsättningarna som följer av 8, 9, 11 och 13 §§ är uppfyllda.

För kamerabevakning som en		För kamerabevakning som en
myndighet bedriver i en verk-		myndighet bedriver i en verk-
samhet för vilken personupp-		samhet för vilken personupp-
giftsbehandlingen	omfattas av	giftsbehandlingen	omfattas av
brottsdatalagen (2018:1177) eller		brottsdatalagen (2018:1177) eller
lagen (2019:1182) om Säkerhets-		lagen (2026:000) om Säkerhets-
polisens behandling av person-		polisens behandling av person-
uppgifter gäller i stället bestäm-		uppgifter gäller i stället bestäm-
melserna i 14 §		melserna i 14 §
	14 §2
I en verksamhet för vilken per-		I en verksamhet för vilken per-
sonuppgiftsbehandlingen omfattas		sonuppgiftsbehandlingen omfattas
av brottsdatalagen (2018:1177)		av brottsdatalagen	(2018:1177)
eller lagen (2019:1182) om Säker-		eller lagen (2026:000) om Säker-
hetspolisens behandling av per-		hetspolisens behandling av per-
sonuppgifter får	kamerabevak-	sonuppgifter får kamerabevak-
ning bedrivas av en myndighet om		ning bedrivas av en myndighet om

1.bevakningen är nödvändig för ett syfte som anges i de lagarna, och

2.förutsättningarna som följer av 14 a–14 d §§ är uppfyllda.

Denna lag träder i kraft den 1 januari 2027.

1Senaste lydelse 2025:220.

2Senaste lydelse 2025:220.

SOU 2025:49

Författningsförslag

1.11Förslag till lag om ändring i lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott

Härigenom föreskrivs i fråga om lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott att 1 § ska ha föl- jande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §

Uppgifter i underrättelser som Försvarets radioanstalt rappor- terat till en annan myndighet i enlighet med lagen (2000:130) om för- svarsunderrättelseverksamhet får inte användas för att utreda brott.

Uppgifter som Säkerhetspolisen tagit fram från en särskild upp- giftssamling enligt lag (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgifts- samlingar får inte användas för att utreda brott.

Denna lag träder i kraft den 1 januari 2027.

Författningsförslag

SOU 2025:49

1.12Förslag till förordning om Säkerhetspolisens behandling av personuppgifter

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter

2 kap Behandling av personuppgifter

1 § Säkerhetspolisen ska besluta vilka tjänstemän som har tillräck- liga kunskaper enligt 2 kap. 9 § tredje stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

2 § Säkerhetspolischefen och biträdande säkerhetspolischefen får fatta beslut enligt 2 kap. 10 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

3 kap. Informationsutbyte

Direktåtkomst

1 § Av information enligt 3 kap. 7 § andra stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska omfattningen av direktåtkomsten framgå.

2 § Säkerhetspolisen får ställa villkor i fråga om behörighet och säker- het för att myndigheten ska medge direktåtkomst enligt 3 kap. 6 eller 7 § lagen (2026:000) om Säkerhetspolisens behandling av person- uppgifter.

SOU 2025:49

Författningsförslag

Direktåtkomst får inte medges innan Säkerhetspolisen har för- säkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.

3 § Polismyndigheten får medges direktåtkomst enligt 3 kap. 6 § 1 lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter till personuppgifter som behandlas enligt 2 kap 11 § i den lagen för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar, brott mot Sveriges säkerhet eller terrorbrott,

2.utreda eller lagföra sådana brott,

3.fullgöra uppgifter

a)i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer, eller

b)enligt utlännings- och medborgarskapslagstiftningen.

4 § Försvarsmakten får medges direktåtkomst enligt 3 kap. 6 § 2 lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter till personuppgifter som behandlas enligt 2 kap 11 § i den lagen för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar, brott mot Sveriges säkerhet eller terrorbrott, eller

2.utreda eller lagföra sådana brott.

5 § Försvarets radioanstalt får medges direktåtkomst enligt 3 kap. 6 § 2 lagen (2026:000) om Säkerhetspolisens behandling av personupp- gifter till personuppgifter som behandlas enligt 2 kap 11 § i den lagen för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar, brott mot Sveriges säkerhet eller terrorbrott, eller

2.utreda eller lagföra sådana brott.

Utlämnande till mottagare utomlands

6 § Säkerhetspolisen ska dokumentera bedömningen av att de mot- tagare som avses i 3 kap. 3 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter kan garantera tillräckligt skydd för personuppgifterna.

Författningsförslag

SOU 2025:49

Ett utlämnande enligt 3 kap. 3 § lagen om Säkerhetspolisens be- handling av personuppgifter får bara ske om det finns en bedömning som är aktuell.

De bedömningar som avses i första stycket ska hållas tillgänglig för tillsynsmyndigheten och den särskilda tillsynsmyndigheten till- sammans med underlaget för bedömningen.

7 § Utlämnande av personuppgifter till utländska mottagare som sker med stöd av 3 kap. 4 § lagen (2026:000) om Säkerhetspolisens be- handling av personuppgifter ska dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som överförts, datum och tidpunkt för överföringen, ändamålet med överföringen, till vem personuppgif- terna överfördes. Av dokumentationen ska även Säkerhetspolisens bedömning enligt 3 kap. 4 § 1 och 2 lagen om Säkerhetspolisens be- handling av personuppgifter framgå.

4 kap. Längsta tid som personuppgifter får behandlas

Rutiner för att säkerställa tidsfristerna

1 § Säkerhetspolisen ska se till att det finns rutiner för att säker- ställa att de som behandlar personuppgifter respekterar tidsfristerna för när personuppgifter inte längre får behandlas.

Arkivering

2 § När uppgifter och handlingar arkiveras digitalt ska de avskiljas så att de inte kan behandlas för att utföra en uppgift enligt 1 kap. 2 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Åtkomsten till arkiverade uppgifter och handlingar ska begränsas till särskilt angivna tjänstemän.

3 § Riksarkivet får, efter att ha gett Säkerhetspolisen tillfälle att yttra sig, meddela föreskrifter enligt 4 kap. 5 § 1 lagen (2026:000) om Säker- hetspolisens behandling av personuppgifter om behandling för arkiv- ändamål av allmänt intresse och vetenskapliga, statistiska eller histo- riska ändamål.

SOU 2025:49

Författningsförslag

4 § Säkerhetspolisen får, efter att ha gett Riksarkivet tillfälle att yttra sig, meddela närmare föreskrifter om digital arkivering.

5 kap. Säkerhetspolisen skyldigheter

1 § Om det visar sig att sådana personuppgifter som anges i 5 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personupp- gifter har lämnats ut, ska mottagaren omedelbart underrättas om det.

Om sådana personuppgifter har gjorts tillgängliga ska, så långt det är möjligt, även den som har tagit del av personuppgifterna omedel- bart underrättas.

Tekniska och organisatoriska åtgärder

2 § De tekniska och organisatoriska åtgärder som Säkerhetspolisen ska vidta enligt 5 kap. 2 och 3 §§ lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter ska vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.

När Säkerhetspolisen vidtar åtgärder enligt 5 kap. 3 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.

Dokumentationsskyldighet

3 § De tekniska och organisatoriska åtgärder som avses i 5 kap. 2 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska innefatta antagande och dokumentation av interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verk- samhetens begränsade omfattning.

4 § Säkerhetspolisen ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för.

Förteckningen ska innehålla namnet på och kontaktuppgifter till myndigheten och dataskyddsombud.

Förteckningen ska dessutom, för varje kategori av behandling, innehålla följande uppgifter:

Författningsförslag

SOU 2025:49

1.den rättsliga grunden för behandlingen,

2.ändamålen med behandlingen,

3.de kategorier av tjänstemän som har tillgång till de personupp- gifter som behandlas,

4.de kategorier av mottagare som uppgifterna kan komma att lämnas ut till,

5.de kategorier av registrerade som berörs av behandlingen,

6.de kategorier av personuppgifter som kan komma att behandlas,

och

7.om det är möjligt, en allmän beskrivning av vilka säkerhetsåt- gärder som har vidtagits.

5 § Skyldigheten att föra loggar i automatiserade behandlings- system enligt 5 kap. 5 § första stycket lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter ska omfatta

1.inledande behandling av personuppgifter,

2.ändring, läsning, sammanföring och radering av personupp- gifter, och

3.utlämning av personuppgifter samt överföring till mottagare utomlands eller internationella organisationer.

Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt det är möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av person- uppgifterna.

6 § Loggning enligt 5 kap. 5 § andra stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska visa datum och tidpunkt för sökningen, vem som har utfört sökningen och läst per- sonuppgifterna och, så långt det är möjligt, vem som har fått ta del av personuppgifterna.

Tillgången till personuppgifter

7 § Vid tilldelning av behörighet för tillgång till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.

SOU 2025:49

Författningsförslag

8 § Säkerhetspolisen ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden upp- följning av behörighet för tillgången till personuppgifter.

Säkerhetsåtgärder

9 § Säkerhetsåtgärder enligt 5 kap. 7 § lagen (2026:000) om Säker- hetspolisens behandling av personuppgifter ska åstadkomma en skyddsnivå som är lämplig med hänsyn till

1.de tekniska möjligheterna,

2.kostnaderna för åtgärderna,

3.behandlingens art, omfattning, sammanhang och ändamål,

4.de särskilda riskerna med behandlingen,

5.om känsliga personuppgifter behandlas, och

6.hur integritetskänsliga övriga personuppgifter som behandlas är.

Konsekvensbedömningar och förhandssamråd

10 § Konsekvensbedömningar som avses i 5 kap. 8 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska dokumen- teras och innehålla följande uppgifter:

1.en allmän beskrivning av den planerade behandlingen,

2.en bedömning av riskerna för intrång i registrerades personliga integritet,

3.vilka åtgärder som planeras för att hantera riskerna,

4.åtgärder och rutiner för att säkerställa skyddet av personupp- gifterna,

5.rutiner för att visa att personuppgifter behandlas författnings- enligt, och

6.skälet för att genomföra den planerade behandlingen överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den.

11 § Vid förhandssamråd enligt 5 kap. 9 § lagen (2026:000) om Säker- hetspolisens behandling av personuppgifter ska Säkerhetspolisen lämna in konsekvensbedömningen till tillsynsmyndigheten och till- handahålla den övriga information som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär en sådan risk för intrång i registrerades personliga integritet att förhandssamråd

Författningsförslag

SOU 2025:49

ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan om överträdelser

12 § Säkerhetspolisen ska ha interna rutiner för anmälan av överträ- delser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Dataskyddsombud

13 § Säkerhetspolisen ska säkerställa att dataskyddsombud ges möj- lighet att delta i de frågor som rör skyddet av personuppgifter.

Säkerhetspolisen ska se till att dataskyddsombud kan utföra de upp- gifter som anges i 5 kap. 12 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av person- uppgifter och vid behov medge åtkomst till personuppgifter som be- handlas.

Säkerhetspolisen ska också se till att dataskyddsombud har den sak- kunskap som krävs och att de ges möjlighet att upprätthålla denna.

Personuppgiftsbiträden

14 § Ett avtal eller en annan överenskommelse enligt 5 kap. 13 § andra stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska ange vad behandlingen av personuppgifter ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och Säkerhetspolisens skyl- digheter och rättigheter.

I avtalet eller överenskommelsen ska det särskilt föreskrivas att per- sonuppgiftsbiträdet ska

1.behandla personuppgifter bara enligt instruktioner från Säker- hetspolisen,

2.säkerställa att personer som har tillstånd att behandla person- uppgifter antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

SOU 2025:49

Författningsförslag

3.hjälpa Säkerhetspolisen att säkerställa att bestämmelserna om registrerades rättigheter följs,

4.radera eller återlämna alla personuppgifter till Säkerhetspolisen när uppdraget har slutförts och, om inte annat följer av lag eller för- ordning, radera befintliga kopior,

5.ge Säkerhetspolisen tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 15 § och 5 kap. 13–15 §§ lagen om Säkerhetspolisens behandling av personuppgifter följs, och

6.respektera de villkor som framgår av denna paragraf, 15 § och 5 kap. 14 § lagen om Säkerhetspolisens behandling av personuppgifter när ett annat personuppgiftsbiträde anlitas.

15 § Om Säkerhetspolisen har lämnat ett generellt tillstånd enligt 5 kap. 14 § lagen (2026:000) om Säkerhetspolisens behandling av per- sonuppgifter, ska personuppgiftsbiträdet informera Säkerhetspolisen innan nya personuppgiftsbiträden anlitas.

16 § Varje personuppgiftsbiträde ska föra en förteckning över kate- gorier av behandlingar av personuppgifter som utförs för Säkerhets- polisens räkning. Förteckningen ska innehålla namnet på och kontakt- uppgifter till personuppgiftsbiträdet och Säkerhetspolisen och dess- utom, för varje kategori av behandling, följande uppgifter:

1.namnet på och kontaktuppgifter till eventuella underbiträden,

2.vilka uppgifter som har utlämnats och till vem, om utlämning av personuppgifter har gjorts till en mottagare utomlands eller en inter- nationell organisation, och

3.om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

17 § Det som sägs om Säkerhetspolisens skyldigheter i 5,6 och 8 §§ gäller även för personuppgiftsbiträden.

Föreskrifter

18 § Innan Säkerhetspolisen meddelar föreskrifter med stöd av denna förordning, ska tillsynsmyndigheten ges tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.

Författningsförslag

SOU 2025:49

19 § Tillsynsmyndigheten får meddela ytterligare föreskrifter om

1.sådana åtgärder som avses i 5 kap. 2–4 och 7 §§ lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter,

2.krav och rutiner för loggning enligt 5 kap. 5 § lagen om Säker- hetspolisens behandling av personuppgifter, och

3.vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 5 kap. 9 § lagen om Säkerhetspolisens behandling av person- uppgifter.

6 kap. Den registrerades rättigheter

1 § Säkerhetspolisen ska göra följande allmänna information till- gänglig för allmänheten:

1.myndighetens identitet och kontaktuppgifter,

2.dataskyddsombudets kontaktuppgifter,

3.för vilka ändamål myndigheten får behandla personuppgifter,

4.rätten till registerutdrag enligt 6 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter, och

5.möjligheten att begära kontroll enligt 3 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Informationen ska vara lättillgänglig och lättbegriplig och lämnas

ilämplig form.

2 § En begäran enligt 6 kap. 2 § lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter ska göras skriftligen hos Säkerhetspolisen.

Säkerhetspolisen ska säkerställa att begäran görs av en behörig person.

3 § Beslut enligt 6 kap. 1 § andra stycket och 2 § första stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter ska vara skriftliga. Beslut som går den registrerade emot ska motiveras om inte annat följer av 6 kap. 2 § andra stycket lagen om Säkerhetspolisens behandling av personuppgifter.

4 § Om den registrerade inte har rätt att ta del av uppgifter utan kostnad enligt 6 kap. 1 § andra stycket lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter ska Säkerhetspolisen tillämpa

SOU 2025:49

Författningsförslag

11–14 §§ avgiftsförordningen (1992:191). En avgift för att ta del av uppgifter får tas ut med det belopp som anges för avgiftsklass B i 20 § avgiftsförordningen.

7 kap. Tillsyn

1 § Tillsynsmyndigheten ska informera Säkerhets- och integritets- skyddsnämnden om att förhandssamråd enligt 5 kap. 9 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter har begärts. Om det är lämpligt ska nämnden ges tillfälle att yttra sig till tillsynsmyndigheten inom ramen för förhandssamrådet.

Säkerhets- och integritetsskyddsnämnden har rätt att få tillgång till underlaget för förhandssamrådet och tillsynsmyndighetens yttrande

1.Denna förordning träder i kraft den 1 januari 2027.

2.Genom denna förordning upphävs förordningen (2019:1235) om Säkerhetspolisens behandling av personuppgifter.

3.Förordningen (2019:1235) om Säkerhetspolisens behandling av personuppgifter ska dock tillämpas för behandling av personuppgifter som sker enligt lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter även efter detta datum.

Författningsförslag

SOU 2025:49

1.13Förslag till förordning om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgifts- samlingar.

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

Gallring

3 § Uppgifter i särskilda uppgiftssamlingar enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar ska gallras när de inte längre får behandlas enligt den lagen.

2 kap. Registrering av personuppgifter

1 § Säkerhetspolisen ska bestämma vilka tjänstemän som har de sär- skilda kunskaper och den erfarenhet som krävs enligt 2 kap. 1 § andra stycket lagen (2026:000) om Säkerhetspolisens behandling av person- uppgifter i särskilda uppgiftssamlingar.

2 § Säkerhetspolisen ska samråda med den särskilda tillsynsmyndig- hetens om hur registreringsbeslut enligt 2 kap. 2 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar ska utformas.

100

SOU 2025:49

Författningsförslag

3 kap. Framtagning och annan personuppgiftsbehandling

1 § Beslut enligt 3 kap. 3 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar får fattas av Säkerhetspolischefen eller dennes ställföreträdare.

4 kap. Säkerhetspolisens skyldigheter

1 § Skyldigheten att föra loggar i automatiserade behandlings- system enligt 5 kap. 5 § första stycket lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter ska omfatta

1.registrering av personuppgifter enligt 2 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar,

2.behandling enligt 3 kap. 3 § lagen om Säkerhetspolisens behand- ling av personuppgifter i särskilda uppgiftssamlingar, och

3.framtagning enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

2 § Loggarna över sådan behandling som avses i 1 § 1 ska visa datum och tidpunkt för behandlingen om vem som fattat beslut om registrering.

3 § Loggarna över sådan behandling som avses i 1 § 2 ska visa datum och tidpunkt för behandlingen och vad den avsåg.

4 § Loggarna över sådan behandling som avses i 1 § 3 ska visa datum och tidpunkt för framtagningen, vem som har utfört framtagningen och läst personuppgifterna och, så långt det är möjligt, vem som har fått ta del av personuppgifterna. Det ska även framgå med stöd av vilket tillstånd framtagningen skett.

5 § Om personuppgifter som tagits fram enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda upp- giftssamlingar inte får behandlas, på grund av att ett beslut enligt 3 kap. 3 § inte anmälts i tid eller av ett beslut som domstolen meddelat med stöd av 4 kap. 3 § andra stycket i den lagen, ska personuppgifterna omedelbart begränsas enligt 5 kap. 1 § lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter.

101

SOU 2025:49

Författningsförslag

1.14Förslag till förordning om ändring i förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten

Härigenom föreskrivs i fråga om förordningen (1995:1301) om hand- läggning av skadeståndsanspråk mot staten att 3 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §1

Justitiekanslern handlägger anspråk på ersättning med stöd av

–36 kap. 21 § brottsbalken,

–2 kap. 1 § eller 3 kap. 1, 2 eller 4 § skadeståndslagen (1972:207), om anspråket grundas på ett påstående om felaktigt beslut eller under- låtenhet att meddela beslut,

–23 § datalagen (1973:289),

–artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och 7 kap. 1 § lagen (2018:218) med komplet- terande bestämmelser till EU:s dataskyddsförordning,

–7 kap. 1 § brottsdatalagen (2018:1177),

– 8 kap. 1 § lagen (2019:1182)	– 6 kap. 3 § lagen (2026:000)
om Säkerhetspolisens behandling	om Säkerhetspolisens behandling
av personuppgifter,	av personuppgifter,

–lagen (1998:714) om ersättning vid frihetsberövanden och andra tvångsåtgärder, dock inte anspråk som avses i 8 § i den lagen,

–5 kap. 3 § lagen (2017:496) om internationellt polisiärt samarbete, om anspråket grundas på ett påstående om felaktigt beslut eller under- låtenhet att meddela beslut,

–26 § lagen (2011:111) om förstörande av vissa hälsofarliga miss- brukssubstanser,

–46 kap. 20 § skatteförfarandelagen (2011:1244),

–28 § kamerabevakningslagen (2018:1200),

–artikel 84 i Europaparlamentets och rådets förordning (EU) 2019/1896 av den 13 november 2019 om den europeiska gräns- och

1Senaste lydelse 2024:1024.

103

SOU 2025:49

Författningsförslag

1.15Förslag till förordning om ändring i förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten

Härigenom föreskrivs i fråga om förordningen (2007:975) med in- struktion för Integritetsskyddsmyndigheten att 2 a § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 a §1

Myndigheten är tillstånds- och tillsynsmyndighet enligt kredit- upplysningslagen (1973:1173).

Myndigheten är tillsynsmyndighet enligt

–artikel 51.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

–lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och andra föreskrifter som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679,

–artikel 41.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med av- seende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF,

– lagen (2019:1182) om Säker-	– lagen (2026:000) om Säker-
hetspolisens behandling av per-	hetspolisens behandling av per-
sonuppgifter,	sonuppgifter,

–lagen (2026:000) om Säker- hetspolisens behandling av person- uppgifter i särskilda uppgiftssam- lingar,

–lagen (2021:1171) om behandling av personuppgifter vid För- svarsmakten och lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt, och

1Senaste lydelse 2023:726.

105

SOU 2025:49

Författningsförslag

1.16Förslag till förordning om ändring i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden

Härigenom föreskrivs i fråga om förordningen (2007:1141) med in- struktion för Säkerhets- och integritetsskyddsnämnden att 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §

Säkerhets- och integritetsskyddsnämnden är en myndighet som ansvarar för de uppgifter som framgår av 1 § lagen (2007:980) om till- syn över viss brottsbekämpande verksamhet och av 2 och 3 §§ denna förordning.

Myndigheten ska även fullgöra de uppgifter som följer av lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i sär- skilda uppgiftssamlingar.

Denna förordning träder i kraft den 1 januari 2027.

107

Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras

– anteckningar om det löpande polisarbetet,

– handlingar som utgör under- lag för strukturerade uppgifts- samlingar som avser brottslig verk- samhet och som förs med stöd av lagen (2026:000) om Säkerhets- polisens behandling av person- uppgifter, och

– underrättelser från Kriminal- vården om permissioner

Författningsförslag

SOU 2025:49

1.17Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs i fråga om offentlighets- och sekretessför- ordningen (2009:641) att 2 och 3 §§ ska ha följande lydelse.

Föreslagen lydelse

2 §1

Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlig- hets- och sekretesslagen (2009:400).

Myndighet

Säkerhetspolisen

3 §2

Följande myndigheter ska i den utsträckning som framgår nedan inte tillämpa 5 kap. 2 § andra stycket offentlighets- och sekretess- lagen (2009:400).

1Senaste lydelse 2022:652.

2Senaste lydelse 2024:1184.

108

SOU 2025:49Författningsförslag

Försvarsunderrättelse-	diarier över mål om tillstånd
domstolen	enligt lagen (2008:717) om signal-
	spaning i	försvarsunderrättelse-
	verksamhet och		tillstånd	enligt
	lagen (2026:000) om Säkerhets-
	polisens behandling av personupp-
	gifter i särskilda uppgiftssamlingar.
Säkerhets- och integritetsskydds-	diarier som rör mål, under-
nämnden	rättelser	eller yttranden		enligt
	lagen (2026:000) om Säkerhets-
	polisens behandling av personupp-
	gifter i särskilda uppgiftssamlingar
Säkerhetspolisen	diarier	över	underrättelser
	inom den särskilda polisverksam-
	heten för att hindra och uppdaga
	brott mot rikets säkerhet m.m.
	och diarier över ärenden om kvar-
	hållande av försändelse på be-
	fordringsanstalt, om föreläggande
	att bevara en viss lagrad uppgift,
	om inhämtning av uppgifter enligt
	lagen (2012:278) om inhämtning
	av uppgifter om elektronisk kom-
	munikation i de brottsbekäm-
	pande myndigheternas underrät-
	telseverksamhet och om hemlig
	avlyssning av elektronisk kommu-
	nikation, hemlig övervakning av
	elektronisk kommunikation, hem-
	lig kameraövervakning,			hemlig
	rumsavlyssning och hemlig data-
	avläsning samt över ärenden enligt
	lagen (2024:1180) om anonyma
	vittnen i brottmål, diarier över
	beslut, ansökningar, yttranden eller
	underrättelser		enligt	lagen
	(2026:000) om Säkerhetspolisens

109

SOU 2025:49

Författningsförslag

1.18Förslag till förordning om ändring i förordningen (2009:968) med instruktion för Försvarsunderrättelsedomstolen

Härigenom föreskrivs i fråga om förordningen (2009:968) med in- struktion för Försvarsunderrättelsedomstolen

dels att 2,4 9, 11, 12, § ska ha följande lydelse,

dels att en ny paragraf 6 a ska införas av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

2 §

Följande bestämmelser i myndighetsförordningen (2007:515) ska tillämpas på Försvarsunderrättelsedomstolen:

3 och 4 §§ om ledningens ansvar,

6 § om allmänna uppgifter,

8 § om myndighetens arbetsgivarpolitik,

19 § om kostnadsmässiga konsekvenser, och

21 § om myndighetens beslut.
Det som i dessa bestämmelser	Det som i dessa bestämmelser
sägs om myndighetens ledning	sägs om myndighetens ledning
ska avse domstolens ordförande	ska avse domstolens ordförande,
i enlighet med bestämmelsen i	tillika chef, i enlighet med be-
11 §. Bestämmelsen i 21 § myndig-	stämmelsen i 11 §. Bestämmelsen
hetsförordningen ska tillämpas	i 21 § myndighetsförordningen
endast i administrativa ärenden.	ska tillämpas endast i administra-
	tiva ärenden.

4 §

I Försvarsunderrättelsedomstolen ska, förutom ordförande, vice ordförande och de särskilda ledamöter som anges i lagen (2009:966) om Försvarsunderrättelsedomstol, en kanslichef finnas.

Försvarsunderrättelsedomsto-	Försvarsunderrättelsedomsto-
lens ordförande är domstolens	lens ordförande, tillika chef, är
administrative chef.	domstolens administrative chef

Kanslichefen ska ansvara för beredningsverksamheten i domstolen.

111

Författningsförslag

SOU 2025:49

6 a §

		Bestämmelser om handlägg-
		ningen av ansökningar om till-
		stånd till framtagning av uppgifter
		från särskilda uppgiftssamlingar
		finns i lagen (2026:000) Säkerhets-
		polisens behandling av personupp-
		gifter i särskilda uppgiftssamlingar.
	9 §
Domstolens beslut ska expedi-		Domstolens beslut om signal-
eras till ansökande myndighet och		spaning ska expedieras till an-
till Statens inspektion för för-		sökande myndighet och till Statens
svarsunderrättelseverksamheten.		inspektion för försvarsunderrät-
		telseverksamheten.
		Domstolens domar och beslut
		om framtagning från en särskild
		uppgiftssamling ska expedieras till
		Säkerhetspolisen och till Säkerhets-
		och integritetsskyddsnämnden.
	11 §
Administrativa ärenden avgörs		Administrativa ärenden avgörs
av domstolens ordförande om inte		av domstolens chef om inte annat
annat följer av arbetsordningen.		följer av arbetsordningen.
	12 §1
Bestämmelser om utnämning		Bestämmelser om utnämning
av ordförande i Försvarsunder-		av ordförande, tillika chef, och
rättelsedomstolen	finns i lagen	andra ordförande i Försvars-
(2010:1390) om	utnämning av	underrättelsedomstolen finns i
ordinarie domare. Bestämmelser		lagen (2010:1390) om utnämning
om förordnande av vice ord-		av ordinarie domare. Bestämmel-
förande och särskilda ledamöter		ser om förordnande av vice ord-
finns i lagen (2009:966) om För-		förande och särskilda ledamöter
svarsunderrättelsedomstol.		finns i lagen (2009:966) om För-
		svarsunderrättelsedomstol.

1Senaste lydelse 2010:1811.

112

Författningsförslag

SOU 2025:49

1.19Förslag till förordning om ändring

i utlänningsdataförordningen (2016:30)

Härigenom föreskrivs i fråga om utlänningsdataförordning (2016:30) att 11 § ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
11 §1
Säkerhetspolisens direktåt-	Säkerhetspolisens direktåt-
komst ska begränsas till de person-	komst ska begränsas till de person-
uppgifter som myndigheten be-	uppgifter som myndigheten be-
höver för att fullgöra sådana upp-	höver för att fullgöra sådana upp-
gifter som avses i 2 kap. 1 § 1 a	gifter som avses i 2 kap. 4–6 §§
och b, 2, 3 a och c och 4 lagen	lagen (2026:000) om Säkerhets-
(2019:1182) om Säkerhetspolisens	polisens behandling av person-
behandling av personuppgifter.	uppgifter. Direktåtkomsten för att
Direktåtkomsten för att fullgöra	fullgöra uppgifterna i 2 kap. 5 §
uppgifterna i 2 kap. 1 § 2 lagen	lagen om Säkerhetspolisens be-
om Säkerhetspolisens behandling	handling av personuppgifter gäller
av personuppgifter gäller enbart	enbart för att utreda brott mot
sådana brott som avses i 2 kap. 1 §	Sveriges säkerhet eller terrorbrott.
1 a och b samma lag.

Denna förordning träder i kraft den 1 januari 2027.

1Senaste lydelse 2020:326.

114

SOU 2025:49

Författningsförslag

1.20Förslag till förordning om ändring i förordningen (2023:363) om samordningsnummer

Härigenom föreskrivs i fråga om förordningen (2023:363) om sam- ordningsnummer att 5 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 §

Samordningsnummer enligt 2 kap. 6 § lagen (2022:1697) om sam- ordningsnummer får endast tilldelas för

1.registrering i register som förs enligt lagen (1998:620) om belast- ningsregister, lagen (1998:621) om misstankeregister och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område,

2. annan behandling av upp-	2. annan behandling av upp-
gifter enligt lagen om polisens	gifter enligt lagen om polisens
behandling av personuppgifter	behandling av personuppgifter
inom brottsdatalagens område	inom brottsdatalagens område
eller lagen (2019:1182) om Säker-	eller lagen (2026:000) om Säker-
hetspolisens behandling av person-	hetspolisens behandling av person-
uppgifter, eller i övrigt inom rätts-	uppgifter, eller i övrigt inom rätts-
väsendets informationssystem,	väsendets informationssystem,

3.Migrationsverkets behandling av personuppgifter med stöd av utlänningsdatalagen (2016:27) när det gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.,

4.registrering i beskattningsdatabasen, eller

5.Försäkringskassans behandling av personuppgifter med stöd av 114 kap. socialförsäkringsbalken.

Denna förordning träder i kraft den 1 januari 2027.

115

2Utredningens uppdrag och arbete

2.1Utredningsuppdraget

Utredningens direktiv beslutades av regeringen den 11 maj 2023 (dir. 2023:64). Direktiven i dess helhet finns fogade till betänkan- det som bilaga 1.

Enligt direktiven är vår huvudsakliga uppgift att göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Syftet är att skapa ända- målsenliga regler som är anpassade efter dagens behov och möjlig- heter. Reglerna bör som utgångspunkt ge Säkerhetspolisen ökade möjligheter att behandla personuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information med hjälp av tekniska hjälpmedel.

I direktiven anges att utredaren noga ska väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nöd- vändiga författningsförslag.

Inom ramen för en översyn av regleringen ska utredaren bland annat

•beskriva dagens rättsliga möjligheter för Säkerhetspolisen att behandla personuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information med hjälp av tekniska hjälpmedel,

•undersöka i vilken utsträckning dagens regelverk försvårar en effektiv informationshantering i Säkerhetspolisens verksamhet,

•lämna förslag som gör att information kan hanteras av Säkerhets- polisen på ett mer ändamålsenligt sätt än i dag, och

•lämna nödvändiga författningsförslag.

117

Utredningens uppdrag och arbete

SOU 2025:49

2.2Uppdragets genomförande

Vi har antagit namnet Utredningen om Säkerhetspolisens informa- tionshantering. Arbetet har bedrivits på sedvanligt sätt och vi har haft 15 utredningssammanträden med expertgruppen, varav två sam- manträden har genomförts i internatform med två mötesdagar. Vid internaten har vi bland annat genomfört rättegångsspel för att testa den föreslagna prövningsordningen i den nya lagen om hantering av stora informationsmängder.

Utöver expertgruppens sammanträden har utredningen haft en- skilda möten och samrått med flera myndigheter och andra aktörer. Vi har på detta sätt haft kontakt med bland annat:

–Försvarsmakten (MUST),

–Försvarets radioanstalt,

–Försvarsunderrättelsedomstolen,

–Myndigheten för psykologiskt försvar,

–Regeringskansliet,

–Polismyndigheten,

–Integritetsskyddsmyndigheten,

–Säkerhetspolisen,

–Riksenheten för Säkerhetsmål,

–Säkerhets- och integritetsskyddsnämnden (SIN),

–Statens inspektion för försvarsunderrättelseverksamheten (Siun),

–Förvaltningsrätten i Stockholm och

–Kammarrätten i Stockholm.

Vi har även samrått med Underrättelseutredningen (Fö 2023:04) samt Utredningen om Förbättrade möjligheter att skydda Sveriges säkerhet (Ju 2023:23).

Utredningen har i samarbete med Juridiska institutionen och Centrum för Transdisciplinär AI (TAIGA) vid Umeå Universitet, arrangerat ett forskningsseminarium om dataskydd, AI och demo-

118

SOU 2025:49

Utredningens uppdrag och arbete

krati den 5 december 2023. Vid seminariet medverkade forskare och praktiker från flera nordiska länder.

I januari 2025 höll utredningen ett så kallat minilagråd, där bland annat professor Markus Naarttijärvi och ställföreträdande chefsråd- mannen Mattias Nordell deltog. Syftet med minilagrådet var att granska lagförslagen från mer lagtekniska utgångspunkter.

2.3Betänkandets disposition

Betänkandet är indelat i tretton kapitel. I kapitel 1 finns våra författ- ningsförslag. Vårt uppdrag och arbete redovisas i kapitel 2 (detta kapitel). Därefter följer kapitel 3 som innehåller en allmän bakgrund med beskrivning av Säkerhetspolisens uppdrag, den nuvarande säpo- datalagen samt en översiktlig redogörelse för relevanta delar av Försvarsmaktens underrättelsetjänst, Försvarets radioanstalt och Polismyndigheten.

I kapitel 4 redogörs för internationella förhållanden. Där redo- görs helt kortfattat regelverken i vissa andra länder som kan tjäna som jämförelse vid vår översyn. Vidare beskrivs helt översiktligt Europarådets dataskyddskonvention, som är det internationella instrument som är av störst betydelse i sammanhanget.

Kapitel 5 innehåller en beskrivning av de aktuella hoten mot Sveriges säkerhet medan de reformbehov som vi identifierat beskrivs i kapitel 6. Kapitel 7 redogör för inriktningen för den reform vi föreslår.

Våra materiella överväganden och förslag presenteras i kapitel 8–10. Kapitel 8 innehåller förslag till en ny lag om Säkerhetspolisens be- handling av personuppgifter, kapitel 9 beskriver en ny lag för behand- ling av stora informationsmängder och kapitel 10 behandlar tillsyns- frågor.

Ikraftträdande och övergångsbestämmelser behandlas i kapitel 11, och konsekvenserna av utredningens förslag gås igenom i kapitel 12. Slutligen innehåller kapitel 13 författningskommentaren till våra lagförslag.

119

3 Bakgrund

3.1Inledning

I detta kapitel av betänkandet försöker vi teckna en allmän bakgrund till de rättsfrågor som omfattas av vår översyn. Det innebär att vi först redogör för Säkerhetspolisen och hur myndighetens uppdrag är reglerat. Vi kommer därutöver att försöka ge en översiktlig över- blick av Säkerhetspolisens verksamhet. Vi kommer att återkomma till verksamhetens behov av ny lagstiftning i kapitel 6 och 7.

Vi kommer även att redogöra för det regelverk som vår översyn i huvudsak avser: Lag (2019:1182) om Säkerhetspolisens behand- ling av personuppgifter. Trots att vi har till uppdrag att bland annat beskriva dagens rättsliga möjligheter för Säkerhetspolisen att behandla personuppgifter kommer redogörelsen att hållas förhållandevis kort i detta kapitel. Vi har nämligen för avsikt att redogöra för gällande rätt i närmare detalj i samband med att vi analyserar behovet av att förändra enskilda bestämmelser och lämnar våra förslag. Detta görs i huvudsak i kapitel 8.

Vårt direktiv har som utgångspunkt att Säkerhetspolisens upp- drag som nationell säkerhetstjänst ger goda skäl för att myndig- heten bör ha ett mer generöst regelverk kring personuppgiftsbehand- lingen än många andra myndigheter. Vi har därmed haft skäl att undersöka hur några andra, till sin verksamhet närliggande, myndig- heters personuppgiftsbehandling reglerats. Vi redogör kortfattat för vår undersökning i slutet av detta kapitel. Vi har begränsat undersökningen till Polismyndigheten, Försvarsmakten och För- svarets radioanstalt, som alla ägnar sig åt underrättelseverksamhet i någon form.

121

Bakgrund

SOU 2025:49

3.2Säkerhetspolisens uppdrag

3.2.1Rättslig reglering av Säkerhetspolisens uppgifter

Säkerhetspolisens huvudsakliga uppgifter och ansvar framgår av 3 § polislagen. Där framgår att Säkerhetspolisen ska

1.förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,

2.utreda och beivra sådana brott,

3.fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

4.fullgöra uppgifter enligt säkerhetsskyddslagen (2018:585),

5.leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förord- ning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.

Sådan övrig verksamhet som avses i den femte punkten framgår av polisförordningen (2014:1104), förordningen (2022:1719) med instruktion för Säkerhetspolisen, andra författningar och särskilda beslut. Enligt utlänningslagen (2005:716) kan Säkerhetspolisen av skäl som rör Sveriges säkerhet eller som annars har betydelse för allmän säkerhet förorda att vissa beslut ska meddelas. Det kan exem- pelvis handla om att en utlänning ska avvisas eller utvisas eller att en utlännings ansökan om uppehållstillstånd ska avslås. Säkerhets- polisen utför även uppgifter enligt lagen (2022:700) om särskild kontroll av vissa utlänningar. Med stöd av den lagen kan myndig- heten ansöka om att en utlänning ska utvisas ur landet om utlän- ningen kan antas komma att begå eller på annat sätt medverka till ett brott enligt terroristbrottslagen, eller kan utgöra ett allvarligt hot mot Sveriges säkerhet. Enligt lagen (2001:82) om svenskt med- borgarskap kan Säkerhetspolisen förorda att en ansökan om svenskt medborgarskap ska avslås av skäl som rör Sveriges säkerhet eller allmän säkerhet.

Säkerhetspolisen arbetar även med frågor som rör icke-sprid- ning och kontraanskaffning. Den verksamheten syftar till att för-

122

SOU 2025:49

Bakgrund

hindra spridning och anskaffning av produkter som kan användas för att producera massförstörelsevapen. Arbetet går främst ut på att förhindra att kunskaper, produkter, ämnen eller mikroorganis- mer förs från eller via Sverige till aktörer som har ambitioner att anskaffa eller vidareutveckla massförstörelsevapen.

Säkerhetspolisen är vidare tillsammans med Försvarsmakten samrådsmyndighet inför att Post- och telestyrelsen beviljar till- stånd att använda radiosändare enligt lagen (2022:482) respektive förordningen (2022:511) om elektronisk kommunikation. Sam- rådet syftar till att klarlägga om radioanvändningen kan antas orsaka skada för Sveriges säkerhet, eftersom tillstånd i sådana fall inte ska beviljas. Det är Säkerhetspolisen och Försvarsmakten som tillsam- mans har en helhetsbild när det gäller säkerhetsläget och hotbilden mot Sverige och har tillgång till de uppgifter som behövs för att bedöma om radioanvändning kan antas orsaka skada för Sveriges säkerhet.

Säkerhetspolisen har även uppdrag enligt lagen (2023:560) res- pektive förordningen (2023:624) om granskning av utländska direkt- investeringar. Säkerhetspolisen har möjlighet att yttra sig över ut- ländska direktinvesteringar som sker i skyddsvärd verksamhet. Om Säkerhetspolisen anser att en utländsk direktinvestering kan inne- bära skadlig inverkan på säkerheten i Sverige, kan myndigheten meddela detta till Inspektionen för strategiska produkter. Av 2 § 3 Säkerhetspolisens instruktion följer att myndigheten ska följa händelseutvecklingen i omvärlden och ha förmåga att snabbt an- passa inriktningen av verksamheten när det behövs. Säkerhetspolisen ska även snarast möjligt informera Regeringskansliet om underrät- telser som kan ha betydelse för Sveriges säkerhet eller som av någon annan anledning bör komma till regeringens kännedom.

Utöver dessa författningsreglerade uppgifter ger regeringen varje år Säkerhetspolisen andra uppdrag genom regleringsbrevet och särskilda regeringsbeslut. Säkerhetspolisen samverkar också med andra svenska och utländska myndigheter inom en mängd områden.

123

Bakgrund

SOU 2025:49

3.2.2Förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott

Av polislagen följer att en av Säkerhetspolisens uppgifter är att före- bygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott. Denna del av myndig- hetens uppdrag utgör kärnverksamheten och är definierande för Säkerhetspolisens uppdrag som nationell säkerhetstjänst. Uppdraget kommer även till uttryck genom de mer specifika uppgifterna att fullgöra uppgifter i samband med personskydd av den centrala statsledningen och att fullgöra uppgifter enligt säkerhetsskydds- lagen, ytterst för att skydda säkerhetskänslig verksamhet mot spio- neri, sabotage, terroristbrott och andra verksamhetshotande brott.

Uppdraget för en nationell säkerhetstjänst är att skydda landets säkerhet mot säkerhetshotande verksamhet som bedrivs inom lan- dets gränser. Sådan säkerhetshotande verksamhet utgör ofta ett brott, till exempel spioneri, sabotage eller terroristbrott, eller ett förstadium till ett sådant brott. I Säkerhetspolisens instruktion förtydligas myndighetens uppdrag som nationell säkerhetstjänst. Enligt 1 § i instruktionen ska Säkerhetspolisen, i egenskap av säker- hetstjänst, bedriva underrättelse- och säkerhetsarbete.

Kärnan i säkerhets- och underrättelsearbetet är att upptäcka och reducera hot och sårbarheter. Säkerhetspolisens verksamhet som syftar till att upptäcka och reducera hot bedrivs framför allt inom verksamhetsområdena kontraspionage, kontraterrorism och för- fattningsskydd. Reduktion av ett hot kan ske på många olika sätt där frihetsberövande och lagföring inom ramen för en förundersök- ning är ett sätt. Andra sätt som står till myndighetens förfogande är att initiera en utvisning av en utlänning som bedöms utgöra ett säkerhetshot eller påtala för regeringen att underrättelseofficerare som arbetar under diplomatisk täckmantel bör förklaras persona non grata. Säkerhetspolisen arbetar även proaktivt för att minska extremistmiljöerna i Sverige. Så sker till exempel genom så kallad outreach-verksamhet, som innebär att Säkerhetspolisen informerar och kontaktar personer som exempelvis riskerar radikalisering, eller genom yttranden till andra myndigheter inom ramen för bland annat utlänningslagstiftningen eller de olika regelverken om statsstöd.

124

SOU 2025:49

Bakgrund

Säkerhetspolisens verksamhet som syftar till att upptäcka och

reducera sårbarheter bedrivs framför allt inom verksamhetsområdena säkerhetsskydd och personskydd.

3.2.3Utreda och beivra sådana brott

Säkerhetspolisens nationella uppdrag som polismyndighet framgår av 1 § andra stycket polislagen. Där anges att polisverksamhet bedrivs av Polismyndigheten och Säkerhetspolisen. Av 3 § i samma lag framgår att till Säkerhetspolisens uppgifter hör att utreda och beivra brott mot rikets säkerhet eller terrorbrott samt att utreda andra brott och leda annan polisverksamhet om regeringen särskilt före- skriver det.

Dessa uppgifter utgör den brottsutredande och lagförande verk- samheten som Säkerhetspolisen bedriver utöver säkerhetsunder- rättelseverksamhet. På så sätt skiljer sig myndighetens uppgifter i en internationell jämförelse med många andra säkerhetstjänsters.

Det brottsutredande uppdraget preciseras i Säkerhetspolisens instruktion. De särskilda brottskategorier som Säkerhetspolisen ansvarar att utreda och beivra framgår av 3 § i instruktionen och utgörs bland annat av brott mot 18 eller 19 kap. brottsbalken samt brott enligt terroristbrottslagen och allmänfarliga brott, såsom sabotage eller allmänfarlig ödeläggelse om syftet är att framkalla fara för Sveriges säkerhet.

3.2.4Särskilt allvarlig brottslighet med konsekvenser för nationell säkerhet

Säkerhetspolisens verksamhet knyter an till att myndigheten är en säkerhetstjänst med uppdrag att skydda Sveriges grundläggande demokratiska funktioner och den nationella säkerheten. Polismyn- dighetens uppdrag är inte detsamma. Huvudinriktningen för Polis- myndigheten är att minska brottsligheten och att öka människors trygghet. Säkerhetspolisen, i sin egenskap av nationell säkerhets- tjänst, intar därför en särställning inom polisväsendet med ett upp- drag som är tydligt skiljt från Polismyndigheten.1

1SOU 2012:77 En tydligare organisation för Säkerhetspolisen, s. 116.

125

Bakgrund

SOU 2025:49

Kärnan i Säkerhetspolisens verksamhet är att som säkerhets- tjänst skydda Sveriges säkerhet och det svenska statsskicket mot säkerhetshotande verksamhet. Den brottslighet som Säkerhets- polisen har till uppgift att förebygga och avslöja utmärks av att den kan få mycket stora konsekvenser för samhället och för enskilda individer. Tyngdpunkten i uppdraget är därför att förebygga brott och syftet med verksamheten är följaktligen att förhindra att brott överhuvudtaget begås. Det brottsförebyggande arbetet har därför, framför allt historiskt, spelat en större roll i Säkerhetspolisens arbete än vid annat polisarbete; för myndigheten gäller det att avslöja en spion eller en terrorist innan något brott ens har begåtts.2

En annan skillnad i förhållande till övrig polisverksamhet är att Säkerhetspolisen arbetar med brott som till sin natur är svåra – ofta mycket svåra – att bekämpa. En spion lämnar sällan spår efter sig och inte heller föranleder dennes förehavanden vanligtvis några anmälningar eller uppslag från allmänheten, som polisarbetet kan utgå från. En stor del av Säkerhetspolisens arbete går därför ut på att ta reda på om brott över huvud taget har begåtts, och brotts- utredningar i vanlig mening utgör således av en mindre del av i myn- dighetens verksamhet. I stället är myndighetens arbete till stor del inriktat på att kartlägga personer och miljöer med anknytning till brottslighet av den typ som Säkerhetspolisen ska bekämpa. Under- rättelseverksamheten inriktas främst mot personer eller organisa- tioner som det finns anledning att hålla under uppsikt i syfte att förhindra och lagföra terrordåd och brott mot rikets säkerhet. Det säger sig självt att det är svårt att få inblick i miljöer där sådan verk- samhet förekommer. Såväl spioneri som terrorism bedrivs med nödvändighet i det fördolda och över huvud taget i former som till sin natur är slutna.3

Till skillnad från Polismyndighetens verksamhet initieras Säker- hetspolisens ärenden endast undantagsvis genom allmänhetens anmälningar om brott. Det i sig förutsätter att Säkerhetspolisen själv har förmåga att identifiera och att hämta in uppgifter om brotts- lig verksamhet. Uppdraget kräver att Säkerhetspolisen kan hämta in uppgifter på ett mycket tidigt stadium, innan en person eller en gruppering har konkreta planer eller har vidtagit åtgärder för att begå brott. Säkerhetspolisen bedriver därför omfattande säkerhets-

2SOU 1990:51 Säkerhetspolisens arbetsmetoder, personalkontroll och meddelarfrihet, s. 65.

3Ibid. s. 65.

126

SOU 2025:49

Bakgrund

underrättelseverksamhet för att ta fram hot- och sårbarhetsbedöm- ningar. Dessa bedömningar tjänar som underlag för beslut om vilka åtgärder Säkerhetspolisen ska vidta i sitt förebyggande arbete. Bedöm- ningarna ligger också till grund för beslut om till exempel person- skydd eller säkerhetsskyddsåtgärder och tjänar också som underlag för regeringen och andra myndigheters bedömningar och åtgärder.4

3.3Säkerhetspolisens verksamhet och arbetsmetoder

3.3.1Säkerhetspolisens verksamhetsområden

Säkerhetspolisens kärnverksamhet är indelad i fem huvudsakliga verksamhetsområden: kontraspionage, kontraterrorism, författ- ningsskydd, personskydd och säkerhetsskydd. Den största delen av Säkerhetspolisens verksamhet utgörs av säkerhetsunderrättelse- arbetet inom verksamhetsområdena kontraspionage, kontraterrorism och författningsskydd. Verksamheten innebär att Säkerhetspolisen aktivt inhämtar uppgifter för att analysera och agera mot olika typer av säkerhetshotande verksamhet.

Kontraspionage

Säkerhetspolisens kontraspionageverksamhet syftar till att före- bygga, förhindra och upptäcka säkerhetshotande verksamhet från främmande makt mot Sverige och svenska intressen utomlands samt att utreda och beivra brott mot Sveriges säkerhet från främ- mande makt. Hotet från främmande makt i Sverige riktas mot Sveriges ekonomiska välstånd och oberoende, mot den politiska och territoriella suveräniteten samt mot medborgarnas grundläg- gande fri- och rättigheter.

Den brottsliga verksamhet som kontraspionaget främst bekäm- par består bland annat av de olika spioneribrotten, andra brott som innefattar otillåten hantering av hemliga uppgifter samt olika for- mer av olovlig underrättelseverksamhet i 19 kap. brottsbalken.

Den övergripande strategin för kontraspionaget är att begränsa främmande makts handlingsutrymme, det vill säga förebygga och

4Se SOU 2012:77 En tydligare organisation för Säkerhetspolisen, s. 56.

127

Bakgrund

SOU 2025:49

förhindra främmande makts möjligheter att bedriva antagonistisk verksamhet dolt och förnekbart i Sverige. Det kan handla om att förhindra att individer som kan bli ett säkerhetshot uppehåller sig i Sverige eller att de får tillgång till skyddsvärd information. Det kan även inkludera åtgärder för att informera om hotbilden i syfte att skapa en vaksamhet och en motståndskraft mot hotet. En god läges- uppfattning om säkerhetshotande verksamhet från främmande makt är en förutsättning för att kunna göra tillförlitliga bedöm- ningar och genomföra hotreducerande åtgärder för att begränsa handlingsutrymmet.

Kontraspionage omfattar inhämtning av underrättelser om och bedömning av andra staters spionage och annan säkerhetshotande verksamhet mot Sverige. Sådant underrättelsearbete skapar underlag för olika typer av åtgärder mot andra staters säkerhetshotande under- rättelseverksamhet och är en del av Sveriges försvar. Det arbete som kontraspionaget bedriver för att reducera hotet från främmande makt är centralt även utifrån ett totalförsvarsperspektiv. Det nya totalförsvaret i Sverige är under uppbyggnad och både det civila och det militära försvaret är beroende av civila verksamheter och infrastruktur för att fungera. Främmande makts mål finns inte bara i Sverige utan även utomlands, exempelvis personal på ambassader, konsulat och vid svenska representationer inom organ som EU och FN. Det svenska Nato-medlemskapet medför anpassningar avse- ende vad det innebär att vara en del av en allians och främmande makts mål.

Verksamheten inom kontraspionage planeras utifrån en allvarlig hotbild från främmande makt, där Ryssland, Kina och Iran fortsatt är de stater som bedriver säkerhetshotande verksamhet med mest allvarliga konsekvenser för Sveriges säkerhet. Dessa staters säkerhets- hotande verksamhet inbegriper bland annat underrättelseinhämt- ning riktad mot säkerhetskänslig verksamhet eller svenskt näringsliv, påverkan riktad mot den svenska regeringen, teknik- och kunskaps- anskaffning, cyberangrepp och i vissa fall även attentatsplanering mot mål i Sverige.

För att kunna bedriva underrättelseverksamhet i Sverige använder främmande makt underrättelseofficerare under diplomatisk täck- mantel eller inresande som i sin tur nyttjar agenter med tillgång till den information och miljöer som främmande makt har ett intresse av. Underrättelsearbete bedrivs med utgångspunkt från ambassader

128

SOU 2025:49

Bakgrund

och från dolda plattformar. Främmande makt använder även i högre utsträckning ombud, det vill säga andra aktörer i syfte att kunna agera dolt och förnekbart.

Kontraspionage kräver ett långsiktigt underrättelsearbete och ett fokus på nya arenor för säkerhetshotande verksamhet som rymd- sektorn och Arktis. Säkerhetspolisens inriktning är att bygga säker- het tillsammans med och genom andra. Detta avspeglas inom kontra- spionaget både genom en mycket nära samverkan nationellt med huvudsakligen försvarsunderrättelsemyndigheterna och med inter- nationella partners.

Under de senaste decennierna har teknikutveckling kommit att utgöra en central dimension av staters säkerhetspolitiska målsätt- ningar med stor betydelse för militär förmågeuppbyggnad. Statliga aktörers intresse har ökat för anskaffning av forskning och teknik inom olika strategiskt framväxande teknikområden samt för kun- skap, teknik och materiel för användning inom konventionell mili- tärindustri. Icke-spridning innebär att förebygga och förhindra spridning av kunskap, produkter och teknologier som kan använ- das för att utveckla massförstörelsevapen. Säkerhetspolisen har regelbundet utbyte med utländska underrättelsetjänster, samver- kande nationella myndigheter och företag i syfte att förhindra olov- lig anskaffning av produkter och teknisk kunskap som kan använ- das i andra länders massförstörelsevapen eller för säkerhetshotande syften i övrigt.

Främmande makt använder i ökad utsträckning ekonomiska instrument för att nå säkerhetspolitiska målsättningar, exempelvis genom handelshinder eller strategiska investeringar eller uppköp. I syfte att förhindra uppköp av säkerhetskänslig verksamhet finns lagen om utländska direktinvesteringar enligt vilken Säkerhets- polisen utgör så kallad samverkansmyndighet. Skadliga utländska direktinvesteringar kan bland annat innebära ett beroendeförhål- lande för Sverige när det gäller viktiga varor eller tjänster, inflytande över svenskt beslutsfattande eller stärkandet av främmande makts militära förmåga.

Främmande makt utför cyberangrepp mot säkerhetskänsliga verksamheter, företag och enskilda privatpersoner för att få tillgång till information och it-system över hela världen. För att genomföra angrepp använder aktörerna cyberinfrastruktur som även återfinns i Sverige. För att förbättra möjligheterna att i ett tidigt skede upptäcka

129

Bakgrund

SOU 2025:49

cyberangrepp mot svenska skyddsvärden har Säkerhetspolisen en omfattande nationell samverkan med myndigheter, organisationer och företag som utgör potentiella mål för främmande makt. Inter- nationell samverkan är även en förutsättning för att på cyberområ- det få del av kunskap om aktörer och information om angrepp mot Sverige. Cyberangrepp begränsas sällan till endast ett land. Säker- hetspolisen deltar därför i ett antal multilaterala samarbetsfora för att dela information om pågående och genomförda cyberangrepp.

Kontraterrorism

Säkerhetspolisen ansvarar för att förebygga, förhindra, upptäcka, utreda och lagföra brott enligt terroristbrottslagen. Säkerhetspolisens uppdrag inom ramen för kontraterrorism bedrivs såväl kort- som långsiktigt. Arbetet inom kontraterrorism handlar främst om att förhindra att terrorattentat eller annan terrorrelaterad brottslighet inträffar. Det förebyggande arbetet är mycket viktigt för att på sikt minska terrorhotet.

Att förhindra terroristbrott handlar om att ligga steget före, både i det kortsiktiga arbetet med att upptäcka och avvärja terrorhot här och nu, och i det långsiktiga arbetet med att bryta tillväxten i de våldsbejakande extremistmiljöerna. Underrättelsearbetet med inne- fattande analysverksamhet är därför central. Säkerhetspolisen måste få in relevant information för att kunna vidta åtgärder för att bryta tillväxten till och begränsa handlingsutrymmet i extremistiska mil- jöer.

Terrorbrott riktar sig mot mer än det enskilda brottsoffret och för att en gärning ska anses utgöra ett terroristbrott krävs att gär- ningen allvarligt kan skada ett land eller en mellanstatlig organisa- tion. Brotten utförs av individer som av olika anledningar anser sig ha rätt att bruka våld för att ändra eller destabilisera samhället. Terror- brott kan vara religiöst eller på annat sätt ideologiskt motiverade.

Såväl hotbilden som de våldsbejakande extremistmiljöerna är komplexa. Inom varje extremistmiljö finns individer, grupper, nät- verk och organisationer med olika motiv och bevekelsegrunder för sina åsikter och sitt agerande. I dag är det ofta över internet som aktiviteten inom dessa miljöer sker, oavsett om det handlar om rekrytering, radikalisering, gemenskaper, motiv eller ökad förmåga.

130

SOU 2025:49

Bakgrund

Tillsammans med att internet också erbjuder en rad olika världs- bilder och förenklade förklaringar till det som upplevs vara ”fel” i samhället, innebär detta att det finns en stor mängd potentiella mål som våldsbejakande extremister skulle kunna agera mot.

Dessutom tycks gränsen mellan den våldsbejakande och den icke våldsbejakande extremismen bli alltmer diffus, vilket bland annat innebär att de som enbart uttrycker åsikter också direkt eller indirekt påverkar de våldsbejakande delarna av extremismen. Säkerhetspoli- sen gör löpande bedömningar av de olika våldsbejakande extremist- miljöerna och olika företeelser som kan påverka hotbilden. Målet är att på kort sikt förhindra terroristattentat och andra grova vålds- brott och på lång sikt minska miljöernas tillväxt, handlingsutrymme och förmåga att underblåsa hotet mot Sverige.

Utmaningen för Säkerhetspolisen är att upptäcka och bedöma de individer som kan utgöra ett hot. Det vill säga de som agerar helt på egen hand, de som inspireras av andra eller de som blir styrda och agerar i en terrororganisations namn. Det är inte nödvändigtvis de som tillhör en specifik organisation som är mest benägna att begå brott. Det kan också vara ensamagerande som, till exempel utifrån en virtuell gemenskap och ett narrativ som både formar hat och försvarar användandet av våld, agerar för att förändra samhällsord- ningen. Uppmaningen och plikten att ”göra vad du kan, med de medel du har, där du är nu” förmedlas på flera olika sätt och avser såväl attentat och grova våldsbrott som aktiviteter som syftar till att polarisera, underblåsa och hetsa fram en samhällskollaps eller destabilisera det demokratiska systemet.

Författningsskydd

Inom författningsskyddet bedrivs den verksamhet som arbetar för att motverka aktörer som med hot, våld och tvång försöker påverka det demokratiska statsskickets grundläggande funktioner. Verksam- heten syftar bland annat till att motverka påverkan på det centrala beslutsfattandet eller verkställandet av nationella beslut.

Säkerhetspolisens uppdrag gällande författningsskyddet är nära kopplat till arbetet med kontraterrorism, då aktörerna som ägnar sig åt författningshotande verksamhet ofta drivs av ideologiska eller religiösa skäl. Även främmande makt kan vara involverad i verksam-

131

Bakgrund

SOU 2025:49

het som syftar till att försvaga eller destabilisera det svenska demo- kratiska statsskicket, vilket innebär att verksamheten inom författ- ningsskyddet delvis överlappar kontraspionaget. Den författnings- hotande brottsligheten kan rikta sig mot olika aktörer i samhället.

Arbetet med författningsskydd behöver därför ske långsiktigt och i nära samarbete med andra samhällsfunktioner.

Personskydd

Personskyddsverksamheten utgörs av den del av Säkerhetspolisens uppdrag som innebär bevaknings- och säkerhetsarbete för den cen- trala statsledningen, främmande stats beskickningsmedlemmar samt vid statsbesök och liknande händelser.

Personskyddet består av många olika delar för att höja säkerheten, där den yttersta skyddsåtgärden är livvaktsskydd. Verksamheten handlar till stor del om förebyggande arbete för att en skyddsperson ska kunna genomföra sitt uppdrag tryggt och säkert, samtidigt som han eller hon ska kunna röra sig fritt och ha nära kontakt med all- mänheten.

Säkerhetspolisen ansvarar för den övergripande utformningen av personskyddet och för skyddet närmast skyddspersonen. Polismyn- digheten ansvarar för distansskyddet. Skyddet kring en skyddsperson utformas efter behov. Säkerhetspolisen gör löpande bedömningar som ligger till grund för vilka skyddsåtgärder som sedan vidtas. Säkerhetspolisens personskyddsarbete bygger på bedömningar av skyddsvärde, hotbild och sårbarheter:

•Skyddsvärdet beskriver hur allvarliga konsekvenserna skulle bli för Sverige om funktionen inte skulle kunna utföra sitt uppdrag. Det kan till exempel handla om hur viktig funktionen är för det demokratiska systemets förmåga att fungera, men också om funktionens symbolvärde.

•Hotbilden är en samlad bedömning av de konkreta och potenti- ella hoten mot en skyddsperson. Ett hot utgörs i det här samman- hanget av en aktörs avsikt och förmåga att utföra ett fysiskt angrepp mot skyddspersonen.

132

SOU 2025:49

Bakgrund

•Sårbarheter är egenskaper hos eller aspekter kring en skydds- person som kan utnyttjas av en aktör med avsikt och förmåga att realisera ett hot mot skyddspersonen.

Inför att skyddspersoner deltar vid evenemang gör Säkerhetspolisen dessutom särskilda bedömningar för att se om det finns någon hot- bild mot evenemanget.

Vid Säkerhetspolisen arbetar livvakter, säkerhetschaufförer, admi- nistratörer, analytiker, handläggare, psykologer och utredare nära varandra i frågor som rör skyddspersonernas säkerhet. Stora mäng- der information hämtas in, bearbetas och analyseras för att sedan ligga till grund för de löpande bedömningarna. Utifrån dem planeras sedan lämpliga åtgärder.

Skyddsåtgärderna ska förebygga, förhindra och försvåra ett an- grepp. En skyddsåtgärd är information och rådgivning, till exempel att Säkerhetspolisen ger skyddspersonen råd om försiktighetsåtgär- der att vidta i vardagen eller informerar Polismyndigheten om att en aktivitet ska genomföras på en viss plats. Andra exempel på skyddsåtgärder kan vara säkra transporter i form av en säkerhets- chaufför, tekniska skyddsåtgärder som lås och larm i bostaden eller livvaktsskydd.

I samband med att skyddsåtgärder planeras bedömer Säkerhets- polisen vilken förmåga en angripare har. Dessa förmågor, till exem- pel att utöva hot eller använda fysiskt våld, kan förändras och utveck- las. Många gånger är dessa förändringar inte kända eller kan inte bedömas. För särskilt skyddsvärda funktioner tillämpar Säkerhets- polisen därför en dimensionerande hotbeskrivning. En dimensio- nerande hotbeskrivning beskriver en viss förmodad förmåga som skyddet ska motstå och som ska kunna stå sig över tid.

Säkerhetsskydd

Om vissa myndigheter och företag i Sverige utsätts för antagonis- tiska handlingar, kan det orsaka allvarliga konsekvenser för Sveriges säkerhet. Det kan till exempel handla om verksamheter inom rätts- väsendet, energi- eller vattenförsörjningen, telekommunikationer eller transportsektorn.

133

Bakgrund

SOU 2025:49

Dessa verksamheter kan i sitt uppdrag behöva hantera uppgifter som är av betydelse för Sveriges säkerhet. Om dessa uppgifter röjs, förstörs eller ändras kan det inverka på Sveriges säkerhet. Det är därför verksamheter som behöver ett särskilt skydd: säkerhetsskydd. Säkerhetsskyddsåtgärder kan delas in i tre huvudområden: personal- säkerhet, fysisk säkerhet och informationssäkerhet. Säkerhetsskydd handlar om att respektive verksamhetsutövare ska skydda den infor- mation och de verksamheter som är av betydelse för Sveriges säker- het mot spioneri, sabotage, terroristbrott och vissa andra hot. Det handlar även om att skydda verksamhet som omfattas av ett inter- nationellt åtagande om säkerhetsskydd som är förpliktande för Sverige.

Säkerhetspolisens verksamhet inom säkerhetsskyddet bedrivs genom olika åtgärder som innebär att myndigheten bedömer och reducerar sårbarheter i verksamheter som är av betydelse för Sveriges säkerhet eller som omfattas av internationella säkerhetsskyddsåtagan- den (säkerhetskänslig verksamhet). De sårbarhetsreducerande akti- viteterna består huvudsakligen av tillsyn, samråd och vägledning.

Säkerhetsskyddet ansvarar även för att hantera anmälan om säkerhetshotande händelser, upprätta nationella lägesbilder och att genomföra registerkontroller efter ansökan från verksamheter som bedriver säkerhetskänslig verksamhet.

3.3.2Säkerhetspolisens underrättelseverksamhet

Målet med underrättelseverksamheten

Säkerhetspolisens huvudsakliga verksamhet består av underrättelse- arbete. Underrättelsearbetet bedrivs inom alla Säkerhetspolisens verksamhetsgrenar. För att Säkerhetspolisen ska kunna fullgöra sitt uppdrag måste myndighetens verksamhet inriktas utifrån den hot- bild som finns mot de företeelser som Säkerhetspolisen ska skydda. Det är fråga dels om en strategisk hotbild för att inrikta verk-

samheten långsiktigt, dels om hotbilder som är knutna till en viss person, en viss gruppering, en viss händelse eller vissa företeelser. Tillförlitliga hotbedömningar och relevanta hot- och sårbarhets- reducerande åtgärder förutsätter att underrättelseverksamheten kan förse myndigheten med information om potentiella aktörer och fånga upp varningssignaler redan innan konkreta åtgärder för att

134

SOU 2025:49

Bakgrund

begå ett brott har vidtagits. Hotbilden utgår bland annat från en bedömning av en aktörs avsikt och förmåga att bedriva aktuell brottslig verksamhet. Det kan exempelvis handla om att kartlägga utländsk underrättelseverksamhet i Sverige eller om att upptäcka indikationer på terrorverksamhet. För att ha en sådan förmåga krävs att myndigheten kan uppfatta trender och tendenser som kan vara säkerhetshotande, utan att det alltid i detta skede rör sig om ett specifikt brott.

Säkerhetspolisens arbete är alltså främst inriktat mot att identi- fiera brottslig verksamhet i form av planer på och tidiga förstadier till brott. När Säkerhetspolisen identifierar brottslig verksamhet i ett så tidigt skede kan brottsligheten normalt förhindras innan kon- kreta brottsliga gärningar går att urskilja.

Säkerhetspolisen behöver kunna samla in, sammanställa och

analysera uppgifter inom kontraspionageverksamheten, kontraterro- rismverksamheten och författningsskyddsverksamheten även om uppgifterna inte kan hänföras vare sig till något visst konkret brott eller till någon mer konkret definierad brottslig verksamhet. Som exempel kan nämnas behovet av att inom kontraspionaget fortlöpande kunna följa utvecklingen när det gäller främmande makts underrät- telsenärvaro här i landet och att kunna övervaka personer som bedri- ver sådan verksamhet. Säkerhetspolisen behöver också, med utgångs- punkt i svenska intressen, följa den politiska utvecklingen i andra länder, verksamheten inom vissa grupper eller hos vissa personer som kan utgöra ett hot mot det svenska samhället eller som kan komma att göra sig skyldiga till terroristbrott. Inom författnings- skyddet kan Säkerhetspolisen exempelvis behöva kartlägga hot som riktar sig mot vissa grupper i samhället och fortlöpande följa hot- bilden mot vissa myndigheter eller organ. Inom ramen för detta arbete måste Säkerhetspolisen kunna dokumentera och analysera både information av underrättelsekaraktär och annan information av olika slag, såväl från allmänt tillgängliga källor som från Säkerhets- polisens eget arbete och från andra myndigheter.

Säkerhetspolisens huvudsakliga inriktning att identifiera för- stadier av brott är en avgörande skillnad i Säkerhetspolisens verk- samhet och arbetsmetoder jämfört med Polismyndighetens. Av Säkerhetspolisens operativa resurser är en överväldigande majoritet inriktad på underrättelsearbete. När Säkerhetspolisen har identi-

135

Bakgrund

SOU 2025:49

fierat brottslig verksamhet i ett så tidigt skede är det sällan som brottsligheten fullbordas.

Fokus i Säkerhetspolisens verksamhet är inte heller lagföring, utan i stället att inhämta underlag för beslut om hot- och sårbar- hetsreducerande åtgärder. Denna underrättelseverksamhet tjänar därför i första hand som underlag för beslut om vilka åtgärder Säkerhetspolisen ska vidta i sitt brottsförebyggande arbete. Den ligger också till grund för beslut om till exempel personskydd eller säkerhetsskyddsåtgärder. Ett övergripande mål med underrättelse- verksamheten är att hämta in kunskap som kan omsättas i operativ verksamhet. Det internationella samarbetet är ett väsentligt inslag i detta arbete.

Syftet med underrättelseverksamheten är alltså i huvudsak att upptäcka om en viss, inte närmare specificerad, brottslighet har ägt rum, pågår eller kan antas komma att begås. Underrättelser kan bland annat läggas till grund för beslut om att inleda förundersök- ning eller beslut om att vidta särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Exempelvis kan ett visst brottsligt tillvägagångssätt uppmärksammas genom media och därmed före- byggas. En annan form av förebyggande verksamhet innebär att berörda personer kontaktas och därigenom blir medvetna om myndig- hetens intresse, vilket många gånger leder till att den planerade brottsliga verksamheten aldrig kommer till stånd. Samverkan sker också med andra myndigheter för att de ska kunna vidta hotredu- cerande åtgärder samt med samverkande myndigheter i andra länder.

Metoder för underrättelseverksamheten

Underrättelseprocessen

Säkerhetspolisens uppdrag innebär att bekämpa särskilt allvarliga och svårutredda brott. För att kunna fullgöra detta uppdrag måste myndigheten själv identifiera aktörer som kan tänkas komma att begå till exempel terrorismrelaterad brottslighet samt bedöma förut- sättningarna för att planerad brottslighet sätts i verket.

En stor del av myndighetens arbete består därför av kartläggning av individer och nätverk som kan komma att ägna sig åt brottslig- het i eller utanför Sverige samt att upprätthålla en lägesbild över utvecklingen av potentiella hot genom att följa trender och tenden-

136

SOU 2025:49

Bakgrund

ser. Säkerhetspolisen måste vidare inrikta sitt arbete utifrån den hotbild som kan finnas mot de personer, särskilt skyddsvärda verk- samheter och svenska intressen i övrigt som myndigheten har i uppdrag att skydda.

Underrättelseverksamhet bedrivs enligt en viss process. Det första ledet i processen är planerings- eller inriktningsfasen. I denna fas beslutas bland annat vilka områden som är prioriterade och vilka uppgifter som ska hämtas in. Nästa steg är inhämtningen, som kan ske på flera olika sätt. När information har hämtats in bearbetas den genom att struktureras, systematiseras och värderas, till exempel genom jämförelser med sedan tidigare kända uppgifter. Därefter vidtar analysen. Det kan handla om exempelvis hot- och riskanalys, analys av brottsmönster och kartläggning av kriminella nätverk och grupperingar. Efter inhämtning, bearbetning och analys är ambitio- nen att det framtagna underrättelsematerialet ska kunna användas i operativt arbete. Detta brukar benämnas delgivning av information.

Inhämtning och bearbetning

Inhämtning av underrättelser sker bland annat genom spanings- åtgärder, förhörsinformation, informationsutbyte med utländska säkerhets- och underrättelsetjänster och kontakter med Polismyndig- heten, andra myndigheter och organisationer och från öppna källor, till exempel internet.

Andra källor för inhämtning utgörs av de hemliga tvångsmedlen enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott eller inhämtning av uppgifter om elektronisk kom- munikation enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndig- heternas underrättelseverksamhet. För att kartlägga hot mot landet får Säkerhetspolisen under vissa förutsättningar även inrikta den signalspaning som utförs av Försvarets radioanstalt. Finansiell inhämtning sker också med stöd av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Inhämtning av information sker också från fysiska källor, personer som lämnar information. Att Säkerhetspolisen tar hjälp av fysiska källor är en mycket viktig del i underrättelsearbetet. Det bidrar till Säkerhetspolisens förmåga att skydda den svenska demokratin och

137

Bakgrund

SOU 2025:49

den nationella säkerheten, främst inom områdena kontraspionage, kontraterrorism och författningsskydd.

Inhämtade underrättelser bearbetas, och det görs en bedömning av hur trovärdig källan är och huruvida informationen är tillförlitlig. Efter det analyseras informationen.

Analys och delgivning

När inhämtade uppgifter har analyserats lämnas informationen till berörda funktioner inom Säkerhetspolisen eller andra myndigheter och lämpliga åtgärder vidtas eller så inriktas fortsatt inhämtning.

Med utgångspunkt i informationen beslutas alltså om operativa åtgärder, extern informationsspridning eller förnyad underrättelse- inriktning.

Till skillnad från utredningsarbete i en förundersökning som har en tydlig början och ett slut består underrättelseverksamhet i stället av att ständigt fylla informationsluckor och förse beslutsfattare med underlag som gör det möjligt att rikta in kommande inhämtning.

Att bearbeta, bedöma och analysera information och underrättel- ser ingår i kärnan av en säkerhetstjänsts uppgifter. Säkerhetspolisen jobbar dygnet runt med att lägga pussel, söka mönster och dra slut- satser utifrån det ständiga inflödet av underrättelser till myndigheten.

Säkerhetspolisens analysarbete sker på flera olika nivåer: strate- gisk, operativ och taktisk.

Strategisk analys syftar till att ta fram beslutsunderlag för den långsiktiga inriktningen av myndighetens verksamhet. Operativ analys kan till exempel handla om att utifrån bearbetande av under- rättelseinformation hitta ingångar för att reducera hot och sårbar- heter, utvecklingen i specifika miljöer eller att bedöma en statlig aktörs förmågor. Taktisk analys handlar om att ta fram beslutsunder- lag för hur Säkerhetspolisen ska agera i enskilda ärenden, där tids- perspektivet ofta är kritiskt och beslut om åtgärder måste fattas snabbt.

När uppgifterna sedan har analyserats lämnas informationen till berörda enheter inom Säkerhetspolisen. Med utgångspunkt från analysen beslutas om exempelvis operativa åtgärder eller förnyad underrättelseinriktning.

138

SOU 2025:49

Bakgrund

Regleringen av Säkerhetspolisens underrättelseverksamhet

Vad som utgör underrättelseverksamhet är inte klart definierat i någon rättsakt. Med underrättelseverksamhet i stort avses insam- ling, bearbetning och analys av information i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts. Finns sådana misstankar består verksamheten i stället av att utreda brott, typiskt sett enligt reglerna om förundersökning i brottmål.

Brottsbekämpande verksamhet anses i dag omfatta både att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda och beivra/lagföra brott. I motsats till hur det förhåller sig med den brottsutredande verksamheten är dock stora delar av myn- digheternas underrättelseverksamhet inte lagreglerad. I stället sätter polislagens och regeringsformens allmänna principer för olika for- mer av ingripanden, som behovs- och proportionalitetsprinciperna, en ram för verksamheten.

Säkerhetspolisens underrättelseuppdrag har i öppna rättsliga källor beskrivits främst genom uttalanden i anslutning till de olika personuppgiftslagstiftningar som berört Säkerhetspolisen och i lag- stiftningar som reglerar användandet av olika inhämtningsmetoder, som hemliga tvångsmedel. Instruktioner om den närmare inrikt- ningen av Säkerhetspolisens uppdrag ger regeringen i regleringsbrev, som är sekretessbelagda med hänsyn till Sveriges säkerhet.

Underrättelseverksamhet består i mycket stor utsträckning av personuppgiftsbehandling. I brist på en generell rättslig reglering av underrättelseverksamhetens syfte, omfång och metoder är där- för personuppgiftslagstiftningen i praktiken styrande för verksam- heten, på samma sätt som rättegångsbalken är för brottsutredning och lagföring. Det finns även särskilda regler angående användning av mer ingripande metoder för underrättelseinhämtning, som hem- liga tvångsmedel i brottspreventivt syfte. Dessa specialregleringar innehåller dock inte några mera generella regler av hur inhämtade uppgifter därefter får behandlas i verksamheten. En ändamålsenlig utformning av personuppgiftslagstiftningen är alltså av helt central betydelse för att Säkerhetspolisen ska kunna utföra sitt uppdrag och utnyttja den information som myndigheten har rätt att hämta in.

Av 3 § i den äldre polisdatalagen (1998:622) framgick att polisens, och då även Säkerhetspolisens, underrättelseverksamhet är ”att samla,

139

Bakgrund

SOU 2025:49

bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning”. All underrättelseverksamhet som inte bedrevs av Säkerhetspolisen betecknades i den lagen som kriminal- underrättelseverksamhet och var något strängare reglerad. I den efterföljande polisdatalagen (2010:361) ersattes definitionen av underrättelseverksamheten med det mer generella ändamålet som uttrycks i polislagen; att förebygga, förhindra eller upptäcka brott- slig verksamhet. I Säkerhetspolisens nuvarande personuppgiftslag, kvarstår polislagens definition av det brottsförebyggande uppdraget, att förebygga, förhindra eller upptäcka brottslig verksamhet, som en övergripande rättslig grund. Inom denna del av uppdraget inryms underrättelseverksamheten.

Begreppet brottslig verksamhet är central för att särskilja under- rättelsearbete i förhållande till förundersökning. Begreppet före- kommer inom både straff-5 och processrätten,6 men framför allt inom en rad personuppgiftslagstiftningar7 samt i lagstiftningar som reglerar straffprocessuella tvångsmedel8 för att markera att det rör sig om underrättelseverksamhet och inte förundersökning.

Begreppet brottslig verksamhet saknar en tydlig och allmängiltig definition, vilket har kritiserats.9 Uttrycket används typiskt sett för att markera att det inte krävs misstankar av samma konkretion som för att inleda förundersökning. Ändå är kravet för att inleda förunder- sökning mycket lågt. Det räcker med ett antagande att brott av visst angivet slag har begåtts, men några närmare detaljer om brot- tet behöver inte vara kända. Skillnaden mellan misstankar som rör brottslig verksamhet och brott, särskilt i fråga om de osjälvständiga brottsformerna, får betecknas som svårfångad.

Allmänna misstankar om att det förekommer brottslig verksam- het i någon form är dock inte tillräckligt för att det ska kunna inledas

5Se bland annat 16 kap. 10 a § och 16 kap. 5 a § brottsbalken samt 3 § lag (2014:307) om straff för penningtvättbrott. Brottslig verksamhet har dock tidigare ansetts för vagt och oprecist för att kunna användas som straffrättsligt rekvisit; se prop. 1998/99:19 s. 29.

6Se bland annat 24 kap. 1 § och 28 kap. 3 § rättegångsbalken.

7Se bland annat Polisens (2018:1693), Tullverkets (2018:1694) och Kustbevakningens (2018:1695) respektive så kallade registerlagstiftningar inom brottsdatalagens område.

8Se lag (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndig- heternas underrättelseverksamhet och lag (2020:62) om hemlig dataavläsning.

9Se Lindberg, Gunnel, Straffprocessuella tvångsmedel, JUNO version: 5, Publicerad digitalt: 2022, s. 813 samt Naarttijärvi, Markus, För din och andras säkerhet, Diss. Umeå universitet,

2013, s. 319.

140

SOU 2025:49

Bakgrund

förundersökning. Rättegångsbalkens bestämmelser om inledande av förundersökning är utformad utifrån en tanke om att en konkret brottslig gärning angivits eller anmälts. Gemensamt för hur begrep- pet brottslig verksamhet används i olika lagstiftningar är att det inte förutsätter kännedom om konkreta gärningar. Däremot måste verksamheten avse en viss typ av brottslighet, som dock inte behöver vara närmare specificerad i fråga om omfattning eller detaljer. Miss- tankar om bagatellartade gärningar som kan utgöra rena bötesbrott brukar inte anses kunna konstituera en brottslig verksamhet.10

Polismyndigheten har definierat brottslig verksamhet som sam- manhängande aktiviteter som var för sig eller tillsammans innefattar att de som deltar i verksamheten kommer att utföra, eller förmå andra att utföra, gärningar som straffrättsligt är att anse som brott.11

Den brottsbekämpande underrättelseverksamheten som helhet går ut på att avslöja om en viss, inte närmare specificerad brottslig verksamhet har förekommit, pågår eller kan förväntas inträffa. I dessa sammanhang talas det om ”underrättelsemisstankar” om pågående brottslig verksamhet som inte kan konkretiseras eller om allmänna misstankar om framtida brott. Underrättelsemisstankarna om brotts- lig verksamhet kan avse fragmenterad, opreciserad och osäker infor- mation om aktiviteter som kan antas komma att leda till konkreta brott. De personer som är föremål för underrättelseutredningar kallas ibland för underrättelsemisstänkta eller riskpersoner.

Även i underrättelseverksamheten förekommer således ”miss- tänkta” i språklig mening, med den reservationen att personerna i fråga inte nödvändigtvis är misstänkta för ett redan inträffat brott som kan beskrivas med den konkretion som regleringen i brotts- balken och rättegångsbalken förutsätter. Misstanken avser i stället en viss brottslig verksamhet. Begreppet ”misstänkt brottslig verk- samhet” används också i lagstiftning om de brottsbekämpande myn- digheternas behandling av personuppgifter.12 Även ”misstanke” utgör därmed en naturlig del av begreppsapparaten när underrättelse-

10Se Ds 2006:17 s. 94–97 och exempelvis prop. 2015/16 s. 18, prop. 2014/15 s. 34, prop. 2022/23:53 s. 84.

11Polismyndighetens handbok för underrättelsetjänst – verksamhet, process och begrepp, PM 2021:17 saknr 493, s. 9 f.

12Se 3 kap. 2 § 1 p. lag (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område samt 3 kap. 4 § i samma lag angående personer som är misstänkta för att ha utövat eller komma att utöva misstänkt brottslig verksamhet.

141

Bakgrund

SOU 2025:49

verksamhet i allmänhet och särskilt preventiv tvångsmedelsanvänd- ning diskuteras.13

Den brottsliga verksamhet som Säkerhetspolisen har till upp- drag att bekämpa har exemplifierats i förarbeten till polisdatalagen (2010:361). Där anges verksamheter, sammanslutningar och annat som kan utvecklas till konkreta hot mot det svenska samhällsskicket eller mot enskilda personer i statsledningen som ett exempel. Ett annat exempel är att en främmande stat misstänks bedriva under- rättelseverksamhet av visst slag, utan att några konkreta brott kan urskiljas. Även företeelser i det svenska samhället som kan komma att utvecklas till brott mot bestämmelser i 18 eller 19 kap. brotts- balken ansåg regeringen kunna utgöra brottslig verksamhet utan att närmare specificera hur riskbedömningen eller prognosen är tänkt att utföras.

Vidare anses begreppet medge att Säkerhetspolisen följer den politiska utvecklingen i andra länder och verksamheten inom vissa grupper, som kan utgöra ett hot mot det svenska samhället eller som kan komma att göra sig skyldiga till terroristbrott. Regeringen har uttalat att det normalt inte går att urskilja lika tydliga kopplingar till brottslig verksamhet i Säkerhetspolisens verksamhet. Den under- rättelseverksamhet som bedrivs inom Säkerhetspolisen är till sin natur ofta sådan att den ligger på ett tidigare stadium än den som bedrivs av polisen i övrigt.14 Klart är att avsikten är att Säkerhets- polisens underrättelseverksamhet ska tillåtas ha en bredare inrikt- ning än motsvarande verksamhet hos andra brottsbekämpande myndigheter. Detta får anses följa av den brottskatalog som Säker- hetspolisen ansvarar för snarare än av den likalydande regleringen av underrättelseuppdraget.

3.3.3Säkerhetspolisens brottsutredande verksamhet

Säkerhetspolisens brottsutredande uppdrag är av liten omfattning i förhållande till övriga uppdrag. De förundersökningar som främst aktualiseras inom myndigheten avser brott mot Sveriges säkerhet enligt 19 kap. brottsbalken, olika former av terroristbrott samt brott riktade mot personer i den centrala statsledningen. Eftersom Säker-

13Se SOU 2022:52 s. 146 f.

14Prop. 2009/10:85 s. 256 och 362 f.

142

SOU 2025:49

Bakgrund

hetspolisens mål är att förhindra allvarlig brottslighet innan den genomförs ingriper myndigheten ofta i ett tidigt skede vid informa- tion om misstänkt brottslighet. De brottsrubriceringar Säkerhets- polisen utreder utgörs därför många gånger av de så kallade osjälv- ständiga brottsformerna, som stämpling, förberedelse och anstiftan till brott.

De utredningar som bedrivs leder till förhållandevis få lagföringar. Den typ av brottslighet det är fråga om är ofta svår att bevisa i en straffrättslig process. De osjälvständiga brottsformerna, som av nämnda skäl främst aktualiseras, kräver ofta en omfattande utred- ning, om bland annat avsikter med ett handlande. Redan av det skälet föreligger bevissvårigheter, som inte är unika för Säkerhets- polisens verksamhet. Det finns dock ytterligare utredningssvårig- heter som är särskilt utmärkande för förundersökningar som bedrivs av en myndighet som samtidigt är den nationella säkerhetstjänsten. En sådan svårighet är eventuella användningsbegränsningar som kan uppställas vad gäller uppgifter som Säkerhetspolisen har fått från en annan stat eller mellanfolklig organisation.15

Fällande domar är emellertid inte alltid huvudsyftet med en brotts- utredning som genomförs av Säkerhetspolisen. Exempelvis kan aktörer som är misstänkta för spioneri agera i Sverige under en diplomatisk täckmantel. Den diplomatiska immuniteten innebär att det inte går att åtala dessa aktörer för brott. Det viktiga är i stället att Säkerhetspolisen på ett effektivt sätt avbrutit verksamheten innan ett allvarligt brott såsom spionage har genomförts.

Verksamhet för att utreda och lagföra brott omfattar åtgärder inom ramen för förundersökningar. En förundersökning ska inledas så snart det på grund av angivelse eller av annat skäl finns anled- ning att anta att ett brott som hör under allmänt åtal har förövats (23 kap. 1 § rättegångsbalken). Bestämmelsen ger uttryck för den principiella förundersökningsplikt som gäller i Sverige. När en för- undersökning har inletts, blir ett omfattande regelverk som inne- fattar både förpliktelser för Säkerhetspolisen och rättigheter för den misstänkte tillämpligt. Förundersökningar vid Säkerhetspolisen leds som regel av åklagare vid Riksenheten för säkerhetsmål.

Förundersökningens syfte är att det ska utredas vem som kan misstänkas för ett aktuellt brott och om det finns tillräckliga skäl för åtal samt att målet ska förberedas så att bevisningen kan presen-

15Se 6 kap. lag (2017:496) om internationellt polisiärt samarbete.

143

Bakgrund

SOU 2025:49

teras i ett sammanhang vid en domstolsförhandling (23 kap. 2 § rättegångsbalken). Förundersökningsarbetet består till stor del i hållande av förhör samt hantering av eventuella beslag och informa- tion som inhämtats genom hemliga tvångsmedel. Under förunder- sökningen hämtas också annan utredning in.

För att den misstänkte ska kunna ta tillvara sina rättigheter och intressen under en förundersökning genom att till exempel begära att utredningen ska kompletteras med olika åtgärder, är det av av- görande betydelse att han eller hon får reda på att misstankarna finns. När förundersökningen har kommit så långt att någon skäli- gen kan misstänkas för brottet, ska den misstänkte därför underrät- tas om misstanken när han eller hon hörs (23 kap. 18 § rättegångs- balken). Genom underrättelsen uppkommer bland annat en rätt till insyn enligt rättegångsbalken. Rätten till insyn är central för den enskildes rättssäkerhet och möjlighet att försvara sig. Underrättelsen innebär självklart också slutet på Säkerhetspolisens möjlighet att utreda brottet utan den misstänktes kännedom.

3.4Nationellt och internationellt samarbete

3.4.1Nationellt samarbete

Nationellt samarbetar Säkerhetspolisen främst med de försvars- anknutna underrättelsemyndigheterna, de brottsbekämpande myn- digheterna samt med Migrationsverket. Säkerhetspolisen har ett nära samarbete med den militära underrättelse- och säkerhetstjäns- ten, och med Försvarets radioanstalt. Samarbetet omfattar både strategisk, operativ och taktisk nivå för den verksamhet som bedrivs. Samverkan mellan de olika underrättelsemyndigheterna är helt avgörande för att Säkerhetspolisen ska lyckas med sitt uppdrag och ett effektivt informationsutbyte är en förutsättning för myndig- heternas respektive uppdrag. Samarbetet är nödvändigt för att skapa helhetsbilder om bland annat hotutvecklingen och hur den påver- kar Sveriges säkerhet. Uppgifter som behandlas av en underrättelse- myndighet kan tillsammans med uppgifter som behandlas av en annan ge en helhetsbild som inte framträder om de analyseras var för sig.

Därutöver finns sedan länge det etablerade samarbetet mellan myndigheterna inom Nationellt centrum för terrorhotbedömning

144

SOU 2025:49

Bakgrund

(NCT). Centret är en permanent arbetsgrupp med personal från Säkerhetspolisen, FRA och den militära underrättelse- och säker- hetstjänsten. Centrets uppgift är att göra strategiska bedömningar av terrorhotet mot Sverige och svenska intressen, på kort och lång sikt.

Säkerhetspolischefen, generaldirektören för Försvarets radio-

anstalt och chefen för den militära underrättelse- och säkerhetstjäns- ten ingår också i det nationella underrättelserådet. Underrättelse- rådets syfte är att säkerställa en god samordning av underrättelser och bidra till informationsutbytet mellan Regeringskansliet och underrättelsemyndigheterna.

Säkerhetspolisen har ett väl utvecklat samarbete med Polismyndig- heten. En stor del av samarbetet handlar om informations- och erfarenhetsutbyte, men det är också operativt. Till exempel lämnar Säkerhetspolisen stöd till Polismyndigheten i brottsutredningar i form av expertkunskaper, hotbilder, spaning och analys. Säkerhets- polisen samverkar med Polismyndigheten och andra brottsbekäm- pande myndigheter vad gäller frågor om till exempel hemliga tvångs- medel och för att motverka grov organiserad brottslighet.16

Myndigheten är även sammankallande i Samverkansrådet mot terrorism vilket är ett samarbete mellan svenska myndigheter som syftar till att stärka Sveriges förmåga att motverka och hantera terrorism.

Säkerhetspolisen är etablerad i sammanhang som berör användan- det av ekonomiska uppgifter för att upptäcka och förebygga brotts- lighet, inte minst genom aktivt deltagande i den så kallade svenska regimen som syftar till att motverka penningtvätt och finansiering av terrorism.17 Det övergripande syftet med myndighetens delta- gande är att stärka Sveriges motståndskraft i förhållande till penning- tvätt och finansiering av terrorism. Säkerhetspolisen deltar även i sådan samverkan mot penningtvätt och finansiering av terrorism.18 Syftet med samverkan är att genom informationsutbyte förebygga, förhindra eller upptäcka om aktörer och nätverk som Säkerhetspolisen misstänker har kopplingar till våldsbejakande extremism eller olov- lig verksamhet i främmande makts regi ägnar sig åt penningtvätt eller finansiering av terrorism.

16Se 2 § 4 i Säkerhetspolisens instruktion.

17Regeringens skrivelse 2013/14:245.

18Se 4 a kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terror.

145

Bakgrund

SOU 2025:49

Inom personskyddsarbetet finns ett nära samarbete med den lokala polisen vid planering och genomförande av skyddsåtgärder inom deras geografiska områden. Säkerhetspolisen samverkar också med de parter som omfattas av säkerhetsskyddslagstiftningen. Det vill säga myndigheter, kommuner, regioner samt vissa företag.

3.4.2Internationellt samarbete

Det internationella samarbetet är ett väsentligt inslag i Säkerhets- polisens arbete med att inhämta underlag för beslut om hot- och sårbarhetsreducerande åtgärder och för att vidta sådana åtgärder.

Informationsutbyte är en central del av Säkerhetspolisens samarbete med andra stater.

Samarbetet berör stater både inom och utanför EU. Händelser i utlandet kan få konsekvenser i Sverige och kan komma att påverka den nationella hotbilden och säkerheten. Den säkerhetshotande och brottsliga verksamhet som Säkerhetspolisen har i uppdrag att bekämpa är ofta gränsöverskridande. Säkerhetspolisen har därför ett väl utvecklat samarbete med andra länders säkerhets- och under- rättelsetjänster och deltar i olika internationella forum. Myndigheten samverkar även med brottsbekämpande internationella organisa- tioner så som EU:s brottsbekämpande organ Europol och den internationella polisorganisationen Interpol. Beslut och aktiviteter inom FN och EU har ofta bäring på Säkerhetspolisens uppdrag varför Säkerhetspolisen bevakar relevanta konventioner och rätts- akter samt bistår regeringen med underlag och resurser i internatio- nella sammanhang kopplat till organen. Säkerhetspolisen har även en roll i det informationsutbyte som sker inom Nato.

Lagen (2017:496) om internationellt polisiärt samarbete till- lämpas på det polisiära samarbetet mellan Sverige och andra stater vad gäller frågor om åtaganden såsom operativt samarbete och informationsutbyte som följer av vissa internationella överenskom- melser, till exempel Schengensamarbetet.

146

SOU 2025:49

Bakgrund

3.5Reglering av Säkerhetspolisens behandling av personuppgifter

3.5.1Bakgrund till säpodatalagen

Säkerhetspolisen var fram till och med år 2014 en del av dåvarande Rikspolisstyrelsen (RPS/Säk). Historiskt har Säkerhetspolisens verk- samhet därför av naturliga skäl omfattats av samma personuppgiftslag- stiftning som polisväsendet i stort, med vissa särbestämmelser. I den äldre polisdatalagen (1998:622) fanns avvikande bestämmelser som gällde Säkerhetspolisens verksamhet angående information från nedlagda förundersökningar. I övrigt fick Säkerhetspolisen behandla personuppgifter, i det så kallade SÄPO-registret, enligt den dåva- rande personuppgiftslagen. Det innebar färre restriktioner än för kriminalunderrättelsetjänsten, som reglerades av polisdatalagen.

I förarbetena till den efterföljande polisdatalagen (2010:361)

konstaterades att Säkerhetspolisens verksamhet i stor utsträckning bedrevs på liknande sätt som verksamheten vid polisen i övrigt. Särdragen i Säkerhetspolisens verksamhet motiverade dock att vissa bestämmelser utformades på ett sätt som var mer anpassat till den verksamheten och tillägnades därför ett eget kapitel i lagen. Tanken med regleringen av Säkerhetspolisens personuppgiftsbehandling var att den skulle tillåta hantering på ett i huvudsak oförändrat sätt mot tidigare.19 Att Säkerhetspolisen år 2015 blev en fristående myndig- het föranledde endast vissa formella ändringar i polisdatalagen som alltjämt omfattade både Polismyndighetens och Säkerhetspolisens verksamhet.20

År 2016 antog EU dels den så kallade dataskyddsförordningen,21 dels det så kallade brottsdatadirektivet.22 Den senare avsåg brotts- bekämpande myndigheters behandling av personuppgifter och genomfördes i svensk rätt i huvudsak genom brottsdatalagen (2018:1177). Brottsdatalagen gäller behandling av personuppgifter

19Prop. 2009/10:85 s. 250–251.

20Prop. 2013/14:110 s. 480 f.

21Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

22Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

147

Bakgrund

SOU 2025:49

som utförs av de brottsbekämpande myndigheterna i deras brotts- bekämpande verksamhet och i verksamhet som syftar till att upp- rätthålla allmän ordning och säkerhet. Dataskyddsförordningen reglerar all annan verksamhet än den som avses i brottsdatadirektivet. Varken dataskyddsförordningen eller brottsdatadirektivet om-

fattar dock verksamhet som rör nationell säkerhet, vilket följakt- ligen inte heller brottsdatalagen gör. Då brottsdatalagen ersatte polisdatalagen, men inte omfattade brottsbekämpning som rör nationell säkerhet, saknades en modern personuppgiftslagstiftning för merparten av Säkerhetspolisens verksamhet. Genom övergångs- bestämmelser fortsatte Säkerhetspolisen därför att tillämpa den upphävda polisdatalagen och personuppgiftslagen till dess att det år 2020 infördes en särskild lag för Säkerhetspolisens personuppgifts- behandling, lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter (i det följande säpodatalagen).

I förarbetena till säpodatalagen betonades att Säkerhetspolisens och Polismyndighetens verksamhet i stor utsträckning bedrivs på liknande sätt men att Säkerhetspolisens uppdrag skiljer sig från Polismyndighetens. Säkerhetspolisen har en betydligt mer begrän- sad verksamhet, inriktad på några få områden där tyngdpunkten ligger på att förebygga och förhindra brott som rör nationell säker- het, vilket förutsätter att myndigheten också har förmåga att identi- fiera och kartlägga sådan brottslig verksamhet. Enligt förarbetena behöver Säkerhetspolisen för detta ändamål kunna behandla person- uppgifter på ett tidigt stadium, innan en person eller en gruppering har konkreta brottsplaner eller har vidtagit åtgärder för att begå brott. Det innebär att Säkerhetspolisens arbete främst är inriktat mot att identifiera planer på och förstadier av brottslig verksamhet, i ett så tidigt skede att konkreta brottsliga gärningar kan vara svåra att urskilja. I propositionen angavs att detta innebär att det finns avgörande skillnader i Säkerhetspolisens verksamhet och arbets- metoder jämfört med Polismyndighetens.23

På samma sätt som gällt tidigare, då Polismyndigheten och Säker- hetspolisen omfattades av samma lag, är säpodatalagen både till sitt innehåll och sin struktur likartad med de regleringar som gäller för andra brottsbekämpande myndigheter. I motiven betonades även att de tidigare bestämmelserna i polisdatalagen i allt väsentligt fun- gerat som avsett. Bestämmelserna i polisdatalagen ansågs därför till

23Prop. 2018/19:163 s. 47 f.

148

SOU 2025:49

Bakgrund

stor del kunna bilda mönster för den nya lagen.24 Säpodatalagen var därmed inte avsedd att medföra några större förändringar i hur Säkerhetspolisen skulle få behandla personuppgifter, utan syftade till att myndigheten i det avseendet skulle ha förutsättningar att fortsätta på i huvudsak samma sätt som tidigare.

3.5.2Allmänt om personuppgiftsbehandling

För att förstå säpodatalagens uppbyggnad, eller någon annan data- skyddsreglering, är det viktigt att förstå begreppet personuppgifts- behandling.

Av säpodatalagens definitioner i 1 kap. 5 § framgår att behandling av personuppgifter innefattar en åtgärd eller en kombination av åtgärder som vidtas i fråga om personuppgifter eller en uppsättning av personuppgifter, oavsett om det görs automatiserat eller inte. Som exempel anges i lagtexten insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läs- ning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Dessa exempel är inte uttömmande utan är avsedda att illustrera att det i praktiken inte finns något sätt att hantera person- uppgifter som inte träffas av begreppet behandling.

I samma paragraf definieras en personuppgift som varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Varje upplysning som kan hänföras till en fysisk person är en per- sonuppgift, som exempelvis namn eller passbild. Det gäller även upplysningar som kan hänföras till en individ om denna kan identi- fieras med hjälp av informationen, exempelvis oidentifierade finger- avtryck, alias eller e-postadress. Det krävs inte att den personuppgifts- ansvarige ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Det är därmed tillräckligt att det ska vara möjligt att koppla informationen till en levande individ för att det ska utgöra person- uppgifter.

Information som kan utgöra personuppgifter omfattar därmed allt från uppgifter som direkt beskriver en person som namn, bild eller personnummer till uppgifter som indirekt går att koppla till en person som adress, ljudklipp, ip-adress eller GPS-information.

24Se SOU 2017:74 s. 598 och prop. 2018/19:163 s. 49.

149

Bakgrund

SOU 2025:49

I exempelvis ett telefonsamtal förekommer som regel en mängd personuppgifter, både avseende de personer som kommunicerar med varandra och om andra som direkt eller indirekt omnämns i samtalet.

Personuppgiftsbehandling har sedan länge använts som en hel- täckande beskrivning av all slags hantering av uppgifter som direkt eller indirekt kan hänföras till en levande person. Begreppet i svensk rätt har sitt ursprung i personuppgiftslagen (1998:204). Person- uppgiftslagen genomförde EU:s dataskyddsdirektiv25 som innehöll en motsvarande definition av begreppet behandling. Dataskydds- direktivet var i sin tur inspirerat av dataskyddskonventionen26 från 1981 som innehåller en definition av automatisk behandling [eng. automatic processing], av liknande lydelse (som dock inte innefat- tade insamling av personuppgifter). Syftet med ett så generellt begrepp är att lagar där begreppet används ska bli så teknikneutrala som möjligt och inte stå i vägen för eller skapa oreglerade kryphål för nya eller oförutsedda sätt att bearbeta eller komma åt person- uppgifter.

Problemet med den beskrivna lagstiftningstekniken är att de lagar som reglerar personuppgiftsbehandling omfattar en stor variation av både information och åtgärder. Det innebär att harmlös hanter- ing, som att upprätta en lista med e-postadresser för utskick i en idrottsförening, och starkt integritetskänslig behandling, som gene- tisk profilering, regleras inom samma rättsliga ram. Sådana lagar behöver andra sätt att hantera det faktum att olika former av behand- ling kan utgöra olika grader av intrång i den personliga integriteten.

Lösningen går ut på att dataskyddsregelverk på olika sätt strävar efter att minimera antalet personuppgifter som behandlas och säker- ställa att endast de uppgifter som är nödvändiga för ett visst på för- hand uttalat ändamål får behandlas, och endast i detta syfte. Det ändamål som ska vägleda vilka personuppgifter som får behandlas måste komma från en på förhand definierad grund. Inom närings- livet bygger grunden för personuppgiftsbehandling ofta på avtal eller samtycke. För myndigheter utgörs grunden normalt av ett rätts-

25Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

26Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, SÖ 1982:50.

150

SOU 2025:49

Bakgrund

ligt fastställt uppdrag, som brottsbekämpning och annan myndig- hetsutövning eller ett allmänt intresse.

En prövning av vilka personuppgifter som är nödvändiga att behandla för ett visst ändamål är inte sällan svår att utföra och läggs på den personuppgiftsansvariga myndigheten eller företaget att göra själv, i de fall då det inte är möjligt eller önskvärt med specifik lag- stiftning i frågan. Den grundläggande tanken bakom kravet på ända- mål är att ingen har rätt att samla på sig uppgifter om individer, hur obetydliga de än kan framstå, utan giltig anledning. En annan säker- hetsmekanism är att ett antal särskilt integritetskänsliga uppgifter endast tillåts att behandlas om behovet överskrider ett visst högre krav. I Sverige benämns dessa som känsliga personuppgifter, men inom EU- och Europarätten brukar motsvarande uppgifter sägas utgöra särskilda kategorier av uppgifter [eng. special categories].

Av 1 kap. 2 § säpodatalagen framgår att lagen gäller vid behand- ling av personuppgifter som rör nationell säkerhet i Säkerhetspoli- sens brottsbekämpande och lagförande verksamhet. Inom denna verksamhet är lagen därmed tillämplig på såväl insamling som lag- ring, sökning och läsning av personuppgifter, där annan specialregler- ing saknas. Hur Säkerhetspolisens personuppgiftsbehandling regle- ras har därmed stor betydelse för en myndighet vars uppdrag till största del består av att samla in och på olika sätt bearbeta och ana- lysera information om människor.

I det följande beskrivs hur vissa delar av säpodatalagen är utformad. Redogörelsen är inriktad på de centrala bestämmelserna i lagen och gör inte anspråk på att vara heltäckande. Säpodatalagen är relativt ny och för en mer utförlig redogörelse för samtliga bestämmelser

i lagen hänvisas till lagens förarbeten.27

3.5.3Säpodatalagens tillämpningsområde

Behandling av personuppgifter som rör nationell säkerhet i brottsbekämpande och lagförande verksamhet

Säpodatalagen gäller behandling av personuppgifter som rör natio- nell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet (1 kap. 2 §).

27SOU 2017:74, prop. 2018/19:163, bet. 2019/20:JuU9, rskr. 2019/20:44.

151

Bakgrund

SOU 2025:49

Avgränsningen till nationell säkerhet följer av att det EU-rätts- liga dataskyddsregelverket omfattar all personuppgiftsbehandling som sker inom områden där unionen har lagstiftningskompetens. Inom det område som går under beteckningen nationell säkerhet har medlemsstaterna däremot i princip exklusiv kompetens. Det innebär att varken dataskyddsförordningen eller brottsdatadirek- tivet är tillämpliga inom detta område, vilket det erinras om i respek- tive rättsakt.28

Trots sina likheter med brottsdatalagen utgör säpodatalagen ett exempel på att Sverige utnyttjat sin exklusiva lagstiftningskompe- tens inom området nationell säkerhet. Detta kommer till uttryck bland annat genom att säpodatalagen, på samma sätt som de tidigare polisdatalagarna, avgränsar tillämpningsområdet till brottsbekäm- pande verksamhet. Detta är en skillnad mot brottsdatalagens tillämp- ningsområde som avgränsas genom det brottsbekämpande syftet med personuppgiftsbehandlingen. Säpodatalagen omfattar därför behandling även för andra syften än brottsbekämpning, men som sker i brottsbekämpande verksamhet.

Om Säkerhetspolisen behandlar personuppgifter i brottsbekäm- pande syfte i verksamhet som inte rör nationell säkerhet tillämpas i stället brottsdatalagen och polisens brottsdatalag (1 kap. 4 § brotts- datalagen). Sådan behandling kan ske bland annat då Säkerhetspoli- sen bistår Polismyndigheten i enskilda fall eller efter överenskom- melse enligt 13 § i Säkerhetspolisen instruktion.

All operativ verksamhet som bedrivs av Säkerhetspolisen har

ansetts vara i någon mån brottsbekämpande. Det innebär exempel- vis att även Säkerhetspolisens yttranden i medborgarskapsärenden har ansetts falla inom lagens tillämpningsområde.29 I den verksam- het som inte rör brottsbekämpning ska EU:s dataskyddsförordning tillämpas, oavsett om verksamheten omfattas av unionsrätten eller inte (1 kap. 2 § dataskyddslagen). Detta område har ansetts omfatta eventuell personuppgiftsbehandling i den interna verksamheten, som framtagande av interna föreskrifter, handböcker och policy- dokument. Även den administrativa verksamheten, där personal- frågor och ekonomihantering hanteras, har ansetts falla utanför lagens brottsbekämpande tillämpningsområde och merparten av

28Se förklaringssats 16 till dataskyddsförordningen respektive 14 till brottsdatadirektivet.

29Prop. 2009/10:85 s. 255 f.

152

SOU 2025:49

Bakgrund

den administrativa personuppgiftsbehandlingen har inte heller an- tagits utgöra frågor som rör nationell säkerhet.30

Automatiserad behandling och strukturerade samlingar

Föremålet för olika personuppgiftslagstiftningar har alltid varit automatiserad behandling, vilket innebär att personuppgifter ska vara sökbara med dator. Sveriges (och världens) första personuppgifts- lag, datalagen (1973:289), begränsades till denna då nya typ av behandling, som även ansågs medföra helt nya faror för otillbörligt intrång i den personliga integriteten.31 När datalagen efter 25 år ersattes med personuppgiftslagen (1998:204) utvidgades tillämp- ningsområdet, både avseende automatiserad behandling och till behandling av personuppgifter i sökbara manuella register. Person- uppgifter som hanterades i pappersform omfattades av samma regler som automatiserad behandling så länge uppgifterna ingår i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det senare innebär att det förs register över olika personuppgifter som exempelvis gör det möjligt att söka efter en akt eller ett dokument med hjälp av ett personnamn eller personnummer.

I tekniskt avseende är säpodatalagens tillämpningsområde det- samma som för den 25 år gamla personuppgiftslagen. Säpodatalagen ska därmed, enligt 1 kap. 3 §, tillämpas på sådan behandling av per- sonuppgifter som är helt eller delvis automatiserad och på annan behandling som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Subsidiär lagstiftning

Enligt 1 kap. 4 § är säpodatalagen subsidiär, inte bara till annan lag, utan även till förordning. Detta är en skillnad mot den tidigare polis- datalagen som endast var subsidiär till vissa utpekade lagar och för- ordningar meddelade med stöd av dessa.

30Prop. 2018/19:163 s. 54.

31Se till exempel prop. 1973:33 s. 89.

153

Bakgrund

SOU 2025:49

Det huvudsakliga skälet till bestämmelsen, som framgår av för- arbetena, är att den insynsrätt för enskilda som säpodatalagen inne- håller i viss mån kan anses stå i strid med straffprocessuella regler om målsägande och misstänkts insyn. Regeringen ansåg att subsi- diaritetsbestämmelsen borde vara generell, och inte begränsas till bland annat rättegångsbalkens regler eller förordningen om inter- nationellt polisiärt samarbete.

Säpodatalagen innehåller därmed en generell bestämmelse om att avvikelser från lagen är möjliga, antingen genom bestämmelser i annan lag eller i förordning, oavsett om de har beslutats med stöd av regeringens restkompetens eller följer av ett bemyndigande. Lika- lydande subsidiaritetsbestämmelse finns i brottsdatalagen (1 kap. 5 §) vilket bland annat beror på att den lagstiftningen är en ramlag som medger att särskilda bestämmelser meddelas i de så kallade register- lagarna. I dessa lagar, bland annat 1 kap. 3 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag), saknas emellertid motsvarande bestämmelser om subsidiaritet i annat avseende än till vissa särskilt utpekade lagar.

3.5.4Rättslig grund och ändamål

Rättslig grund

Vad innebär rättslig grund?

Att personuppgifter endast får behandlas av en myndighet om det finns rättsligt stöd är en sedan länge etablerad princip för skyddet av personlig information. Den rättsliga grunden utgör den ram inom vilken myndigheten överhuvudtaget får behandla personuppgifter. Begreppet rättslig grund för personuppgiftsbehandling används i EU:s rättsakter, som dataskyddsförordningen och genomgående i de lagar som bygger på EU-rättsliga förlagor, som brottsdatalagen och lag (2018:218) med kompletterande bestämmelser om EU:s dataskyddsförordning (dataskyddslagen). Det förekommer ofta att en myndighets verksamhet omfattas av olika personuppgiftsregler- ingar, där EU:s dataskyddsförordning med kompletterande svensk lagstiftning är tillämplig för exempelvis personaladministration och speciallagstiftning tillämpas i kärnverksamheten. Om en rättslig

154

SOU 2025:49

Bakgrund

grund anges i en personuppgiftslag, överensstämmer den med den del av myndighetens verksamhet som lagen är tänkt att reglera.

Ilagar som föregår EU-regleringen eller reglerar områden som ligger utanför EU:s kompetens har begreppet ändamål i stället använts, men med samma betydelse: att personuppgifter endast får behandlas om det är nödvändigt för att myndigheten ska kunna utföra de uppgifter som åligger den. Behovet av att uttrycka en särskild rättslig grund, eller ett övergripande ändamål för person- uppgiftsbehandling beror på vilken myndighet det handlar om och vilka personuppgifter som myndigheten kommer att behandla. Kravet på en uttrycklig rättslig grund, som är annat än en hänvis- ning till myndighetens uppdrag, beror dels på om myndighetens uppgifter är så specifika att det redan av dessa går att förutse vilka uppgifter om personer som är nödvändiga för myndigheten att behandla, dels på hur kännbart intrång i den personliga integriteten behandlingen är och om den kan sägas utgöra en kartläggning av enskildas personliga förhållanden. Om en myndighets verksamhet är väl reglerad kan det räcka att som ändamål eller rättslig grund ange att myndigheten får behandla personuppgifter om det är nöd- vändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning.32 Om det däremot rör sig om uppgifter som är känsligare ur integritetssynpunkt eller innebär en sådan kartlägg- ning som avses i 2 kap. 6 § andra stycket regeringsformen kan stäl- las högre krav på förutsebarhet och i lag uttryckt rättsligt stöd i personuppgiftslagstiftningen.

I 2 kap. 1 § säpodatalagen anges uttryckliga rättsliga grunder för Säkerhetspolisens personuppgiftsbehandling. Där räknas Säkerhets- polisens uppgifter som rör nationell säkerhet upp i ett antal punkter, vilka i princip korresponderar med polislagens 3 §. Av bestämmel- sen framgår även nödvändighetsrekvisitet som innebär att person- uppgiftsbehandlingen ska vara nödvändig för att uppgiften ska gå att fullgöra på ett effektivt sätt.

32Jfr art. 6.1 c i dataskyddsförordningen och 2 kap. 2 § lag om kompletterande bestämmelse till EU:s dataskyddsförordning.

155

Bakgrund

SOU 2025:49

Underrättelseverksamheten

Av de uppräknade grunderna för personuppgiftsbehandling åter- kommer, i första punkten, begreppet förebygga, förhindra eller upptäcka brottslig verksamhet som samlingsbegrepp för Säkerhets- polisens brottsförebyggande arbete. Den verksamhet som avses är huvudsakligen Säkerhetspolisens underrättelseverksamhet. Den första punken är därmed avsedd att ge rättsligt stöd för att bland annat samla in information samt analysera och bearbeta den i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att något konkret brott har begåtts, se avsnitt 3.3.2.

I begreppet ingår bland annat Säkerhetspolisens kartläggning och kontroll av personer, företeelser och annat som kan belysa riskerna för de brott som Säkerhetspolisen har att beivra. Exempel på detta som anges i förarbetena är insamling av uppgifter om verk- samheter och annat som kan utvecklas till konkreta hot mot det svenska samhället eller mot enskilda personer i statsledningen samt spaning i syfte att uppdaga sådan brottslig verksamhet som Säker- hetspolisen bekämpar.33 Inom den rättsliga grunden som avser under- rättelseverksamhet ryms också handläggning av frågor om till exem- pel preventiva tvångsmedel och överskottsinformation enligt 27 kap. 23 a § rättegångsbalken, så länge syftet i förlängningen är att för- hindra brott.

Den brottsliga verksamhet som Säkerhetspolisen ska förebygga, förhindra eller upptäcka framgår av polislagen och återkommer även i denna punkt: brott mot Sveriges säkerhet och terrorbrott. Därutöver anges, i första punkten c, tryckfrihetsbrott och yttrande- frihetsbrott med rasistiska eller främlingsfientliga motiv. Denna sär- skilda brottskategori är en kvarleva från polisdatalagen och har sitt ursprung i den tidigare polisorganisationen. Rikspolisstyrelsen hade

ien särskild författning34 föreskrivit att förundersökningar avse- ende yttrandefrihetsbrott och tryckfrihetsbrott med rasistiskt eller främlingsfientligt motiv alltid skulle handhas av Säkerhetspolisen eller under medverkan av Säkerhetspolisen i de fall där Justitiekans- lern är ensam åklagare. Denna föreskrift upphävdes år 201535 efter att Säkerhetspolisen blev en fristående myndighet och någon mot-

33Prop. 2018/19:163 s. 217 f.

34RPSFS 1999:10, FAP 403–3.

35PMFS 2015:02.

156

SOU 2025:49

Bakgrund

svarighet finns inte i de föreskrifter36 som ersatt den tidigare. Bestäm- melsen har trots detta överförts till den nuvarande säpodatalagen.

Utreda eller lagföra brott

Av 2 kap. 1 § andra punkten framgår att Säkerhetspolisen även får behandla personuppgifter för att utreda eller lagföra de brott som anges i föregående punkt eller efter särskilt beslut annat brott. I prak- tiken innebär det att Säkerhetspolisen får behandla personuppgifter under förundersökningsstadiet efter det att konkreta brott har kunnat identifierats och rättegångsbalkens regler börjat tillämpas. Med brott avses både gärningar som bevisligen har skett och sådana som det bara finns misstankar om.

Person- och säkerhetsskydd samt uppgifter enligt utlännings- och medborgarskapslagstiftningen

Av den tredje punkten följer att Säkerhetspolisen får behandla per- sonuppgifter i samband med personskydd, säkerhetsskydd och då uppgifter utförs enligt utlännings- och medborgarskapslagstift- ningen. De två första uppgifterna framgår av 3 § polislagen. Det kan handla om att personuppgifter för skyddspersoner och deras anhöriga kan vara nödvändiga att samla in och behandla vid livvakts- skydd eller att utföra registerkontroller avseende personer som ska delta i säkerhetskänslig verksamhet Uppgifter enligt utlännings- och medborgarskapslagstiftningen omfattar till exempel så kallade säkerhetsärenden, där Säkerhetspolisen bland annat behöver samla in uppgifter och göra sökningar i sina register.

Gemensamt för de tre särskilt uppräknade grunderna i den tredje punkten är att dessa uppgifter, och då särskilt avseende uppgifter enligt utlännings- och medborgarskapslagstiftningen, inte uppen- bart utgör brottsbekämpning som rör nationell säkerhet. Det har vid flera tillfällen uttalats att i princip all operativ verksamhet hos Säkerhetspolisen i någon mening är brottsbekämpande. Regeringen ansåg att det fanns behov av att upplysa om att även dessa uppgifter

36PMFS 2015:02, PMFS 2018:10 och nu gällande PMFS 2023:6.

157

Bakgrund

SOU 2025:49

rör nationell säkerhet och därför faller inom lagens tillämpnings- område.37

Övriga rättsliga grunder

Den fjärde punkten anger att Säkerhetspolisen även får behandla personuppgifter om myndigheten ska utföra en annan uppgift som rör nationell säkerhet enligt lag, förordning eller efter särskilt beslut av regeringen. Bestämmelsen innebär att tillkommande uppgifter för Säkerhetspolisen som innebär personuppgiftsbehandling inte kräver ändring i säpodatalagen.38Av bestämmelsen erinras om att uppgiften ska röra nationell säkerhet. Trots att det inte nämns i paragrafen, kan det även anmärkas att den rättsliga grunden där- utöver ska avse brottsbekämpning, för att säpodatalagen över huvud taget ska vara tillämplig.

Många andra myndigheters personuppgiftslagstiftningar inne- håller har en motsvarighet till punkten fyra för att ange att det krävs en rättslig grund för personuppgiftsbehandling. I samband med att denna punkt tillfördes de särskilt angivna uppgifterna blev uppräk- ningen inte längre uttömmande och därmed inte heller begränsande.39 De specifika uppgifterna som nämns i de övriga punkterna kan där- för anses vara mer av upplysningskaraktär eftersom behandling även för andra, motsvarande uppgifter, kan följa av särskild lagstiftning. Säkerhetspolisen kan exempelvis med stöd av denna punkt behandla personuppgifter då myndigheten samverkar vid granskning av ut- ländska direktinvesteringar i svensk skyddsvärd verksamhet.40

Internationella åtaganden

Av den femte punkten i bestämmelsen om rättslig grund följer att Säkerhetspolisen får behandla personuppgifter om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Punkten avser att träffa bland annat åtgärder som Säkerhetspolisen vidtar för brottsbekämpande verksamhet i andra länder efter formell

37Prop. 2018/19:163 s. 66.

38Prop. 2014/15:94 s. 83.

39Jfr prop. 2009/10:85 s. 254.

40Se prop. 2022/23:116 s. 142.

158

SOU 2025:49

Bakgrund

begäran om rättslig hjälp eller informationsutbyte som enbart gagnar den utländska myndigheten.

Diarieföring med mera

Enligt 2 kap. 2 § i lagen får personuppgifter även behandlas om det är nödvändigt för diarieföring eller för handläggningen om uppgif- terna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande. I dessa fall är det tillåtet att behandla personuppgifter oberoende av om förutsättningarna för behandling i föregående paragraf föreligger.

Som tidigare nämnts framgår av 1 kap. 2 § att säpodatalagen endast gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verk- samhet. Det innebär att 2 kap. 2 § inte tillämpas för alla former av ansökningar eller all diarieföring, utan endast sådan som faller inom säpodatalagens tillämpningsområde.

Särskilt, uttryckligt angivna och berättigade ändamål

Enligt 2 kap. 3 § får personuppgifter endast behandlas för särskilt, uttryckligt angivna och berättigade ändamål. Vidare följer av bestäm- melsen att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål de ursprungligen behandlades för.

Bestämmelsen är helt central för Säkerhetspolisens personuppgifts- hantering och i förlängningen även för hur verksamheten kan be- drivas inom myndigheten. Ändamålsbestämmelsen i 2 kap. 3 § kompletteras av och måste läsas tillsammans med flera andra bestäm- melser i säpodatalagen.

Som framgått av det föregående ger den rättsliga grunden en ram inom vilken Säkerhetspolisen får behandla personuppgifter. Det innebär att ändamålet aldrig får vara något annat än vad som följer av en rättslig grund, vilket också framgår av att ändamålet måste vara berättigat. Av 2 kap. 3 § följer även att det inte är till- räckligt om det på ett mer övergripande plan kan vara nödvändigt att bevara information om en viss person för att exempelvis upptäcka någon ännu inte konkretiserad brottslig verksamhet mot Sveriges säkerhet. Det krävs ett särskilt, uttryckligt angivet, ändamål med

159

Bakgrund

SOU 2025:49

denna behandling som måste vara mer konkret. För Säkerhetspoli- sens del handlar ändamålet för verksamheten i mycket stor utsträck- ning om att upptäcka brottslig eller säkerhetshotande verksamhet av visst slag. Det är därför naturligt att ändamålet uttrycks som en misstanke om att personen kan ha en koppling till brottslighet. Exempelvis att personen förekommer i ett sammanhang där terror- brott planeras.

Av 3 kap. 3 § följer även att om det ändamål som gemensamt tillgängliga personuppgifter behandlas för inte framgår av samman- hanget eller på något annat sätt, ska det tydliggöras genom en sär- skild upplysning. Som framgår nedan, angående hur begreppet gemensamt tillgängliga uppgifter ska tolkas, innebär det i praktiken ett krav på dokumentation genom en särskild upplysning av det mer konkreta ändamålet för i princip alla personuppgifter som behandlas inom Säkerhetspolisen.

Skälet till att ändamålet ska vara särskilt uttryckt och dokumen- terat är att det är av stor betydelse för andra bestämmelser i lagen. Av 2 kap. 8 § framgår att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behand- lingen. Där framgår också att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen, vilket i data- skyddssammanhang brukar betecknas som principen om uppgifts- minimering. För att bedöma vilka uppgifter som är tillräckliga, ade- kvata och relevanta måste en prövning alltså ske mot det ändamål för vilket de ska behandlas.

Av 2 kap. 9 § framgår att känsliga personuppgifter, som avslöjar bland annat etniskt ursprung, eller politiska åsikter eller som utgör biometriska uppgifter, bara får behandlas om det är absolut nöd- vändigt för ändamålet med behandlingen. Denna prövning utgår ifrån att ändamålet med att behandla uppgifter om en viss person är tillräckligt konkret för att det ska gå att bedöma om en känslig personuppgift, om exempelvis etniskt ursprung, är absolut nöd- vändig att tillföra.

Av propositionen till säpodatalagen framgår att ändamålet inte får vara så vagt eller vittomfattande att någon prövning av adekvans, relevans, uppgiftsminimering och absolut nödvändighet i praktiken inte blir möjlig. Ett pågående underrättelsearbete om viss, närmare angiven brottslig verksamhet kan, enligt förarbetsuttalandet, utgöra ett ändamål. Regeringen konstaterade dock att eftersom Säkerhets-

160

SOU 2025:49

Bakgrund

polisens personuppgiftsbehandling till övervägande del utförs i myndighetens underrättelseverksamhet är det inte alltid möjligt att i ett tidigt stadium av processen ange ändamålen för behandlingen lika preciserat som i annan brottsbekämpande verksamhet. Inled- ningsvis kan därför ändamålen behöva anges mer övergripande för att sedan konkretiseras.41 I praktiken tillämpar Säkerhetspolisen ändamålsbestämmelsen utifrån det ovan nämnda uttalandet i pro- positionen genom att det inledningsvis, då personuppgifter behand- las i en särskild uppgiftssamling för bearbetning och analys, som ändamål endast anges inom vilket verksamhetsområde uppgifterna behandlas. Allt eftersom uppgifterna bearbetas och analyseras förväntas ändamålet konkretiseras.

Ändamålsprincipen förutsätter att prövningar om personuppgif- ter är relevanta, adekvata, inte onödigt omfattande eller i fallet med känsliga personuppgifter att de är absolut nödvändiga, sker kontinuer- ligt och inför varje ytterligare behandling. När ursprungliga miss- tankar förstärks eller avtar ska alla personuppgifter prövas mot detta nya ändamål. På samma sätt ska ändamålsprövningen göras inför varje ytterligare behandling, exempelvis när uppgifter ska delas med andra. Det medför att bland annat att känsliga personuppgifter ska undantas från delning om de inte är absolut nödvändiga och att inte fler uppgifter ska ingå i överföringen än nödvändigt.

3.5.5Känsliga personuppgifter

Uppgifter om etniskt ursprung, politiska åsikter, religiös övertygelse med mera

Som framgår i det föregående ställs särskilda krav på behandling av känsliga personuppgifter. Av 2 kap. 9 § första stycket framgår att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Av andra stycket följer att om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter om det är absolut nödvän- digt för ändamålet med behandlingen. Motsvarande bestämmelser för andra brottsbekämpande myndigheter finns i brottsdatalagen.42

41Prop. 2018/19:163 s. 220.

422 kap. 11–12 §§ brottsdatalagen (2018:1177).

161

Bakgrund

SOU 2025:49

Kategorin av vilka uppgifter som ska anses särskilt känsliga har sitt ursprung i bland annat dataskyddskonventionen från 1981,43 Den ursprungliga uppräkningen avsåg de uppgifter alla Europarådets medlemsstater kunde enas om som särskilt känsliga.44 Den särskilda regleringen, som förekommer i all slags personuppgiftslagstiftning, syftar till att skydda de uppgifter som är särskilt känsliga ur integri- tetssynpunkt. Tillgången till sådana känsliga personuppgifter anses ge möjlighet till otillbörlig maktutövning mot enskilda och till att på olika sätt kränka en individs värdighet. En myndighet som har tillgång till känsliga personuppgifter kan också komma att miss- tänkliggöra individer på fördomsfulla grunder.45 I 2 kap. 3 § reger- ingsformen finns förbudet mot att registreras i ett allmänt register enbart på grund av politisk åskådning.

Bestämmelserna om känsliga personuppgifter innebär att Säker- hetspolisen får behandla sådana uppgifter som anges i 2 kap. 9 § säpodatalagen endast om uppgifter om personen redan behandlas på någon annan grund och om behandlingen av de känsliga person- uppgifterna är absolut nödvändig för ändamålet. Med hänsyn till den restriktivitet som ligger i uttrycket ”absolut nödvändigt” måste behovet av att göra sådana kompletteringar prövas noga i det enskilda fallet.46

Säkerhetspolisens uppdrag innebär att exempelvis islamistiska terrormiljöer eller våldsbejakande politisk extremism behöver kart- läggas. Att känsliga personuppgifter om religiös övertygelse eller politiska åsikter i dessa fall registreras är nästan undantagslöst abso- lut nödvändigt för att kartlägga dessa miljöer. Undantagsregeln måste därför många gånger i praktiken tillämpas som en huvud- regel, men kräver en motiverad prövning för varje enskild känslig personuppgift. Det finns däremot inte något utrymme för Säker- hetspolisen att exempelvis föra särskilda register över personer baserat på enbart de registrerades religiösa övertygelse. Känsliga personuppgifter om en person får endast tillföras andra uppgifter som behandlas för något ändamål.

43Europarådets konvention 108 om skydd för enskilda vid automatisk databehandling av personuppgifter.

44Europarådet, Explanatory Report – ETS 108 – Automatic Processing of Personal Data (Convention), av den 28 januari 1981, p. 43.

45Europarådet, Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), av den 10 oktober 2018, p. 55.

46Prop. 2018/19:163 s. 225.

162

SOU 2025:49

Bakgrund

Biometriska uppgifter

Av 2 kap. 10 § säpodatalagen framgår att Säkerhetspolisen får be- handla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Enligt samma bestämmelse får gene- tiska uppgifter inte behandlas.

Biometriska uppgifter tillfördes kategorin känsliga uppgifter genom EU:s dataskyddsförordning och brottsdatadirektivet. En biometrisk personuppgift avser en persons fysiska, fysiologiska eller beteendemässiga kännetecken. Det kan exempelvis röra sig om en persons utseende, fingeravtryck eller andra särskiljande detaljer i fysiologin. Av definitionen47 framgår emellertid att en sådan upp- gift inte utgör en biometrisk uppgift om den inte tagits fram genom särskild teknisk behandling som möjliggör eller bekräftar unik identi- fiering av en person. Det innebär att 2 kap. 10 § inte är tillämplig på exempelvis insamling och bevarande av bilder av ansikten som en analytiker använder för att jämföra manuellt. Däremot är den tillämp- lig på bearbetning och resultat av en datoriserad automatiserad ansiktsigenkänning. En biometrisk uppgift är nämligen resultatet av en automatisk process som mäter exempelvis ansiktsgeometri, fingeravtrycksmönster eller särskilda kännetecken i ögat. Även automatiska gångstilsanalyser från rörliga bilder eller röstanalys utgör biometriska uppgifter, trots att filmen eller ljudinspelningen alltså inte gör det. Det resultat som kommer från en särskild tek- nisk behandling består i normalfallet av ett resultat i form av bok- stäver eller siffror som behöver tolkas genom en dator för att kunna användas. Uppgifter som kan vara föremål för en särskild teknisk behandling som avses i bestämmelsen, exempelvis fotografier eller fingeravtryck, brukar i stället betecknas biometriskt underlag och omfattas inte av någon särskild reglering.48

Biologiskt material från en människa, i form av exempelvis blod eller vävnadsprov, utgör också ett biometriskt underlag eftersom det går att använda för att genom en särskild form av dna-analys identifiera en person genom att ta fram en unik dna-profil. En dna- profil innehåller endast information om 15 så kallade STR-markörer, som är unika för en individ men inte förknippade med någon känd egenskap hos människan. Statistiskt är det i princip omöjligt att

47Se i 1 kap. 5 § säpodatalagen, som motsvarar artikel 3.13 i brottsdatadirektivet och artikel 4.14 i dataskyddsförordningen.

48Se prop. 2017/18:232 s. 86 och SOU 2023:32 s. 248 f.

163

Bakgrund

SOU 2025:49

samtliga 15 markörer från två prov skulle överensstämma om de inte har samma eller identiskt genetiska ursprung, varav det senare endast är fallet med enäggstvillingar. Den dna-profil som kan tas fram för att exempelvis knyta ett biologiskt spår från en brottsplats till en viss person utgör därmed en biometrisk uppgift.

Genetiska uppgifter

Med genetiska uppgifter avses enligt 1 kap. 5 § säpodatalagen per- sonuppgifter som rör en persons nedärvda eller förvärvade gene- tiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen. Säkerhetspolisen får enligt 2 kap. 10 § inte behandla genetiska uppgifter.

Från en standardiserad dna-profil som nämnts ovan kan inga nedärvda eller förvärvade kännetecken utläsas, då den endast består av en bokstavs- eller sifferkombination.49 Förbudet avser därför inte behandling av dna-profiler. Förbudet mot behandling avser i stället uppgifter om exempelvis hårfärg eller uppgifter om en per- sons biogeografiska ursprung som kan tas fram efter en mer kom- plex analys än vad som krävs för en dna-profil. Förbudet för Säker- hetspolisen mot behandling av genetiska uppgifter avser att träffa sådana analyser. Motsvarande reglering finns för alla brottsbekäm- pande myndigheter, med undantag för Nationellt Forensiskt Cent- rum (NFC) inom Polismyndigheten och Rättsmedicinalverket. Forensiska analyser, undersökningar eller jämförelser utförs av NFC, på uppdrag av bland annat Säkerhetspolisen. NFC får då behandla genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.50

Genetiska uppgifter är mycket strängt reglerat i Sverige. Utöver att uppgifterna är förbjudna att behandla är även definitionen av vad som utgör en genetisk uppgift betydligt bredare i brottsdata- lagen och säpodatalagen än i det EU-direktiv som utgör förlaga. I brottsdatadirektivet krävs dels att det genetiska kännetecknet ger ”unik information” dels att det ska avse en persons ”fysiologi eller

49Se definitionen i 1 kap. 5 § polisens brottsdatalag. Sedan en tid tillbaka ingår emellertid även en 16 markör (kallad Amelogenin) i de dna-profiler som används inom polisen. Denna markör avslöjar könet hos den person som profilen avser, vilket skulle kunna tolkas som ett genetiskt kännetecken hos individen.

50Se 6 kap. 4–5 §§ lag (2018:1693) polisens brottsdatalag.

164

SOU 2025:49

Bakgrund

hälsa”. En genetisk uppgift i de svenska lagstiftningarna omfattar å andra sidan alla genetiska kännetecken, det vill säga även de som inte ger unik information för varje person och även sådana som avser annat än fysiologi eller hälsa. Skälet till detta är att regeringen ansåg att även andra uppgifter, som exempelvis en persons biogeo- grafiska ursprung, som kan tas fram genom motsvarande analys förtjänade samma skydd som fysiologiska uppgifter om bland annat hud- eller hårfärg. Däremot finns inget motiv till varför den svenska definitionen innebär en överimplementering som omfattar alla kännetecken, även sådana som inte är unika för en person. Vid sidan av att i princip alla brottsbekämpande myndigheter är för- bjudna att behandla genetiska uppgifter träffar följaktligen förbudet även fler uppgifter än vad som följer av brottsdatadirektivet.

Behandling av känsliga personuppgifter genom sökning i syfte att få fram ett urval av personer

Ett av de få undantag från säpodatalagens behandlingsneutrala ut- formning återfinns i 2 kap. 12 §. Där anges, i första stycket, att det är förbjudet att utföra sökningar i syfte att få fram ett urval av per- soner grundat på känsliga personuppgifter. I andra stycket förkla- ras att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende inte ska utgöra hinder mot sökning även om det innefattar känsliga personuppgif- ter. Av tredje stycket framgår de undantag från förbudet som är särskilt anpassade för Säkerhetspolisens verksamhet: Sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning får göras om sökningen är absolut nödvändig för någon av de rättsliga grunder som anges i 2 kap. 1 §.

Undantaget från förbudet omfattar inte alla känsliga personupp- gifter i 2 kap. 9 §. Uppgifter om ras och medlemskap i fackförening får nämligen inte alls användas som sökbegrepp51 och det finns inte heller något undantag avseende biometriska uppgifter. När det kom- mer till ansiktsigenkänning genom särskild teknisk behandling ansåg

51Detta motiverades av det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och att Säkerhetspolisen inte hade något behov av att göra sökningar på medlem- skap i fackföreningar, prop. 2018/19:163 s. 80.

165

Bakgrund

SOU 2025:49

regeringen att det skulle vara tillåtet under förutsättning att syftet inte var att få fram ett urval av personer. Regeringen ansåg nämli- gen att behandling av en ansiktsbild i ett ansiktsigenkänningspro- gram, inte utgjorde sökning i syfte att få fram ett visst personurval, även om det resulterade i en träfflista med flera möjliga kandidater. Trots att det skulle kunna hävdas att resultatet blir just ett person- urval grundat på biometriska uppgifter ansåg regeringen att det i dessa fall är fråga om normal behandling av biometriska uppgifter som är tillåtet enligt 2 kap. 10 § om det är absolut nödvändigt.52

Den 1 juli 2025 träder emellertid en ny lag i kraft som ger Säker- hetspolisen möjlighet att utföra sökningar för att få fram ett urval av personer grundat på biometriska uppgifter i nya så kallade bio- metriregister.53 Lagen innebär att tre nya biometriregister, ett över misstänkta, ett över dömda och ett över spår, ska föras av Polismyn- digheten. Registren ska innehålla bland annat biometriska uppgifter och biometriskt underlag för att kunna identifiera personer med hjälp av biometrisk analys. De nya biometriregistren ersätter de nuvarande register som förs över dna-profiler, fingeravtryck och signalement.

Säkerhetspolisen ska enligt lagförslaget, genom direktåtkomst, få utföra sökningar i Polismyndighetens biometriregister i syfte att få fram ett urval av personer grundat på biometriska uppgifter, om det är absolut nödvändigt för ändamålet.

3.5.6Särskilda upplysningar för gemensamt tillgängliga personuppgifter

Uppgifter som endast ett fåtal personer har rätt att ta del av

Enligt 3 kap. 1 § säpodatalagen är uppgifter som endast ett fåtal personer har rätt att ta del av inte att anse som gemensamt tillgäng- liga. Lagen innehåller i vissa avseenden olika regleringar för person- uppgifter som endast ett fåtal personer har rätt att ta del och för sådana uppgifter som är gemensamt tillgängliga för en vidare krets medarbetare vid myndigheten. Inom vilken kategori personuppgif- terna hänför sig påverkar bland annat kravet på särskilda upplysningar, behandlingstiden och om de får delas med mottagare utanför myn-

52Se prop. 2018/19:163 s. 80 och SOU 2017:74 s. 630, jfr dock SOU 2023:32 s. 395.

53Prop. 2024/25:37, bet. 2024/25:JuU18.

166

SOU 2025:49

Bakgrund

digheten genom direktåtkomst. Syftet med att särreglera uppgifter som en vidare krets har tillgång till är att risken för otillbörliga in- trång i den personliga integriteten anses större när personuppgifter används av flera gemensamt i verksamheten än när personuppgifter behandlas av endast enstaka eller ett fåtal personer.54

Begreppet gemensamt tillgängliga personuppgifter infördes

genom 2010 års polisdatalag för att avgränsa personuppgiftsbehand- ling där mer begränsande regler ansågs nödvändiga. I tidigare lag- stiftningar hade begreppen register och databas använts för att defi- niera de uppgifter som gjorts tillgängliga för en större krets. Till de olika registerna fanns särskilda regler om bland annat innehåll, åt- komst och sökmöjligheter. I 2010 års polisdatalag övergavs regis- ter- och databasbegreppen för ett mer teknikneutralt begrepp som bättre skulle spegla datoriserad informationshantering. Skälet var att det inte längre är nödvändigt att strukturera och organisera information på ett visst sätt i en databas för att kunna hantera den effektivt. Begreppet gemensamt tillgängliga uppgifter infördes därför för att tydliggöra att det var den faktiskt åsyftade tillgäng- ligheten som var väsentligt och inte på vilket sätt uppgifter tekniskt lagras.

Gemensamt tillgängliga uppgifter är ett rättsligt begrepp och därför teknikneutralt. Att en uppgift är tillgänglig för en person innebär att denna har såväl faktisk möjlighet som rättslig behörig- het att ta del av uppgiften. Det spelar i sammanhanget inte någon roll om personen utnyttjar sin behörighet och faktiskt tar del av uppgiften. Att uppgifter som finns tillgängliga för hela eller stora delar av myndigheten är gemensamma råder det ingen tvekan om. Även om endast en bestämd och avgränsad personkrets har tillgång till uppgifterna innebär det dock att uppgifterna ska omfattas av begreppet gemensamt tillgängliga, om denna personkrets är tillräck- ligt stor. I propositionen till 2010 års polisdatalag angavs som tum- regel att uppgifter i polisens verksamhet normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. Om det står klart att det rör sig om uppgifter som kommer behandlas under lång tid ansåg regeringen att uppgifterna redan av det skälet ska anses som gemensamma. Det följer av att den mindre personkrets som har tillgång till uppgifterna kan komma att bytas ut efterhand. Regeringen uttalade även att personuppgifter alltid

54Prop. 2009/10:85 s. 125 och 263 samt prop. 2018/19:163 s. 87.

167

Bakgrund

SOU 2025:49

ska anses vara gemensamt tillgängliga om syftet är att de ska vara åtkomliga för en i förväg obestämd krets av anställda eller där det inte på förhand har bestämts vilka personer som får ha tillgång. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig.55 Förarbetsuttalandena från 2010 års polislag angående gemensamt tillgängliga uppgifter ansågs fort- farande vara aktuella när säpodatalagen beslutades. De tidigare reg- lerna infördes därför med likartad lydelse utan att någon förändring i sak var avsedd i detta avseende.56

Alltjämt omfattar begreppet gemensamt tillgängliga uppgifter därmed alla uppgifter som fler än ett fåtal har eller kan komma att få åtkomst till över tid. När det kommer till antalet personer som ska anses utgöra ett fåtal har Säkerhetspolisen att förhålla sig till förarbetsuttalandet om ”ett tiotal personer” och Säkerhets- och integritetsskyddsnämndens uttalanden i frågan. Gränsdragnings- frågor om vad som kan anses vara gemensamt tillgängliga uppgifter och inte har vid flertalet tillfällen varit föremål för nämndens till- syn. Frågan har bedömts med hänsyn till omständigheterna i det enskilda fallet och med beaktande av nämnda förarbetsuttalanden.57

Nedan redogörs för den särskilda reglering som gäller gemen- samt tillgängliga uppgifter.

Särskilda upplysningar om ändamål med behandlingen

Som framgår ovan får personuppgifter, enligt 2 kap. 3 § säpodata- lagen, endast behandlas för särskilda, uttryckligt angivna och berät- tigade ändamål. Av 3 kap. 3 § följer att om det ändamål som de gemensamt tillgängliga personuppgifterna behandlas för inte fram- går av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

Bestämmelsen har sitt ursprung i det krav på att grunder för registrering skulle anges för uppgifter som fördes in i det så kallade SÄPO-registret, som reglerades i den äldre polisdatalagen. Den

55Prop. 2009/10:85 s. 128 f., 264 och 334.

56Prop. 2018/19:163 s. 87.

57Se Säkerhets- och integritetsskyddsnämndens uttalande i dnr 137-2017, 38-2017 samt 197-2016.

168

SOU 2025:49

Bakgrund

nuvarande bestämmelsen i 3 kap. 3 § säpodatalagen innebär att en särskild upplysning om ändamål måste införas manuellt för alla de personuppgifter som Säkerhetspolisen behandlar, om det inte fram- går av sammanhanget. När ytterligare uppgifter tillförs redan kända personer kan ändamålet i många fall framgå av sammanhanget. När det däremot handlar om ostrukturerad information, som Säkerhets- polisen inhämtar genom exempelvis beslag eller hemliga tvångsmedel, handlar det om ett mycket omfattande arbete att särskilja det mer konkreta ändamålet för uppgifter som hör till olika individer. Vissa uppgifter kan vara relevanta för ett visst ändamål, då de exempelvis har koppling till ett befarat terrordåd som planeras i någon viss miljö. Andra uppgifter kan i och för sig vara relevanta för underrät- telseverksamheten, exempelvis angående den misstänktes kontakter inom en extremistisk miljö, men kan inte direkt kopplas till det ursprungliga ärendet. Sådana uppgifter, som kan vara relevanta för att kartlägga misstankar om annan brottslig verksamhet, behöver regelmässigt förses med en särskild upplysning om ändamål.

Särskild upplysning om misstanke, trovärdighet och sakriktighet

Av 3 kap. 4 § första stycket säpodatalagen framgår att om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet som faller inom Säkerhets- polisens ansvarsområde, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Första stycket av paragrafen innebär att det genom en så kallad misstanke- markering måste framgå om en person är exempelvis en uppgifts- lämnare och alltså inte föremål för Säkerhetspolisens intresse på grund av inblandning i brottslig verksamhet.

Bestämmelsen motiveras av att det är av stor betydelse för skyd- det av den personliga integriteten vid brottsbekämpning att person- uppgifter behandlas på ett sådant sätt att det framgår om personen är misstänkt eller inte. Särskilt i underrättelseverksamhet kan en persons roll vara otydlig och den särskilda upplysningen är avsedd att tydliggöra detta när uppgiften används utanför sitt sammanhang. Kravet gäller endast om det inte finns några som helst misstankar mot den aktuella personen avseende brottslighet inom Säkerhets-

169

Bakgrund

SOU 2025:49

polisens ansvarsområde. Förekommer det någon form av misstanke

–vare sig det handlar om skälig misstanke eller om någon annan misstankegrad – behöver någon upplysning inte lämnas.58 I de fall det inte går att precisera någon brottslig verksamhet inom Säker- hetspolisens ansvarsområde bör personen märkas som inte misstänkt även om personen är misstänkt för någon annan brottslighet. Upp- lysningen om huruvida personen är misstänkt eller inte tar endast sikte på den brottsliga verksamhet som undersöks.59

Av bestämmelsens andra stycke framgår att uppgifter om en person som kan antas ha direkt samband med brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständig- heterna är onödigt. En sådan upplysning anses dels stärka skyddet för den enskildes integritet, dels förhindra att uppgifter, vilkas till- förlitlighet och trovärdighet är begränsad, läggs till grund för bedöm- ningar och åtgärder som inte är sakligt motiverade. Reglerna om särskild misstankemarkeringen och trovärdigs- och sakriktighets- bedömning är i princip desamma för Säkerhetspolisen som för Polismyndigheten.60

Kravet om särskild upplysning om trovärdighet och sakriktighet behövs endast om det inte på grund av omständigheterna är onödigt. Med det avses exempelvis uppgifter som lämnats av en polisman vars trovärdighet redan är känd. Det finns dock ytterligare ett undantag. Av 3 kap. 4 § tredje stycket följer nämligen att sådan särskild upplysning inte behöver lämnas om uppgifterna ingår i en uppgiftssamling för att bearbeta och analysera information och någon bearbetning inte har genomförts. Undantaget för uppgifter som genomgår bearbetning är tänkt att möjliggöra att uppgifter kan göras gemensamt tillgängliga inom Säkerhetspolisen i brådskande fall även utan särskild upplysning om trovärdighet och sakriktighet.

Undantaget har motiverats med att Säkerhetspolisen ibland måste kunna reagera snabbt på händelseutvecklingen och att Säker- hetspolisens personal är van vid att hantera svårbedömd informa- tion. Risken för felbedömningar har därför ansetts liten och vid intresseavvägningen mellan verksamhetens behov och enskildas

58Prop. 2009/10:85 s. 340 och 370.

59Se Säkerhets- och integritetsskyddsnämndens uttalande den 17 februari 2016, dnr 50-2015 och den 14 juni 2018, dnr 197-2017.

60Se 3 kap. 4 § polisens brottsdatalag.

170

SOU 2025:49

Bakgrund

integritet ansågs verksamhetsintresset väga tyngre.61 Så snart bearbet- ningen är genomförd och uppgifterna kopplats till annan informa- tion måste personuppgifterna dock kompletteras med sådana upp- lysningar, om det behövs.

3.5.7Längsta tid för personuppgiftsbehandling

Huvudregeln

Hur länge Säkerhetspolisen får behandla personuppgifter regleras i 4 kap. säpodatalagen. 1 § innehåller en allmän bestämmelse om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse gäller all personuppgiftsbehandling, oavsett om det rör sig om behandling på papper eller i automatiserade system. Mot- svarande bestämmelser utgör ett grundläggande krav i många data- skyddsregelverk och bygger vidare på principen om behov, adekvans och relevans. Om uppgiften inte längre behövs eller inte längre är adekvat eller relevant för det ändamål som det ursprungligen behand- lats för, ska den inte längre behandlas.

Huvudregeln om längsta tid för behandling har med vissa för- ändringar överförts från 2010 års polisdatalag. I polisdatalagen angavs att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Även om det i förarbetena till säpodatalagen anfördes att någon ändring i sak inte var avsedd har bestämmelsen i säpodatalagen en väsentligt annan innebörd än den tidigare.

De primära ändamål som polislagens bestämmelse hänvisade till är nämligen det som i säpodatalagen benämns som rättslig grund. I polisdatalagen var det därmed inte behovet att bevara personupp- gifterna för det särskilda och uttryckligt angiva ändamålet som var styrande. Avgörande var i stället om uppgiften behövdes för att lösa någon av Säkerhetspolisens mer övergripande brottsbekäm- pande uppgifter. Säpodatalagens bestämmelse tar i stället sikte på det eller de särskilda ändamål som uppgiften behandlas för, som ska anges med en betydligt högre grad av konkretion.

61SOU 2017:74 s. 641 f.

171

Bakgrund

SOU 2025:49

Behandlingstider för automatiserad behandling

För automatiserad behandling av personuppgifter finns komplet- terande bestämmelser. Om uppgiften inte är gemensamt tillgänglig får den, enligt 4 kap. 2 § säpodatalagen, behandlas i ett år efter att ärendet avslutats eller från det att den registrerats, om uppgiften inte behandlas i ett ärende. Denna bestämmelse har ingen större praktisk betydelse för Säkerhetspolisen som behandlar i princip alla uppgifter som gemensamt tillgängliga.

Av huvudsakligt intresse är därför de regler om längsta tid för behandling för uppgifter som behandlas automatiserat och är gemen- samt tillgängliga. Det finns särskilda regler för längsta behandlings- tid för personuppgifter som behandlas i ärenden om utredning av eller lagföring för brott.

Enligt 4 kap. 3 § får personuppgifter i en brottsanmälan som inte lett till en förundersökning behandlas till dess att åtalspreskrip- tion inträtt. Om skälet till att förundersökning inte inletts är att den påstådda gärningen inte utgör brott får uppgifter från anmälan dock inte längre behandlas enligt säpodatalagen. Enligt 4 kap. 4 § får personuppgifter i förundersökningar som längst behandlas i fem år från det att dom vunnit laga kraft eller förundersökningen lagts ner. Dessa särskilda bestämmelser avser personuppgifter som före- kommer i vissa ärenden och alltså inte personuppgifter som behand- las för vissa ändamål. Regleringen har i princip ordagrant överförts från 2010 års polisdatalag.62 Redan i den tidigare polisdatalagen från 1998 fanns regler om fortsatt behandling av uppgifter om kvarstå- ende misstankar efter att en förundersökning lagts. Dessa regler gällde dock inte Säkerhetspolisen.63

Med hänsyn till Säkerhetspolisens uppdrag och verksamhet är reglerna i 4 kap. 7–10 §§ säpodatalagen av störst intresse. De gäller hur länge andra personuppgifter än de som finns i en brottsanmälan eller i en förundersökning får behandlas. Det finns tre huvudsakliga behandlingstider för uppgifter som används i underrättelseverksam- heten. Huvudregeln, i 4 kap. 7 § är att uppgifter inte får behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. Om uppgiften avser en person som är under 18 år vid registreringstillfället, gäller dock en

623 kap. 9–12 §§ och 6 kap. 13 § polisdatalagen (2010:361).

6310–12 §§ polisdatalagen (1998:622).

172

SOU 2025:49

Bakgrund

behandlingstid om fem år. För personuppgifter som registreras inom kontraspionaget gäller enligt 4 kap. 9 § en längsta behandlingstid om 40 år efter den senaste registreringen avseende personens anknyt- ning till brott eller brottslig verksamhet. Denna behandlingsfrist gäller personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som ut- övas av främmande makt.

Vid sidan av dessa generella bestämmelser finns en särskild regler- ing, i 4 kap. 8 §, avseende uppgiftssamling för bearbetning och analys. För uppgifter i sådana uppgiftssamlingar gäller en behandlingsfrist om tre år efter den senaste registreringen avseende personen.

I 4 kap. 10 § finns regler om att Säkerhetspolisen, om det finns särskilda skäl, får besluta att förlänga behandlingstiden om uppgif- terna fortfarande behövs för det ändamål som de behandlas för.

Denna möjlighet är dock begränsad till de behandlingstider som avses i 7–9 §§ och omfattar därmed inte personuppgifter som finns i en nedlagd förundersökning.

Kontinuerlig behovsprövning

Av huvudregeln framgår att inga personuppgifter får behandlas under längre tid än vad som är nödvändigt för ändamålet. Därutöver gäller särskilda regler om längsta behandlingstid för uppgifter som behandlas automatiserat. Bestämmelser om längsta behandlingstid är, vilket framgår direkt av 4 kap. 1 § tredje stycket säpodatalagen, en ytterligare begränsning i förhållande till huvudregeln.

Det innebär, vilket nyligen slagits fast i ett uttalande från Säker- hets- och integritetsskyddsnämnden,64 att Säkerhetspolisen konti- nuerligt måste pröva om behovet av uppgifterna som behandlas allt- jämt kvarstår. Om det inte längre finns ett behov av uppgifterna ska behandlingen avslutas, även om de yttersta tidsfrister som följer av lag inte har överskridits. I tillsynsärendet menade Säker- hetspolisen att myndigheten i regel har behov av att behandla alla personuppgifter fram till dess att de lagstadgade tidsfristerna för längsta tid för behandling faller ut. Nämnden ansåg dock att pröv- ningen av behovet av uppgifterna ska prövas mot ändamålet för

64Säkerhets- och integritetsskyddsnämndens uttalande med beslut den 12 december 2023, Säkerhetspolisens tillämpning av den allmänna bestämmelsen om längsta tid för behandling (s.k. behovsgallring) av personuppgifter i det centrala underrättelsesystem, dnr 160-2022.

173

Bakgrund

SOU 2025:49

behandlingen i det enskilda fallet trots att någon tidsfrist för läng- sta tid för behandling inte passerats.

Nämnden riktade kritik mot Säkerhetspolisens tillämpning av lagen, som innebär att behovet av uppgifterna endast prövas när de först registreras samt inför att tidsfristen löper ut, i syfte att bedöma om det finns skäl att fatta ett beslut om förlängd behandlingstid. Nämnden hade förståelse för Säkerhetspolisens uppfattning att det i många fall är nödvändigt att behandla uppgifter under hela den lagstadgade tidsfristen, men att detta förutsätter att Säkerhetspoli- sen i vart fall med viss regelbundenhet under tidsperioden prövar behovet av uppgifterna. Säkerhets- och integritetsskyddsnämnden bedömde att Säkerhetspolisen vid tillsynen inte uppfyllde kravet i 4 kap. 1 § första stycket säpodatalagen på att kontinuerligt pröva det fortsatta behovet av att behandla personuppgifter. Nämnden poängterade att detta är särskilt anmärkningsvärt mot bakgrund av att Säkerhetspolisen tillåts registrera uppgifter i ett mycket tidigt skede och därefter behandla uppgifterna under lång tid.

När det gäller behandlingsfrister är säpodatalagen till sin utform- ning snarlik sin föregångare polisdatalagen. Eftersom kontinuerlig behovsprövning bygger på huvudregeln i 4 kap. 1 § säpodatalagen kvarstår emellertid den skillnad som redogjorts för i inledningen av detta avsnitt. Enligt polisdatalagen prövades behovet av fortsatt behandling mot det som motsvaras av säpodatalagens rättsliga grun- der. Enligt säpodatalagen ska behovet däremot prövas mot det specifika, konkretiserade ändamålet, till exempel särskilda miss- tankar eller ett visst underrättelseärende.

Utredningen som bland annat lämnade förslag till säpodatalag föreslog en bestämmelse som motsvarade den tidigare, vilket inne- bar att behovet av att behandla en uppgift under behandlingstiden skulle bedömas efter uppgiftens allmänna värde för Säkerhetspoli- sens verksamhet.65 Det var Säkerhetspolisen som föreslog att säpo- datalagen skulle få den mer begränsande regleringen, som även gäller enligt brottsdatalagen.66 Av den lydelse som slutligen kom att införas framgår att fortsatt behandling ska prövas mot ett specifikt ändamål och inte en rättslig grund.67

65Se SOU 2017:74 s. 801.

66Se prop. 2018/19:163 s. 118.

67Ibid. s. 235.

174

SOU 2025:49

Bakgrund

3.5.8Enskildas rättigheter

Rätt till insyn, rättelse, radering och skadestånd enligt säpodatalagen

I 6 kap. säpodatalagen finns ett relativt omfattande regelverk som avser enskildas rättigheter. Dessa rättigheter omfattar bland annat rätten för en enskild att få besked om och i så fall vilka personupp- gifter behandlas, varifrån dessa uppgifter kommer och till vem upp- gifterna har lämnats ut, inom eller utom landets gränser. Vidare finns en rätt att på begäran få sina personuppgifter rättade eller kompletterade om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Slutligen ska Säkerhetspolisen på begäran av den registrerade utan onödigt dröjsmål radera per- sonuppgifter som rör honom eller henne, om de behandlas i strid med bland annat reglerna om ändamål och längsta behandlingstid.

När det gäller rätten till information om vilka personuppgifter som behandlas anges i 6 kap. 3 § att den inte gäller i den utsträck- ning det är särskilt föreskrivet i lag eller annan författning att upp- gifter inte får lämnas ut till den registrerade. Rätten till information begränsas därmed av offentlighets- och sekretesslagen.

Säkerhetspolisens verksamhet omfattas i stor utsträckning av

sekretess. Enligt 18 kap. 2 § offentlighets- och sekretesslagen gäller sekretess för uppgift som hänför sig till Säkerhetspolisens verksam- het att förebygga, förhindra och upptäcka brottslig verksamhet.

Denna, så kallade underrättelsesekretess gäller, i högst 70 år, om det inte står klart att uppgiften kan röjas utan att syftet med beslu- tade eller förutsedda åtgärder motverkas eller den framtida verksam- heten skadas.

Rätten till information infördes för första gången genom 1998 års polisdatalag, genom att den absoluta sekretessen för bland annat uppgifter i SÄPO-registret då avskaffades. Det konstaterades dock att det ligger i underrättelseverksamhetens natur att det endast i speciella fall kan komma i fråga att lämna ut uppgifter som hör till denna verksamhet. Det innebär att även uppgifter om att en person inte förekommer som regel omfattas av underrättelsesekretess.68 En enskild har alltjämt små möjligheter att praktiskt utnyttja sin rätt till insyn, i vart fall när det kommer till information som behandlats

68Se prop. 1997/98 s. 68 och RÅ 2000 ref. 15.

175

Bakgrund

SOU 2025:49

inom underrättelseverksamheten. Det gäller oavsett om det avser en begäran om utlämnande av allmän handling, enligt 2 kap. tryck- frihetsförordningen, eller insyn i personuppgiftsbehandling, enligt 6 kap. 3 § säpodatalagen.

Enligt 8 kap. 1 § säpodatalagen ska Säkerhetspolisen ersätta den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter som sker i strid med säpodatalagen. Denna specialreglering tar över skadeståndslagens bestämmelser om det allmännas ansvar. Bestämmelsen ger rätt till ersättning inte endast för till exempel ren förmögenhetsskada utan även för den ideella skada som kränkningen av den personliga integriteten kan medföra.69

Indirekt insyn

Den omfattande sekretessen som omgärdar Säkerhetspolisens verk- samhet innebär i praktiken mycket begränsade möjligheter för en- skilda att bedöma om en personuppgiftsbehandling inneburit en rättighetskränkning. Eftersom det ofta saknas full insyn i behand- lingen är det även svårt att vidta åtgärder för rättelse eller kompen- sation. I syfte att skapa ett fristående och självständigt organ som säkerställer rätten till effektivt rättsmedel, som den garanteras i artikel 13 i Europakonventionen, inrättades år 2008 Säkerhets- och integritetsskyddsnämnden.

Vid sidan av sina andra tillsynsuppgifter (se nedan) har nämn- den till uppdrag att på begäran av enskild kontrollera om han eller hon varit föremål för personuppgiftsbehandling av Säkerhetspolisen och om den har utförts i enlighet med lag eller annan författning.

Sådan kontroll kan ske utan hinder av sekretess. Däremot kan sekre- tessen medföra att resultatet av kontrollen inte kan lämnas ut till den enskilde. En kontroll på begäran av enskild som inte varit före- mål för någon personuppgiftsbehandling alls kommer därför som regel resultera i samma besked från nämnden som en begäran av en person vars uppgifter har behandlat på ett korrekt sätt.

Om nämnden uppmärksammar felaktigheter vid en kontroll som kan medföra skadeståndsansvar för staten gentemot en enskild, ska nämnden anmäla det till Justitiekanslern. Om Justitiekanslern

69Prop. 2018/19:163 s. 257.

176

SOU 2025:49

Bakgrund

finner att det som har förekommit kan föranleda skadeståndsansvar, ska Justitiekanslern bereda den som berörs tillfälle att framställa skadeståndsanspråk mot staten. Förhållanden som kan utgöra brott ska anmälas till Åklagarmyndigheten eller annan behörig myndighet.70

3.5.9Tillsyn

Allmänt om tillsynen över Säkerhetspolisens personuppgiftsbehandling

Tillsynen över Säkerhetspolisens behandling av personuppgifter enligt säpodatalagen utövas av både Integritetsskyddsmyndigheten och Säkerhets- och integritetsskyddsnämnden. Den parallella till- synen motiverades bland annat av att två tillsynsmyndigheter med olika uppdrag och fokus kan komplettera och förstärka varandra. Det ansågs särskilt värdefull i Säkerhetspolisens verksamhet som omfattas av stark sekretess och där allmänheten och enskilda har begränsad insyn.71

Integritetsskyddsmyndighetens tillsyn regleras i 7 kap. säpodata- lagen. För nämndens motsvarande tillsyn gäller i huvudsak lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen).

Säkerhets- och integritetsskyddsnämnden

En myndighet under regeringen med en stark parlamentarisk anknytning

Säkerhets- och integritetsskyddsnämnden består av högst tio leda- möter som samtliga utses av regeringen för en bestämd tid, dock högst fyra år. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare eller ha annan motsvarande juridisk erfaren- het. De övriga, högst åtta, ledamöterna ska utses bland sådana per- soner som har föreslagits av partigrupperna i riksdagen.

Nämndens sammansättning är motiverad av att ett organ av detta särskilda slag bör representera allmänheten och garantera en med-

7020 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskydds- nämnden.

71Prop. 2018/19:163 s. 168–170.

177

Bakgrund

SOU 2025:49

borgerlig insyn i verksamheten. Att de folkvalda i riksdagen lämnar förslag till ledamöter i nämnden ansågs vara det bästa sättet att åstadkomma sådan medborgerlig insyn. Trots att riksdagens parti- grupper därmed har ett starkt inflytande över dess sammansättning utgör inte nämnden ett parlamentariskt organ, utan är en myndig- het under regeringen. Nämndens starka parlamentariska anknytning följer dock av att den inrättats genom lag, av vilken även nämndens sammansättning och tillsynsuppgifter framgår.72

Nämndens tillsyn

Enligt tillsynslagen ska nämnden utöva tillsyn bland annat över de brottsbekämpande myndigheternas användning av hemliga tvångs- medel och användning av kvalificerade skyddsidentiteter samt Polis- myndighetens, Säkerhetspolisens och Ekobrottsmyndighetens behandling av personuppgifter inom brottsbekämpningen.

Nämnden ska utöva sin tillsyn genom inspektioner och andra undersökningar och har omfattande undersökningsbefogenheter. Enligt 4 § tillsynslagen har nämnden rätt att få de uppgifter och upplysningar, den information och det biträde som nämnden begär från den myndighet som tillsynen avser. Dessutom har även dom- stolar och andra myndigheter som inte omfattas av tillsynen en skyldighet att lämna nämnden de uppgifter som den begär.

Nämnden får, enligt 2 § tillsynslagen, uttala sig om förhållanden som den konstaterat vid en inspektion eller annan undersökning och om sin uppfattning om behov av förändringar i den verksamhet som tillsynen avser. Nämnden har även till uppgift att verka för att brister i lag eller annan författning avhjälps.

Nämndens rekommendationer är inte bindande och kan inte överklagas. Däremot har nämnden, enligt sin instruktion, en skyldig- het att anmäla förhållanden som kan utgöra brott till åklagare samt att anmäla sådana brister i personuppgiftsbehandlingen som kan aktualisera korrigerande befogenheter till Integritetsskyddsmyndig- heten.

Till skillnad från många andra tillsynsmyndigheter har nämnden inte till uppgift att utreda anmälningar och nämnden får sällan in tips om eventuella felaktigheter. Nämnden måste därför i regel själv

72Prop. 2006/07:133 s. 64 f.

178

SOU 2025:49

Bakgrund

komma fram till vad som bör granskas och hur det ska göras. Urvalet sker främst utifrån en bedömning av var risken för felaktig rätts- tillämpning är som störst eller där nya system eller ny lagstiftning börjat tillämpats. Av tillsynslagen följer även att tillsynen avseende personuppgiftsbehandling särskilt ska avse behandling av känsliga personuppgifter.

Nämnden använder sig i huvudsak av en så kallad tematisk till- synsmetodik. Vid den tematiska tillsynen analyseras först gällande författningar och tillsynsobjektens interna föreskrifter. Därefter undersöks rutiner och praktisk tillämpning. Tillsynen bedrivs genom bland annat inspektioner på plats hos Säkerhetspolisen och skriv- bordsgranskningar.

Ett initiativärende inleds vanligen genom att myndighetens kansli upprättar ett skriftligt förslag till granskning, som innehåller upp- gifter om genomförande, hur lång tid granskningen kan förväntas ta, relevanta författningar och frågeställningar. På grundval av för- slaget fattar nämnden sitt beslut om att inleda viss tillsyn. När nämn- den har beslutat att inleda ett initiativärende är det tjänstemän vid kansliet som utför själva granskningen. Många initiativärenden innefattar en eller flera inspektioner. Ofta måste skriftliga frågor ställas till den granskade myndigheten för att klarlägga de närmare förhållandena. Kansliet upprättar därefter ett förslag till uttalande som presenteras vid nämndens sammanträde, innan nämnden där- efter fattar beslut i ärendet.73

Nämnden har, som tidigare nämnts en skyldighet att på begäran av enskild kontrollera lagligheten av eventuell hemlig tvångsmedels- användning och personuppgiftsbehandling som den enskilde varit föremål för. Nämndens tillsynsverksamhet kan därmed sägas bestå av två ärendetyper: initiativärenden och kontrollärenden. Av till- synskapaciteten fördelas ungefär hälften på egeninitierade tillsyns- ärenden och hälften på att utföra kontroller på begäran av enskild. Trenden är att alltmer resurser krävs för att uppfylla nämndens uppdrag avseende kontrollärenden, vilka blivit alltmer omfångsrika och komplexa till sin natur.

73Se Säkerhets- och integritetsskyddsnämnden, Årsredovisning 2023, dnr 168-2023, s. 6 f.

179

Bakgrund

SOU 2025:49

Integritetsskyddsmyndigheten

I förhållande till Säkerhets- och integritetsskyddsnämndens mer specialiserade uppdrag har Integritetsskyddsmyndigheten fler upp- gifter och utövar en generell tillsyn personuppgiftsbehandling.

Av 7 kap. 1 § säpodatalagen framgår att Integritetsskyddsmyn- digheten ska utöva allmän tillsyn över personuppgiftsbehandling, och vid förhandssamråd och när det i övrigt är påkallat, ge råd och stöd till Säkerhetspolisen.

Integritetsskyddsmyndigheten har vid sin tillsyn, enligt 7 kap. 3 § säpodatalagen, bland annat rätt att få tillgång till alla person- uppgifter som behandlas, till utrustning och andra medel för behand- ling av dessa, tillträde till lokaler och den hjälp och den information som behövs för tillsynen.

Integritetsskyddsmyndigheten ges vidare, i 7 kap. 4 §, förebyg- gande befogenheter, som innebär att myndigheten genom råd, rekommendationer och påpekanden ska försöka förmå Säkerhets- polisen att motverka risker för att personuppgifter behandlas fel- aktigt. Integritetsskyddsmyndigheten kan även utfärda en skriftlig varning för att planerad eller pågående personuppgiftsbehandling riskerar att stå i strid med lag eller annan författning. Att Integritets- skyddsmyndigheten kan utfärda råd även för planerade behandlings- åtgärder hör samman med den skyldighet som Säkerhetspolisen har att, enligt 5 kap. 6 § andra stycket säpodatalagen, samråda med tillsynsmyndigheten. Ett så kallat förhandssamråd ska ske bland annat innan Säkerhetspolisen påbörjar en ny typ av behandling, där det bedömts finnas en särskild risk för intrång i registrerades per- sonliga integritet.

Slutligen kan Integritetsskyddsmyndigheten, enligt 7 kap. 5 §, besluta om korrigerande åtgärder. Till sitt förfogande har Integri- tetsskyddsmyndigheten möjligheten att lämna råd och rekommenda- tioner, men även att besluta om förelägganden att vidta åtgärder eller att förbjuda fortsatt behandling.

Tillsynsmyndighetens befogenheter, indelade i förebyggande och korrigerande, är utformade efter mönster från brottsdatalagen och brottsdatadirektivet. Integritetsskyddsmyndigheten har där- med i princip samma befogenheter vid tillsyn över Säkerhetspolisens personuppgiftsbehandling som då tillsynen vilar på lagstiftningar som genomför brottsdatadirektivet eller på dataskyddsförordningen.

180

SOU 2025:49

Bakgrund

Det är endast sanktionsavgift som inte tillämpas i förhållande till Säkerhetspolisen.

3.6Hur regleras andra myndigheters behandling av personuppgifter?

3.6.1Polismyndighetens brottsbekämpande verksamhet

Brottsdatadirektivet och brottsdatalagen

Brottsdatadirektivet är en del av EU:s dataskyddsreform och syftar till att säkerställa en enhetlig, hög skyddsnivå för personuppgifter som behandlas i myndigheters brottsbekämpande och lagförande verksamhet samt verksamhet som rör straffverkställighet. Genom att direktivet garanterar enhetliga rättigheter för enskilda inom hela unionen gynnas även utbytet av personuppgifter mellan myndig- heter i olika länder.

Brottsdatadirektivet genomfördes i huvudsak genom en ny ram- lag, brottsdatalagen (2018:1177). Brottsdatalagen gäller när behöriga myndigheter behandlar personuppgifter i brottsbekämpande syfte, för att upprätthålla allmän ordning och säkerhet eller för att verk- ställa straffrättsliga påföljder. Behöriga myndigheter är de myndig- heter som direkt har till uppgift att bedriva sådan verksamhet eller andra aktörer som anförtrotts sådan myndighetsutövning. I Sverige gäller brottsdatalagen bland annat Polismyndigheten, Tullverket, Skatteverket och Kriminalvården. Säkerhetspolisen är behörig myn- dighet när myndigheten ägnar sig åt brottsbekämpande verksamhet som inte rör nationell säkerhet. Det förekommer exempelvis då Säkerhetspolisen biträder Polismyndigheten med särskilda utred- ningsinsatser eller då ett brott som Säkerhetspolisen normalt inte utreder upptäckts i samband med annan att verksamhet utreds eller sker mot en skyddsperson.74

Brottsdatalagen utgör en ramlag som kompletteras av flera så kallade registerförfattningar som är tillämpliga för olika myndig- heter: Polisen, Tullverket, Kustbevakningen, Skatteverket, åklagar- väsendets, domstolarna och Kriminalvården har alla sådana egna registerförfattningar.

74Se 3 § andra och tredje stycket i förordningen (2022:1719) med instruktion för Säkerhets- polisen.

181

Bakgrund

SOU 2025:49

Den följande framställningen koncentreras kring brottsdata- lagen och lagen (2018:1693) om polisens behandling av person- uppgifter inom brottsdatalagens område (polisens brottsdatalag). Som nämnts i samband med redogörelsen för säpodatalagen finns mycket stora likheter mellan den och polisens brottsdatalag. Lagarna tillkom i nära anslutning till varandra och togs fram inom ramen för samma utredningsarbete: Utredningen om 2016 års dataskydds- direktiv. Fokus på redogörelsen nedan kommer i första hand vara det som skiljer de båda lagarna åt och hur detta påverkar tillämp- ningen.

Personuppgiftsbehandling för nya ändamål

Av polisens brottsdatalag framgår att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra de brottsbekäm- pande uppgifter som ålagts den, bland annat att förebygga, förhindra och upptäcka brottslig verksamhet eller utreda brott. Dessa upp- gifter är det som numera benämns som rättslig grund, vilket marke- rar inom vilka ramar som personuppgiftsbehandling är tillåten. Varje enskild behandling måste dock ha stöd i ett mer specifikt ändamål. Det följer av kravet att personuppgifter endast får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Polismyndig- heten har därmed inte rätt att exempelvis kartlägga personer för breda ändamål som ”allvarlig brottslig verksamhet av länsövergripande karaktär” eller liknande.75

I detta avseende är brottsdatalagen ändamålsbestämmelse lika- lydande med säpodatalagen. Av förarbetena till brottsdatalagen framgår emellertid att polismyndigheten redan vid insamlandet av personuppgifter måste ha klart för sig för vilket närmare preciserat ändamål som insamlingen sker.76 Bestämmelsen tar sikte på ända- målen i det enskilda fallet som till exempel en förundersökning om ett visst brott. Även om denna principiella utgångspunkt även gäller för Säkerhetspolisens verksamhet framgår av förarbetena till säpo- datalagen att insamling av uppgifter i underrättelseverksamhet in-

75Prop. 2017/18:232 s. 123 och Säkerhets- och integritetsskyddsnämndens uttalande den

15november 2013, dnr 173-2013, Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd ”Kringresande”. Se även uttalandet den 12 december 2023, Polismyndighetens behandling av personuppgifter i uppgiftssamlingar som rör utsatta områden, dnr 127-2022.

76Ibid. s. 121 och prop. 2009/10:85 s. 98.

182

SOU 2025:49

Bakgrund

riktad mot Säkerhetspolisens brottskatalog inledningsvis får ske mot breda ändamål, se avsnitt 3.5.4 ovan. Polismyndigheten är därmed mer begränsad, framför allt i vilka uppgifter som får samlas in i under- rättelseverksamheten.

Brottsdatalagen reglerar behandling av personuppgifter för nya ändamål än insamlingsändamålet på ett annat sätt än säpodatalagen. Av 2 kap. 4 och 22 §§ brottsdatalagen framgår att personuppgifter får behandlas för ett nytt ändamål endast om behandlingen är nöd- vändigt och proportionerligt.

Brottsdatalagen reglerar därmed inte behandling för nya ändamål genom den så kallade finalitetsprincipen. Skälet är att alla ändamål som omfattas av lagen ansetts vara förenliga med varandra. Det fanns därför inte något behov av att ange att ändamål för ursprung- lig och ny behandling inte får vara oförenliga. Däremot följer av direktivet ett uttryckligt krav på att en proportionalitetsprövning ska göras innan behandling för nya ändamål. Det innebär att skälen för att personuppgifterna behandlas för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för den enskilde.

För proportionalitetsbedömningen är det av betydelse vilka

personuppgifter det är fråga om och i vilken verksamhet de används. Att exempelvis behandla en adressuppgift för nya ändamål har gene- rellt setts som mer harmlöst än att behandla en uppgift som rör hälsa eller sexualliv. I den brottsutredande verksamheten kan det vara nödvändigt att till exempel göra sökningar i olika register där det förekommer uppgifter om personer som kan ha begått likartade brott tidigare. Uppgifterna i dessa register behandlas då för ett nytt ändamål vilket innebär ett utökat intrång för de registrerade. Upp- gifter från en förundersökning kan också behöva användas i under- rättelseverksamhet.

Syftet med ett krav på proportionalitet är alltså att det ska göras en bedömning av behovet av att behandla personuppgifter för nya ändamål ställt i relation till intrånget. För att underlätta tillämp- ningen i det enskilda fallet ansåg regeringen att vissa typer av nya ändamål generellt sett kan anses vara av så stort värde att de alltid väger upp integritetsintrånget och det därför kan förekomma pro- portionalitetsbedömningar som avser typsituationer.77

Av 2 kap. 4 och 22 §§ följer vidare att prövning av nödvändighet och proportionalitet inte ska göras om det i lag eller förordning

77Prop. 2017/18:232 s. 129.

183

Bakgrund

SOU 2025:49

finns en sekretessbrytande uppgiftsskyldighet. Då har lagstiftaren redan tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt. Om det i lag eller förordning bara föreskrivs en möjlighet, men ingen skyldighet, att lämna uppgifter ska myndig- heten däremot pröva om det är nödvändigt och proportionerligt att lämna dem, eftersom lagstiftaren då inte har gjort den prövningen.78

Gemensamt tillgängliga uppgifter i Polismyndighetens underrättelseverksamhet

I polisens brottsdatalag regleras, i 3 kap., vilka personuppgifter som får göras gemensamt tillgängliga. Uppdelningen mellan gemensamt tillgängliga uppgifter och uppgifter som endast är tillgängliga för ett fåtal följer inte av brottsdatadirektivet. Regleringen har överförts från tidigare polisdatalagen och grundas på att registerbegreppet där övergavs till förmån för ett mer teknikneutralt begrepp.

En av de största skillnaderna mellan säpodatalagen och polisens brottsdatalag är regleringen av vilka uppgifter som får göras gemen- samt tillgängliga. Säpodatalagen har ingen begränsning i denna del. Enligt säpodatalagen får personuppgifter göras gemensamt tillgäng- liga om det behövs för att utföra någon av de uppgifter som anges som rättslig grund.

I polisens brottsdatalag finns däremot, i 3 kap. 2 § en detaljerad uppräkning av när personuppgifter får göras gemensamt tillgäng- liga. Till exempel får personuppgifter i förundersökningar eller uppgifter som har rapporterats till Polismyndighetens lednings- centraler regelmässigt göras gemensamt tillgängliga. I kriminal- underrättelseverksamheten krävs däremot att uppgifterna kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a)innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller

b)sker systematiskt.

Eftersom lagstiftningen uppställer särskilda krav för att uppgifter inom underrättelseverksamheten ska få göras gemensamt tillgäng-

78Ibid. s. 138.

184

SOU 2025:49

Bakgrund

liga hanteras de inledningsvis i så kallade underrättelsedeskar. En desk utgörs av ett fåtal medarbetare, eftersom det inte är tillåtet att hantera information som gemensamt tillgänglig innan vissa åtgärder har vidtagits, bland annat avseende särskilda upplysningar och be- dömningar av vilka brott som ingår i den brottsliga verksamheten. Eftersom varje desk inte får bemannas med mer än ett fåtal perso- ner och på grund av det stora inflödet av underrättelseinformation har ett stort antal underrättelsedeskar upprättats över hela landet. Deskverksamhetens målsättning är att hitta samband mellan olika underrättelseuppslag för att på sikt möjliggöra att uppgifterna kan göras gemensamt tillgängliga.

Innan underrättelseuppgifter görs gemensamt tillgängliga kan de behandlas på ett friare sätt, eftersom den brottsliga verksamheten inte behöver vara preciserad. I likhet med säpodatalagen finns även det särskilda krav, om bland annat misstankemarkering samt tro- värdighets- och sakriktighetsbedömning för gemensamt tillgängliga uppgifter.

Till skillnad mot Säkerhetspolisens underrättelseverksamhet är det vanligt förekommande att det inkommer tips till Polismyndig- heten. Det kan handla om att allmänheten ringer in eller lämnar tips via polisens hemsida. Tips hanteras initialt vid deskarna.79

I polisens brottsdatalag finns även detaljerade bestämmelser om vilka personuppgifter som får tas fram när det utförs en sökning på gemensamt tillgängliga personuppgifter. En sökning på ett person- namn eller ett personnummer får som regel endast resultera i en träffbild där det framgår uppgifter om personen är misstänkt, vittne, målsägande, anmäld försvunnen, efterlyst eller bedöms kunna möta ett polisingripande med våld och liknande. Det finns dock vissa undantag från dessa bestämmelser bland annat för särskilt utvalda tjänstemän som utför vissa uppgifter i underrättelseverksamheten och vid utredning av allvarliga brott.

Polismyndigheten har beskrivit att bestämmelserna om gemen- samt tillgängliga uppgifter medför stora tillämpningsproblem och på ett betydande sätt påverkar myndighetens förmåga att på ett effektivt sätt utöva sitt brottsbekämpande uppdrag. Myndigheten har därför hemställt till regeringen om vissa ändringar i dessa re-

79Nationella operativa avdelningen, PM 2021-03-11, Underrättelseperspektivet på frågan om tipshantering inom Polismyndigheten.

185

Bakgrund

SOU 2025:49

gler.80 Bland annat föreslås att begränsningen till ett fåtal ska ersättas med att uppgifterna ska vara tillgängliga för en avgränsad krets. Vidare lämnas förslag på att de särskilda villkor för att göra uppgifter inom underrättelseverksamheten gemensamt tillgängliga, som beskrivs ovan, ska tas bort. Polismyndighetens förslag remitterades den

6 december 2024.

Längsta tid för behandling av personuppgifter

Av 2 kap. 17 § brottsdatalagen framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om det inte finns särskilda regler om när en viss kategori av personuppgifter inte längre får behandlas ska den personuppgiftsansvarige årligen se över behovet av att fort- sätta behandla personuppgifterna.

Polisens brottsdatalag innehåller, i 4 kap., en rad bestämmelser med särskilda behandlingsfrister, som bär likheter med säpodata- lagens motsvarande bestämmelser. Uppgifter som inte gjorts gemen- samt tillgängliga får som längst behandlas ett år efter att ärendet de behandlats i avslutats eller efter att de behandlades första gången. Denna regel tillämpas hos Polismyndigheten eftersom fler uppgifter endast är tillgängliga för ett fåtal och det krävs arbete för att göra uppgifter gemensamt tillgängliga. Hos Säkerhetspolisen förekom- mer detta endast i undantagsfall då i princip alla uppgifter är gemen- samt tillgängliga. Det finns även regler om behandling av uppgifter i brottsanmälningar och från förundersökningar som är likalydande med säpodatalagens. Det innebär att uppgifter från förundersök- ningar som regel får behandlas i fem år efter dom eller att förunder- sökningen lagts ner.

För uppgifter som är gemensamt tillgängliga inom underrättelse- verksamheten gäller en generell behandlingstid på tre eller fem år, beroende på straffskalan för de brott som ingår i den brottsliga verksamheten. Behandlingstiden räknas från registreringen, men kan förlängas för alla personuppgifter om en ny registrering beträf- fande personens anknytning till brottslig verksamhet görs före ut- gången av tidsfristen. Det finns även en särskild bestämmelse om

80Skrivelse den 5 juli 2024, Hemställan om ändring av bestämmelserna om gemensamt tillgäng- liga uppgifter i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdata- lagens område, dnr A286.201/2024.

186

SOU 2025:49

Bakgrund

att den tid som en person är frihetsberövad inte ska räknas in i behandlingsfristen. Gemensamt tillgängliga uppgifter som behand- las i ett ärende får behandlas som längst ett år efter att ärendet av- slutats.

Till skillnad mot säpodatalagen innehåller polisens brottsdatalag en rad bestämmelser om olika register; bland dem tillträdesförbuds- registret och penningtvättsregistret som innehåller särskilda bestäm- melser om behandlingstid. Därutöver finns i specialreglering, om bland annat belastningsregister, misstankeregister och passagerar- register, särskilda bestämmelser om behandlingstid för uppgifter som behandlas med stöd av respektive lag.

3.6.2Försvarsmakten och Försvarets radioanstalt

Försvarsunderrättelseverksamhet och militär säkerhetstjänst

Säkerhetspolisen brukar kategoriseras med de andra myndigheterna med brottsbekämpande uppdrag. Det finns givetvis goda skäl för att de polisiära myndigheterna ska regleras på liknande sätt. Det finns dock även klara paralleller mellan Säkerhetspolisens verksam- het som rör nationell säkerhet och Försvarsmaktens säkerhetstjänst. De båda verksamheterna använder likartade metoder och har lik- nande mål. Där Säkerhetspolisens verksamhet avgränsas mot brotts- lig verksamhet av visst slag är Försvarsmaktens fokus på skydda verksamheten mot olika säkerhetshot. Dessa säkerhetshot kan dock ofta även utgöra brottslig verksamhet.

Inom den militära säkerhetstjänsten bedrivs underrättelseverk- samhet för att kartlägga bland annat verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott och för att kartlägga underrättelseverksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

Inom Försvarsmakten, men även andra myndigheter under Försvarsdepartementet bedrivs försvarsunderrättelseverksamhet. Försvarsunderrättelseverksamhet fick tidigare bedrivas för att kart- lägga yttre militära hot mot landet. Sedan år 2007 begränsas inte verksamheten till militära hot, utan avser numera yttre hot mot landet.

Slutligen är jämförelsen mellan Säkerhetspolisen och de myndig- heter som bedriver försvarsunderrättelseverksamhet och militär

187

Bakgrund

SOU 2025:49

säkerhetstjänst relevant på grund av avsaknad av bindande EU- rättsakter. EU:s lagstiftningskompetens är begränsad avseende frågor som rör försvar och nationell säkerhet. Därmed finns inte någon dataskyddslagstiftning på EU-nivå som binder den natio- nella lagstiftaren. Området försvar och nationell säkerhet omfattas dock av Europakonventionen och flera andra av Europarådets kon- ventioner.

Försvarsunderrättelseverksamhet

Av lag (2000:130) om försvarsunderrättelseverksamhet framgår att försvarsunderrättelseverksamhet ska bedrivas till stöd för svensk utrikes-, säkerhets-, och försvarspolitik samt i övrigt för kartlägg- ning av yttre hot mot landet. Det är regeringen som ska bestämma försvarsunderrättelseverksamhetens inriktning och de myndigheter som regeringen bestämmer får inom denna ram ange en närmare in- riktning av verksamheten. De myndigheter som ska bedriva försvars- underrättelseverksamhet är Försvarsmakten, Försvarets radioanstalt (FRA), Försvarets materielverk och Totalförsvarets Forsknings- institut. Inom Försvarsmakten bedrivs försvarsunderrättelseverk- samhet vid den militära underrättelse- och säkerhetstjänsten, ofta förkortad MUST.

Av lagen framgår uttryckligen att försvarsunderrättelseverksam- het endast får avse utländska förhållanden. Avgränsningen till utländ- ska förhållanden innebär att försvarsunderrättelseverksamheten typiskt sett ska inhämta, bearbeta, analysera och delge sådan infor- mation om företeelser och förhållanden i andra länder som ger svenska beslutsfattare ett förbättrat underlag för beslut och bedöm- ningar i utrikes-, säkerhets- och försvarspolitiska frågor eller för att skydda svensk personal som deltar i internationella insatser. Verksamheten kan under vissa förhållanden även avse företeelser inom landet exempelvis om en organisation med verksamhet som utgör ett hot mot landet har sitt ursprung i ett annat land, men ver- kar genom representanter i Sverige eller genom att på annat sätt utnyttja resurser i Sverige. Det handlar då om att följa upp utländ- ska förhållandens koppling till Sverige för att kunna bedöma hot- bilden mot landet. Exempel på vad som utgör försvarsunderrättelse- verksamhet är säkerhetspolitiska och militärstrategiska bedömningar,

188

SOU 2025:49

Bakgrund

analyser av pågående och framtida konflikter, internationella terrorist- grupper, cyberhot, massförstörelsevapen samt biografiska under- rättelser som avser utländsk militär personal eller andra viktiga befattningshavare.

Försvarsunderrättelseverksamheten går ofta ut på att upptäcka på förhand okända företeelser. Till exempel uppgifter om nya hot mot svenska säkerhetsintressen, samhällsviktiga funktioner, eller mot säkerhetsskyddsklassificerade uppgifter som inte får hamna hos främmande makt. Verksamheten innebär även att kartlägga redan kända företeelser och följa förändringar i dessa för att tidigt få kunskap om aktörers nya ambitioner, avsikter och förmågor. Försvarsunderrättelseverksamhet är också ett centralt verktyg vid kartläggning i efterhand av händelser som oförutsett inträffat, i syfte att finna förklaringar till det inträffade samt för att kartlägga eventuella ännu inte identifierade inslag i en inträffad händelse. Genom sådan uppföljning kan ytterligare underrättelseinformation produceras som ger dels bättre förståelse för orsakerna bakom det inträffade, dels kompletterande information om inslag som ännu inte identifierats, till exempel kvarvarande oupptäckta hot.81

Militär säkerhetstjänst

Försvarsmakten ska enligt sin instruktion leda och bedriva militär säkerhetstjänst. Syftet är att skydda de säkerhetsintressen som berör Försvarsmakten och dess tillsynsområde enligt säkerhetsskydds- lagen. Den militära säkerhetstjänsten ska

–förebygga, upptäcka, motverka och avvärja säkerhetshotande verksamhet,

–klarlägga och analysera den säkerhetshotande verksamhetens mål, medel och metoder, och

–utifrån hotbild och säkerhetshotande verksamhet vidta åtgärder för att säkerställa relevant skydd i form av informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Med militär säkerhetstjänst avses såväl verksamheten som dess organisation. Försvarsmakten är bedrivs militär säkerhetstjänst

81Se SOU 2018:63 s. 95–96 samt prop. 2020/21:224 s. 43–45.

189

Bakgrund

SOU 2025:49

av den militära underrättelse- och säkerhetstjänsten, operations- ledningen och vid militärregionerna. Den militära säkerhetstjänsten består av säkerhetsunderrättelsetjänst, säkerhetsskyddstjänst och signalskyddstjänst.

Säkerhetsunderrättelsetjänsten har till uppgift att klarlägga och analysera den säkerhetshotande verksamhetens mål, medel och metoder. Säkerhetshotande verksamhet mot Sverige eller mot in- satta förband och insatser i andra länder kan förekomma i form av främmande underrättelseverksamhet, sabotage, subversiv verk- samhet, terrorism och kriminalitet. Säkerhetsunderrättelsetjänst bedrivs genom planläggning, inhämtning, bearbetning och analys samt delgivning av säkerhetsunderrättelser. Verksamheten sker i stort under samma arbetsformer och med utnyttjande av samma typ av källor som används i försvarsunderrättelseverksamheten.

Säkerhetsskyddstjänstens uppgift är att ta fram åtgärder som syf- tar till att hindra eller försvåra säkerhetshotande verksamhet såsom exempelvis obehörigt röjande av hemliga uppgifter som rör Sveriges säkerhet, sabotage, stöld och terrorism. Säkerhetsskyddstjänsten ska, utifrån hotbild och säkerhetshotande verksamhet vidta rele- vanta säkerhetsskyddsåtgärder.

Signalskyddstjänsten syftar till att förhindra obehörig insyn i och påverkan av telekommunikations- och it-system med hjälp av krypto- grafiska metoder och övriga signalskyddsåtgärder. Signalskydds- tjänsten är en säkerhetsskyddsangelägenhet som omfattar hela totalförsvaret och syftet är att säkerställa säker kommunikation. Säkerhetsskyddstjänsten och signalskyddstjänsten syftar gemen- samt till att förebygga, förhindra och motverka säkerhetshotande verksamhet.

Försvarsmakten bedriver även underrättelsetjänst för att kunna lösa militära uppgifter som inte utgör försvarsunderrättelseverksam- het eller militär säkerhetstjänst. Denna underrättelseverksamhet syftar främst till att skapa en lägesbild och ge beslutsunderlag för militära chefer för myndighetens lösande av militära uppgifter enligt Försvarsmaktens instruktion, regleringsbrev eller särskilda regeringsbeslut.82

82Prop. 2020/21:224 s. 39–40.

190

SOU 2025:49

Bakgrund

Försvarets radioanstalt

Försvarets radioanstalt, FRA, är en civil myndighet under Försvars- departementet vars verksamhet i huvudsak utgörs av signalspaning i försvarsunderrättelseverksamhet. Myndigheten bildades redan år 1942 och bedrev ursprungligen endast signalspaning mot eter- burna signaler. Sedan år 2009, när lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet trädde i kraft, bedriver myndig- heten även signalspaning mot trådburna signaler.

Signalspaning är en form av teknisk inhämtning som ofta tar

sikte på innehållet i kommunikationer och annan information som hanteras i elektronisk form. Det kan till exempel röra sig om text- meddelanden, talad kommunikation eller dokument. Andra delar av signalspaningen avser att fastställa tekniska detaljer rörande fram- för allt radarsignaler från fartyg eller flygplan. Försvarets radioanstalts försvarsunderrättelseverksamhet tar bland annat sikte på att upptäcka ännu okända hotaktörer och företeelser.

Signalspaning i försvarsunderrättelseverksamhet sker med stöd av lagen (2008:717) om signalspaning i försvarsunderrättelseverk- samhet (i det följande signalspaningslagen). Enligt 1 § första stycket i den lagen får signalspaning i försvarsunderrättelseverksamhet endast ske i de fall regeringen eller någon av de myndigheter som anges i lagen har bestämt en närmare inriktning för signalspaning. FRA utför endast signalspaning på uppdrag åt andra och får inte initiera någon signalspaning utanför uppdragsgivarens inriktning.

Signalspaningslagen innehåller en uppräkning av de syften för vilka kartläggning genom signalspaning i försvarsunderrättelse- verksamhet får ske.83 Bland dem finns syften som tydligt avser Försvarsmaktens ansvarsområde, som kartläggning av yttre militära hot mot landet eller hot mot svenska intressen vid genomförandet av internationella insatser. Signalspaning får emellertid även inriktas mot frågor som helt eller delvis avser Säkerhetspolisens verksamhet, som kartläggning av strategiska förhållanden avseende internationell terrorism eller främmande underrättelseverksamhet mot svenska intressen. Följaktligen är Säkerhetspolisen en av de myndigheter som får besluta om en närmare inriktning av FRA:s signalspaning.

Enligt 2 § signalspaningslagen får inhämtning som sker i tråd endast avse signaler som förs över Sveriges gräns. Dessutom får,

83Se 1 § andra stycket signalspaningslagen.

191

Bakgrund

SOU 2025:49

enligt 2 a §, signalspaning som huvudregel inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. För- budet är försett med undantag för bland annat signaler från eller till utländsk krigsmakt som befinner sig i Sverige. Det finns emellertid förslag, om möjlighet till ytterligare undantag från denna begräns- ning. I betänkandet Signalspaning i försvarsunderrättelseverksamhet

–en modern och ändamålsenlig lagstiftning, SOU 2024:59, föreslås bland annat att även inhemska kommunikation ska få inhämtas i sådana brådskande situationer som innebär fara för människors liv eller hälsa eller för omfattande förstörelse av egendom.

Den inhämtning genom signalspaning som FRA får bedriva kräver tillstånd av Försvarsunderrättelsedomstolen. Bestämmel- serna om ansökan finns i 4 a § signalspaningslagen. En ansökan ska bland annat innehålla uppgifter om det inhämtningsuppdrag som ansökan avser, med en närmare redogörelse för det behov som föranleder ansökan och uppgifter om vilken inriktning uppdraget hänför sig till samt de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vid inhämtningen.

Försvarsunderrättelsedomstolen får meddela tillstånd under förutsättning att vissa krav är uppfyllda. Det krävs bland annat att uppdraget är förenligt med lagen om försvarsunderrättelseverksam- het och signalspaningslagen att syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt och att uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan innebära.

Signalspaning får inte inriktas mot endast en viss fysisk person vilket är en avgörande skillnad i förhållande till straffprocessuella tvångsmedel. Vidare får de underrättelserapporter som FRA redo- visar till inriktande myndighet endast innehålla de personuppgifter som är av betydelse för försvarsunderrättelseverksamheten. Det är därmed inte tillåtet att redovisa överskottsinformation om annan brottslig verksamhet än sådan som kan vara föremål för försvars- underrättelseverksamhet. Inte heller får uppgifter i underrättelser från FRA användas i förundersökning vilket följer av en särskild lag; lag (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Signalspaningsinformation utgör därför inte ett redskap i den brottsutredande verksamheten, utan är i första hand ett verktyg för underrättelseverksamheten.

192

SOU 2025:49

Bakgrund

Försvarsmaktens och FRA:s personuppgiftslagstiftning

År 2022 fick både Försvarsmakten och FRA ny personuppgifts- lagstiftning: Lag (2021:1171) om behandling av personuppgifter vid Försvarsmakten (försvarsdatalagen) respektive lag (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt (FRA- datalagen).84

Trots att all den verksamhet som regleras i nämnda lagar ansetts falla utanför området för EU-rätten har lagarna i stor utsträckning samma struktur som närliggande EU-reglering. Detta ansågs vara en fördel i tillämpningshänseende för såväl Försvarsmakten och FRA som tillsyns- och kontrollmyndigheterna, liksom för enskilda ur ett integritetsskyddsperspektiv.85

FRA-datalagen innehåller bland annat bestämmelser för myndig- hetens försvarsunderrättelseverksamhet och utvecklingsverksam- het. För Försvarsmaktens del regleras både den generella verksam- heten som avser att upprätthålla ett militärt försvar som ytterst kan möta ett väpnat angrepp mot Sverige (försvar och säkerhet) samt de mer specifika verksamheterna försvarsunderrättelseverksamheten och den militära säkerhetstjänsten i samma lag.

I det följande redogörs för några av de bestämmelser som regle- rar Försvarsmaktens och FRA:s personuppgiftsbehandling och som avser områden av intresse för jämförelsen med Säkerhetspolisens lagstiftning. Redogörelsen gör därmed inte anspråk på att vara hel- täckande.

Ändamål och rättslig grund

Försvarsmaktens försvarsunderrättelseverksamhet

I 2 kap. 3 § försvarsdatalagen anges att personuppgifter får behandlas i Försvarsmaktens försvarsunderrättelseverksamhet om det är nöd- vändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

Ändamålen för personuppgiftsbehandlingen inom försvarsunder- rättelseverksamheten måste bestämmas inom det bredare under- rättelseuppdraget som anges i lagen om försvarsunderrättelseverk-

84SOU 2018:63 samt SOU 2020:68, prop. 2020/21:224, bet. 2021/22:FöU2, rskr. 2021/22:45.

85Prop. 2020/21:224 s. 59.

193

Bakgrund

SOU 2025:49

samhet. Ytterst ska behandlingen därmed vara nödvändig för att stödja svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet.86 De personuppgifter som behandlas är bland annat uppgifter om personer som verkar inom andra staters försvars- eller underrättelseväsende, ledande utländska politiska företrädare och andra opinionsbildare samt andra perso- ner som förekommer i underrättelserapporter eller kan komma att få ett underrättelsevärde.87

I tidigare lagstiftning begränsades behandlingen av personupp- gifter till personer som hade anknytning till en preciserad inrikt- ning för försvarsunderrättelseverksamheten. Av den nya bestäm- melsen i 2 kap. 4 § försvarsdatalagen följer att de personuppgifter som Försvarsmakten har fått tillgång till i myndighetens försvars- underrättelseverksamhet får fortsätta att behandlas i den verksam- heten, om det behövs för att fullgöra den. Bestämmelsen i 2 kap.

4 § försvarsdatalagen innebär alltså att Försvarsmakten numera fortsatt kan behandla personuppgifter som Försvarsmakten har fått tillgång till i myndighetens försvarsunderrättelseverksamhet i enlig- het med en tidigare inriktning, såvida det behövs för att fullgöra försvarsunderrättelseverksamheten. Förändringen, som medger en utökad möjlighet att fortsätta att behandla personuppgifter av mer perifer betydelse för nuvarande hotbilder, motiverades bland annat av att kunskapen om historiska skeenden och normalbilder är av väsentlig betydelse för tolkning av nya observationer. I förarbetena konstaterade regeringen att framåtsyftande försvarsunderrättelse- verksamhet behöver kunna förvarna om bland annat avsikter, akti- viteter och hot. För att kunna förstå ett skeende eller en aktörs agerande behöver det som observeras emellertid ofta sättas in i ett kontextuellt och historiskt sammanhang. Först därefter kan bedöm- ningar om underrättelserelevans göras. För vissa företeelser behö- ver sådana jämförelser kunna göras med observationer som har gjorts långt tillbaka i tiden, inte sällan 10–20 år.88

Dessa regler innebär, tillsammans med avsaknaden av en lagstad- gad, yttersta tidsgräns för bevarande av personuppgifter inom verk- samheten, att personuppgifter kan behandlas under mycket lång tid inom Försvarsmakten. Lagen ställer endast upp den begränsningen

86Se 1 § lag om försvarsunderrättelseverksamhet.

87Se prop. 2006/07:46 s. 64.

88SOU 2018:63 s. 163 och prop. 2020/21:224 s. 71.

194

SOU 2025:49

Bakgrund

att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen (2 kap. 21 §). Behoven kan utgöras av personuppgifter om exempelvis utländsk militär personal, politiker eller andra viktiga befattningshavare. Regeringen ansåg att sådana uppgifter är nödvändiga för att infor- mationsunderlaget för svensk utrikes-, försvars- och säkerhetspoli- tik ska bli komplett.89

Personuppgifter i försvarsunderrättelseverksamheten som är gemensamt tillgängliga för fler än ett fåtal personer inom Försvars- makten ska behandlas i uppgiftsamlingar.

Militär säkerhetstjänst

Enligt 2 kap. 5 § försvarsdatalagen får personuppgifter behandlas i Försvarsmaktens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvars- makten och dess säkerhetsintressen, om det är nödvändigt att

1.klarlägga verksamhet som innefattar hot mot Sveriges säkerhet, eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.90

Begreppet klarlägga i den första punkten är avsedd att markera säkerhetsunderrättelseverksamheten som ändamål och innebär att personuppgifter får behandlas för att klarlägga verksamhet som innefattar hot mot rikets säkerhet. Vid sådan underrättelseverk- samhet får därmed uppgifter om personer med anknytning till sådan verksamhet också behandlas. Den andra punkten avser säkerhets- skyddstjänst, vilket inkluderar signalskyddstjänst.

Dessa vida ändamål i 2 kap. 5 § försvarsdatalagen begränsas och specificeras i 2 kap. 6 §. Där anges att personuppgifter får behand- las för de ändamål som anges i 5 § endast om uppgifterna är nöd- vändiga för något av den fem uppräknade ändamål. Bland dem finns ändamålet att ”kartlägga verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott” (1 p.) och att ”kartlägga

89Prop. 2020/21:224 s. 176.

90Jfr 7 § förordningen (2024:1333) med instruktion för Försvarsmakten.

195

Bakgrund

SOU 2025:49

underrättelseverksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen” (2 p.).

Personuppgifter som behandlas för den militära säkerhetstjäns- ten ska förses med en upplysning om på vilken av de angivna grun- derna uppgiften behandlas (2 kap. 7 §). I likhet med säpodatalagen ska en så kallad misstankemarkering göras för att särskilja uppgifter som inte rör personer som är misstänkta för brottslig verksamhet samt, i vissa fall, en uppgift om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Särskilt, uttryckligt angivet och berättigat ändamål

Försvarsdatalagen och FRA-datalagen innehåller, båda i 2 kap. 1 §, samma ändamålsprincip som säpodatalagen, med ett krav på att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Av förarbetena framgår emellertid att krav på ett särskilt ändamål anses uppfyllt genom att behandlingen kan hänföras till något av de ändamål som angetts i respektive lag.91

Behandling av personuppgifter inom den militära säkerhetstjäns- ten ska ske för något av de fem särskilda ändamål som räknas upp i 2 kap. 6 § i försvarsdatalagen. Dessa ändamål i försvarsdatalagen motsvarar vad som i säpodatalagen benämnts rättslig grund. Sådana, så kallade primära ändamålsbestämmelser, ansågs inte vara tillräck- ligt preciserade för att utgöra ett särskilt och uttryckligt angivet ändamål då säpodatalagen beslutades.92

Det finns därmed inte något krav på att ändamålet för behand- ling av personuppgifter inom Försvarsmakten ska bestämmas indi- viduellt. Vi har även fått bekräftat att det är det sätt på vilken lagen tillämpas. Det är tillräckligt att behandlingen i fråga är nödvändig för någon av de ändamål som angetts i lagen. Denna, praktiskt mycket betydelsefulla skillnad mellan Försvarsmaktens och FRA:s respek- tive datalagar och säpodatalagen kommer dock inte till uttryck genom hur ändamålsprincipen formulerats i respektive lag. De tre lagarna har helt överensstämmande lagtext såvitt avser ändamåls- principen.

91Prop. 2020/21:224 s. 65 ff.

92Prop. 2018/19:163 s. 61–63.

196

SOU 2025:49

Bakgrund

Även om utredningen inte har någon djupare insyn i den person- uppgiftsbehandling som rent faktiskt sker i försvarsunderrättelse- verksamheten eller den militära säkerhetstjänsten, framstår det ut- ifrån förarbetena som att de breda ändamålen för vilken behandling kan ske inte begränsar informationshanteringen på samma sätt som för Säkerhetspolisen. Principerna om adekvans, relevans och upp- giftsminimering återfinns även i försvarsdatalagen och FRA-data- lagen. Vilka uppgifter som är nödvändiga, relevanta, adekvata och inte onödigt omfattande för ändamålet med behandlingen beror givetvis på vilket ändamål som prövningen sker mot. Hur dessa principer påverkar behandlingen av personuppgifter skiljer sig där- med åt beroende på hur konkret ändamålet måste formuleras. Hur verksamhetsstyrande dessa principer är skiljer sig därför sannolikt åt mellan bland annat den militära säkerhetstjänsten och hur mot- svarande bestämmelser påverkar Säkerhetspolisens verksamhet, trots att de lagfästs på samma sätt.

Allmänt tillgänglig information

Av 2 kap. 10 § i försvarsdatalagen respektive 2 kap. 9 § FRA-data- lagen framgår uttryckligen att myndigheterna får behandla person- uppgifter som utgör allmänt tillgänglig information om det är nöd- vändigt för att bland annat bedriva underrättelseverksamhet. Syftet är bland annat att komplettera den information som Försvarsmakten och FRA inhämtat genom särskilda metoder och sätta dessa upp- gifter i sitt sammanhang.

Den särskilda regleringen för allmänt tillgänglig information tar bland annat sikte på att upprätta referensdatabaser av uppgifter som är publikt tillgängliga, antingen på internet eller genom köp av en kommersiell produkt. Det kan exempelvis röra sig om uppgifter som finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika länder. Eftersom den underrättelseverksam- heten omfattas av sekretess är det inte lämpligt att myndigheterna exponerar sitt underrättelsearbete genom att själv göra sökningar i olika publika databaser. Sökningar på internet riskerar att röja vad som är föremål för myndigheternas intresse (inriktning) samt metod. I stället måste databaserna i sin helhet anskaffas av myndigheterna.

197

Bakgrund

SOU 2025:49

I propositionen anges att de ändamål som framgår av de båda lagarna, enligt regeringen, i och för sig omfattar behandling av all- mänt tillgängliga personuppgifter i referensdatabaser. Regeringen bedömde dock att det stora antalet personuppgifter som sådana referensdatabaser kan innehålla utgör en form av integritetsintrång, även om de är allmänt tillgängliga. För att undvika oklarheter i rätts- tillämpningen ansågs därför att stödet för sådan behandling bör komma till tydligt uttryck i lagtexten.93 Motiven till bestämmelsen är dock något otydliga i fråga om hur lagens övriga bestämmelser, om bland annat uppgiftsminimering och känsliga personuppgifter, är tänkta att tillämpas för de så kallade referensdatabaserna. Hur Försvarsmakten och FRA i praktiken tillämpar bestämmelsen som medger behandling av allmänt tillgänglig information är okänt för utredningen.

Det finns särskilda regler för FRA:s gemensamt tillgängliga upp- giftssamling för allmänt tillgänglig information som anger att den får endast innehålla information som finns eller har funnits på inter- net eller i öppna databaser.94 Någon motsvarande reglering finns inte för Försvarsmakten.

Känsliga personuppgifter

Ilikhet med säpodatalagen innehåller både FRA-datalagen och försvarsdatalagen ett förbud att behandla personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filo- sofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Förbudet kompletteras med ett undantag som medger att personuppgifter får kompletteras med sådana uppgifter om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Vidare framgår att biometriska upp- gifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen. Biometriska uppgifter behöver inte utgöra ett komplement utan får registreras självständigt. I likhet med bland annat säpodatalagen framgår av samma paragraf även ett förbud mot behandling av genetiska uppgifter.95

93Prop. 2020/21:224 s. 85–86 samt SOU 2018:63 s. 172.

943 kap. 9 § förordning (2021:1208) om behandling av personuppgifter vid Försvarets radio- anstalt.

95Se 2 kap. 13–14 §§ FRA-datalagen och 2 kap. 15–16 försvarsdatalagen.

198

SOU 2025:49

Bakgrund

Både FRA-datalagen och försvarsdatalagen innehåller likalydande regler om hur känsliga personuppgifter får användas som sökbegrepp av respektive myndighet. Till skillnad mot säpodatalagen innehåller lagarna inte något förbud mot sådana sökningar. Känsliga person- uppgifter får dock endast utgöra sökbegrepp om det är absolut nöd- vändigt med hänsyn till ändamålet med behandlingen.96

När det gäller behandling av känsliga personuppgifter i allmän- het konstaterade regeringen uppgifter om bland annat etnisk här- komst eller religiös övertygelse, kan vara nödvändiga att behandla i samband med exempelvis humanitära insatser där en viss minoritet ska skyddas. I försvarsunderrättelse- och säkerhetstjänstsynpunkt är det ofta av grundläggande betydelse att registrera uppgifter om att en person tillhör ett politiskt parti eller annan organisation. Även om sådana personuppgifter ska behandlas restriktivt, och endast utgöra komplement till annan uppgift, ansåg regeringen att det ligger i verksamhetens natur att sådana uppgifter kan ha betydelse för den slutliga analysen. Avseende biometriska uppgifter får det exempelvis inom signalspaningen betraktas som självklart att en persons röstprofil behöver kunna behandlas i identifieringssyfte. Att kunna göra korrekta identifieringar är även av avgörande bety- delse vid bedömning av olika källors trovärdighet och informations sakriktighet.97

I både FRA-datalagen och försvarsdatalagen finns även ett undan- tag från kravet på absolut nödvändighet vid behandling av känsliga uppgifter. Av försvarsdatalagen framgår nämligen att sådana upp- gifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort uppgifterna. Samtyckessituationer kan tänkas förekomma främst i Försvars- maktens militära säkerhetstjänst vid säkerhetsprövningar.

Iförsvarsunderrättelseverksamhet aktualiseras inte några sam- tyckessituationer och för FRA:s del anges därför endast att undan- taget gäller tydligt offentliggjorda uppgifter.98

Ett tydligt offentliggörande av en känslig personuppgift kan ske exempelvis genom att den registrerade gör uppgifterna tillgängliga på internet. Om en känslig personuppgift inhämtats på det sättet

96Se 2 kap. 15 § FRA-datalagen respektive 2 kap. 17 § försvarsdatalagen.

97Prop. 2020/21:224 s. 90–93.

98Se 2 kap. 17 § FRA-datalagen och 2 kap. 19 § försvarsdatalagen.

199

Bakgrund

SOU 2025:49

behöver myndigheten alltså inte pröva om behandlingen av den är absolut nödvändig.

Undantag för behandling då det ännu inte har kunnat fastställas vilka personuppgifter som informationen innehåller

Både FRA-datalagen och försvarsdatalagen innehåller en särskild bestämmelse som anger att hantering av information inte anses oförenlig med bestämmelserna om bland annat ändamål, kvalitet eller kraven som ställs på känsliga personuppgifter – i det skede av behandlingen då det ännu inte har kunnat fastställas vilka person- uppgifter som informationen innehåller.99

Bestämmelsen fanns även i FRA:s tidigare personuppgiftslag, i en delvis annan lydelse. Syftet med bestämmelsen var att lagen inte skulle hindra inhämtning av personuppgifter genom signalspaning, lagring av uppgifter omedelbart därefter och bearbetning i form av kryptoforcering och språklig översättning, innan det var möjligt att fastställa att det ens rörde sig om personuppgiftsbehandling. Bestäm- melsens utformning gjorde emellertid undantaget verkningslöst eftersom det vid signalspaning i princip går att förutsätta att det förekommer personuppgifter i de inhämtade signalerna. Bestäm- melsens utformning ändrades därför till att undantaget gäller till dess att det går att fastställa vilka personuppgifter som förekom- mer i materialet.100

I förarbetena framhölls att dessa situationer även kan förekomma då Försvarsmakten inhämtat eller mottagit uppgifter. Där förklara- des att när Försvarsmakten får in en rapport från en annan myndig- het som rör exempelvis försvarsunderrättelseverksamhet eller militär säkerhetstjänst tas denna normalt in i informationssystemet, till- sammans med en notering om att det förekommer personuppgifter i handlingen. Någon prövning utifrån bestämmelserna om grundläg- gande krav, tillåtlighet och känsliga personuppgifter görs inte förrän personuppgifterna manuellt behandlas i respektive verksamhet. Det är först när handlingarna granskas av personal i de respektive verk-

99Se 2 kap. 18 § FRA-datalagen och 2 kap. 20 § försvarsdatalagen.

100Se prop. 2020/21:224 s. 95 samt Datainspektionens tillsynsbeslut 24 oktober 2016, dnr 2331-2015.

200

SOU 2025:49

Bakgrund

samheterna som en bedömning görs om personuppgifterna är bland annat nödvändiga och relevanta för ett visst ändamål. 101

Motsvarande bestämmelse som för FRA infördes därför i den nya försvarsdatalagen i syfte att bland annat möjliggöra detta arbets- sätt. I förarbetena framhölls att bestämmelsen är tillämplig då per- sonuppgifter som behandlas automatiserat inte blir föremål för manuell granskning och även vid insamling av sådana uppgifter.102

Längsta tid för personuppgiftsbehandling

I de personuppgiftslagar som gäller för Försvarsmakten och FRA finns ingen uttrycklig tidsgräns för behandling av personuppgifter. I stället ska behandlingen fortlöpande prövas utifrån om behand- ling av personuppgifterna fortsatt är nödvändig utifrån för ända- målet med behandlingen. Av respektive lag framgår därmed endast att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen.

Regeringen eller den myndighet regeringen bestämmer har möj- lighet att meddela föreskrifter om att personuppgifter endast får behandlas under viss tid eller att de ska fortsätta att behandlas för exempelvis historiska ändamål. Sådana föreskrifter finns i de till respektive lag anslutna förordningarna såvitt avser uppgifter som är gemensamt tillgängliga i uppgiftssamlingar. Där anges för För- svarsmaktens del bland annat att personuppgifter i en uppgiftssam- ling för signalkontroll inte får behandlas längre än ett år efter att behandlingen av uppgifterna påbörjades. Vidare framgår att person- uppgifter i uppgiftssamlingar för försvarsunderrättelseverksamhet och militär säkerhetstjänst ska fortsätta att bevaras för bland annat arkivändamål efter att de inte längre är nödvändiga för verksam- heten.103 För FRA anges att behandlingstiden för obearbetat och automatiskt bearbetat material vars relevans för verksamheten ännu inte har bedömts begränsats till ett år.104

I försvarsunderrättelseverksamheten och den militära säkerhets- tjänsten behöver personuppgifter inte sällan behandlas under mycket

101Se SOU 2018:63 s. 195 och prop. 2020/21:224 s. 96.

102Prop. 2020/21:224 s. 96.

103Se 3 kap. 5 § tredje stycket, 2 § andra stycket respektive 3 § tredje stycket i förordning (2021:1207) om behandling av personuppgifter vid Försvarsmakten.

104Se 3 kap. 1 § tredje stycket förordning (2021:1208) om behandling av personuppgifter vid Försvarets radioanstalt.

201

Bakgrund

SOU 2025:49

lång tid. I förarbetena till den tidigare personuppgiftslagen för För- svarsmaktens underrättelseverksamhet och Försvarets radioanstalt angavs att det kan det förekomma att uppgifter som är så gamla som 40–70 år kan ha betydelse för bedömningar i frågor som rör den svenska utrikes-, försvars- och säkerhetspolitiken. Som exem- pel anfördes bland annat biografiska underrättelser om militära befattningshavare, där det i inledningen av personens karriär inhäm- tas uppgifter vilkas betydelse för verksamheten i framtiden då inte kan förutses. På motsvarande sätt ansågs uppgifter om en politisk makthavare under personens hela livstid – och i vissa fall även där- efter – kunna vara av värde. Beträffande personuppgifter inom den militära säkerhetstjänsten exemplifierades behoven med att uppgif- ter om en anställd som genomgått registerkontroll måste kunna behandlas under hela anställningstiden, som kan uppgå till mer än 40 år.105 Eftersom bestämmelsen om bevarande av personuppgifter överfördes utan några större sakliga ändringar till de nya lagstift- ningarna torde detta uttalande alltjämt kunna beskriva synen på hur länge personuppgifter får bevaras inom de olika verksamheterna.

Särskilda regler angående signalspaning

I lag (2008:717) om signalspaning i försvarsunderrättelseverksam- het (signalspaningslagen) finns även vissa bestämmelser som rör personuppgiftsbehandling. Dessa bestämmelser tillämpas parallellt med FRA-datalagen och gäller skyldighet att förstöra vissa uppgifter. Av 2 a och 7 §§ signalspaningslagen följer att en upptagning eller uppteckning av uppgifter som har inhämtats eller som FRA har fått från ett annat land eller en internationell organisation under vissa förhållanden ska förstöras om innehållet

•har bedömts sakna betydelse för försvarsunderrättelse- eller utvecklingsverksamheten,

•utgör så kallad privilegierad kommunikation eller

•avser signaler mellan en avsändare och mottagare som båda befin- ner sig i Sverige.

105Prop. 2006/07:46 s. 110 f.

202

SOU 2025:49

Bakgrund

Det förstnämnda kravet om betydelselös information är lägre än det nödvändighetsrekvisit som följer av FRA-datalagen och avser att träffa uppgifter som inte utgör underlag till försvarsunderrät- telser, exempelvis uppgifter som endast rör inhemska förhållanden. Om en upptagning innehåller både betydelselösa uppgifter och uppgifter av intresse för verksamheten gäller inte bestämmelsen. Det finns inte heller något krav enligt signalspaningslagen på att en upptagning eller uppteckning ska redigeras så att endast bety- delsefull information får kvarstå. Det har inte ansetts praktiskt genomförbart.106 I stället begränsas vilken information som FRA får delge till inriktande myndigheter. Enligt 8 § signalspaningslagen får rapportering endast ske av personuppgifter som är av betydelse för försvarsunderrättelseverksamheten. Sedan år 2024 omfattar bestämmelsen om betydelselös information, efter att Sverige fått kritik från Europadomstolen i detta avseende, även andra uppgifter än personuppgifter.107

I lagens uppräkning av sådan privilegierad kommunikation som ska förstöras återfinns

–meddelanden som omfattas av tystnadsplikten och efterforsk- ningsförbudet för meddelare enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen,

–meddelanden mellan en misstänkt och dennes försvarare samt

–uppgifter lämnade under bikt eller enskild själavård.

Förstöringsplikten för sistnämnd kommunikation, avseende bikt eller själavård, gäller dock inte om det finns synnerliga skäl för att behandla uppgifterna, exempelvis för att kartlägga internationella terrornätverk.108 Andra meddelanden som utgör privilegierad kom- munikation ska förstöras även om de till sitt innehåll eller samman- hang är av betydelse för verksamheten.

Förstöringsskyldigheten för signaler mellan en avsändare och mottagare som båda befinner sig i Sverige är försedd med undantag för kommunikation som sänds från eller till utländsk militär personal, utländska statsfartyg, statsluftfartyg eller militära fordon och vissa signaler som inte innehåller personuppgifter. Utredningen om över-

106Prop. 2006/07:63 s. 109.

107Se prop. 2023/24:136.

108Se 7 § signalspaningslagen och prop. 2008/09:201 s. 81.

203

Bakgrund

SOU 2025:49

syn av lagen om signalspaning i försvarsunderrättelseverksamhet har år 2024 lämnat förslag om ytterligare undantag från förstörings- skyldigheten avseende inhemsk kommunikation, bland annat vid krig och krigsfara och i brådskande situationer som innebär fara för människors liv eller hälsa eller för omfattande förstörelse av egendom.109

Av lagen (2019:547) om förbud mot användning av vissa upp- gifter för att utreda brott gäller vidare att uppgifter som FRA rap- porterat till en annan myndighet inte får användas för att utreda brott. De brottsbekämpande myndigheterna, däribland Säkerhets- polisen, ska se till att tillgången till uppgifter som rapporterats till dem begränsas inom organisationen med särskilt beaktande av att uppgifterna inte får användas för att utreda brott.

Av 10 och 10 a §§ framkommer att den så kallade kontrollmyndig- heten, som utgörs av Statens inspektion för försvarsunderrättelse- verksamheten, ska kontrollera bland annat att förstörningsplikten upprätthålls. Kontrollmyndigheten får även besluta att inhämtade uppgifter ska förstöras, om det vid kontroll framkommer att in- hämtningen inte varit förenlig med tillstånd.

Försvarets radioanstalts tekniska utvecklingsverksamhet

Försvarets radioanstalt ska enligt sin instruktion särskilt följa föränd- ringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet. Myndigheten ska också fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten enligt signalspaningslagen. Myndigheten ska enligt sin instruktion även utföra matematiska bedömningar av kryptosystem för totalförsvaret samt biträda andra myndigheter vid värdering, utveckling, anskaff- ning och drift av signalspaningssystem.

När teknik utvecklas och när nya metoder för forcering av kryp- terad information arbetas fram används oftast autentiskt signal- spaningsmaterial för att man ska kunna vara säker på teknikens riktighet. Det autentiska materialet kan innehålla personuppgifter. Stöd för denna behandling finns i 2 kap. 5 § FRA-datalagen. Där anges att myndigheten, om det är nödvändigt för försvarsunder- rättelseverksamheten, får behandla personuppgifter för att

109Se SOU 2024:59.

204

SOU 2025:49

Bakgrund

1.följa förändringar i signalmiljön i omvärlden, den tekniska utveck- lingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Detta ändamål speglar möjlighet som myndigheten, enligt 1 § signal- spaningslagen, har att inhämta signaler för detta syfte. I signalspa- ningslagens förarbeten konstaterades att sådan inhämtning av tek- nisk karaktär sker för myndighetens egna behov av att kunna anpassa sina tekniska system och följaktligen inte genererar någon under- rättelserapportering. Intrånget i den personliga integriteten bedöm- des bli marginellt i jämförelse med sådan signalspaning som sker i underrättelsesyfte. Även denna inhämtning är dock underkastad lagens övriga krav, om bland annat förhandstillstånd eftersom det, enligt regeringen, inte går att utesluta att verksamheten kan komma att innefatta inhämtning av information som är känslig ur integritets- synpunkt.110

Tillsyn

Statens inspektion för försvarsunderrättelseverksamheten

Statens inspektion för försvarsunderrättelseverksamheten är en nämndmyndighet som består av en nämnd som fattar myndighetens beslut och ett kansli som stödjer nämnden i dess arbete. Nämndens ledamöter utses av regeringen för en bestämd tid, minst fyra år. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Övriga ledamöter ska utses bland personer som föreslagits av partigrupperna i riksdagen.

Statens inspektion för försvarsunderrättelseverksamheten har till uppgift att kontrollera försvarsunderrättelseverksamheten hos de myndigheter som bedriver sådan verksamhet. Inspektionen ska kontrollera att dessa myndigheter, i den försvarsunderrättelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.

Statens inspektion för försvarsunderrättelseverksamheten är kontrollmyndighet enligt signalspaningslagen och har ska enligt

110Prop. 2006/07:63 s. 72.

205

Bakgrund

SOU 2025:49

den lagen kontrollera att FRA följer tillstånd vid signalspaning. Inspektionen har som kontrollmyndighet befogenhet att besluta om att uppgifter som inhämtats utan stöd av tillstånd ska raderas.

Enligt 10 a § signalspaningslagen ska de finnas ett särskilt beslu- tandeorgan i kontrollmyndigheten som på begäran av en enskild kontrollera om hans eller hennes meddelanden har inhämtats i samband med signalspaning. Om meddelanden har inhämtats ska organet, benämnt Delegationen för kontroll på begäran av enskild, kontrollera huruvida inhämtningen och behandlingen av inhämtade uppgifter har skett i enlighet med lag. Det finns, till skillnad mot den motsvarande kontrollen som Säkerhets- och integritetsskydds- nämnden utför på begäran av enskild, inte någon möjlighet att få en prövning av personuppgiftsbehandlingen som inte har samband med signalspaningen.

Inspektionen ska även granska sådan behandling av personupp- gifter som utförs i Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst och FRA:s försvarsunderrättelse- och utvecklingsverksamhet. Vid sidan av att besluta om förstöring av uppgifter som FRA inhämtat i strid med tillstånd om signal- spaning har inte inspektionen några befogenheter att fatta beslut eller förlägga om rättelse vid denna granskning. Inspektionen är dock skyldig att anmäla vissa förhållanden som kan utgöra brott till brottsutredande myndigheter eller felaktigheter som kan medföra skadeståndsansvar för staten till Justitiekanslern. Om inspektionen finner omständigheter som Integritetsskyddsmyndigheten bör upp- märksammas på, ska nämnden anmäla det till den myndigheten.111

Inspektionens granskningsuppgift inskränker inte Integritets- skyddmyndighetens övergripande tillsynsansvar, utan utgör en sär- skild granskning i syfte att kompensera för enskildas begränsade möjligheter till insyn i personuppgiftsbehandlingen inom försvars- underrättelseverksamheten. Inspektionens fokus för tillsynen är att granska att behandlingen av enskilda personuppgifter följer regelverket.112

111Se förordningen (2009:969) med instruktion för Statens inspektion för försvarsunder- rättelseverksamheten.

112Se https://www.siun.se/uppgifter.html (hämtad: 2025-03-23).

206

SOU 2025:49

Bakgrund

Integritetsskyddsmyndigheten

I 6 kap. i både FRA-datalagen och försvarsdatalagen regleras tillsyn. Det är Integritetsskyddsmyndigheten som är tillsynsmyndighet över båda dessa lagar. Tillsynsmyndighetens ska, när det är moti- verat, ge råd och stöd till FRA och Försvarsmakten i frågor som gäller deras skyldigheter enligt lag eller annan författning. De båda lagarna saknar dock regler om konsekvensbedömning och förhands- samråd. Därmed kommer inte Integritetsskyddsmyndigheten att göras medveten om planerade behandlingsåtgärder. Det finns inte heller någon möjlighet för enskilda att begära att tillsynsmyndig- heten ska kontroller hur de personuppgiftsansvariga myndigheterna behandlar personuppgifter i något visst avseende. Integritetsskydds- myndighetens tillsyn är därmed i huvudsak inskränkt till initiativ- ärenden.

Integritetsskyddsmyndigheten har i stort sett samma tillsyns- befogenheter som enligt säpodatalagen, med den skillnaden att myndigheten inte kan förbjuda fortsatt behandling vid allvarliga överträdelser.113

113Jfr bestämmelserna om korrigerande befogenheter i 7 kap. 5 § 3 säpodatalagen med 6 kap.

5§ FRA-datalagen respektive 6 kap. 4 § försvarsdatalagen.

207

4 Internationella förhållanden

4.1Inledning

I detta kapitel redovisas hur personuppgiftsbehandling inom säker- hets- och underrättelsetjänster regleras i ett antal europeiska länder: Danmark, Finland, Norge, Förenade kungariket och Nederländerna. De nordiska länderna har valts ut på grund av deras närhet till Sverige och likheter i rättstradition. Övriga länder är utvalda eftersom vi uppmärksammat att frågor kring bulkdatahantering har behandlats på olika sätt i dessa.

Framställningen är översiktlig och koncentreras till de aspekter som är av störst intresse för utredningen: den rättsliga grunden för hantering av stora datamängder, relevanskrav och behovskriterier, skyddsmekanismer för känsliga personuppgifter, lagringstider samt tillsynsarrangemang. I kapitlet ingår även en beskrivning av Europa- rådets dataskyddskonvention, som utgör en viktig internationell rättslig ram på området.

Beskrivningarna är en sammanfattning av den rättsutredning som gjorts avseende de jämförda ländernas rättsordningar. De är inte avsedda att ge en uttömmande redogörelse, utan syftar till att identifiera olika lösningar och modeller som kan tjäna som referens- punkt vid utformningen av ett svenskt regelverk. Särskilt intresse ägnas ländernas olika sätt att balansera säkerhetsintresset mot skyd- det för den personliga integriteten vid hantering av stora datamängder.

4.2Danmark

Politiets Efterretningstjeneste (PET) är Danmarks civila säkerhets- och underrättelsetjänst och Forsvarets Efterretningstjeneste (FE) dess militära motsvarighet. PET är organisatoriskt placerad under Rigspolitiet (Rikspolisstyrelsen). Sedan 2013 regleras PET:s verk-

209

Internationella förhållanden

SOU 2025:49

samhet och personuppgiftsbehandling i en särskild lag, PET-loven, som ersatte tidigare styrning genom regleringsbrev och regerings- instruktioner. Samtidigt inrättades en oberoende tillsynsmyndighet, Tilsynet med Efterretningstjenesterne (TET).

4.2.1Uppdrag och verksamhet

PET:s huvudsakliga uppgifter är att förebygga, utreda och motverka brott mot nationell säkerhet. Sedan 2016 har PET:s uppdrag ren- odlats mot kontraterrorism och kontraspionage, medan bekämpning av grov organiserad brottslighet, som tidigare ingick i tjänstens upp- gifter, överförts till den reguljära polisen.

PET driver normalt inte egna ärenden till domstol utan över- lämnar förundersökningar till den reguljära polisen i samband med gripanden, även om PET kan bistå under fortsatt utredning.

4.2.2Personuppgiftsbehandling

PET-loven undantar uttryckligen underrättelsetjänsterna från den danska motsvarigheten till brottsdatalagen, men vissa principer görs tillämpliga genom hänvisningar i lagen. Ett viktigt särdrag i PET-loven är distinktionen mellan:

•Insamling och inhämtning: Får ske redan när uppgifterna kan ha betydelse för verksamheten. Detta är ett lågt ställt relevans- villkor som innebär att det inte på förhand ska kunna uteslutas att informationen är relevant. Insamling avser öppet tillgängliga uppgifter medan inhämtning gäller uppgifter som kräver särskilda åtgärder för åtkomst.

•Vidare behandling: Kräver att uppgifterna kan antas ha betydelse för underrättelseverksamheten eller är nödvändiga för PET:s övriga verksamhet. Detta innebär att lagring, bearbetning och spridning av personuppgifter kräver en högre grad av relevans än den initiala insamlingen.

PET har tillgång till straffprocessuella tvångsmedel och får även samla in allmänt tillgänglig information oavsett format och källa. Det finns vidare en lagreglerad skyldighet för andra myndigheter

210

SOU 2025:49

Internationella förhållanden

att lämna information till PET när denna kan antas ha betydelse för arbetet mot nationella säkerhetshot.

Känsliga personuppgifter

Regleringen av känsliga personuppgifter är begränsad jämfört med svensk personuppgiftslagstiftning. Det huvudsakliga skyddet gäller uppgifter om lovlig politisk verksamhet, där PET inte får behandla personuppgifter enbart på denna grund, vilket liknar det svenska förbudet mot åsiktsregistrering.

För övrigt ska personuppgiftsbehandlingen avseende känsliga personuppgifter följa sedvanliga principer om ändamålsbundenhet, relevans och dataminimering, uppdatering och korrekthet samt informationssäkerhet.

Längsta tid för personuppgiftsbehandling

PET ska som huvudregel radera personuppgifter avseende personer i utredning eller förundersökning när inga nya uppgifter har till- kommit inom de senaste 15 åren. Radering behöver dock inte ske om det på grund av väsentliga hänsyn är nödvändigt att de bevaras för fullgörandet PET:s uppgifter. Om PET får kännedom om att uppgifter inte längre uppfyller behovskriteriet ska de raderas oav- sett om fristen löpt ut eller inte. PET behöver dock inte regel- bundet granska uppgifterna i syfte att göra denna bedömning. Det följer även av lagen att PET inte är skyldig att radera personupp- gifter som ingår i handlingar eller liknande om handlingen i övrigt uppfyller behovskriteriet för att bevaras. Det gäller även uppgifter som exempelvis inte är relevanta för det ändamål de ursprungligen samlats in. Reglerna som innebär skyldighet att radera personupp- gifter är därmed olika på uppgiftsnivå i förhållande till det som

i Danmark betecknas som dokumentnivå.

Dessa regler i PET-loven kompletteras av ytterligare bestämmel- ser i förordning. Där anges att PET ska föra vissa register. Uppgifter som inte utgör personuppgifter, och därmed inte omfattas av person- uppgiftslagstiftningen, ska raderas inom tio år från det att ett ärende inletts. Radering kan dock undvaras om fortsatt behandling av upp- gifterna är nödvändig för verksamheten. För personuppgifter i

211

Internationella förhållanden

SOU 2025:49

register för den operativa verksamheten ska PET vid registrering själv ange en tidsfrist för radering. Fristen får inte vara längre än fem år annat än i undantagsfall, och som längst får lagens 15-års- gräns anges, med de där angivna undantagen om längre lagringstid för uppgifter som på grund av väsentlig hänsyn är nödvändiga att lagra längre. Frångås femårsgränsen ska tillsynsmyndigheten under- rättas.

För rådata, som befinner sig i det som PET betecknar som transit- system och ännu inte förts in i någon av PET:s register för operativa eller administrativa uppgifter, är den längsta lagringstiden fyra veckor enligt förordningen. PET har vid upprepade tillfällen kritiserats av tillsynsmyndigheten för att inte följa fyraveckorsfristen i dessa så kallade transitsystem.

4.2.3Behandling av stora datamängder

PET använder systemet PET-INTEL (en anpassad version av Palantirs Gotham-plattform) för dataanalys. Systemet, som sedan 2017 även används inom den reguljära polisen, möjliggör sökning i olika register och analytisk bearbetning av information. I samband med införandet av systemet har den danska polislagen ändrats för att ge stöd för ”tvärgående informationsanalyser” och insamling av öppet tillgänglig information.

PET-loven utvärderades år 2022. Då identifierades att nuvarande regelverk utgör ett hinder för effektiv hantering av stora datamäng- der (bulkdata). Kravet på att varje enskild personuppgift ska antas vara av betydelse för verksamheten ansågs begränsa möjligheten att hantera omfattande informationsmängder där merparten av uppgif- terna kan vara irrelevanta.

I utvärderingen efterfrågade PET lagändringar som skulle tillåta:

•Relevansbedömning på aggregerad nivå för stora datamängder i stället för på individnivå.

•Längre bevarandetider för rådata.

•Direkt tillgång till vissa myndighetsregister.

212

SOU 2025:49

Internationella förhållanden

Det danska justitsministeriet har uttalat att dessa frågor bör över- vägas vid en framtida översyn av lagstiftningen, men några lagänd- ringar har ännu inte genomförts.

4.2.4Tillsyn

TET utövar tillsyn över PET:s personuppgiftsbehandling och prövar enskildas klagomål genom indirekt insyn. TET är både till sin orga- nisation och sin verksamhet jämförbar med Säkerhets- och integri- tetsskyddsnämnden i Sverige.

TET:s tillsynsbefogenheter är likartade med den svenska mot- svarighetens och innebär att TET:

•Har tillgång till samtliga uppgifter och lokaler hos PET.

•Kan begära skriftliga yttranden i sak- och rättsfrågor.

•Har egna lokaler hos underrättelsetjänsterna med möjlighet att söka självständigt i IT-system.

•Utövar även indirekt insyn genom kontroll på begäran av enskild.

•Saknar befogenhet att förelägga PET att vidta åtgärder, men kan avge yttranden och hänskjuta frågor till ministern och i förläng- ningen till Folketingets underrättelseutskott.

Den danska regeringen beslutade i december 2023 om en översyn av tillsynssystemet med inriktning på att utvidga TET:s mandat till att omfatta även laglighetsövervakning av operativ verksamhet.

4.3Finland

Skyddspolisen (Skypo) är Finlands nationella säkerhets- och under- rättelsetjänst med ansvar för både inrikes och vissa utrikes förhållan- den. Skypo är en del av polisväsendet men är organisatoriskt placerad direkt under inrikesministeriet, till skillnad från övriga polisiära enheter som lyder under den centrala Polisstyrelsen.

213

Internationella förhållanden

SOU 2025:49

4.3.1Uppdrag och verksamhet

Skypo har till uppgift att inhämta information för att skydda den nationella säkerheten samt att upptäcka, förhindra och avslöja verk- samhet som kan hota statsskicket, samhällsordningen eller rikets säkerhet. Till skillnad från Säkerhetspolisen i Sverige är Skypo en renodlad underrättelsetjänst utan förundersökningsbefogenheter, men med skyldighet att anmäla vissa brott till den ordinarie polisen.

I Finland finns en samlad reglering av Skypos verksamhet i polis- lagen. Civil underrättelseinhämtning definieras som inhämtande och nyttjande av information för att skydda nationell säkerhet, stödja statsledningens beslutsfattande och hjälpa andra myndigheter med deras säkerhetsrelaterade uppgifter. Lagen räknar upp elva typer av företeelser som kan vara föremål för sådan underrättelseinhämtning, bland annat terrorism, utländsk underrättelseverksamhet, massför- störelsevapen och hot mot den demokratiska samhällsordningen.

Skypo har genom lagstiftningen särskilda befogenheter att in- hämta personuppgifter från andra myndigheters register, även genom teknisk anslutning eller i form av större datamängder, utan hinder av sekretessbestämmelser. Även uppgifter från privata aktörer kan inhämtas med stöd av vitesföreläggande när det gäller exempelvis passageraruppgifter.

Ett viktigt särdrag i det finska systemet är att Skypos underrät- telseverksamhet utgår från abstrakta samhällshot snarare än från brottsmisstankar. Denna modell infördes när Skypo förlorade sin förundersökningsbefogenhet, för att möjliggöra inhämtning av information i ett tidigare skede och om verksamhet som inte nöd- vändigtvis är kriminaliserad eller har nått stadiet där konkreta brotts- misstankar kan riktas mot enskilda. Skypos civila underrättelseverk- samhet syftar till att skaffa information om verksamhet som inte är kopplad till någon brottsmisstanke. Om brottsmisstanke uppstår ska bestämmelserna om polisens underrättelseinhämtning för att förhindra och avslöja brott i stället tillämpas.

4.3.2Personuppgiftsbehandling

Skypos personuppgiftsbehandling regleras främst genom den finska brottsdatalagen och ett särskilt kapitel i polisens registerlagstiftning. Skypo får behandla personuppgifter som behövs för att:

214

SOU 2025:49

Internationella förhållanden

•Skydda den nationella säkerheten.

•Förhindra, avslöja och utreda verksamhet som hotar stats- och samhällsordningen.

•Förhindra och avslöja brott mot statens säkerhet.

Den finska lagstiftningen tillämpar brottsdatadirektivets principer även på nationell säkerhet, inklusive kraven på ändamålsbundenhet, uppgifters kvalitet och uppgiftsminimering.

Känsliga personuppgifter

Finland har valt en annan modell än Sverige för reglering av person- uppgifter i underrättelseverksamhet. Den finska lagstiftningen inne- håller en positiv uppräkning av vilka typer av personuppgifter som får behandlas, såsom identifieringsuppgifter, familjeförhållanden och uppgifter om resande.

För känsliga personuppgifter, och vissa andra mer privata upp- gifter, gäller ett förhöjt skydd. Sådana uppgifter får endast behand- las när det är nödvändigt för Skypos uppgifter, vilket är en högre tröskel än det allmänna kravet om att uppgifter ska behövas. Behand- ling av känsliga personuppgifter får dessutom endast ske om det finns godtagbart skäl.

Längsta tid för personuppgiftsbehandling

Skypo ska radera personuppgifter i underrättelseverksamheten senast 25 år efter att den sista uppgiften om personen registrerats. Vid särskilda skäl kan behandlingstiden förlängas, men detta kräver omprövning minst vart femte år.

4.3.3Behandling av stora datamängder

Det finns i dagsläget inte någon särskild reglering för så kallad bulk- databehandling. Finland har nyligen (december 2023) beslutat att revidera lagstiftningen om civil underrättelseinhämtning och poli- sens personuppgiftslag. Ett av de områden som särskilt ska under-

215

Internationella förhållanden

SOU 2025:49

sökas är hanteringen av stora, öppet tillgängliga datamängder i underrättelseverksamheten. Målsättningen är att lägga fram en proposition i denna del under år 2025. Reformen motiveras av det förändrade säkerhetsläget, Finlands Nato-medlemskap och den tekniska utvecklingen.

4.3.4Tillsyn

Tillsynen över Skypos personuppgiftsbehandling sker genom Data- ombudsmannens byrå, som har samma befogenheter avseende Skypo som för andra personuppgiftsansvariga myndigheter. Dataombuds- mannen hanterar även ärenden om indirekt insyn för enskilda.

I det finska systemet finns också en parallell tillsynen genom Underrättelsetillsynsombudsmannen, som är organisatoriskt samord- nad med Dataombudsmannens byrå, men har ett särskilt mandat att granska lagenligheten av de metoder som används i underrättelse- verksamheten. Underrättelsetillsynsombudsmannen ska bland annat granska inhämtande och insamlande av personuppgifter, men inte den efterföljande behandlingen.

I likhet med andra europeiska rättsstater finns det i Finland domstolsprövning för användandet av de mest integritetskänsliga hemliga tvångsmedlen. Utmärkande för det finska systemet är att Underrättelsetillsynsombudsmannen ska ges tillfälle att yttra sig innan ett tillståndsärende avgörs. Underrättelsetillsynsombuds- mannen kan även utan tidsgräns överklaga domstolens beslut.

Att tillsynsmyndigheten på detta sätt getts yttrande- och över- klaganderätt i tillståndsförfarandet har motiverats av att underrät- telsetillsynsombudsmannen har befogenhet att avbryta underrättelse- inhämtning också om den grundar sig på tillstånd av domstol. Ett sådant interimistiskt ingripande kan motiveras exempelvis av att inhämtning sker i strid med beslutade villkor. Dessa tillsynsbeslut underställs därefter domstolen. När tillsynsmyndigheten på detta sätt tolkar domstolens beslut och agerar på grundval av detta har det ansetts finnas skäl att även ge myndigheten rätt att yttra sig inför domstolen och överklaga.

Att Underrättelsetillsynsombudsmannen har yttranderätt i dom- stolen även vid den ursprunglig ansökan ersätter behovet av att, som i exempelvis Sverige, förordna om särskilda allmänna eller

216

SOU 2025:49

Internationella förhållanden

offentliga ombud som ska agera motvikt mot underrättelsetjänsten i processen, vilket annars ansetts motiverat utifrån europarättspraxis.

4.4Norge

4.4.1Uppdrag och verksamhet

Politiets sikkerhetstjenest (PST) är Norges nationella säkerhets- och underrättelsetjänst. PST:s uppdrag regleras i den norska polis- lagen och omfattar att förebygga och utreda brott mot Norges själv- ständighet och andra grundläggande nationella intressen. Detta inkluderar förräderi- och spioneribrott, terrorbrott samt brott mot den norska säkerhetslagen, som syftar till att skydda information, informationssystem och infrastruktur av nationellt intresse. PST är i likhet med Säkerhetspolisen även en polismyndighet och ingår i det nationella polisdirektoratet.

PST:s uppdrag som inhemsk underrättelsetjänst har nyligen formaliserats i polislagen. Där anges att PST ska utarbeta analyser och underrättelsebedömningar om förhållanden i Norge som kan hota landets suveränitet, territoriella integritet, demokratiska sty- relseform och andra nationella säkerhetsintressen. PST har även ansvar för att utarbeta hotbildsbedömningar, samarbeta med utländ- ska säkerhets- och underrättelsetjänster samt utföra personell säkerhetsprövning.

4.4.2Personuppgiftsbehandling

PST:s personuppgiftshantering regleras i den norska polisregister- lagen. Lagstiftningen är gemensam för hela polisväsendet och genom- för EU:s brottsdatadirektiv. Direktivet är tillämpligt för Norge genom EES-avtalet. De delar av PST:s personuppgiftsbehandling som rör nationell säkerhet, och således inte omfattas av direktivet, regleras särskilt i polisregisterlagen. Regleringen bär likheter med säpodatalagen och bygger på samma dataskyddsprinciper som brotts- datadirektivet.

För PST:s personuppgiftshantering finns sedvanliga krav på att uppgifterna ska vara adekvata och relevanta för ändamålet samt vara korrekta och aktuella. Uppgifter ska i möjligaste mån förses med

217

Internationella förhållanden

SOU 2025:49

information om till vilken personkategori de hänför sig (till exempel dömd, misstänkt, målsägande) och om de är grundade på faktiska förhållanden eller utgör bedömningar. Behovskriteriet är detsamma som i Sverige, det ska vara nödvändigt att behandla uppgifterna för det angivna ändamålet.

Längsta tid för personuppgiftsbehandling

Det finns inte någon angiven längsta behandlingstid i lag. I stället anges att personuppgifter inte får behandlas längre än vad som är nödvändigt för ändamålet med behandlingen. Den personuppgifts- ansvarige är skyldig att upprätta rutiner för att säkerställa att behovet av radering av registrerade uppgifter regelbundet bedöms.

I polisregisterlagen finns en reglering av inledande granskning av personuppgifter. PST har, i likhet med den övriga polismyndig- heten, som längst fyra månader på sig att behandla personuppgifter för att avgöra om kraven på ändamål, behov och uppgifternas kvali- tet är uppfyllda.

Behandling av känsliga personuppgifter

Känsliga personuppgifter som rör exempelvis ras, etniskt ursprung, politisk eller religiös övertygelse, sexuell läggning eller genetiska och biometriska uppgifter får endast behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Detta gäller för PST:s ordinarie verksamhet, men särskilda undantag finns för behandling av bulkdata (se nedan om 65 a §).

4.4.3Behandling av stora datamängder

År 2023 beslutades en ny bestämmelse (65 a §) i polisregisterlagen som ger PST betydligt utvidgade möjligheter att hantera öppet till- gänglig information. Med öppet tillgänglig information avses sådan som är tillgänglig för allmänheten och inte kräver att ett lösenord eller andra liknande skyddsmekanismer forceras. Även om paragra- fen har en delvis teknikneutral utformning är det underförstått att bestämmelsen i dagsläget avser att träffa information som finns

218

SOU 2025:49

Internationella förhållanden

publicerad på internet; exempelvis webbsidor, sociala medier eller det så kallade ”darknet”. Den föreslagna 65 a § har dock ännu inte trätt i kraft. Den beslutade lagändringen tillåter bland annat PST att:

•Samla in och lagra stora mängder öppet tillgängliga data från internet, sociala medier och andra offentliga källor.

•Behandla dessa uppgifter med automatiserade analysverktyg (exempelvis AI och algoritmer).

•Göra undantag från ordinarie krav på uppgifternas kvalitet, rele- vans och korrekthet.

•Behandla även känsliga personuppgifter utan ordinarie begräns- ningar.

En central del vid insamlingen av öppna källor är att behovskriteriet har sänkts betydligt. För insamling räcker det med att uppgifterna kan antas vara nödvändiga för underrättelseverksamheten – en betyd- ligt lägre tröskel än det generella nödvändighetskravet. Den behand- ling som anges ovan innebär att uppgifterna behandlas automatiserat. Den insamlade informationen ska vara ”spärrad” och hållas åtskild från PST:s övriga register. Spärrad information får endast behandlas i förskrivna fall:

–För att utarbeta underrättelseanalyser och -bedömningar.

–I ärenden om förebyggande av brott inom PST ansvarsområde.

–Vid förundersökning av vissa brott.

Information som samlas in enligt 65 a § ska raderas efter fem år, men lagringstiden kan förlängas med fem år i taget upp till maximalt 15 år.

219

Internationella förhållanden

SOU 2025:49

Kritik mot 65 a §

Införandet av 65 a § har mött betydande kritik från flera remiss- instanser:

Datatilsynet (norska dataskyddsmyndigheten) anser att lagen medför:

•Allvarliga konsekvenser för yttrandefrihet, mötesfrihet och integritet.

•Risk för ”avkylande effekt” på det offentliga samtalet.

•Att norsk rätt inte står i överenstämmelse med europarättslig praxis om massövervakning (Europadomstolens avgöranden i målen Big Brother Watch m.fl. mot Förenade kungariket och Centrum för Rättvisa mot Sverige respektive EU-domstolens dom i målet La Quadrature du Net m.fl.).

•Avsaknad av nödvändiga rättssäkerhetsgarantier, särskilt obero- ende förhandstillstånd.

EOS-utskottet (se nedan) har framhållit att:

•Den parlamentariska tillsynen endast består av stickprovskon- troller och inte utgör en garanti mot missbruk.

•Lagen ger PST kraftfullare verktyg än vad lagtexten ger sken av.

•Det saknas tillräckliga rättssäkerhetsgarantier i linje med Europa- domstolens praxis.

Myndigheter och organisationer inom IT och media har lyft:

•Risker med automatiserad analys och AI.

•Faran för bias i algoritmer baserade på känsliga personuppgifter.

•Att olika hotbildsscenarier borde mötas med olika datainsamlings- metoder snarare än en bred ansats.

•Att datakvaliteten inte kan garanteras när öppen information behandlas utan urskiljning.

220

SOU 2025:49

Internationella förhållanden

UTSYN (forskningscenter för säkerhetspolitik) föreslår att:

•Lagen bör begränsa vilken typ av information som får samlas in för olika ändamål.

•Insamlingen bör fokuseras på specifika miljöer (till exempel extremistiska forum) i stället för allmän övervakning.

•Moderna språkmodeller kan användas för att rikta insamlingen mer precist.

Sammantaget har kritiken tagit sikte på spänningen mellan säker- hetsbehov och integritetsskydd samt behovet av tydligare begräns- ningar, förhandskontroll och löpande utvärdering vid bulkdata- hantering.

I Norge har lagändringen trots kritiken lett till ett beslut om lagändring. Den nya lagstiftningen träder dock i kraft först när så beslutas och det har ännu inte skett.

4.4.4Tillsyn

Till skillnad från övrig personuppgiftshantering inom polisen, som övervakas av den norska Datatilsynet, kontrolleras PST:s verksam- het av ett parlamentariskt organ, Stortingets kontrollutvalg for etter- retnings-, overvåkings- og sikkerhetstjenesten (EOS-utskottet).

Stortinget väljer bland sina ledamöter sju personer som ska utgöra EOS-utskottet, vilka i sin tur utser ett sekretariat. Utskottet har mandat att utföra sitt arbete självständigt, men Stortinget har även möjlighet att förelägga utskottet att vidta riktad tillsyn.

EOS-utskottets uppgifter är att:

•Utöva regelbunden tillsyn över underrättelse-, övervaknings- och säkerhetstjänsterna.

•Ta emot klagomål från enskilda.

•På eget initiativ ta upp frågor som det finner anledning att behandla.

221

Internationella förhållanden

SOU 2025:49

Utskottet har omfattande befogenheter, inklusive:

–Rätt att kräva tillgång till arkiv, register, lokaler och anläggningar.

–Rätt att kalla personer till förhör, med skyldighet för dem att infinna sig och vittna under straffansvar.

–Möjlighet att hålla bevisupptagning inför domstol.

Utskottets tillsyn syftar till att utreda om och förhindra att enskildas rättigheter kränks, vilket innefattar bland annat att inte mer ingripande åtgärder vidtas av myndigheterna än vad förhållandena påkallar, samt kontrollera att de mänskliga rättigheterna respekteras inom de olika verksamheterna. Utskottets tillsyn kan resultera i yttranden som rapporteras till Stortinget. Några korrigerande befogenheter finns inte. Utskottet har även möjlighet att informera allmänheten om sina iakttagelser så länge ingen hemlig information röjs.

4.5Förenade kungariket

4.5.1Uppdrag och verksamhet

Förenade kungarikets nationella säkerhets- och underrättelsetjänst utgörs av Security Service (MI5). Därutöver finns Secret Intelligence Service (MI6) som utgör landets utrikes underrättelsetjänst samt Government Communications Headquarters (GCHQ) som främst ägnar sig åt signalspaning.

Security Service har enligt Security Service Act 1989 till uppgift att skydda den nationella säkerheten mot hot från spionage, terrorism och sabotage, aktiviteter från främmande makt samt åtgärder som är avsedda att undergräva den parlamentariska demokratin. Myndig- heten ska även skydda Storbritanniens ekonomiska intressen mot hot från utlandet och stödja brottsbekämpande myndigheter i att förebygga och avslöja grov brottslighet.

4.5.2Personuppgiftsbehandling

De brittiska säkerhets- och underrättelsetjänsterna omfattas av den fjärde avdelningen i Data Protection Act (2018), som är modellerad efter Europarådets dataskyddskonvention (108). Personuppgifts-

222

SOU 2025:49

Internationella förhållanden

regleringen för de underrättelse- och säkerhetstjänsterna utgörs av sex dataskyddsprinciper:

1.Författningsenlighet, korrekthet och transparens – Behand- lingen ska ha rättslig grund och vara öppen.

2.Ändamålsbegränsning – Insamling ska ske för specifika, uttryck- liga och legitima ändamål.

3.Dataminimering – Uppgifter ska vara adekvata, relevanta och inte onödigt omfattande.

4.Korrekthet – Uppgifter ska vara korrekta och uppdaterade.

5.Lagringsbegränsning – Uppgifter får inte bevaras längre än nödvändigt.

6.Säkerhet – Lämpliga tekniska och organisatoriska skyddsåtgärder ska vidtas.

Tillsynsmyndigheten Information Commissioner’s Office (ICO) har i sin vägledning framhållit att underrättelseverksamhetens särskilda karaktär ibland gör det nödvändigt att bevara information vars värde inte omedelbart kan bedömas, men betonat att insamling och beva- rande aldrig får ske urskillningslöst.

Data Protection Act innehåller ett särskilt undantag för nationell säkerhet. De flesta dataskyddsprinciper och bestämmelser får åsido- sättas om det är nödvändigt för att skydda den nationella säkerheten. Undantag kan formaliseras genom ett ”national security certificate” utfärdat av regeringsföreträdare, vilket får retroaktiv verkan.

Vissa grundläggande krav kan dock inte undantas, exempelvis kravet på rättslig grund och särskilda krav för behandling av känsliga personuppgifter. Security Service har genom undantagsbeslut med- getts undantag från vissa transparenskrav och insyn för registrerade, men är fortfarande skyldig att redovisa för tillsynsmyndigheten hur lagstiftningens krav uppfylls.

223

Internationella förhållanden

SOU 2025:49

Känsliga personuppgifter

För känsliga personuppgifter finns ytterligare krav på att behand- lingen ska vara nödvändig för att bland annat skydda en enskilds vitala intressen eller för lagföring, under förutsättning att den käns- liga uppgiften inte offentliggjorts av den registrerade själv.

Behandlingstid

Den femte dataskyddsprincipen innebär att uppgifter inte får behand- las längre än nödvändigt. Tillsynsmyndigheten ICO har betonat att avsaknaden av lagstadgade tidsgränser innebär att det ofta krävs att den personuppgiftsansvarige utarbetar policys för den tid som upp- gifter får bevaras. En sådan policy ska kunna rättfärdigas på objektiva grunder. Av förarbetena framgår även att det antingen bör fastställa tidsfrister för radering eller för periodisk översyn.

4.5.3Behandling av stora datamängder

Hanteringen av stora datamängder regleras mer utförligt i Investi- gatory Powers Act 2016 (IPA). Lagen reglerar fyra huvudsakliga metoder för hantering av bulkdata:

•Odifferentierad signalspaning (bulk interception).

•Massinsamling av kommunikationsuppgifter (bulk acquisition).

•Massdataavläsning (bulk equipment interference).

•Stora personuppgiftssamlingar (bulk personal datasets).

Ett utmärkande drag för det brittiska systemet är principen om ”dubbla lås” (double-lock). Processen innebär att:

–Ansvarig minister fattar beslut om tillstånd efter att ha bedömt nödvändighet och proportionalitet.

–Beslutet underställs granskning av en särskild domare (Judicial Commissioner) inom tillsynsorganet IPC (se nedan) som laglig- hetsprövar beslutet.

224

SOU 2025:49

Internationella förhållanden

Samtliga tillståndstyper för bulkdata omfattar både metoden för insamling och den efterföljande behandlingen. Tillstånden är tids- begränsade till sex månader, med möjlighet till förlängning.

Särskilt relevant för utredningen är regleringen av stora person- uppgiftssamlingar som inhämtats från andra källor än signalspaning eller dataavläsning. Enligt IPA omfattas sådana dataset när:

•De innehåller personuppgifter om ett flertal individer.

•Majoriteten av individerna inte är av intresse för underrättelsetjänsten.

•Uppgiftssamlingen behålls för analys i underrättelseverksamheten.

Underrättelsetjänsterna får, under en begränsad tid, göra en initial analys av en sådan uppgiftssamling för att bedöma dess värde. För fortsatt behandling krävs tillstånd enligt systemet med dubbla lås. Uppgiftssamlingar kategoriseras utifrån känslighetsgrad:

•Lägre känslighetsgrad: Rena identifikationsuppgifter som namn eller adress i elektroniska telefonkataloger etc.

•Högre känslighetsgrad: Privata och känsliga uppgifter som rör enskildas privat- eller familjeliv, exempelvis privata meddelanden.

För dataset med lägre känslighet kan tillstånd ges för en viss typ av uppgiftssamlingar (class warrant). För dataset med högre känslighet krävs specifika tillstånd (specific warrant) med särskilda villkor för åtkomst och sökningar för varje dataset.

Ett centralt inslag i det brittiska systemet är begränsningarna för hur insamlad data får sökas igenom. Sökningar i stora dataset:

•Får endast ske för operativa ändamål som uttryckligen angivits i tillståndet.

•Måste vara nödvändiga och proportionerliga i varje enskilt fall.

•Ska dokumenteras med skriftliga motiveringar.

•Är föremål för särskild kontroll, när det gäller personer som befinner sig på brittiskt territorium.

•Underkastas särskilda regler för känsliga kategorier (till exempel journalister).

225

Internationella förhållanden

SOU 2025:49

4.5.4Tillsyn

Tillsyn över underrättelsetjänsternas generella personuppgiftshan- tering utförs av den brittiska datatillsynsmyndigheten Information Commissioner (ICO). Den generella tillsynen kan beskäras genom särskilda undantag, motiverade av nationell säkerhet, som tillgång till vissa lokaler, dokument eller utrustning vid inspektion.

Tillsynen över de särskilda befogenheter som regleras i IPA, bland annat stora personuppgiftssamlingar utförs av Investigatory Powers Commissioner (IPC). IPC:s tillsyn kompletterar ICO:s mer generella personuppgiftstillsyn. Till skillnad från ICO:s tillsyn kan IPC:s tillsynsbefogenheter dock inte begränsas genom undantag för nationell säkerhet. Vid allvarliga överträdelser kan IPC informera den berörda individen om möjligheten att klaga till en särskild dom- stol för indirekt insyn och klagomål om övervakningsåtgärder, Investigatory Powers Tribunal. IPC organiserar de domare som laglighetsprövar beslut om bland annat signalspaning och behand- ling av stora personuppgiftssamlingar.

Tillsynsarbetet vid IPC stöds av en särskild, lagreglerad, råd- givande panel (Technology Advisory Panel) som bistår med expert- kunskap om teknisk utveckling och möjligheter att minska integ- ritetsintrång genom nya tekniska lösningar.

4.6Nederländerna

4.6.1Uppdrag och verksamhet

I Nederländerna finns två underrättelsetjänster med ansvar för nationell säkerhet: den civila Allmänna underrättelse- och säker- hetstjänsten (AIVD) och Militära underrättelse- och säkerhets- tjänsten (MIVD). Båda lyder under lagen om underrättelse- och säkerhetstjänster från 2017, kallad Wiv 2017, som reglerar deras organisation, metoder och personuppgiftsbehandling i verksamhet som gäller nationell säkerhet.

AIVD bedriver underrättelsearbete om organisationer och indi- vider som kan misstänkas utgöra hot mot demokratin eller nationell säkerhet. Till skillnad från Säkerhetspolisen i Sverige saknar AIVD polisiära befogenheter.

226

SOU 2025:49

Internationella förhållanden

4.6.2Personuppgiftsbehandling

INederländerna regleras underrättelsetjänsternas personuppgifts- behandling i samma lagstiftning som deras allmänna uppdrag och befogenheter, utan separat personuppgiftslag. Generellt gäller för personuppgiftsbehandling att:

•Personuppgifter endast får samlas in om det är proportionerligt i förhållande till motstående intressen.

•Behandling ska vara nödvändigt för ett specifikt ändamål.

•All behandling ska ske författningsenligt, korrekt och noggrant.

•Alla personuppgifter ska förses med upplysning om sakriktighet eller källhänvisning.

Behandling i form av insamling av personuppgifter ska uttryckligen ske efter en proportionalitetsbedömning. Det innebär att det minst ingripande sättet för datainsamling ska ske utifrån hotets allvar och de värden som ska skyddas. Vidare ska åtgärden vara proportioner- lig både i förhållande till den skada eller olägenhet som den kan komma att orsaka och i förhållande till syftet med åtgärden.

Om en mindre ingripande åtgärd är möjlig måste den användas. Insamling av personuppgifter får enligt lagen ske från öppna källor, kommersiellt tillgängliga databaser eller sådan information som underrättelsetjänsten har tillgång till med stöd av författning, som exempelvis passagerardata. Uppgifter får även inhämtas från infor- manter, genom att använda särskilt reglerade hemliga tvångsmedel och genom samarbete med andra underrättelsetjänster eller myndig- heter. Andra källor för inhämtning får utnyttjas endast efter tillstånd från ansvarig minister.

Insamling är ett begrepp som i lagen ofta används åtskilt från begreppet behandling, som i övrigt har den vedertagna betydelsen, vilken innefattar i princip alla åtgärder som vidtas med personupp- gifter.

Det finns en särskild uppräkning av de personer vars personupp- gifter AIVD får behandla. Bland annat personer som kan misstänkas utgöra en fara för nationell säkerhet. Personuppgifter får även behand- las om det är nödvändigt för att upprätta en hot- och riskanalys eller om informationen har samlats in av en annan underrättelse-

227

Internationella förhållanden

SOU 2025:49

tjänst. Ett viktigt undantag är att personuppgiftsbehandling även är tillåten avseende andra personer om uppgifterna utgör ”en logisk och oskiljaktig del av en databas som tillhandahålls eller förvärvats”. Detta undantag är centralt för hanteringen av stora datamängder.

Känsliga personuppgifter

Behandling av personuppgifter får inte ske på grundval av känsliga personuppgifter, men sådana uppgifter får behandlas om det sker utöver behandlingen av andra uppgifter och om det är nödvändigt för ändamålet.

Behandlingstid

När det gäller lagringstid för personuppgifter medger Wiv 2017 att personuppgifter får behandlas så länge de är nödvändiga för sitt ändamål. Om uppgiften har förlorat sin betydelse för ändamålet måste den raderas. Denna bestämmelse kompletteras av det allmänna stadgandet om författningsenlig, korrekt och noggrann person- uppgiftsbehandling och är behäftad med vissa undantag för upp- gifter som samlats in med särskilda metoder.

Genom signalspaning, hemlig dataavläsning och andra särskilda befogenhet kan underrättelsetjänsterna komma att samla in mycket stora mängder personuppgifter. Huvudregeln är att dessa uppgifter så snart möjligt, dock senast inom ett år, ska bedömas för att avgöra om de är relevanta för de ändamål för vilka de samlats in eller något annat lagligt ändamål. Myndighetschefen kan förlänga ettårsfristen för en viss kategori uppgifter till maximalt ett år och sex månader.

Personuppgifter som inte bedömts efter denna tid ska omedelbart raderas.

4.6.3Behandling av stora datamängder

Wiv 2017 skiljer mellan allmänna och särskilda befogenheter. Sär- skilda befogenheter avser integritetskänsliga metoder som kräver tillstånd. Av de allmänna befogenheterna har två särreglerats: syste- matisk insamling från öppna källor och insamling genom informanter.

228

SOU 2025:49

Internationella förhållanden

Systematisk insamling av öppen information

För systematisk insamling av öppet tillgänglig information krävs tillstånd från ansvarig minister (eller i vissa fall myndighetschefen genom delegation). Tillståndet omfattar tre månader och kräver beskrivning av ändamål och motivering av nödvändighet. Denna reglering motiveras av att systematisk insamling från olika öppna källor enligt nederländsk tolkning av europarättspraxis utgör ett allvarligt integritetsintrång som kräver särskilda rättssäkerhets- garantier.

Bulkdata från informanter

En särskild möjlighet i Wiv 2017 är att underrättelsetjänsterna kan ta del av information genom ”informanter”, vilket i lagen avser såväl andra myndigheter som privata aktörer. En viktig aspekt är att infor- manter kan tillhandahålla data i form av datafiler eller genom direkt- åtkomst till databaser.

Detta har gett AIVD möjlighet att:

•Få direktåtkomst till data hos privata företag via samarbetsvilliga anställda.

•Förvärva stora datamängder från datamäklare eller internet, som exempelvis läckt från dataintrång (även anonyma fildelningssajter betraktas som ”informanter”).

Tillsynsmyndigheter har rapporterat att AIVD med stöd av dessa befogenheter har förvärvat stora dataset tillgängliga på darknet, med uppgifter om hundratals miljoner individer, där endast en liten del av personuppgifterna är direkt relevanta för myndighetens verk- samhet.

”Inside box – outside box”-modellen för stora datamängder

Det är den nederländska signalspaningsmyndigheten som behandlar stora datamängder enligt en särskild modell, ursprungligen utformad som en intern policy men senare formaliserad i en temporär föreskrift. En lagstiftningsprocess pågår för att reglera behandlingen på lagnivå.

229

Internationella förhållanden

SOU 2025:49

Den temporära regleringen bygger på principen om ”inside box

–outside box” och utgörs av en process i flera steg:

1.Initialbedömning: När stora datamängder förvärvas görs en bedömning av om den innehåller sådana uppgifter som innebär intrång i privatlivet.

2.Kategorisering: Baserat på bedömningen kategoriseras datasetet som antingen tillgängligt, begränsat eller strikt begränsat.

3.Outside box-hantering: Stora datamängder som kategoriserats som begränsade placeras i en så kallad ”outside box” till vilken endast ett fåtal tekniker har tillgång. Andra tjänstemän kan göra sökningar i outside-box men endast få ett binärt resultat: träff/icke-träff.

4.Ansökan om tillgång: I datamängder som är begränsade eller strikt begränsade kan tillgång medges endast efter en skriftligt motiverad begäran. Vilka krav som ställs beror på om det är en begränsad eller strikt begränsad uppgiftssamling.

5.Inside box: När uppgifter efter godkänd begäran flyttas till

”inside box” blir de gemensamt tillgängliga för verksamheten och behandlas enligt de regler som gäller i övrigt.

Behovet av de stora dataset som behandlas enligt denna reglering ska omprövas med jämna mellanrum. Beroende på hur känsliga uppgifterna bedömts vara vid kategoriseringen ska detta göras med olika intervall: Dataset som kategoriserats som tillgängliga efter 36 månader, begränsade efter 24 månader och strikt begränsade efter 12 månader.

Automatisk analys

Wiv 2017 reglerar även automatisk analys av stora datamängder. Underrättelsetjänsterna får använda automatisk dataanalys på upp- gifter från:

•Egna samlingar.

•Öppen information.

•Databaser med direktåtkomst.

230

SOU 2025:49

Internationella förhållanden

•Uppgifter från tredje part.

•Metadata från signalspaning.

Den automatiska analysen, som kan innefatta profilering och mön- sterigenkänning, är dock begränsad genom att resultatet inte ensamt får leda till åtgärder mot enskilda. Stordataanalyser måste komplet- teras med annan bekräftande information innan myndigheten vid- tar åtgärder mot en viss person, vilket förhindrar så kallad ”predic- tive policing” baserad enbart på automatiserad analys.

4.7Europarådets dataskyddskonvention

4.7.1Konventionens ställning och syfte

Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 108), den så kallade dataskyddskonventionen, utgör en central internatio- nell rättslig ram för personuppgiftsskydd. Konventionen, som trädde i kraft den 1 oktober 1985, har ratificerats av samtliga Europarådets 46 medlemsstater.1 Därutöver har flera icke-europeiska länder anslutit sig, däribland Argentina, Kap Verde, Marocko, Mauritius, Mexiko, Senegal, Tunisien och Uruguay.

Dataskyddskonventionen brukar betraktas som en precisering av artikel 8 i Europakonventionen när det gäller automatisk databehand- ling av personuppgifter. Den syftar till att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till per- sonlig integritet vid automatiserad personuppgiftsbehandling. Medan EU:s dataskyddsförordning har övertagit konventionens roll som grundläggande dokument för automatiserad behandling av person- uppgifter inom stora delar av EU:s kompetensområde, är konventio- nen fortsatt av särskild betydelse för områden som ligger utanför unionsrätten, såsom nationell säkerhet, försvar och statens säkerhet.

1För Sveriges del se SÖ 1982:50.

231

Internationella förhållanden

SOU 2025:49

4.7.2Grundläggande principer

Dataskyddskonventionen omfattar automatiserad behandling av personuppgifter inom både allmän och enskild verksamhet. De grundläggande principerna i konventionen inkluderar:

•Krav på att uppgifter ska inhämtas och behandlas författnings- enligt och på ett korrekt sätt, lagras endast för särskilda och berättigade ändamål och inte därefter behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5 a–b).

•Krav på uppgifternas kvalitet som innebär att uppgifter ska vara

–adekvata, relevanta och inte för omfattande i förhållande till ändamålet (artikel 5 c),

–korrekta och om nödvändigt uppdaterade (artikel 5 d).

•Krav på att uppgifter inte ska behandlas längre än vad som är nödvändigt för ändamålet (artikel 5 e).

•Särskilt skydd för känsliga personuppgifter som avslöjar ras, politisk tillhörighet, religiös övertygelse, sexualliv samt upp- gifter om brott (artikel 6).

•Rätt för registrerade, bland annat, att få veta vilken information som lagras och att få den korrigerad (artikel 8).

Från de ovanstående principerna får dock medlemsstaterna göra undantag, så länge det är nödvändigt i ett demokratiskt samhälle för att bland annat skydda nationell säkerhet.

Europarådets ministerkommitté antog år 2001 ett tilläggsproto- koll till dataskyddskonventionen (ETS 181), som trädde i kraft den 1 juli 2004. Protokollet, som Sverige har ratificerat, innehåller två huvudsakliga kompletteringar:

Krav på tillsynsmyndigheter. Varje konventionsstat ska inrätta en eller flera oberoende tillsynsmyndigheter för att kontrollera efterlevnaden av dataskyddsprinciperna. Myndigheterna ska ha utrednings- och ingripandebefogenheter samt kunna delta i rätts- liga förfaranden.

Gränsöverskridande dataflöden. Bestämmelser som reglerar

överföring av personuppgifter till länder som inte är parter till kon-

232

SOU 2025:49

Internationella förhållanden

ventionen. Sådan överföring får bara ske om mottagarlandet säker- ställer en adekvat skyddsnivå för de aktuella uppgifterna.

4.7.3Moderniserad konvention (108+)

Efter en omfattande översyn antog Europarådets medlemsstater den 18 maj 2018 ett ändringsprotokoll till dataskyddskonventionen (CETS 223), informellt kallad dataskyddskonventionen 108+. Proto- kollet innebär en modernisering av konventionen som syftar till att harmonisera den med EU:s dataskyddsreform och andra internatio- nella instrument.

Bland de viktigaste förändringarna i den moderniserade konven- tionen kan nämnas:

•Stärkta krav på proportionalitet och rättslig grund för behand- ling.

•Krav på inbyggt dataskydd och konsekvensbedömningar.

•Förstärkta rättigheter för registrerade, bland annat avseende automatiskt beslutsfattande.

Ändringsprotokollet träder i kraft när det har ratificerats av samt- liga Europarådets medlemsstater, men tillåter även ett partiellt ikraftträdande. Sverige har undertecknat men ännu inte ratificerat ändringsprotokollet. Dataskyddskonventionen 108+ har (i mars 2025) ratificerats av 33 medlemsstater och kommer träda i kraft partiellt när dessa följts av ytterligare fem medlemsstater.

Den moderniserade konventionen kommer få betydelse för underrättelsetjänsternas personuppgiftsbehandling

Dataskyddskonventionen gäller även för personuppgiftsbehandling som rör nationell säkerhet, men medger undantag från alla centrala principer. Detta gäller inte för den moderniserade konventionen 108+. För kraven på proportionalitet, rättslig grund och författnings- enlig behandling är det inte möjligt att göra undantag. Detsamma gäller för bestämmelserna om särskilt skydd för känsliga personupp- gifter; en kategori som dessutom utökats genom tilläggsprotokol- let. Det finns dessutom endast begränsade möjligheter att undanta

233

5 En komplex hotbild mot Sverige

5.1Inledning

I detta kapitel tecknar vi en ögonblicksbild av Säkerhetspolisens bedömning av det säkerhetsläge som råder då detta betänkande avlämnas. Beskrivningen är naturligtvis inte heltäckande.

Hotbilden mot Sverige blir alltmer komplex och det ställer för- ändrade krav på Säkerhetspolisens förmåga. För att lösa sitt uppdrag behöver myndigheten ha tillgång till relevant information och på ett effektivt sätt kunna hantera och bearbeta de stora informations- mängderna. Syftet med denna utredning är att ge Säkerhetspolisen effektivare verktyg i detta avseende.

Beskrivningen i detta kapitel avser att ge en ökad förståelse för de säkerhetshot som riktas mot Sverige och vilka nationella säker- hetsintressen som står på spel. Genom att förstå hoten är det lättare att avgöra vilka verktyg som behövs för att motverka dem.

5.2Hotbilden i dag

5.2.1Allmänt om säkerhetsläget

Säkerhetsläget i omvärlden och i Sveriges geografiska närområde har allvarligt försämrats, vilket även har betydelse för Sveriges inre säkerhet. Det försämrade säkerhetsläget har både breddat och för- ändrat hotbilden mot Sverige och därigenom också gjort den mer komplex. Auktoritära stater har blivit allt mer offensiva i sitt agerande samtidigt som våldsbejakande extremister och statliga aktörer oppor- tunistiskt utnyttjar händelseutvecklingen i Sverige och omvärlden för att driva och legitimera aktiviteter och verksamhet som riskerar att hota grundläggande demokratiska principer och undergräva för- troendet för staten och demokratin.

235

En komplex hotbild mot Sverige

SOU 2025:49

Våldsbejakande extremister såväl som statliga aktörer söker stän- digt efter sårbarheter att utnyttja för att i förlängningen stärka sina egna positioner. Dessa aktörer nyttjar i dag ett brett spektrum av metoder för att försvaga det svenska samhället. Ryssland, Kina och Iran är de statliga aktörer som i dagsläget är mest offensiva och aktiva i att bedriva säkerhetshotande verksamhet mot Sverige. Genom att kontinuerligt bedriva underrättelseverksamhet, påverkans- aktiviteter, cyberangrepp och olovlig teknik- och kunskapsanskaff- ning försöker statliga aktörer att tillskansa sig fördelar och påverka individer, politiskt beslutsfattande såväl som den allmänna opinionen.

Våldsutövning, antingen genom ombud eller genom egna initia- tiv, kan även riktas mot Sverige eller mot mål i Sverige för att uppnå givna målsättningar. Sverige är ett intressant mål för statliga aktörer i synnerhet avseende den framstående forsknings- och industrisek- torn. Likväl är Sverige en arena för statliga aktörer att agera på inom ramen för en större konflikt, vilket i förlängningen har en inverkan på Sveriges säkerhet. Generellt har det förändrade omvärldsläget förändrat karaktären av hotet från statliga aktörer, som i dag utgör ett allvarligt hot mot Sveriges säkerhet.

Även hotet från våldsbejakande extremism har förändrats över tid. Attentatshotet består samtidigt som mycket av den verksamhet och aktivitet som bedrivs utgör ett bredare hot mot demokratin. Detta berör inte nödvändigtvis enbart brottsliga handlingar, utan utgörs även av verksamhet inom demokratins ramar men som syf- tar till att underminera och utmana staten och samhället. Till viss del nyttjar våldsbejakande extremister liknande metoder som stat- liga aktörer för att öka splittringen och polariseringen i samhället för att i förlängningen uppnå mål inom ramen för den ideologiska uppfattningen, exempelvis genom subversiv verksamhet och påverkan.

Gränserna mellan våldsbejakande extremism och extremism är även mer otydliga i dag jämfört med tidigare. Konspirationsteorier, alternativa världsåskådningar och desinformation sprids och anam- mas av såväl våldsbejakande extremister som av övriga samhällsmed- borgare vilket gör att extremistiska och våldsbejakande budskap får ett bredare fäste i samhället. Tillsammans med möjligheten att genom digitala plattformar nå en bred publik nås fler personer i dag av extremistiska budskap vilket i förlängningen bidrar till en normali- sering och legitimering av våld och avhumanisering av meningsmot- ståndare. Det sänker tröskeln för engagemang i våldsbejakande

236

SOU 2025:49

En komplex hotbild mot Sverige

extremistiska miljöer. Polarisering och omvärldsutvecklingen bidrar även det till en växande extremism och ett bredare hot mot samhället.

Nyttjandet av digitala plattformar är många gånger centralt för att bedriva säkerhetshotande verksamhet då dessa erbjuder möjlig- heter till effektiv och snabb spridning av våldsbejakande och extre- mistiska budskap, internationalisering av rörelser och narrativ samt förmågan att kunna verka i det dolda och undgå motåtgärder. Sett till den generella digitaliseringen kommer mörkertalet av hotaktö- rer som primärt är verksamma online sannolikt att öka framöver. Aktivitetsnivån online tillsammans med en generell normalisering av vissa våldsbejakande budskap gör det även svårt att bedöma aktörers avsikt att realisera potentiella hot som de ger uttryck för.

5.2.2Främmande makts säkerhetshotande verksamhet

Främmande makt bedriver en systematisk och omfattande säker- hetshotande verksamhet mot Sverige i syfte att stärka sin ställning och sina förmågor på bekostnad av Sverige och svenska intressen. Den säkerhetshotande verksamheten utgörs av en bredd av aktivi- teter såsom exempelvis underrättelseinhämtning, teknikanskaffning, påverkansaktiviteter, cyberangrepp och attentat mot individer i Sverige. Säkerhetspolisen har identifierat Ryssland, Kina och Iran som de aktörer som utgör de allvarligaste hoten mot Sverige och svenska intressen.

Ryssland bedriver kontinuerlig och omfattande säkerhetshotande verksamhet mot Sverige och svenska intressen utomlands. Det hand- lar huvudsakligen om underrättelseinhämtning och teknikanskaff- ning, men även olika former av påverkan, i syfte att stärka Rysslands geopolitiska, ekonomiska, teknologiska och militära mål. Uppdraget inbegriper också att undanröja hot mot den egna regimen. Rysk säkerhetshotande verksamhet i Sverige riktas bland annat mot poli- tiker och tjänstemän, det svenska totalförsvaret, civil och militär industri samt individer i Sverige som kritiserar den ryska regimen. Ryska statliga aktörer agerar även opportunistiskt på händelser i omvärlden för att nå sina mål. Det innebär bland annat att ryska statliga aktörer bedriver påverkanskampanjer utifrån händelser som de själva kanske inte ligger bakom men som kan passa in på det egna syftet. Centrala aktörer för rysk säkerhetshotande verksamhet

237

En komplex hotbild mot Sverige

SOU 2025:49

i Sverige är de ryska underrättelse- och säkerhetstjänsterna. I Sverige utgår de ryska tjänsternas verksamhet från de ryska beskickningarna i Stockholm, icke-officiella plattformar såsom företag och organisa- tioner samt tillfälligt inresande underrättelseofficerare. De ryska tjänsterna rekryterar också agenter och ombud i Ryssland och i tredje land. Tekniska förmågor såsom cyberspionage och signal- spaning används kontinuerligt för att spionera på svenska mål. Där- till förfogar Ryssland över förmågor som vid behov kan användas för sabotage.

Även de kinesiska underrättelsetjänsterna bedriver en omfattande säkerhetshotande verksamhet mot Sverige och svenska intressen. Målet är att nå Kinas långsiktiga ambition att positionera sig som en global stormakt. Svensk teknik, produkter, kunskap och infor- mation bedöms vara av stort värde för att uppnå detta. Kinesiska investeringar och nyetableringar inom sektorer som är prioriterade av den kinesiska staten har under det senaste decenniet ökat i Sverige. De sker bland annat i syfte att tillgodogöra sig teknik och kunskap samt för att få tillgång till nätverk och utvecklingsplattformar, men även för att möjliggöra påverkan av svenskt beslutsfattande. Kinesisk verksamhet i form av strategiska uppköp och nyetableringar, anskaff- ning av teknik, produkter och särskild kunskap utgör ett allvarligt hot mot Sverige och svenska intressen. Underrättelseaktiviteter mot regimkritiker för att hota och reducera deras yttrande- och handlingsfrihet bedrivs kontinuerligt av Kina mot individer i Sverige. Det finns en mycket hög förmåga hos kinesiska aktörer gällande elektroniska angrepp och Kina använder i stor utsträckning cyber- angrepp för att inhämta information.

Iran bedriver säkerhetshotande verksamhet i och mot Sverige och svenska intressen i form av underrättelseinhämtning, påverkan mot oppositionella och genom anskaffningsverksamhet. Den säker- hetshotande verksamheten omfattar även hot och våld mot indi- vider. I Sverige har Irans underrättelseverksamhet i första hand varit riktad mot ledande oppositionella inom den iranska diasporan. Iran har tidigare använt våld i andra länder i Europa i syfte att tysta kritiska röster och upplevda hot mot den egna regimen. För att utföra dessa säkerhetshotande aktiviteter har den iranska regimen vid tillfällen använt sig av kriminella nätverk. På senare år sker detta även i Sverige. Svensk teknologi som produkter med dubbla använd- ningsområden och kritiska spetsprodukter för både civil och militär

238

SOU 2025:49

En komplex hotbild mot Sverige

användning är av intresse för Iran. Iran anskaffar både teknik och kunskap genom olovliga metoder, och utvecklar bland annat sin egen förmåga på svenska universitet och lärosäten. Iran bedriver industrispionage som främst riktas mot svensk högteknologisk industri

5.2.3Cyberangrepp

I takt med den digitala utvecklingen ökar både främmande makts och kriminella grupperingars möjligheter att använda cyberangrepp för att nå sina mål. Kriminella aktörer använder cyberangrepp för att stjäla information och utpressa offer på pengar vilket ofta med- för stora och svåra konsekvenser för den drabbade.

Främmande makts underrättelse- och säkerhetstjänster använder inhämtning via cyberangrepp som ett verktyg för informations- inhämtning/underrättelseinhämtning/spioneri. En del av dessa aktörer har också förmåga att använda förstörande angrepp som en del i pågående väpnad konflikt. Rysslands cyberangrepp mot Ukraina är ett bra exempel på detta som visar hur dessa typer av angrepp kan användas för att försöka slå ut samhällsviktiga funk- tioner och infrastruktur.

5.2.4Subversiv verksamhet i Sverige

Motståndet mot staten, samhället och dess företrädare har alltid varit en grundbult i den våldsbejakande extremismen oavsett ideo- logisk drivkraft. Säkerhetspolisen beskriver att det även finns ett samhällshot i dag som inte utgår från brottsliga handlingar utan snarare handlar om spridande av desinformation som kan hämta sin grund från olika konspirationsteorier om att staten är illegitim och korrupt. Sådana konspirationsteorier återfinns även utanför de vålds- bejakande extremistmiljöerna och extrema idéer och antistatliga narrativ har fått fäste i ett bredare samhällsskikt. Detta kan i sin tur utnyttjas av såväl våldsbejakande extremister som främmande makt vilket i förlängningen kan utgöra ett säkerhetshot. Två sentida exem- pel är stormningen av Kapitolium i USA i januari 2021 och tillslaget i Tyskland år 2022 som grundandes på misstankar om en planerad statskupp.

239

En komplex hotbild mot Sverige

SOU 2025:49

Säkerhetspolisen har även beskrivit hur våldsbejakande extre- mister uppmanar till att infiltrera olika delar av samhället för att kunna höja sin förmåga, till exempel i strid och vapenhantering, men även för att kunna påverka olika beslut eller inriktningar. Upp- maningar till infiltration kan även handla om att långsiktigt, i det fördolda eller lågmält, undergräva förtroendet för samhället.

5.2.5Radikalisering

Säkerhetspolisen beskriver att de aktörer som myndigheter följer har påverkats och förändrat sina arbetssätt i det uppkopplade sam- hället. I dag nås allt fler, särskilt unga personer, av våldsbejakande extremisters budskap där avhumanisering och legitimering av våld blir allt vanligare. Interaktionen sker främst på digitala plattformar där det finns stora möjligheter att verka i det fördolda. Hastigheten, räckvidden och möjligheten att både skapa nya allianser och att nå andra som delar samma världsbild sänker tröskeln för att engagera sig i en våldsbejakande extremistisk miljö. Extrema tankar och uttryck har i vissa kretsar normaliserats och i viss mån accepteras. Det kan därför vara svårt att veta vilka individer som är beredda att agera för att skada samhället och vilka som bara uttrycker sig extremt. Flera av de aktörer som på egen hand har planerat eller utfört attentat eller andra grova våldsbrott har ingått i digitala gemenskaper där de har interagerat med likasinnade i olika delar av världen. I flera fall sker detta i de krypterade delarna av internet, där information en- bart är tillgänglig en kort tid.

Säkerhetspolisen har särskilt uppmärksammat hur radikaliserande krafter sänder ut sina budskap i kanaler där barn och unga spenderar tid, som populära sociala mediekanaler samt gaming- och streaming- plattformar. Det beror delvis på att våldsbejakande extremister har en långsiktig målsättning med sin verksamhet och därför fokuserar på att rekrytera ungdomar som anses vara påverkningsbara. Men också på att många våldsbejakande extremister själva är unga och kan interagera relativt ostört med sina jämnåriga i sociala medier. Det kan exempelvis handla om att ideologiskt övertygade personer uttrycker hat mot samhället eller grupper på sådana forum och delar med sig av instruktioner och manualer om vapen- och spräng- medelstillverkning.

240

SOU 2025:49

En komplex hotbild mot Sverige

5.2.6Terrorism

Terrorism och annan ideologiskt motiverad brottslighet syftar till att skada Sverige som stat, injaga fruktan i befolkningen och destabili- sera demokratin. Denna typ av brottslighet utgör ett allvarligt hot mot den svenska samhällsordningen. Det traditionella attentatshotet mot Sverige utgörs främst av ensamagerande gärningspersoner som motiveras av våldsbejakande islamistisk extremism eller våldsbeja- kande högerextremism och som agerar för att förändra samhällsord- ningen. Dessa personer utgår inte sällan från en virtuell gemenskap där det finns ett narrativ som både formar hat och försvarar använ- dandet av våld. Uppmaningen och plikten att göra vad du kan, med de medel du har, där du är nu förmedlas på flera olika sätt och avser såväl attentat och grova våldsbrott som aktiviteter som syftar till att polarisera, underblåsa och hetsa fram en samhällskollaps.

Säkerhetspolisen har under senare år sett ett ökat antal attentats- hot mot Sverige och svenska intressen utomlands, där Sverige har stått i större fokus för våldsbejakande islamistisk extremism. Myn- digheten beskriver att denna händelseutveckling även gynnar främ- mande makt och påverkar den våldsbejakande högerextremismen.

5.3Hotbilden i framtiden

Den komplexa hotbilden mot Sverige från statliga aktörer och vålds- bejakande extremism kommer sannolikt att bestå på kort och lång sikt. Statliga aktörer och våldsbejakande extremistiska aktörer kom- mer fortsättningsvis att agera opportunistiskt utifrån händelseutveck- lingen i omvärlden och i Sverige för att uppnå sina målsättningar. Detta kan ta sig uttryck på flertalet olika sätt, både i form av brotts- liga och icke-brottsliga handlingar, och kommer sannolikt att ske kontinuerligt och parallellt samt riktas mot flera olika delar av sam- hället vilket både breddar och intensifierar hotbilden mot Sverige.

Ryssland, Kina och Iran kommer fortsatt vara de stater som bedriver säkerhetshotande aktiviteter med de mest allvarliga konse- kvenser för Sveriges säkerhet. Samtidigt kommer det vara utmanande för statliga aktörer att bedriva verksamhet utifrån officiella platt- formar framöver med tanke på de motåtgärder som riktas mot dem, både i Sverige och internationellt. Därav kan statliga aktörer i större utsträckning komma att nyttja ombud och andra icke-officiella

241

En komplex hotbild mot Sverige

SOU 2025:49

plattformar för att bedriva säkerhetshotande verksamhet exempel- vis i form av påverkan och underrättelseinhämtning eller i syfte att destabilisera och undergräva förtroendet för staten och samhället.

Nyttjandet av ombud och icke-officiella plattformar ger även statliga aktörer möjligheten att agera förnekbart och till viss del dölja sin aktivitet och verksamhet. I och med teknikutvecklingen har statliga aktörer även möjlighet att effektivisera sin verksamhet och utveckla både nya och befintliga metoder för att exempelvis agera förnekbart samt nyttja cyberangrepp och informationspåver- kan i syfte att destabilisera det svenska samhället.

Teknikutvecklingen och den digitala arenan är även central för hotet från våldsbejakande extremism framöver. Radikalisering och spridandet av våldsbejakande och extremistiska budskap på digitala plattformar kommer fortsatt att ha en central betydelse för såväl attentatshotet mot Sverige som för tillväxten i våldsbejakande miljöer. Händelser i omvärlden och i Sverige kommer att nyttjas opportu- nistiskt av aktörer i Sverige såväl som av internationella terrororga- nisationer för att uppmana till och legitimera attentat och våldsdåd mot Sverige och svenska mål.

Internationaliseringen och den breda spridningen av hotdrivande narrativ och alternativa världsåskådningar inom våldsbejakande miljöer gör att kopplingen till Sverige inte alltid behöver vara tydlig för att verka hotdrivande för våldsbejakande extremister som har för avsikt att agera mot Sverige. Vid sidan om attentatshotet kom- mer våldsbejakande extremister fortsatt att bedriva och utveckla stödverksamhet som finansiering, rekrytering, radikalisering och spridandet av propaganda. Den tekniska utvecklingen och möjlig- heterna detta ger för att effektivisera dessa typer av aktiviteter kom- mer att utnyttjas av våldsbejakande extremister också framöver.

Våldsbejakande extremister såväl som statliga aktörer kommer även fortsättningsvis ha för avsikt att bedriva verksamhet som inte direkt är att betrakta som brottslig men som likväl påverkar Sveriges säkerhet negativt. Detta utgörs exempelvis av engagemang och verksamhet inom ramen för demokratiska plattformar samt infor- mationspåverkan, där avsikten är att påverka individer, politiskt beslutsfattande och den allmänna opinionen samt inspirera till handlingar som hotar grundläggande demokratiska rättigheter och principer.

242

6 Reformbehoven

6.1Säpodatalagen är inte anpassad till Säkerhetspolisens verksamhet

Bedömning: Den nuvarande säpodatalagen innehåller bestäm- melser som i stort överförts utan ändringar från tidigare lagstift- ning och härstammar från en tid då hoten mot Sveriges säkerhet, den tekniska utvecklingen och informationsmängderna såg annor- lunda ut. Säpodatalagen är varken anpassad efter dagens förhål- landen eller Säkerhetspolisens nuvarande uppdrag, verksamhet och framtida utmaningar.

På grund av de krav som nuvarande lagstiftning uppställer behöver Säkerhetspolisen ofta radera betydande mängder infor- mation som inhämtats, eller helt avstå från att hämta in uppgif- terna. Detta trots att informationsmängden typiskt sett är rele- vant och ofta avgörande för att myndigheten ska kunna fullgöra sitt uppdrag.

6.1.1Nuvarande regelverk är anpassat till tidigare arbetssätt

Säkerhetspolisen har fått en rad nya personuppgiftslagstiftningar under de senaste decennierna (se avsnitt 3.5.1 ovan). Gemensamt för dem har varit en ambition att inte ändra på de grundläggande villkoren för Säkerhetspolisens behandling av personuppgifter. Säpo- datalagen bygger i sak vidare på den tidigare polisdatalagen och har i stora delar getts samma struktur och materiellt innehåll som brotts- datalagen och polisens brottsdatalag. Både säpodatalagen och dess föregångare har avsett att ge ramverket för ett existerande arbetssätt.

Det har i de olika lagstiftningsärendena i princip inte gjorts några nya överväganden angående frågan om hur integritetskänsligt eller

243

Reformbehoven

SOU 2025:49

vilket slags intrång i privatlivet en personuppgiftsbehandling ska anses utgöra. Personuppgiftsbehandling enligt dagens lagstiftning bygger därför i stor utsträckning på samma principer som en regi- strering i det tidigare SÄPO-registret enligt den första polisdata- lagen. Lagstiftningen från 1990-talet reglerade hanteringen av per- son- och sakakter där, ofta integritetskänsliga, uppgifter om enskilda samlades. Förekomsten av en personakt som upprättats på grund av en misstanke om brottslig verksamhet får anses ha utgjort ett påtagligt intrång i den registrerades personliga integritet och moti- verade därför ett visst regelverk.

När detta arbetssätt, med manuellt förda personakter, övergetts till förmån för automatiserad behandling har de mekanismer som avsett att förhindra att belastande personakter felaktigt upprättats kommit att få andra konsekvenser. Säkerhetspolisen tillämpar näm- ligen i dag ett snarlikt krav för behandling av varje enskild person- uppgift, som för att upprätta en personakt enligt tidigare lagstiftning. Det innebär bland annat att varje personuppgift måste bedömas individuellt. När Säkerhetspolisen bedömer hur ett dokument eller ett stort it-beslag ska hanteras prövas i princip varje enskild person- uppgift för sig enligt dessa krav, till exempel ett personnamn som omnämns i en konversation, en person som syns i bakgrunden på ett fotografi, ett ip-nummer som förekommer som metadata eller en adressuppgift.

Dagens lagstiftning bygger på synsättet att behandling av enskilda personuppgifter motsvarar intrånget av att upprätta en personakt och att det är belastande i sig om Säkerhetspolisen behandlar en uppgift om en person. Detta innebär en begränsning av Säkerhets- polisens förmåga.

År 1998 fattade regeringen beslut om att överlämna propositio- nen Polisens register till riksdagen. Den polisdatalagen (1998:622), som följde propositionen, innehöll bestämmelser om bland annat Säkerhetspolisen personuppgiftsbehandling. Förändringarna hade föranletts av att datorer introducerats i verksamheten. Följande citat från propositionen återspeglar den tidens syn på den nya tek- nikens förhållande till den personliga integriteten.

Inom Säkerhetspolisen pågår förberedelser för övergång till ett system som medger en helt elektronisk ärendehantering. Om den samlade informationen i databaserna görs tillgänglig genom ett sökprogram skulle varje person som finns med i någon undersökning hos Säker- hetspolisen göras sökbar. Förutsättningar skulle kunna uppkomma

244

SOU 2025:49

Reformbehoven

att kombinera lagrade uppgifter i obegränsad omfattning. Det är ur integritetssynpunkt inte godtagbart.1

Detta synsätt har även präglat mycket av den efterföljande lagstift- ningen, där det lagts stor vikt vid att det är mycket känsligt att före- komma i ett register hos Säkerhetspolisen. Den nuvarande lagstift- ningen innehåller därför en stor mängd garantier för att enbart personer som är direkt relevanta för Säkerhetspolisens verksamhet finns registrerade hos myndigheten. Dagens lagstiftning utgår från ett i viss mån förlegat synsätt vad gäller informationshantering och ett tidigare arbetssätt där myndigheten hanterar personuppgifter i register och där personuppgiftsbehandlingen enbart utgick från en aktiv inhämtning. Detta är inte förenligt med hur informations- mängderna ser ut i dag.

Den oro som regeringen uttryckte i propositionen Polisens register för 25 år sedan, angående riskerna med att jämföra och kombinera lagrade uppgifter, får numera anses vara ett etablerat arbetssätt inom modern underrättelsemetodik. När Säkerhetspolisen exempelvis behandlar information som inhämtats från en misstänkt terrorist förväntas det att myndigheten ska kunna använda teknik för att snabbt och effektivt bearbeta och analysera dessa uppgifter för att förebygga, förhindra och upptäcka brottslig verksamhet. I detta ingår att göra sökningar mot uppgifter som förekommer i olika register men även att kunna jämföra de uppgifter som förekommer i större sammanhang. Det finns dock i dagsläget rättsliga hinder både mot att utnyttja existerande teknik och att utveckla nya tek- niska förmågor.

6.1.2Granskningsfunktionens bedömningar av information

I dagsläget hanteras alla handlingar som kommer in till Säkerhets- polisen inledningsvis av administratörer som överför handlingar till myndighetens dokument- och ärendehanteringssystem där den ankomstregistreras. Därefter fördelas handlingen till tematiserade mottagningsfunktioner där den diarieförs. Handlingen hanteras av operativ personal på dessa mottagningsfunktioner som gör en första bedömning av informationen.

1Prop. 1997/98:97 s. 146.

245

Reformbehoven

SOU 2025:49

Om informationen bedöms vara operativt relevant görs en be- dömning om handlingen bör tillgängliggöras för övrig operativ personal genom att överföras till Säkerhetspolisens underrättelse- system eller bearbetas ytterligare. Denna bedömning följer en stan- dardiserad process som innebär ett beslut om tillgängliggörande. Processen tillämpas både för inkommen information och sådan operativ information som upprättats inom Säkerhetspolisen. I pro- cessen tar den operativa handläggaren ställning till på vilket sätt informationen ska tillgängliggöras, med vilken tidsprioritering och till vilken personalkrets uppgifterna ska delas. Ett sådant beslut innebär att uppgifterna behandlas i en särskild uppgiftssamling för bearbetning och analys.

Den information som finns i uppgiftssamlingen för bearbetning och analys ska passera en särskild granskningsfunktion. Gransknings- funktionen tillser bland annat att personuppgifter behandlas enligt säpodatalagens bestämmelser. Om informationen bedöms uppfylla kraven får informationen fortsätta att behandlas för bearbetning och analys. Den information som ska tillföras Säkerhetspolisens centrala underrättelseregister lyfts därefter, enligt olika prioriter- ingar upp från en av uppgiftssamlingarna för bearbetning och analys till det centrala underrättelseregistret. Granskning fyller, vid sidan av att säkerställa författningsenlig och korrekt personuppgifts- behandling, även en operativ funktion genom att uppgifter struk- tureras och kopplas samman i olika informationssystem som kan nyttjas av annan personal inom myndighetens olika verksamhets- grenar. Information som lyfts upp till det centrala underrättelse- registret blir tillgänglig för operativ personal utifrån tilldelade behörigheter.

Arbetssättet som innebär att uppgifter måste passera en gransk- ningsfunktion har gällt sedan länge.2 Processen har sitt ursprung

i en tid då den samlade informationsmängden i samhället och i verk- samheten var betydligt mindre, samtidigt som det var svårare att strukturera information i automatiserade system.

Mängden information som kommer Säkerhetspolisen till del har ökat markant bara de senaste åren. För att den obligatoriska gransk- ningsfunktionen ska kunna hålla jämn takt med inflödet av infor- mation måste Säkerhetspolisen vara mycket selektiv med vilken information som överhuvudtaget ska genomgå den process som

2Se SOU 2017:74 s. 639.

246

SOU 2025:49

Reformbehoven

beskrivs ovan. Redan i den tematiska mottagningsfunktionen görs därför en initial bedömning av vilken information som är mest rele- vant att behandla. De uppgifter som initialt bedöms ha ett lägre värde prioriteras inte för att genomgå den relativt mödosamma processen som ett beslut om tillgängliggörande innebär och raderas utan att genomgå någon bearbetning eller analys. I takt med att mängden information som kommer in till granskningsfunktionen har ökat har denna funktion tilldelats betydande resurser och fått en allt större betydelse för att upprätthålla Säkerhetspolisens förmåga. Arbetsmetoden innebär dock en stor risk för att en flaskhals för informationsflödet inom myndigheten skapas. Sådana flaskhalsar kan vara kritiska för Säkerhetspolisens förmåga att fullgöra sitt uppdrag.

6.1.3Varje enskild personuppgift bedöms

Det ovan beskrivna flödet är anpassat för en ordning där Säkerhets- polisen i huvudsak bedriver en egen aktiv inhämtning; som innebär att myndigheten själv genererar den information som ska registreras och på så sätt helt kan styra innehåll och omfattningen av de person- uppgifter som behandlas.

Information som lämnats muntligt till en tjänsteman vid Säker- hetspolisen nedtecknas vid behov i en promemoria. Att i denna promemoria från början utelämna eller maskera irrelevanta uppgifter och känsliga personuppgifter som inte är absolut nödvändiga, om exempelvis sexuell läggning eller etniskt ursprung, är naturligt. Information som Säkerhetspolisen själv genererar kan redan från början kontrolleras för att uppfylla krav på korrekt personuppgifts- behandling. Den ytterligare granskningen som utförs av gransknings- funktionen innan uppgifterna kan tillgängliggöras operativt är i dessa fall en relativt enkel åtgärd. Av all information som kommer Säkerhetspolisen tillhanda utgör dock sådan lättöverskådlig och begränsad information som i detta exempel en liten del.

Mycket information kommer i stället Säkerhetspolisen till del från externa källor, exempelvis genom tips från allmänheten eller information från andra nationella och internationella myndigheter eller utländska säkerhets- och underrättelsetjänster. Denna informa- tionsmängd består till viss del av dokument med text. Ett enskilt

247

Reformbehoven

SOU 2025:49

dokument som kommer Säkerhetspolisen tillhanda kan innehålla en stor mängd personuppgifter och även många känsliga person- uppgifter, vilka var och en måste bedömas särskilt och där bedöm- ningen i vissa fall ska dokumenteras.

Även om uppgifter alltjämt kommer in till Säkerhetspolisen i form av promemorior och dokument så inkommer eller inhämtas information i allt större utsträckning i annan form och format. Ett sådant exempel är att information som granskningsfunktionen ska bedöma utgörs av ett antal datafiler från en telefontömning eller spegling av en hårddisk från en person som misstänks vara inblandad i någon form av brott. Den informationsmängd som kan inrymmas i ett sådant it-beslag kan motsvara en lastbil full av pärmar och papper, men lagstiftningens principer om granskning och bedöm- ning av varje enskild uppgift gäller alltjämt. En analys av en mobil- telefon kan innebära att hundratusentals personuppgifter måste bedömas.

Personuppgifterna granskas var och en och prövas mot kravet på rättslig grund respektive nödvändighet. I inkommande information kan det förekomma mer perifera personuppgifter som inte direkt berörs av det sammanhang som den inkommande informationen handlar om eller som har en vid tillfället osäker koppling till myndig- hetens uppdrag. Dessa måste också genomgå samma granskning och bedömning. Om inte ändamålen med behandlingen framgår av sammanhanget måste det även tydliggöras genom en särskild upp- lysning. Samtliga förekommande känsliga personuppgifter måste identifieras, bedömas och maskas om de vid tillfället inte kan anses vara absolut nödvändiga att behandla. Det behöver också framgå genom en särskild upplysning eller på annat sätt om personer inte är misstänkta för brott eller brottslig verksamhet. Dessutom måste uppgifter om uppgiftslämnares trovärdighet tillföras, tillsammans med en bedömning av uppgifternas riktighet i sak.

Av den information som kan vara relevant, och alltså inte måste raderas utan dröjsmål, krävs ytterligare handpåläggning och bedöm- ningar på uppgiftsnivå. Inledningsvis måste även samtliga känsliga personuppgifter i denna mängd identifieras och prövas mot kravet på absolut nödvändighet. Om det exempelvis rör sig om brottslig verksamhet i form av islamistiskt motiverad terrorism eller olovlig kårverksamhet i en högerextrem miljö, kan uppgifter som avslöjar religiös övertygelse eller politiska åsikter förväntas förekomma.

248

SOU 2025:49

Reformbehoven

I alla sammanhang, även när det inte rör sig om inhämtning riktad mot en uttalad extremistisk miljö, kan dock känsliga personuppgif- ter förväntas förekomma i en inte oansenlig mängd.

Känsliga personuppgifter är vanligt förekommande bland den information som personer själva väljer att dela med sig av öppet på internet, bland annat i profilinformation på sociala medier, blogg- inlägg, öppna diskussionstrådar och konversationer samt i privat kommunikation mellan människor. Uppgifterna kan även framgå av bilder, filmer och ljudfiler. Exempelvis kan bilder och filmer innehålla religiös klädsel eller symboler; vardagliga konversationer kan röra graviditet, sjukdom eller öppenhet kring sexuell läggning och sexuella relationer; incheckningar, taggade bilder eller liknande på sociala medier kan avse religiösa byggnader eller politiska engage- mang. Samtliga känsliga personuppgifter måste identifieras och bedömas. När en känslig personuppgift inte framstår som absolut nödvändig måste den som tidigare nämnts maskeras eller raderas under granskningsskedet. Bedömningen kring förekomsten av känsliga personuppgifter i bilder ställer höga krav på granskning eftersom identifiering av varje förekommande religiös symbol, kläd- sel eller plats måste ske, liksom granskning av större mängder text. Kravet på bedömning av samtliga känsliga personuppgifter som kan förekomma i det insamlade materialet medför därför mycket om- fattande och resurskrävande administrativt arbete. Om inhämtning skett exempelvis från en våldsbejakande extremistisk miljö är som regel alla uppgifter absolut nödvändiga att behandla. Trots detta måste varje personuppgift bedömas och annoteras för sig.

Som nämnt görs det hårda prioriteringar i informationsflödet för att endast den mest relevanta informationen ska genomgå den ovan beskrivna processen för beslut om tillgängliggörande. Skälet är att det krävs omfattande resurser för att säkerställa bland annat att varje personuppgift annoteras korrekt med en upplysning om varför just dessa personuppgifter behandlas hos Säkerhetspolisen. Säpodatalagens krav innebär att Säkerhetspolisen ofta raderar bety- dande mängder information eller helt avstår från att hämta in infor- mation för att inte överbelasta den särskilda granskningsfunktionen, trots att det finns ett operativt behov.

249

Reformbehoven

SOU 2025:49

6.1.4Konkret behov, ändamål och särskilda upplysningar,

Granskningsfunktionen måste även göra en bedömning om vissa särskilda upplysningar behöver anges. För både direkta och indirekta personuppgifter som ska användas i verksamheten måste en sär- skild upplysning tillföras som anger för vilket specifikt ändamål uppgiften ska behandlas, om det inte framgår av sammanhanget. Om personen i fråga inte kan anses vara misstänkt för brottslig verksamhet, måste även det anges.

De höga krav som nuvarande lagstiftning ställer på konkretion av behovet utgör ett problem. Ändamålen för behandling av person- uppgifter måste vara tillräckligt preciserade för att det ska kunna avgöras om personuppgifter som behandlas är adekvata och rele- vanta för ändamålet med behandlingen, eller om för många person- uppgifter behandlas. Behovet ska avse varje enskild personuppgift. Om exempelvis meddelanden mellan två personer som misstänks för brottslig verksamhet behandlas ska behovet av alla där förekom- mande personuppgifter prövas. Det innebär att det inte endast är behovet av att behandla uppgifter om de två misstänkta personerna som måste prövas, utan även alla personer som de omnämner i kon- versationen. Det kan givetvis, utifrån Säkerhetspolisens brottsbekäm- pande uppdrag, vara svårt att motivera ett konkret behov av att behandla personuppgifter om kändisar, släktningar eller vänner som endast omnämns i förbifarten under en konversation. Det har ingen betydelse om meddelandena bedöms vara relevanta att behandla i sin helhet för underrättelseändamål. Kan ett ändamål för att be- handla även sådana perifera personuppgifter inte konkretiseras får de inte behandlas. Det innebär att de måste maskeras eller raderas från handlingen, vilket kan vara en mycket omfattande administra- tiv process. Säkerhetspolisens resurser måste ofta prioriteras till annat än sådan administration. Hela konversationen kan då komma att raderas trots att det finns operativa behov av att bevara den för en bredare kartläggning av brottslig verksamhet.

Ett annat exempel kan vara bedömningar inom personskydds- verksamheten. Vid en bedömning av en hotaktör kan historiska uppgifter vara av stort värde. Det kan exempelvis vara information om hur en individs kontaktförsök mot någon i centrala statsled- ningen har sett ut över tid. Att ha en historisk kontext skiljer sig avsevärt från att enbart utgå från en ögonblicksbild. Om kontakt-

250

SOU 2025:49

Reformbehoven

försöken innebär en eskalering genom att de förändrats, intensifie- rats eller blivit mer aggressiva kan det vara av betydelse för bedöm- ningen av individens avsikt att begå brott. De tidiga kontaktförsö- ken i en sådan eskalering, som inte utgör hot eller uttrycker hat, är typiskt sett inte sådana att de kan motivera registrering enligt säpo- datalagen. Avsaknad av historik påverkar kvalitén av bedömningen av senare tillkommen information. Historiken behövs ofta för att kontextualisera enskilda underrättelser.

Säpodatalagen bygger i stor utsträckning på den polisiära utgångs- punkten att registrering av personuppgifter sker först efter att Säkerhetspolisen har påbörjat ett arbete som är inriktat mot viss närmare angiven brottslig verksamhet. Till skillnad mot Polismyndig- hetens verksamhet anmäls dock mycket få brott till Säkerhetspoli- sen. Myndigheten kan inte heller förlita sig på tips eller andra externa inspel för att identifiera brottslig verksamhet. Det finns en förvän- tan om att Säkerhetspolisen, i betydligt större utsträckning än övriga brottsbekämpande myndigheter, själv ska identifiera potentiella hot mot nationell säkerhet och annan brottslig verksamhet genom ett aktivt underrättelsearbete.

Enligt de nuvarande förarbetena får ändamålen för behandling av personuppgifter inledningsvis anges mer övergripande för att sedan konkretiseras.3 Även om detta uttalande medför att Säker- hetspolisen har möjlighet att inhämta personuppgifter för att upp- täcka okända hot, som inte behöver konkretiseras närmare, finns en förväntan om att det ska ske genom en linjär ärendehandlägg- ning.

Tröskeln för att behandla personuppgifter i gemensamt tillgäng- liga operativa system är relativt hög. Det kan ställas i relation till de rättsliga förutsättningarna för att bedriva underrättelseverksamhet. Som framgår av avsnitt 3.3.2 utgörs underrättelseverksamhet av inhämtning, bearbetning och analys av information i syfte att upp- täcka brottslig verksamhet när det ännu inte finns konkreta miss- tankar om att ett visst brott har begåtts. Förarbetena nämner att personuppgifter, efter en inledande behandling för vida ändamål, får behandlas exempelvis för ett pågående underrättelsearbete om viss, närmare angiven brottslig verksamhet.4 Den konkretisering av ändamålet som krävs för att information ska få behandlas inom

3Prop. 2018/19:163 s. 68 och 220.

4Ibid. s. 220.

251

Reformbehoven

SOU 2025:49

underrättelseverksamheten efter att uppgifterna hämtats in kräver att det okända hotet ska definieras, trots att den fortsatta behand- lingen syftar till att upptäcka just detta. Misstankar om brottslig verksamhet måste formuleras som hypoteser som endast kan bekräf- tas genom att personuppgifter behandlas. Information som är rele- vant inom myndighetens underrättelseverksamhet är i många fall inte så konkret eller lättbedömd som nuvarande lagstiftning förut- sätter.

Det kan vara uppenbart att Säkerhetspolisen har behov av att behandla personuppgifter utifrån det sammanhang som uppgifterna kom in till myndigheten, men det kan vara desto svårare att moti- vera varje enskild personuppgift utifrån den grad av konkretion som lagstiftningen kräver. Exempelvis framstår det som självklart att de personuppgifter som återfunnits i en dömd spions eller ter- rorists mobiltelefon ska få behandlas. Det krävs emellertid att varje enskild sådan personuppgift bedömts vara nödvändig att behandla för ett särskilt och uttryckligt angivet ändamål för att sådan behand- ling ska få ske inom underrättelseverksamheten.

Behovet av varje enskild personuppgift måste också prövas kon- tinuerligt. Även denna syn baseras på polisiära utgångspunkter och att en relation till viss, närmare angiven brottslig verksamhet kan anges kontinuerligt över tid för varje personuppgift som Säkerhets- polisen har registrerat i underrättelsesystemen. Dessa prövningar får anses vara grundade i ett tidigare arbetssätt där misstankar sam- lades i personakter som följde en given process, som bar vissa lik- heter med förundersökning. En sådan process bygger på tanken att personuppgifter antecknas och behandlas i en personakt som succe- sivt fylls på med underrättelser till dess att misstankarna antingen kan avskrivas eller bedöms tillräckliga för att inleda förundersök- ning. Dessa utgångspunkter tar dock inte hänsyn till att person- uppgifter förekommer i stor mängd i nästan allt material som häm- tas in i det operativa arbetet. En personuppgift som förekommer i ett textmeddelande eller i ett samtal kan med dagens teknik sökas fram och sammanställas med andra uppgifter som rör samma per- son på ett effektivt sätt. Att däremot manuellt sammanställa olika källor, genom att klippa ut de personuppgifter som hör till en per- son och sammanföra dessa till en akt som i sin helhet kan behovs- prövas, är dock mycket ineffektivt.

252

SOU 2025:49

Reformbehoven

6.1.5Den längsta tiden för behandling är för kort

Den nuvarande säpodatalagen innehåller olika regler om hur länge personuppgifter får behandlas, se avsnitt 3.5.7. Huvudregeln är att personuppgifter längst får behandlas i tio år eller, för uppgifter som hänför sig till säkerhetshotande verksamhet som utövas av främ- mande makt, i 40 år. Inom Säkerhetspolisens verksamhet finns ofta behov av att kunna behandla personuppgifter operativt under längre tid än inom andra brottsbekämpande verksamheter. De antagoni- stiska aktörer som Säkerhetspolisen har att motverka bedriver sin verksamhet på ett annat sätt än vad som är typiskt för annan krimi- nalitet. De fenomen som Säkerhetspolisen är satt att motverka finns ofta kvar under lång tid även om de under vissa tidpunkter kan ha minskat i omfattning. Samtidigt kan sådana fenomen eller miljöer med kort varsel bli aktuella igen. Säkerhetspolisen kan då redan ha förlorat värdefullt arbete som utförts längre tillbaka i tiden. Säker- hetsläget i Sveriges närområde har pendlat kraftigt de senaste decen- nierna. Terrorhotet har skiftat i intensitet och haft olika ideolo- giska förtecken. Främmande makts ambitioner, verksamhet och mål avseende svenska intressen har också förändrats över tid. Att en viss terrorgruppering är på tillbakagång eller att exempelvis Iran eller Ryssland haft fokus på annat håll under ett antal år innebär inte att Säkerhetspolisen kan utgå från att detta förhållande består. Det finns gott om exempel på att kartläggning av ledarskiktet i en viss gruppering eller uppgifter om främmande makts agentnätverk och underrättelseofficerare kommit till nytta långt senare. Vi upp- fattar att underrättelseverksamhet ställer krav på kontinuerlig upp- följning ”över tid” och att detta inte fullt ut medges med dagens lagstiftning.

Ett exempel på att den nuvarande behandlingstiden framstår som otillräcklig givet Säkerhetspolisen uppdrag är de så kallade terror- resenärerna som under 2010-talet lämnade Sverige för att ansluta sig till olika grupperingar utomlands. Av Säkerhetspolisens årsbok från 2014 framgår bland annat följande.

I december 2014 kunde Säkerhetspolisen bekräfta att fler än hundra personer rest från Sverige till Syrien eller Irak och anslutit sig till al- Qaida-inspirerade grupper. Flera av dessa personer har återvänt och ett flertal har dödats i konflikterna. Resandet till Syrien från Sverige för att ansluta sig till al-Qaidainspirerade grupper är exceptionellt omfat- tande i förhållande till tidigare al-Qaidainspirerat resande. Tidigare har

253

Reformbehoven

SOU 2025:49

personer från Sverige också rest till Afghanistan/Pakistan, Irak, Somalia och Jemen. Från 2006 till idag handlar det om minst ett 30-tal som rest till Somalia, ett tiotal till Afghanistan/Pakistan och ett fåtal till Jemen. Säkerhetspolisen ser inga tecken på att resandet till Syrien och Irak håller på att avta. (Säkerhetspolisens årsbok 2014, s. 56)

När detta betänkande avlämnas har det gått mer än tio år sedan dessa personer lämnat Sverige. Huvudregeln är därför att dessa personuppgifter inte längre ska behandlas såvida det inte under den aktuella perioden har inkommit ny information. Dagens regler medför att Säkerhetspolisen i vart fall behövt fatta ett aktivt beslut för att inte de uppgifter om de personer som rest utomlands för att ansluta sig till olika terrorsekter ska ha raderats vid utgången av år 2024.

De personer som för ett decennium sedan lämnat Sverige för att ansluta sig till olika våldsbejakande grupperingar utomlands har potential att utgöra hot mot nationell säkerhet under lång tid. Det finns en risk att någon av dessa personer återvänder till Sverige utan att Säkerhetspolisen längre har kännedom om skälet för att per- sonen utvandrade.

Tioårsfristen kan även komma att påverka andra myndigheters beslut. För medborgarskapsärenden, där Säkerhetspolisen är en viktig remissinstans beträffande frågan om den som ansöker om medborgarskap haft ett hederligt levnadssätt, finns vissa karens- tider.5 Karenstiden för ett hederligt levnadssätt är mycket sällan kortare än femton år men kan vara avsevärt längre. I vissa fall kan tidigare brottslighet även innebära att svenskt medborgarskap är uteslutet. Bland annat följer det av praxis att en person som varit verksam i en organisation som ägnat sig åt systematiska, omfat- tande och grova övergrepp som regel inte kan beviljas medborgar- skap förrän 25 år förflutit sedan personen lämnade organisationen eller verksamheten upphörde. Det krävs därmed inte att personen själv deltagit i någon sådan brottslighet.6 Även om Säkerhetspolisen har information om att en person exempelvis anslutit sig till en inte- rnationell terrororganisation som ägnar sig åt sådana övergrepp, är det inte säkert att denna kunskap består i Säkerhetspolisens register under hela denna karenstid.

5Se 11 § 5 punkten lag (2001:82) om svenskt medborgarskap.

6Se regeringens beslut 2004-09-02, Ju 2003/262 samt MIG 2007:40 och MIG 2019:11.

254

SOU 2025:49

Reformbehoven

Det kan också konstateras att mycket av den allvarligaste brotts- liga verksamhet som Säkerhetspolisen har till uppgift att upptäcka, och i förlängningen utreda, har långa preskriptionstider. För bland annat terroristbrott enligt 4 § terroristbrottslagen saknas preskrip- tionstid. Om det krävs att underrättelseuppgifter tillförs en brotts- utredning kan den tioåriga behandlingstiden i vissa fall innebära att brott inte går att utreda och att gärningsmän undgår straff.

Mot bakgrund av den stora mängd information vars behand- lingsfrist utgår vid varje årsskifte enligt nuvarande lagstiftning finns det en betydande risk att viktiga och alltjämt relevanta uppgifter raderas utan att de hinner granskas. Beslut om att förlänga behand- lingstid måste även ses mot bakgrund av den i övrigt tunga admini- strativa börda som följer av säpodatalagens bestämmelser. Kombina- tionen av krav på individuell bedömning och volymerna som det handlar om innebär att personuppgifter ofta raderas i stället för att behandlingstiden förlängs. Säkerhetspolisen måste i dag kontinuer- ligt radera information utan att först ha bedömt huruvida uppgifterna vore relevanta att spara. När väl uppgifter raderas är de oåterkalle- ligen raderade från Säkerhetspolisens operativa system. Vi anser att den nuvarande lagstiftningen medför oacceptabla risker för att information väsentlig för rikets säkerhet raderas i förtid.

6.1.6En telefonkatalog får inte behandlas enligt dagens regelverk

En stor del av underrättelsearbetet går ut på att utifrån Säkerhets- polisens uppdrag identifiera intressanta personer eller organisatio- ner i det material som har hämtats in. Det kan exempelvis handla om att koppla telefonnummer eller id-nummer i en inhämtad tele- fonlista till personer för att därefter kontrollera om dessa personer deltar i säkerhetshotande verksamhet.

För att kunna göra dessa bearbetningar på ett effektivt sätt behöver Säkerhetspolisen använda olika referensdatabaser. Om Säkerhets- polisen använder öppna referensdatabaser, som exempelvis webb- platsen Eniro, i sitt arbete riskerar myndigheten att röja vilka per- soner och organisationer som är intressanta. Det får förutsättas att Säkerhetspolisens verksamhet är intressant för främmande makt att kartlägga. Det kan ske på olika sätt, bland annat genom att signal- spaning riktas mot Sverige, genom cyberoperationer eller genom

255

Reformbehoven

SOU 2025:49

att företag eller organisationer infiltreras. Säkerhetspolisen kan därmed aldrig utgå från att information som tillförs andra system än de egna är säker. Den informationssäkerhet som krävs för att upprätthålla skyddet för den egna verksamheten medger därför inte att exempelvis ett telefonnummer delges med ett företag som Eniro genom en sökning på den öppna webbplatsen.

För att inte riskera att avslöja vilka personer och fenomen som är intressanta behöver olika referensdatabaser som innehåller per- sonuppgifter därför lagras lokalt hos Säkerhetspolisen. Så som säpo- datalagen är utformad och tillämpas inom myndigheten kräver varje personuppgift ett särskilt, uttryckligt angivet och berättigat ända- mål. En referensdatabas över exempelvis adresser, telefonnummer eller ip-nummer kommer innehålla information som endast till en bråkdel är tillräckligt intressant för att uppfylla säpodatalagens krav. Trots att uppgifterna får betraktas som harmlösa och är till- gängliga för var och en är Säkerhetspolisens bedömning att myndig- heten är förhindrad att behandla sådana uppgifter.

6.2Teknikutvecklingen och allt större informationsmängder

Bedömning: Informationsmängderna i samhället ökar mycket snabbt. Säkerhetspolisens uppdrag förutsätter att myndigheten på ett effektivt sätt kan hantera stora informationsmängder för att på ett tidigt stadium kunna förebygga, förhindra och upptäcka brottslig verksamhet. Nuvarande regelverk begränsar Säkerhets- polisens möjligheter att behandla dagens informationsmängder och därmed utföra sitt uppdrag.

6.2.1En explosionsartad utveckling av mängden information i samhället

Internet har de senaste decennierna kommit att påverka samhället på ett sätt som skulle framstått som ofattbart för endast något decennium sedan. Det finns nu cirka åtta miljarder människor på jorden. Det finns samtidigt över fem miljarder mobiltelefoner och nästan lika många konton på sociala medier. Trenden med att allt

256

SOU 2025:49

Reformbehoven

fler människor blir uppkopplade och får möjlighet att kommuni- cera med varandra på ett helt annat sätt än tidigare är tydlig. Till- växten av nya mobilabonnemang i världen är dubbelt så hög som befolkningsökningen och antalet nya användarkonton på sociala medier det tredubbla.

Idecember 1992 skickades världens första sms-meddelande. Tio år senare skickades det cirka 20 miljarder sms-meddelanden per månad. Nu, drygt tre decennier efter att det första sms-meddelan- det skapats, skickas det cirka 23 miljarder sms – varje dag. Därutöver skickas det dagligen cirka 50 miljarder meddelanden via WhatsApp, ytterligare 50 miljarder meddelanden via Facebook Messenger och 5 miljarder meddelanden via SnapChat. Till det kommer de cirka 350 miljarder dagliga e-postmeddelanden och den kommunikation som sker via andra sociala medier, som Telegram eller Signal.7 De som använder internet spenderar i snitt cirka sju timmar per dygn uppkopplade. Sökmotorn Google har cirka 142 miljarder besök per månad.8

Den informations- och kommunikationsmängd som nu färdas över jorden är till sin omfattning i en helt annan skala än vad vi ens kunde föreställa oss vid millennieskiftet. År 2010 uppskattades det att cirka två zettabyte data genererades i världen. En zettabyte mot- svarar 1 000 miljarder gigabyte. Mängden data som genereras9 ökar exponentiellt för varje år och under 2024 uppskattas det att cirka 147 zettabyte (147 000 miljarder gigabyte) data har genererats. Det innebär, enligt vissa uppskattningar, att av den totala informations- mängden som genererats sedan skriftspråket utvecklades för cirka 5 000 år sedan har ungefär 90 procent genererats under de senaste två åren. En stor del av den explosionsartade utvecklingen av gene- rerad data de senaste åren kan förklaras med den ökande konsum- tionen av strömmande video i allt högre upplösning, vilket i dag står för ungefär hälften av internettrafiken. Med hänsyn till den enorma skalan på datatrafiken är dock även den återstående delen oöverskådligt stor.10

7https://www.sellcell.com/blog/how-many-text-messages-are-sent-a-day-2023-statistics/.

8https://datareportal.com/reports/digital-2023-october-global-statshot.

9Med generering av data avses här skapande, mottagande, kopiering och konsumering.

10https://explodingtopics.com/blog/data-generated-per-day.

257

Reformbehoven

SOU 2025:49

6.2.2Underrättelseverksamhet kräver förmåga att behandla stora mängder information

Den allt större samlade informationsmängden i samhället påverkar hur Säkerhetspolisen kan bedriva sin underrättelseverksamhet. Vi har i föregående avsnitt redogjort för problemen som uppkommit i tillämpningen genom att varje registrering av en enskild person- uppgift kräver en manuell granskning, bedömning och annotering innan uppgiften kan komma till operativ nytta. Vår uppfattning är att lagstiftningens utformning haft utgångspunkten att Säkerhets- polisen i huvudsak bedriver polisiär verksamhet i form av brotts- utredning eller annan ärendehandläggning.

Det som är unikt för Säkerhetspolisen, och andra myndigheter som har ett omfattande underrättelseuppdrag, är att verksamheten kräver en förmåga att på olika sätt inhämta, bearbeta och analysera stora mängder information. En säkerhetstjänst är helt beroende av snabb och effektiv hantering av information som innefattar person- uppgifter. När de informationsmängder som genereras och behand- las på olika sätt ökar, både i samhället i stort och i var och ens privata digitala liv, växer även behovet av denna förmåga. Vår uppfattning är att Säkerhetspolisens underrättelseuppdrag och förväntningarna som ställs på myndigheten sedan länge passerat vad som är möjligt med nuvarande lagstiftning.

Förväntningarna på Säkerhetspolisen är att myndigheten ska kunna upptäcka brottslig verksamhet som innebär hot mot sam- hällets grundfunktioner. Sådana hot kan förekomma både i mer eller mindre öppna samtal, exempelvis genom radikalisering och terrorrekrytering via sociala medier, och i det fördolda, genom bland annat krypterade meddelandetjänster. Som framkommit ovan krävs mycket hårda prioriteringar genom alla delar av underrättelse- processen för att det ska vara möjligt att begränsa informationen till en mängd som är möjlig att hantera enligt nuvarande lagstift- ning.

Det innebär att Säkerhetspolisen aktivt måste avstå från att exem- pelvis analysera vissa it-beslag eller bedriva spaning mot internet- forum där ungdomar radikaliseras, trots att den operativa bedöm- ningen är att sådan analys krävs för att myndigheten till fullo ska kunna utföra sitt uppdrag eller uppnå sina mål.

258

SOU 2025:49

Reformbehoven

6.2.3Vanliga it-beslag kan i dag vara för stora för att kunna hanteras

De stora informationsmängderna får även konsekvenser i den tak- tiska underrättelseanalysen, som handlar om att ta fram besluts- underlag för Säkerhetspolisens agerande i enskilda ärenden. I sam- band med gripanden och andra tvångsåtgärder mot misstänkta görs alltid beslag av mobiltelefoner, datorer och andra enheter. Det är inte ovanligt att varje enskilt ärende innehåller flera aktörer och att varje aktör har flera telefoner och andra enheter. På senare år har lagringskapaciteten på privatpersoners digitala enheter ökat kraf- tigt, vilket resulterat i att de datamängder som behöver bearbetas och granskas har ökat i samma takt. För tio år sedan kunde ett it- beslag innehålla ett antal tusen kommunikationer i form av telefon- samtal, sms eller e-postmeddelanden. Dessa gick att överblicka genom att analytiker manuellt gick igenom materialet och på så sätt sorterade ut den relevanta informationen. I dag är det inte ovanligt att ett it-beslag omfattar hundratusentals konversationer och med- delanden över ett stort antal plattformar. Totalt rör det sig alltså om betydande datamängder i varje enskilt ärende. Gömt i denna datamängd kan den pusselbit som Säkerhetspolisen behöver för att förhindra ett terrorattentat, hitta en agent, kartlägga och klarlägga viss brottslig verksamhet över tid eller utreda ett brott finnas.

Säkerhetspolisen har rätt att, efter beslut från åklagare, använda överskottsinformation för underrättelseändamål. Eftersom en per- sonuppgiftsgranskning och -bedömning av sådant material är oerhört tidskrävande enligt nuvarande lagstiftning – det kan röra sig om en tidsåtgång motsvarande många årsarbetskrafter – är det i praktiken inte görbart. Mycket information som inte hinner granskas på före- skrivet vis förstörs därför, ofta utan att sparas i Säkerhetspolisens underrättelsesystem. Att överskottsinformation inte kan behandlas effektivt begränsar Säkerhetspolisens förmåga att identifiera okända hotaktörer och upptäcka hot mot Sverige i ett tidigare skede. I för- längningen innebär detta också en mer begränsad förmåga för Säker- hetspolisen att motverka hoten.

259

Reformbehoven

SOU 2025:49

6.2.4Säkerhetspolisen saknar förmåga att behandla uppgifter om brott och brottslig verksamhet som finns öppet tillgängliga

Den kommunikation som tidigare gick över telefon har i stor ut- sträckning flyttat ut på internet och sker oftast med någon grad av anonymitet. De aktörer som Säkerhetspolisen är intresserade av kommunicerar ofta på forum och plattformar som inte är allmänt åtkomliga. Ibland kan information från dessa forum och plattfor- mar läcka ut, exempelvis genom att ett forum blir hackat, och infor- mationen läggs ut publikt på internet. Ett exempel på detta var ett forum för IS-resenärer som hackades och publicerades öppet på internet. Säkerhetspolisen utnyttjade denna läcka genom att göra sökningar mot aktörer som redan var kända för myndigheten och där behov och ändamål redan var givet. I underrättelsesystemet tillfördes dessa individer uppgifter om dem från det läckta forumet. För att Säkerhetspolisen skulle få den största effekten av den läckta databasen skulle den dock behöva sparas i sin helhet och över tid för att kunna utgöra underlag vid jämförelser med andra liknande datakällor.

Med nuvarande lagstiftning måste behovet av varje enskild per- sonuppgift i den läckta databasen motiveras innan den sparas. Efter- som den särskilda granskningsfunktionen inte kan hantera sådana informationsmängder, tvingades Säkerhetspolisen att radera hela datamängden strax efter att den förvärvats. Behovet av att behandla personuppgifter som tillhör tidigare okända aktörer visar sig ofta först när informationen korskörs eller läggs samman med ny infor- mation. Eftersom databasen inte kunde bevaras, är det sannolikt att uppgifter om personer som förekom där inte heller kommer att be- varas nästa gång de påträffas. Mer perifera uppgifter som tillhör en okänd aktör får endast behandlas för ett särskilt, uttryckligt angivet ändamål, trots att det aktuella sammanhanget får betecknas som relevant för att behålla uppgifterna i sin helhet.

Inte bara kommunikationsvägarna, utan också de sätt som per- soner radikaliseras på, har förändrats. Teknikutvecklingen och den digitala arenan är central för hotet från våldsbejakande extremism. Radikalisering och spridandet av våldsbejakande och extremistiska budskap på digitala plattformar har en avgörande betydelse för såväl attentatshotet mot Sverige som för tillväxten i våldsbejakande miljöer.

260

SOU 2025:49

Reformbehoven

Förr kunde Säkerhetspolisen ofta upptäcka nya, tidigare okända aktörer i redan kända miljöer, eller i kontakt med för Säkerhets- polisen kända individer. I dag har många av dem som radikaliserats inte kopplingar till dessa kända personer och miljöer och trenden går mer mot ensamagerande och självradikaliserade aktörer som har kontakt med likasinnade individer online. För att hitta dessa indi- vider behöver arbetssättet ändras och sökningarna ske i bredare sammanhang, exempelvis i online-forum som finns publikt tillgäng- liga. Sådana sökningar kan ske med hjälp av olika indikatorer som pekar på självradikalisering, exempelvis genom jämförelser med mönster från tidigare händelser utförda av ensamagerande aktörer. Utifrån dessa indikatorer kan för myndigheten tidigare okända personer upptäckas innan de genomför ett attentat. Sådan behand- ling kräver dock behandling av stora datamängder då det inte på förhand går att känna till vilken del av informationen som kommer att bli avgörande. Även om Säkerhetspolisen redan i dag har tek- niska och juridiska förutsättningar att hämta in många av de data- källor som skulle behövas för att hitta personer som radikaliseras, är det i praktiken svårt att använda dem. Mängden information i varje enskild datakälla är för stor för att kunna bedömas enligt säpo- datalagens krav.

I praktiken kan Säkerhetspolisen endast motivera konkret behov av de personuppgifter från sådana stora informationsmängder som är möjliga att koppla till tidigare bedömd information. Det innebär att redan kända individer och företeelser kan tillföras information men att resten av den data som inhämtas måste raderas. Säkerhets- polisen saknar därmed förmåga att identifiera personer eller före- teelser som är intressanta trots att de förekommer i flera datakällor, som var och en stärker misstankarna mot personen. Med nuvarande arbetssätt kan Säkerhetspolisen alltså bygga ut kunskapen om redan kända aktörer, men har svårt att upptäcka dem som inte är kända sedan tidigare.

6.2.5Säpodatalagen begränsar Säkerhetspolisens förmåga till operativ och strategisk underrättelseanalys

Öppen information, exempelvis sådan som finns tillgänglig för alla internetanvändare på sociala plattformar, i nyhetsmedia eller genom andra källor behöver inte endast behandlas för att upptäcka kon-

261

Reformbehoven

SOU 2025:49

kreta hot eller för att bedöma en hotaktörs avsikt och förmåga. Informationen kan också vara nödvändig för att bevaka och ana- lysera omvärldsläget eller för att ta fram en hotbild i syfte att dimen- sionera skyddet för skyddspersoner i den centrala statsledningen. En förståelse för normalbilden i de miljöer som är relevanta för Säkerhetspolisens uppföljning är avgörande för att i ett tidskritiskt skede kunna notera avvikelser som myndigheten behöver agera på.

Det är i dag omöjligt att följa ett flöde på internet enbart med det mänskliga ögat för att få en överblick eller för att kunna göra kvalificerade bedömningar och analyser av trender eller föränd- ringar. För en strategisk underrättelseanalys krävs ofta att stora mängder information inhämtas, bearbetas och analyseras över tid.

Säkerhetspolisen har med dagens regelverk goda möjligheter att inhämta information. En informationsmängd som inhämtas raderas dock som regel kort efter att den bearbetning som krävs för ären- det avslutats. Vid sidan av relevant information finns det som regel också personuppgifter där ett konkret behov saknas för att moti- vera fortsatt behandling. I nästa ärende, när det finns behov av samma informationsmängd, måste inhämtningen göras om. Mycket av den information som är relevant för Säkerhetspolisens analys och uppföljning finns dock inte tillgänglig på internet över tid. Vid en uppföljning dagar, månader eller år senare kan samma informa- tionsmängd vara omöjlig att komma åt.

6.2.6Teknikutvecklingen begränsas av säpodatalagens krav

Teknikutvecklingen inom informationsbehandling går mycket snabbt och har inom vissa områden nyligen passerat avgörande utvecklings- trösklar för att kunna tillämpas operativt. Ett sådant utvecklings- område är artificiell intelligens (AI) och maskininlärning. De senaste åren har många kraftfulla verktyg och AI-modeller för analys av stora datamängder utvecklats; modeller och verktyg som skulle göra stor nytta i analysen av underrättelseinformation. Dessa verk- tyg kan exempelvis hjälpa till med automatiserad inhämtning, att strukturera text, filtrera ut intressanta motiv i en stor mängd bilder eller att transkribera långa röstinspelningar.

Några av dessa verktyg kan köpas in och användas redan i dag, men i många fall krävs specifika anpassningar efter den speciella typ

262

SOU 2025:49

Reformbehoven

av information som Säkerhetspolisen har behov av att behandla. Som exempel kan nämnas de kraftfulla så kallade språkmodeller som lanserats på senare år. Dessa skulle kunna vara till stor hjälp för att bearbeta och analysera information hos Säkerhetspolisen. Den data som dessa modeller har tränats på ser dock ofta inte ut som den text eller språkbruk som Säkerhetspolisen bearbetar i var- dagen. Modellerna är ofta tränade på tidningsartiklar, Wikipedia och officiella rapporter. Den text som Säkerhetspolisen behöver bearbeta är emellertid sällan av sådant slag. För att kunna användas fullt ut inom Säkerhetspolisens operativa verksamhet skulle dessa modeller i stället behöva tränas på autentiskt data. Sådan informa- tion finns i viss mån hos Säkerhetspolisen i form av chatkonversa- tioner i it-beslag och uppgifter som inhämtas genom hemlig data- avläsning.

Dagens lagstiftning innehåller ingen tydlig rättslig grund för insamling och behandling av personuppgifter i syfte att utveckla tekniska system eller förmågor. Säkerhetspolisen har möjlighet att samla in sådana data i sitt operativa arbete som skulle kunna användas för teknikutveckling. Dagens lagstiftning kräver dock en omfattande radering av överflödiga personuppgifter innan uppgifter får behand- las. Som träningsdata för teknik- och metodutveckling är det dock stora, ofiltrerade och autentiska informationsmängder som är använd- bara. Det går också att ifrågasätta om all den metodutveckling som Säkerhetspolisen är i behov av kan anses vara förenlig med finalitets- principen som den uttrycks i säpodatalagen.

Säkerhetspolisen har i dag inte de rättsliga förutsättningarna för att utveckla teknisk förmåga som kräver en omfattande person- uppgiftsbehandling, som AI. Det innebär att Säkerhetspolisen i dag inte kan vidareutveckla eller skräddarsy sådan mjukvara.

Att använda publikt tillgängliga modeller, som inte anpassats till Säkerhetspolisens verksamhet, kan innebära en sårbarhet för myndig- heten. Genom att analysera svagheter i dessa modeller skulle en angripare i värsta fall kunna justera vilka resultat användningen av en modell ska ge, och därmed manipulera underrättelseanalysen. Genom att träna egna modeller, på data som Säkerhetspolisen har kontroll över, minskar risken för denna typ av angrepp drastiskt. Innan ny teknik införs och används behöver den också kunna ut- värderas på ett objektivt sätt. Genom att testa olika verktyg mot samma uppgift är det möjligt att jämföra hur bra de presterar; innan

263

Reformbehoven

SOU 2025:49

en ny AI-modell införs behöver modellen visa att den är bättre än en redan befintlig modell. För att kunna göra den här typen av utvär- dering måste ett ”facit” för varje uppgift (så kallat utvärderingsdata) sparas över tid. Denna data ska representera den faktiska uppgiften så bra som möjligt. Om målet med verktyget är att effektivt över- sätta texter från it-beslag, ska helst utvärderingsdata vara från just it-beslag.

Dagens lagstiftning innebär att Säkerhetspolisen är förhindrad att hämta in, vidarebehandla och lagra data för att på ett effektivt sätt arbeta med nya AI-verktyg. Samtidigt som Säkerhetspolisen halkar efter i teknisk förmåga kan det med säkerhet konstateras att antagonistiska aktörer kommer utnyttja den nya tekniken till fullo för sina syften.

6.3Ökad förmåga för Säkerhetspolisen att behandla personuppgifter kan påverka grundläggande fri- och rättigheter

Bedömning: Säkerhetspolisens behov av att behandla person- uppgifter är så stort att de åtgärder som krävs för att möta det kan medföra en risk för betydande intrång eller kränkning av mänskliga rättigheter. Rätten till privatliv och skyddet för den personliga integriteten påverkas av att personuppgifter samlas in och bevaras hos en säkerhetstjänst. Om enskilda uppfattar att olika former av opinionsyttringar kan medföra att Säkerhetspoli- sen registrerar dessa och behandlar dem över tid, kan det få en avhållande effekt på viljan att yttra sig offentligt.

6.3.1Skyddet för personuppgifter utgör ett grundläggande demokratiskt värde

I vår grundlag framgår bland annat de principer som ska vägleda samhället och samhällsutvecklingen. En av de viktigaste principerna i det svenska statsskicket framgår av regeringsformens portalpara- graf, i 1 kap. 1 §. Där anges att det demokratiska styrelseskicket bygger på fri åsiktsbildning. Vidare framgår, genom stadgandet att den offentliga makten utövas under lagarna, att Sverige är en rätts-

264

SOU 2025:49

Reformbehoven

stat. Av den följande paragrafen följer att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv.

Dessa bestämmelsers centrala placering i regeringsformen visar att dessa värden – rättsstaten, den fria åsiktsbildningen och respek- ten för medborgarens frihet och privatliv – utgör helt nödvändiga hörnstenar i den svenska demokratin.

Genom utökade möjligheter för staten att övervaka medborgares åsiktsyttringar och kartlägga enskildas privatliv i syfte att värna de grundläggande fri- och rättigheterna kan en intressemotsättning uppstå mellan mål och medel. Det krävs därför stor aktsamhet då en lagstiftning genomförs som ytterst syftar till att skydda de demo- kratiska kärnvärdena men samtidigt riskerar att erodera desamma.

Den svenska demokratin präglas även av en stor tillit mellan stat och medborgare, där staten i stor utsträckning avstår från att över- vaka det normala samhällslivet och medborgare i hög grad litar på att rättsstaten fungerar. Om tilliten mellan stat och medborgare urholkas i alltför hög grad, finns inte förutsättningar för ett öppet och fritt demokratiskt samhälle.

6.3.2Den personliga integriteten påverkas

av Säkerhetspolisens personuppgiftsbehandling

Bestämmelsen i 1 kap. 2 § regeringsformen om att det allmänna ska värna den enskildes privatliv och familjeliv förtydligas i regerings- formens rättighetskatalog. Där anges, i 2 kap. 6 § andra stycket, att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och inne- bär övervakning eller kartläggning av den enskildes personliga för- hållanden.

I propositionen En reformerad grundlag framhålls att det är natur- ligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utläm- nande av uppgifter om enskildas personliga förhållanden. Ju känsli- gare uppgifterna är, desto mer ingripande anses det allmännas han- tering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den

265

Reformbehoven

SOU 2025:49

personliga integriteten, om uppgifterna är av mycket känslig karak- tär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelse- full faktor i sammanhanget.11

Av 2 kap. 3 § följer även att ingen svensk medborgare utan sam- tycke får antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Det innebär att en persons politiska uppfatt- ning endast får registreras om denna har samband med någon annan omständighet som föranlett registreringen.

Enligt artikel 8.1 i Europakonventionen har var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Av FN:s allmänna förklaring om de mänskliga rättigheterna följer, av artikel 12, att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.

Av dessa rättskällor framgår en begreppsapparat där begreppen personlig integritet och privatliv används, till synes synonymt. Det finns inte skäl att i detta sammanhang närmare utveckla de eventu- ella skillnaderna dem emellan.12 Det är tillräckligt att konstatera att både svensk grundlag och internationella konventioner skyddar rätten att inte utan tungt vägande allmänna intressen övervakas och kartläggas av staten genom insamlande och bevarande av uppgifter om en persons privata förhållanden.

När det kommer till Säkerhetspolisens informationshantering bör det därför vara detta som är utgångspunkten när det kommer till vad skyddet för den personliga integriteten avser, och i förläng- ningen därmed även den personuppgiftslagstiftning som denna utred- ning har att lämna förslag om.

Internetstiftelsen gör årliga undersökningar om svenskarnas internetvanor och tankar om bland annat personlig integritet i det uppkopplade samhället. I undersökningen från 2023 svarade unge- fär hälften av de tillfrågade att de upplever att deras integritet kränks

11Prop. 2009/10:80 s. 183.

12För en utförlig redogörelse, se SOU 2007:22 s. 53 ff.

266

SOU 2025:49

Reformbehoven

när någon samlar in personliga data från deras internetanvändning. Nästan åtta av tio anser att ”även de som har rent mjöl i påsen bör tänka på vilken personlig data deras internetanvändning genererar”. Av dem angav en fjärdedel att de oroade sig för att myndigheter kan se ”var jag är och vad jag gör”, men endast en åttondel oroade sig för att arbetsgivaren gör detsamma.

I både 2023 och 2024 års enkät ställdes frågan om synen på om myndigheter vid misstanke om brott ska få tillgång till privata kon- versationer på nätet och synen på kameraövervakning med bio- metrisk identifiering. Över 90 procent av de tillfrågade ansåg att polisen skulle få tillgång till exempelvis Facebook Messenger vid misstanke om brott eller allvarliga brott. Sju av tio ansåg att kamera- övervakning med ansiktsigenkänning ska vara tillåtet på allmän plats för att underlätta brottsbekämpningen.

En slutsats från Internetstiftelsens undersökningar är att det finns en stor förståelse för att den personliga integriteten får stå tillbaka om intrånget är motiverat av brottsbekämpning. Samtidigt går det inte att bortse från att en stor majoritet av svenskarna anser sig kränkta av att personliga data från internetanvändning samlas in eller att en fjärdedel uttrycker oro över att myndigheter använder sådan data för att kartlägga dem.

6.3.3Opinionsfriheterna kan indirekt komma att påverkas av en utökad möjlighet till behandling av personuppgifter

De för en demokrati avgörande medborgerliga rättigheterna fram- går av regeringsformens rättighetskatalog. I 2 kap. 1 § räknas de så kallade opinionsfriheterna upp. Motsvarande friheter skyddas även av artiklarna 9–11 i Europakonventionen samt av FN:s allmänna förklaring om de mänskliga rättigheterna i artiklarna 18–20.

Yttrandefrihet är frihet att i tal, skrift eller bild eller på annat

sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor. Informationsfrihet innebär frihet att inhämta och ta emot upplys- ningar samt att i övrigt ta del av andras yttranden. Yttrandefriheten utgör en helt integrerad del av samtliga de övriga opinionsfriheterna och utgör den enskilt viktigaste hörnstenen i det demokratiska stats- skicket. Mötesfrihet är friheten att anordna och delta i samman- komster för upplysning, meningsyttring eller annat liknande syfte eller för framförande av konstnärligt verk. Demonstrationsfrihet är

267

Reformbehoven

SOU 2025:49

frihet att anordna och delta i demonstrationer på allmän plats och föreningsfrihet utgörs av frihet att sammansluta sig med andra för allmänna eller enskilda syften. Religionsfrihet är frihet att ensam eller tillsammans med andra utöva sin religion. Skyddet för opinions- friheterna har en lång tradition i Sverige.

Utövandet av dessa friheter har kommit att påverkas av teknik- utvecklingen, på samma sätt som andra aspekter av våra liv. Det är nu i hög grad möjligt att dela tankar och åsikter, ge uttryck för sin religiösa övertygelse eller manifestera sympatier med vissa organisa- tioner genom internet. Demonstrationer, möten och föreningsliv organiseras och offentliggörs ofta via internet. Denna förflyttning innebär att uttryck för opinionsfriheterna i större utsträckning än tidigare manifesteras globalt och bevaras över tid. Det ger även en möjlighet att i stor skala kartlägga en befolkning eller en individ. Många förefaller ha accepterat detta och den minoritet som inte gör det avstår från vissa tjänster eller använder sig av olika former av anonymisering för att undgå att bli kartlagda.

Att många frikostigt delar med sig av personliga uppfattningar, även i mer känsliga ämnen, via olika digitala plattformar kan anses vara ett gott betyg för det demokratiska samhällskontraktet, som innebär att medborgarna litar på att de inte övervakas av staten och inte riskerar repressalier för sina åsiktsyttringar.

Individer kartläggs dagligen, exempelvis genom att kommersi- ella aktörer profilerar kunder eller användare för att rikta reklammed- delanden som denne är mottaglig för. Profilering brukar sägas ut- göra möjligheten att kategorisera enskilda personer på grundval av vissa synliga egenskaper för att dra slutsatser om andra egenskaper som inte är synliga. Tanken att sådan kartläggning ska ske även av myndigheter, för att på motsvarande sätt som de kommersiella aktörerna, använda sig av profilering för att försöka skapa sig en bild av exempelvis enskilda individers brottsbenägenhet har börjat rota sig i vissa länder. Metoden är kontroversiell och har visat sig bära på många risker. En av dem är risken för diskriminerande urval där personer med viss etnicitet eller religion stigmatiseras. Efter terroristattacken i New York den 11 september 2001 tillämpade exempelvis tyska myndigheter en metod för att profilera eventu- ellt ”sovande terrorister” i landet. Denna profilering innebar att

200 000–300 000 personers uppgifter behandlades varav nästan 32 000 personer ansågs uppfylla alla kriterier i profilen. Denna

268

SOU 2025:49

Reformbehoven

omfattande kartläggning avsåg endast muslimer. Profileringen, som inte resulterade i något gripande, underkändes sedermera av tyska författningsdomstolen som ansåg att den bland annat bröt mot den tyska grundlagens skydd för mänsklig värdighet.13

När väl tanken börjat få fäste om att yttranden, ageranden och uttryck som görs på internet kan vara övervakade och att detta kan få framtida konsekvenser, finns i förlängningen en risk för att en kultur av självcensur etableras. En självcensur, som kan få effekt även avseende helt legitima åsiktsyttringar trots att avsikten varit något annat. Det finns därmed en risk för att en avkylande effekt skapas avseende medborgares vilja att utnyttja sina opinionsfrihe- ter.14 Riskerna för sådana avhållande effekter har lett till en skepsis hos bland annat Europadomstolen och EU-domstolen mot allt för omfattande övervakningsmetoder såsom signalspaning och hemliga tvångsmedel eller att hålla register om exempelvis enskildas poli- tiska sympatier.15

6.3.4Förutsättningar för att inskränka de grundläggande fri- och rättigheterna

Skyddet mot betydande intrång i den personliga integriteten, ytt- randefriheten, informationsfriheten, mötesfriheten, demonstrations- friheten och föreningsfriheten får begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Enligt 2 kap. 20 och 21 §§ regeringsformen får en begräns- ning inte gå utöver vad som är nödvändigt med hänsyn till det ända- mål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen.

Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Det innebär att det krävs ett formellt lagstöd för ingrepp som begränsar rättigheterna och att lagstiftaren därtill öppet och noggrant ska redovisa skälen för ett ingrepp och varför det krävs. Varken religionsfriheten eller

13Europeiska unionens byrå för grundläggande rättigheter, Mot ett effektivare polisarbete, Förstå och förhindra diskriminerande etnisk profilering: en vägledning, 2010, s. 13 f.

14Se om begreppet ”avkylande effekt” bl.a. Harvard Law Review, volym 133, nr 4, februari, 2020, The Establishment Clause and the Chilling Effect, s. 1338–1359.

15Se t.ex. Europadomstolens dom den 24 april 2019, Catt mot Förenade kungariket, mål

nr 43514/15, p. 123 och den 25 maj 2021, Big Brother Watch m.fl. mot Förenade kungariket, mål nr 58170/13 m.fl., p. 449 samt EU-domstolens dom den 6 oktober 2020, La Quadrature du Net, mål nr C-511/18 m.fl. p. 118, med hänvisningar.

269

Reformbehoven

SOU 2025:49

skyddet mot att utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning är möjliga att inskränka.

Europakonventionen gäller som lag och skyddet för privat- och familjeliv, hem och korrespondens i artikel 8 får inte inskränkas om det inte i ett demokratiskt samhälle är nödvändigt med hänsyn till bland annat den nationella säkerheten. En inskränkning i en konven- tionsskyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgäng- lig. Europadomstolen har i sin praxis slagit fast att intrånget ska syfta till att uppnå ett angeläget samhälleligt behov. Inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses.

Enligt 2 kap. 19 § regeringsformen får en lag eller annan före- skrift får inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.

Vi kommer att göra våra överväganden med beaktande av de huvudsakliga perspektiv som beskrivits i detta kapitel. Det finns således dels ett konkret och tydligt behov av att förbättra Säker- hetspolisens möjligheter att behandla personuppgifter, dels måste detta ske på ett sätt som uppfyller grundlagens och Europakonven- tionens krav och minimerar påverkan på de grundläggande fri- och rättigheterna.

270

7 Inriktningen för en reform

Bedömning: Det behövs en ny säpodatalag som på ett bättre sätt är anpassad till Säkerhetspolisens särskilda uppdrag och behov av att behandla personuppgifter samtidigt som enskildas grund- läggande rättigheter och friheter i samband med sådan behand- ling tryggas.

Skyddet av nationell säkerhet är en nationell fråga och verk- samhet rörande nationell säkerhet omfattas inte av unionsrätten. Lagstiftningen bör därför inte vila på EU-rättslig grund utan ut- formas för att tillgodose nationella prioriteringar. Lagstiftningen ska vara förenlig med Europakonventionen och den modernise- rade dataskyddskonventionen (CETS nr 223).

Säkerhetspolisen bör få en ny förmåga att behandla vissa infor- mationsmängder. Automatiserad behandling av personuppgifter i ostrukturerade informationsmängder är en nödvändig förmåga för att Säkerhetspolisen ska kunna utföra sitt uppdrag i dag och i framtiden.

Behandling av stora informationsmängder är ofta inte fören- ligt med de principer som bör vägleda en personuppgiftslag. En lag som ger Säkerhetspolisen denna förmåga måste därför utgöra ett undantag från de principer som gäller i övrigt, motiverat av skyddet för nationell säkerhet. Behandling av sådana informations- mängder bör därför specialregleras och omgärdas av särskilda skyddsmekanismer för att undantaget ska uppfylla kraven på att vara nödvändigt och proportionerligt i ett demokratiskt samhälle.

271

Inriktningen för en reform

SOU 2025:49

7.1En ny säpodatalag bör införas

Förslag: Det införs en ny lag om Säkerhetspolisens personupp- giftsbehandling. Lagen utgår ifrån de krav och principer som framgår genom dataskyddskonventionen 108 med tilläggsproto- koll (CETS nr 223) samt de krav som kan anses följa av Europa- konventionen.

7.1.1EU-rätten bör inte bilda utgångspunkt för den nya lagen

Nuvarande regelverk tillkom i samband med och är präglat av EU:s dataskyddsreform. I Fördragen om den Europeiska unionen anges i artikel 4.2 bland annat att unionen ska respektera medlemsstaternas väsentliga statliga funktioner, särskilt funktioner vars syfte är att hävda deras territoriella integritet, upprätthålla lag och ordning och skydda den nationella säkerheten. Artikeln slår vidare fast: I synner- het ska den nationella säkerheten också i fortsättningen vara varje medlemsstats eget ansvar. I bland annat dataskyddsförordningen och brottsdatadirektivet hänvisas till medlemsstaternas exklusiva kompetens inom området nationell säkerhet.1 Det EU-rättsliga dataskyddet är därmed inte bindande när Sverige ska lagstifta om personuppgiftsreglering som uteslutande rör nationell säkerhet.

Brottsdatadirektivet har i svensk rätt genomförts genom brotts- datalagen (2018:1177), som utgör en ramlagstiftning för de brotts- bekämpande myndigheternas personuppgiftsbehandling. Mot bak- grund av att Säkerhetspolisens verksamhet som rör nationell säkerhet inte omfattas av EU-rätten har denna verksamhet även undantagits från brottsdatalagens tillämpningsområde (1 kap. 4 § brottsdata- lagen). Trots detta är säpodatalagen uppbyggd på samma sätt som brottsdatalagen och de båda lagstiftningarna delar både begrepps- apparat, systematik och i stora delar materiellt innehåll. Skälet till detta är att överensstämmande regler dels ansågs underlätta tillämp- ningen, både för Säkerhetspolisen och för tillsynsmyndigheten, dels för att Sverige, genom att följa den EU-rättsliga regleringen även ansågs uppfylla kraven i dataskyddskonventionen med tilläggs- protokoll.2

1Se skäl (16) i dataskyddsförordningen och skäl (14) i brottsdatadirektivet.

2Prop. 2018/19:163 s. 49–50.

272

SOU 2025:49

Inriktningen för en reform

De skäl som talar för att låta regleringen av Säkerhetspolisens personuppgiftsbehandling ligga nära det EU-rättsliga regelverket kan alltjämt anses ha samma bärkraft. Det har sedan säpodatalagens tillkomst utvecklats en praxis kring de begrepp som används i det EU-rättsliga ramverket vilket underlättar tillsynen även över säpo- datalagen. Att tillsynsmyndigheten har uppdrag avseende andra likartade lagstiftningar som bygger på samma grund medför synergi- effekter vid tillsynen. Vidare har det EU-rättsliga dataskyddet höga ambitioner vilket innebär att det med viss marginal kan antas upp- fylla andra internationella åtaganden som följer av bland annat Europakonventionen och dataskyddskonventionen. Det finns där- med skäl som talar för att lägga en ny personuppgiftslag för Säker- hetspolisen nära den nuvarande lagstiftningen och därmed även det regelverk som gäller för bland annat Polismyndighetens brotts- bekämpande verksamhet som inte rör nationell säkerhet.

Det finns emellertid starka argument för att inte låta det EU- rättsliga dataskyddet vara utgångspunkten för en ny lagstiftning. Brottsdatadirektivet är inte anpassat särskilt för den verksamhet som bedrivs av underrättelse- och säkerhetstjänster. De förvänt- ningar som ställs på att dessa myndigheter ska skydda den natio- nella säkerheten bygger på andra premisser än vad som kan göras gällande för brottsbekämpning i stort. De intressen som står på spel kan i vissa fall motivera mer långtgående befogenheter. EU- domstolen har avseende nationell säkerhet bedömt att begreppet avser skyddet av ”statens väsentliga funktioner och samhällets grund- läggande intressen och inbegriper förebyggande och beivrande av verksamhet som allvarligt kan störa de grundläggande konstitutio- nella, politiska, ekonomiska eller sociala strukturerna i ett land och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, såsom bland annat terrorverksamhet.” Domstolen konstate- rade att sådana hot skiljer sig både till sin art och sitt allvar från brottslighet i allmänhet, även om den kan betecknas som grov. Målet att skydda nationell säkerhet kan därför, enligt EU-domstolen, motivera åtgärder som innebär mer långtgående ingrepp i de grund- läggande rättigheterna.3

Intresset att värna den personliga integriteten genom ett starkt dataskydd har därför i den EU-rättsliga kontexten inte fullt ut prö-

3Se EU-domstolens dom den 6 oktober 2020 i de förenade målen C 511/18, C 512/18 och C 520/18, La Quadrature du Net, punkt 135–136.

273

Inriktningen för en reform

SOU 2025:49

vats mot intresset av nationell säkerhet. Denna avvägning förväntas ske på nationell nivå utifrån hotbilden i medlemsstaten och behoven av att kunna möta dessa hot. Det går att argumentera för att frågan om skyddet för nationell säkerhet är tillgodosedd inte prövades i tillräcklig utsträckning när säpodatalagen beslutades. I avsnitt 6.1 och 6.2 framgår hur den nuvarande lagstiftningen begränsar Säker- hetspolisens verksamhet. Vår bedömning är att säpodatalagen i vissa delar inte utgör en rimlig avvägning mellan verksamhetens behov och de intressen den är till för att skydda. I delar innebär den nuvarande lagstiftningen att Säkerhetspolisen begränsas på ett sätt som inte kan ha varit avsikten och inte speglar samhällets förvänt- ningar på hur myndigheten ska utföra sitt uppdrag. Lagstiftningen tillåter helt enkelt inte all sådan verksamhet som det finns en sam- hällelig förväntan på att Säkerhetspolisen ska bedriva.

Att låta EU-rätten få genomslag inom Säkerhetspolisens pri- mära verksamhetsområde har vidare den nackdelen att de bedöm- ningar som görs avseende bekämpande av brottslighet i allmänhet även får genomslag avseende det starkare skyddsintresset som finns avseende nationell säkerhet. Att medlemsstaterna själva är bäst lämpade att bedöma och möta hoten mot nationell säkerhet är en viktig princip som kommer till uttryck i artikel 4.2 i Fördraget om den Europeiska unionen. Det är i princip omöjligt för EU-domsto- len att ta del av hela bilden när en dataskyddsrättslig fråga i en natio- nell säkerhetskontext prövas. Det framstår som osannolikt att en medlemsstat skulle offentliggöra alla skäl som kan motivera en viss personuppgiftsbehandling till andra än mycket betrodda samarbets- partners utanför rikets gränser.

Även om det inte varit avsikten med den nuvarande lagstiftningen kan EU-domstolens avgöranden därför komma att påverka tillämp- ningen och tillsynen av Säkerhetspolisens personuppgiftslagstift- ning. Detta eftersom lagens nära koppling till angränsande EU-rätt gör att EU-rättsliga tolkningar och bedömningar ofrånkomligen kommer påverka även tolkningen av säpodatalagen. Vi anser att det finns goda argument för att på ett tydligare sätt än tidigare särskilja detta område från det där EU-rätten har ett bestämmande inflytande och låta den svenska lagstiftaren göra avvägningen mellan intresset av nationell säkerhet och andra intressen.

Vårt ställningstagande ska dock inte uppfattas som att skyddet för bland annat den personliga integriteten helt och hållet är en

274

SOU 2025:49

Inriktningen för en reform

nationell angelägenhet. Sverige har andra internationella åtaganden som ålägger landet en långtgående skyldighet att skydda enskildas grundläggande fri- och rättigheter. Andemeningen i det EU-rätts- liga dataskyddet och skyddet för den personliga integriteten som följer av Europakonventionen är detsamma. Skillnaden är att det EU-rättsliga regelverket är tänkt att på en betydligt större detalj- nivå harmonisera bland annat de brottsbekämpande myndigheternas personuppgiftslagstiftning. Europakonventionen medger en större frihet i hur skyddet för enskilda ska lagfästas, men medger inte avsteg från detta skydd på ett sätt som inte är godtagbart i ett demokra- tiskt samhälle.

7.1.2En ny lagstiftning måste vara förenlig med kraven i dataskyddskonventionen och Europakonventionen

Europakonventionen tillförsäkrar, genom sin artikel 8, var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korre- spondens. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.

Även om Sverige frångår den systematik som följer av EU-rätten när det kommer till Säkerhetspolisens verksamhet, krävs att lagstift- ningen innehåller tillräckliga skyddsmekanismer för att alltjämt vara förenlig med Europakonventionens krav. Det är ytterst Europa- domstolen som uttolkar vilka krav som konventionen ställer på medlemsstaterna i detta avseende. Det finns inte tillräcklig dom- stolspraxis för att kunna bygga ett nationellt regelverk enbart kring Europakonventionens bestämmelser. Vi återkommer dock i kapitel 9 till hur vi tolkar Europadomstolens praxis avseende behandling av stora informationsmängder.

Sverige har anslutit sig till Europarådets dataskyddskonvention (CETS nr 108) som i stora delar anses utgöra ett förtydligande av Europakonventionens artikel 8. Dataskyddskonventionen är från år 1981 och är även förlagan till det EU-rättsliga dataskyddet. Kon- ventionen bygger på samma grundläggande principer om exempel-

275

Inriktningen för en reform

SOU 2025:49

vis ändamålsbundenhet och uppgiftsminimering som EU:s data- skyddsregler, se avsnitt 4.7.1–2.

År 2018 beslutade Europarådets ministerkommitté om ett tilläggs- protokoll till dataskyddskonventionen (CETS nr 223). Tilläggs- protokollet innebär att konventionens materiella innehåll uppdate- ras. Moderniseringen av konvention 108 hade två huvudmål: att hantera utmaningar till följd av användningen av ny informations- och kommunikationsteknik och att stärka konventionens genom- slag. Den moderniserade konventionen i sin lydelse efter tilläggs- protokollet brukar benämnas dataskyddskonventionen 108+. Dataskyddskonventionen 108+ har ännu inte trätt i kraft. Se av- snitt 4.7.3.

Det finns vissa grundläggande principer i konventionen som är absoluta oavsett för vilket ändamål personuppgifter behandlas. Det är till exempel inte möjligt för medlemsstaterna att göra undantag från proportionalitetskravet vid all personuppgiftsbehandling eller från kravet på rättslig grund. Andra artiklar i konventionen medger att konventionsstaterna gör nödvändiga och proportionerliga undan- tag, för att bland annat tillgodose intresset av nationell säkerhet. Sådana undantag ska följa av lag, respektera grundläggande demo- kratiska fri- och rättigheter samt utgöra en nödvändig och proportio- nerlig åtgärd i ett demokratiskt samhälle.

Vi anser att den nya lagen bör utgå från den systematik som följer av dataskyddskonventionen 108 i dess lydelse efter det att 2018 års tilläggsprotokoll trätt i kraft, dvs. dataskyddskonventio- nen 108+. Konventionen, som är tillämplig även inom området nationell säkerhet, har som syfte att bilda europeisk praxis för data- skydd. I Sverige är den del av Säkerhetspolisens verksamhet som rör nationell säkerhet ett av de få områden där konventionen gäller

i stället för EU:s dataskyddsregelverk. Konventionen är generell i sin utformning och tillräckligt flexibel för en lagstiftning som både medger en effektiv verksamhet för Säkerhetspolisen och ger ett adekvat skydd för enskildas grundläggande medborgerliga fri- och rättigheter.

Dataskyddskonventionen 108+ kan ses som en precisering av de krav som uppställs enligt Europakonventionens artikel 8, om rätten till respekt för enskildas privat- och familjeliv. En lagstift- ning som tydligt utgår från de krav som ställs enligt dataskydds- konventionen kan därför förutsättas vara förenlig med Europa-

276

SOU 2025:49

Inriktningen för en reform

konventionen så länge de grundläggande och ovillkorliga princi- perna bakom de båda konventionerna respekteras.

7.1.3En proportionerlig lag

Avvägning mellan verksamhetsbehov och intrång i enskildas fri- och rättigheter

Säkerhetspolisen är Sveriges nationella säkerhetstjänst med uppdrag att skydda landet mot säkerhetshotande verksamhet som bedrivs inom landets gränser. Den brottslighet som myndigheten ska be- kämpa är sådan som kan få mycket stora konsekvenser, både för samhället och för enskilda. Säkerhetspolisens uppdrag är därför i första hand att förebygga och förhindra att brott begås. Samtidigt utmärks den brottslighet som är Säkerhetspolisens ansvar, som terrorism och spioneri, av att den är mycket svårupptäckt och sällan kommer till myndighetens kännedom genom anmälan. Det ställs därför stora krav på att myndigheten själv ska upptäcka brottslig verksamhet genom att bedriva underrättelseverksamhet.

Vår uppfattning är att det finns en betydande skillnad mellan Säkerhetspolisen och andra brottsbekämpande myndigheter. Skill- naderna framträder både vad gäller den tyngd som kan tillmätas verksamhetens behov och vad gäller de integritetsrisker som verk- samheten kan ge upphov till. Lagstiftningen vi förslår måste därför balansera mellan olika intressen, och medföljande risker, där det ena innebär att lagstiftningen inte ger Säkerhetspolisen förmågan att utföra sitt uppdrag och där det andra utgörs av att lagstiftningen inte innehåller tillräckligt skydd för grundläggande fri- och rättig- heter, som därmed riskerar att urholkas.

Vi anser att det är möjligt att utforma en lagstiftning som tillgodo- ser å ena sidan det allmänna intresset av att skydda nationell säker- het och å andra sidan det enskilda intresset av att inte övervakas eller kartläggas utan starka och berättigade skäl samt det allmänna intresset av fri åsikts- och opinionsbildning.

277

Inriktningen för en reform

SOU 2025:49

Verksamhetens behov måste tillgodoses i större utsträckning genom den nya lagen

Av avsnitt 6.1 och 6.2 framgår att Säkerhetspolisens förmåga begrän- sas av ett regelverk som inte i alla delar är utformat för behoven i verksamheten. Vi uppfattar att det är mycket angeläget att stärka Säkerhetspolisens förmåga i flera avseenden. Den underrättelseverk- samhet som Säkerhetspolisen bedriver avser att kartlägga hot mot centrala nationella intressen. Stora delar av samhället förlitar sig på Säkerhetspolisens förmåga att upptäcka, förebygga och förhindra dessa hot. Säkerhetspolisen är en av flera svenska myndigheter med ett utpräglat underrättelseuppdrag. En av Försvarsmaktens grenar består av den militära underrättelse- och säkerhetstjänsten som både har i uppdrag att identifiera yttre hot mot landet och inre hot mot Försvarsmaktens verksamhet. Den svenska signalspanings- myndigheten FRA bedriver ett avancerat underrättelsearbete, bland annat på uppdrag av Säkerhetspolisen. Dessa båda verksamheter har nyligen fått en mer verksamhetsanpassad personuppgiftslagstift- ning. Med hänsyn till de likheter som finns i uppdrag och verksam- het mellan myndigheterna finns skäl att dra lärdom av och, om lämpligt, harmoniera lagstiftningarna.

Säkerhetspolisen har bland annat tillgång till högt kvalificerad personal, de tekniska resurser som krävs och ett utbyggt internatio- nellt samarbete. Det som saknas för att fullt ut utnyttja Säkerhets- polisens förmåga i dag är de rättsliga förutsättningarna för att effek- tivt behandla personuppgifter i olika avseenden. Det är i första hand underrättelseverksamhetens behov som ska tillgodoses genom våra förslag.

Vi anser att det bör ske genom att frångå utgångspunkten att varje enskild personuppgift som behandlas av Säkerhetspolisen ska bedömas för sig i fråga om behandlingen utgör ett intrång i den personliga integriteten med mera Det måste vara möjligt att se på sammanhang i stället för att i detalj pröva varje enskild personuppgift. Att i allt för stor utsträckning dekonstruera och pröva uppgifter utanför sitt sammanhang är inte en metod väl lämpad för under- rättelseverksamhet, vars mål ofta är att just sätta in uppgifter i en kontext. Detta gäller för den taktiska såväl som för den strategiska underrättelseanalysen.

278

SOU 2025:49

Inriktningen för en reform

Vidare måste det var möjligt för Säkerhetspolisen att behandla personuppgifter under längre tid än i dag. Av avsnitt 6.1.5 framgår att konsekvenserna av dagens behandlingstider kan innebära oaccep- tabla risker för medborgare och samhället och att dessa brister kan komma att påverka andra myndigheters beslutsfattande.

Lagstiftningen vi föreslår behöver även tillåta att ny teknik används och utvecklas. Det är väsentligt att Säkerhetspolisen kan möta hot som den tekniska utvecklingen innebär och samtidigt dra nytta av ny teknik i den egna verksamheten. Det måste därför finnas förut- sättningar att behandla personuppgifter för teknisk utveckling.

Utgångspunkten är att verksamheten inte ska hindras av regler som saknar ett tydligt integritetshöjande syfte

I avsnitt 6.1 har vi redogjort för vilka hinder den nuvarande lagstift- ningen ställer upp för Säkerhetspolisens verksamhet. Flera av dessa hinder är medvetna begränsningar för att på olika sätt reducera integ- ritetsintrång och minska risken för rättighetskränkningar. Exem- pelvis avser den förhöjda behandlingströskeln för känsliga person- uppgifter att minimera risken för att sådana uppgifter behandlas felaktigt eller sprids (se avsnitt 3.5.5).

Andra begränsningar kan utgöra oavsiktliga konsekvenser av

regler som påverkar verksamheten på ett påtagligt sätt, utan att det tillgodoser bestämmelsens primära syfte. Ett exempel på det är att Säkerhetspolisen anser sig förhindrad att hålla en egen kopia av en referensdatabas, som exempelvis en digital telefonkatalog (se av- snitt 6.1.6). Skyddet av personuppgifter är i dessa fall verksamhets- hindrande utan att det i samma utsträckning kan anses vara integri- tetshöjande.

Vi har även identifierat en rad bestämmelser som innebär ett påtagligt administrativt merarbete genom att de förutsätter gransk- ning, annotering och bedömning av krav, utan att det finns någon uppenbar integritetsvinst. Varje sådant krav innebär att resurser måste fördelas från operativ till administrativ verksamhet. Flera av dessa bestämmelser har sitt ursprung i en reglering som avsåg ett annat arbetssätt, ett annat informationsflöde och med andra tek- niska förutsättningar. Ett exempel är huruvida lagstiftningen ska vara tillämplig för uppgifter om juridiska personer. Denna bestäm- melse är motiverad av bland annat tekniska skäl som inte längre är

279

Inriktningen för en reform

SOU 2025:49

giltiga, men innebär alltjämt en omotiverad förmågesänkning. Det finns även flera detaljregleringar, exempelvis en individuell notering i systemen av personer som inte är misstänkta för brottslig verksam- het. Bestämmelsen har sitt ursprung i ett annat system och är nu inte längre motiverad utifrån det merarbete regleringen medför för verksamheten.

Intrånget ska balanseras

Kartläggning av enskildas personliga förhållanden, utan samtycke och ofta utan konkret brottsmisstanke, utgör en verksamhet av särskilt integritetskänsligt slag. En stor del av Säkerhetspolisens verksamhet är till sin natur sådan att det kan leda till ett betydande intrång i den personliga integriteten. Frågan om en lagstiftning som medger ett sådant intrång i grundläggande rättigheter är proportio- nerlig innebär en prövning i flera steg. Att lagstiftningen möter ett faktiskt och genuint behov som inte kan tillgodoses genom mindre ingripande åtgärder är en del av denna prövning. Prövningen kan emellertid inte stanna vid att pröva behoven. Även intrånget måste vägas in i bedömningen.

De behov som våra förslag ska möta har vi redogjort för i bland annat avsnitt 6.1 och 6.2. Vi kommer i de enskilda bestämmelserna göra ytterligare överväganden angående behoven och huruvida de kan tillgodoses genom mindre ingripande åtgärder. Här redovisas några ingångsvärden vi haft vid dessa överväganden.

En integritetsintrångsanalys av en lagstiftning ska typiskt sett innehålla en bedömning av vilken typ av personuppgifter som kom- mer att behandlas till följd av förslaget. Denna fråga är svår att besvara när det kommer till Säkerhetspolisens brottsbekämpande verksamhet. Säkerhetspolisen har getts ett relativt brett mandat att inhämta personuppgifter och har tillgång till en mängd olika inhämt- ningsmetoder. I princip kan därför alla tänkbara personuppgifter komma att behandlas.

Att lösa integritetsrisker genom att förbjuda behandling av vissa personuppgifter eller föreskriva vilket slag av personuppgifter som får behandlas uppfattar vi inte vara en framkomlig väg, eftersom det förutsätter en individuell granskning och bedömning av varje

280

SOU 2025:49

Inriktningen för en reform

enskild uppgift, något som inte låter sig göras på ett rimligt effek- tivt sätt.

Om kraven på granskning av enskilda personuppgifter minskar är dock den mest sannolika följden att antalet personuppgifter som behandlas ökar. Vår uppfattning är att de integritetsrisker som detta medför ska motverkas genom mekanismer som innebär att systemet och behandlingens faktiska effekter i högre grad ska bedömas och om nödvändigt kunna korrigeras. Vi anser exempelvis att riskerna med att behandla känsliga personuppgifter i Säkerhetspolisens verk- samhet inte i första hand utgörs av risken för att obehörig personal ska få tillgång till dem eller att de sprids genom exempelvis en data- läcka. De risker som registrering av uppgifter som avslöjar en per- sons religiösa övertygelse, etniska ursprung eller sexuella läggning är mest framträdande om dessa uppgifter utgör sökkriterier eller på annat sätt används för att göra ett urval av personer. Att göra ett urval av personer baserat på enbart känsliga personuppgifter har potential att leda till diskriminering eller ett ogrundat misstänklig- görande av individer. Vi ser därför starka skäl att i lag särskilt reg- lera förutsättningarna för sådan behandling.

Vad som utgör känsliga personuppgifter är en generell uppräk- ning, som gäller över i princip hela samhället, se avsnitt 3.5.5. Vi har dock uppfattat att det även finns andra uppgifter som kan vara minst lika integritetskänsliga men som inte ingår i den uppräkning som följer av bland annat dataskyddskonventionen eller dataskydds- förordningen. Personuppgifter som kan påverka anonymitetsskyd- det för så kallade meddelare enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen samt uppgifter om vad som förekommit i förtroliga samtal mellan en misstänkt och dennes försvarare anser

viförtjänar ett starkt skydd. Riskerna för kränkning av grundläg- gande fri- och rättigheter får anses vara så betydande vid behandling av sådana uppgifter att ett eventuellt behov för verksamheten får stå tillbaka.

Det finns vidare starka skäl att överväga vilka potentiella risker som följer av att implementera ny teknik i verksamheten. En lag som tillåter utveckling av exempelvis artificiell intelligens i en så känslig verksamhet som Säkerhetspolisens anser vi även måste inne- hålla försäkringar om att tekniken inte ska kunna ges ett självstän- digt bestämmande inflytande.

281

Inriktningen för en reform

SOU 2025:49

En robust tillsyn

Säkerhetspolisens personuppgiftsbehandling står i dag under tillsyn av två oberoende organ, Säkerhets- och integritetsskyddsnämnden och Integritetsskyddsmyndigheten. Den kontinuerliga tillsynen bedrivs av Säkerhets- och integritetsskyddsnämnden men det är Integritetsskyddsmyndigheten som har befogenheter att korrigera missförhållanden.

Vi anser att tillsynen utgör en helt avgörande komponent för att värna enskildas integritet. Säkerhetspolisen är ansvarig för att myn- digheten följer gällande lagstiftning men det krävs även en robust tillsyn av att så sker. Vår ambition är därför att så långt möjligt bidra till att tillsynen blir effektiv. En effektiv tillsyn ska syfta till att personuppgifter behandlas författningsenligt av Säkerhetspoli- sen. Vår ambition är att dataskyddet inte ska grundas på förutsätt- ningar för att registrera enskilda personuppgifter utan ska gälla på en mer systematisk nivå. En sådan förflyttning innebär även att tillsynen kommer att behöva anpassas och i större utsträckning inriktas på hur personuppgifter behandlas och behandlingens fak- tiska eller potentiella effekter.

Vårt förslag innehåller därför flera bestämmelser som syftar till att stärka tillsynen i dessa avseenden.

En mer transparent lag

Personuppgiftslagar i allmänhet är ofta svårgenomträngliga. För att kunna bedöma intrånget krävs en förförståelse av rättspraxis, tillämp- ningen i verksamheten och vilka faktiska möjligheter som verksam- hetsutövaren har att genomföra olika åtgärder. En teknikneutral och flexibel lagstiftning kräver ett visst mått av abstraktion. Det är heller inte möjligt att i klartext förklara exakt hur Säkerhetspolisen behandlar personuppgifter i verksamheten.

Vi anser däremot att det ska vara möjligt att förstå lagens upp- byggnad utan att behöva känna till verksamheten i detalj. Ett exem- pel på att detta inte är möjligt i nuvarande lagstiftning är att det finns en inbyggd motsättning i att det ställs krav för att överhuvud- taget få behandla personuppgifter som endast kan uppfyllas genom att behandla dem. Säkerhetspolisen behöver, för att uppfylla dessa krav, på förhand känna till innehållet i alla uppgifter som samlas

282

SOU 2025:49

Inriktningen för en reform

eller hämtas in. Förutsättningarna för att Säkerhetspolisen ska få samla in personuppgifter ska lämpligen framgå direkt av lagen.

Vi avser därför att så långt som möjligt lämna förslag till en lag som är möjlig att tillämpa, och därmed även utöva tillsyn över, och som bättre speglar hur personuppgifter faktiskt måste kunna behand- las i verksamheten.

7.1.4En proportionerlig tillämpning

Ändamål och rättslig grund

Den lag vi föreslår kommer att ställa höga krav på tillämparen. Vi anser att en myndighet som Säkerhetspolisen, vars kärnverksamhet består av informationshantering, kan anförtros uppgifter som kräver svåra bedömningar inom detta område.

En sådan bedömning är att formulera ändamål för personuppgifts- behandling. Det är endast Säkerhetspolisen som vet vilka ändamål som är relevanta för verksamheten. Vi anser därför att lagen endast ska uppställa de yttre ramarna för personuppgiftsbehandling och, i likhet med dagens lagstiftning, inte i detalj ange ändamålen för be- handling. En utgångspunkt är att Säkerhetspolisen ska få behandla personuppgifter för samtliga ändamål som behövs för den brotts- bekämpande verksamheten. När det kommer till kärnverksamheten, som består i underrättelseverksamhet, finns det anledning att sär- skilt överväga vad denna verksamhet omfattar.

Behandlingströskel

Det är i dagsläget endast de uppgifter som är nödvändiga för en rättslig grund som får behandlas. Det finns anledning att titta när- mare på hur denna bestämmelse överensstämmer med Säkerhets- polisens uppdrag. Kraven på att varje uppgift ska vara nödvändig innebär att en uppgiftsmängd, exempelvis ett fotografi eller ett dokument, inte kan bedömas som nödvändigt i sin helhet. Efter- som det i dagsläget är olika behandlingströsklar för känsliga per- sonuppgifter och andra uppgifter måste en detaljerad granskning och bedömning göras för att både identifiera känsliga personupp- gifter och bedöma om behandling av dem är absolut nödvändig.

283

Inriktningen för en reform

SOU 2025:49

Detta medför problem i tillämpningen och är inte en ordning som är anpassad för verksamheten, där känsliga personuppgifter är van- ligt förekommande.

Vi uppfattar inte heller att endast pröva behovet av att behandla en känslig personuppgift i och för sig utgör ett adekvat skydd mot kränkning. En personuppgiftslag ska skydda mot risken för intrång i grundläggande fri- och rättigheter. Det är en bedömning som krä- ver mer än ett konstaterande av att det är absolut nödvändigt att behandla en uppgift. Det kan finnas anledning att överväga om en högre behandlingströskel är det mest effektiva skyddet eller om riskerna eller den faktiska effekten av behandlingen bör få större genomslag.

Proportionalitetsavvägning

En nyhet i dataskyddskonventionen 108+ är bestämmelsen, i artikel 5.1, som säger att all personuppgiftsbehandling ska vara proportionerlig och utgöra en skälig avvägning mellan intresset av att utföra behandlingen och andra allmänna och enskilda intressen. Denna proportionalitetsprincip ska tillämpas genom alla steg av behandlingen: från insamling och registrering till sökning, läsning och delgivning.

Av 2 kap. 21 § regeringsformen följer en liknande proportionali- tetsprincip som anger att en begränsning av en fri- eller rättighet inte får gå längre än nödvändigt. Proportionalitetsprincipen har i svensk förvaltningsrätt ansetts innebära att en myndighet måste avstå från att meddela ett betungande beslut om de negativa kon- sekvenserna för den enskilde inte står i rimlig proportion till det allmänna intresse som ska tillgodoses. Principen gäller även om det i och för sig finns författningsstöd för åtgärden.4

Säkerhetspolisen har getts ett brett mandat att inhämta person- uppgifter och har tillgång till flera olika inhämtningsmetoder. I prin- cip kan därför alla tänkbara personuppgifter komma att behandlas i verksamheten. I praktiken innebär detaljkraven i nuvarande person- uppgiftslagstiftning att det inte är möjligt för Säkerhetspolisen att behandla all information som myndigheten har rätt att inhämta. Vi uppfattar att det är en brist att mycket starka verksamhetsbehov

4NJA 2016 s. 868 p. 15. Se även t.ex. NJA 2012 s. 400 p. 19 och 2018 s. 753 p. 20.

284

SOU 2025:49

Inriktningen för en reform

inte kan tillgodoses på ett mer effektivt sätt än i dag. Samtidigt kan integritetsintrånget med nuvarande lagstiftning bli omotiverat stort genom behandling av personuppgifter med låg eller ingen verksam- hetsnytta. Det framstår som mer lämpligt med en lagstiftning som medger större intrång om det kan motiveras av tungt vägande ända- mål, än att alla uppgifter som passerar en viss behandlingströskel ska behandlas lika.

Hur tungt ändamål som krävs för att ett visst intrång ska få ske är inte möjligt att förutse och inte heller lämpligt att slå fast i lag. Det är inte heller nödvändigt med på förhand givna trösklar vid en sådan prövning. Polislagens allmänna principer om ingripanden, i

8 §, är ett exempel på hur en proportionalitetsprövning är en del av det dagliga arbetet i andra delar av verksamheten. Bestämmelsen föreskriver bland annat att ett polisingripande ska vara försvarligt med hänsyn till åtgärdens syfte och övriga omständigheter och att mer tvång inte får användas än som behövs för att uppnå avsett resultat. Bestämmelsen ger både möjlighet att tillgripa tvång då det krävs men samtidigt en möjlighet att ifrågasätta ett ingripande som inte framstår som proportionerligt.

Vi anser att en proportionalitetsprövning för varje behandlings- åtgärd kan vara ett lämpligt sätt att reglera personuppgiftsbehand- ling som kan innebära övervakning eller kartläggning av den enskildes personliga förhållanden. Vi uppfattar att det möjliggör en prövning som bättre tillgodoser skyddet för fri- och rättigheter än att lämna detaljerade, formella förutsättningar för personuppgiftsbehandling på uppgiftsnivå. Proportionalitet som en förutsättning för behand- ling innebär också att tillsynsmyndigheten kommer kunna utöva tillsyn av åtgärders faktiska eller potentiella effekter på ett annat sätt än i dag. En ny lagstiftning bör utformas från dessa utgångs- punkter. De närmare övervägandena om en sådan ny allmän per- sonuppgiftslagstiftning för Säkerhetspolisen finns i kapitel 8.

285

Inriktningen för en reform

SOU 2025:49

7.2En ny lag som möjliggör för Säkerhetspolisen att behandla vissa informationsmängder

Förslag: Det är inte möjligt att behandla vissa stora informations- mängder enligt säpodatalagens bestämmelser om bland annat behov, adekvans och uppgiftsminimering. Säpodatalagen ska därför kompletteras av en särskild lag som reglerar behandling av stora, ostrukturerade informationsmängder som är befogade för myndigheten att behandla. Lagen ska medge att uppgiftsmäng- der registreras och behandlas i sin helhet för ett övergripande ändamål.

Behandling av stora mängder personuppgifter bär med sig risker för den personliga integriteten och andra grundläggande fri- och rättigheter. För sådan behandling som kan innebära en kränkning eller en betydande påverkan av rättigheten krävs starka skyddsmekanismer.

7.2.1Säkerhetspolisen måste ges ny förmåga att hantera information

Samhället har genom digitaliseringen och den tekniska utvecklingen förändrats i grunden. Förändringen har inneburit att det varje dag produceras enorma och komplexa mängder information. I avsnitt

6.2.1redogörs för hur informationsflödena har utvecklats under de senaste decennierna. I tillägg kan nämnas att under de dryga fem år som säpodatalagen varit i kraft till att detta betänkande avlämnats (januari 2020 till april 2025) har det genererats uppskattningsvis fyra gånger så mycket data som den sammanlagda mängd som gene- rerats från skriftspråkets tillkomst fram till att säpodatalagen beslu- tades. Även om denna siffra inte är direkt överförbar till en ökning av den informationsmängd som är relevant för Säkerhetspolisen att behandla, ger den en fingervisning om att det inte längre är möjligt att tillämpa samma metoder för att hantera information som när tidigare personuppgiftslagstiftningar beslutats.

Säkerhetspolisens uppdrag som nationell säkerhetstjänst skiljer sig från andra brottsbekämpande myndigheters på så sätt att huvud- fokus i den brottsbekämpande verksamhet ligger på underrättelse- arbete. Den säkerhetshotande verksamhet som Säkerhetspolisen

286

SOU 2025:49

Inriktningen för en reform

ansvarar för att bekämpa är per definition hot mot själva statens suveränitet och funktionalitet. Säkerhetstjänstens primära uppgift är därför att förebygga och förhindra sådan verksamhet innan ett brott har begåtts. Den säkerhetshotande brottslighet som Säker- hetspolisen ansvarar för att bekämpa utmärks även av att den är mycket svårupptäckt. För att upptäcka det okända hotet är det naturligt att underrättelsearbetet måste ske med en större bredd än om det redan på förhand finns en lägesbild eller mer konkretiserade misstankar. Säkerhetspolisen har därför ett, i förhållande till andra brottsbekämpande myndigheter, särpräglat uppdrag. För att lösa sitt uppdrag behöver Säkerhetspolisen ha tillgång till relevant infor- mation och förmåga att på ett effektivt sätt hantera och bearbeta denna. Förmågan att snabbt kunna kontrollera och förstå stora mängder information är avgörande för en säkerhetstjänst.

Det finns en förväntan om att Säkerhetspolisen ska ha förmågan att identifiera brottslig verksamhet som förekommer på olika öppna plattformar på internet som i sociala medier eller i andra mer ljus- skygga forum. Redan av den exponentiella informationstillväxten som sker på internet följer att den spaning som bedrivs i öppna källor, för att vara effektiv, måste kunna ske genom automatiserad behandling av stora informationsmängder. Det finns flera exempel i närtid på personer med en extremistisk agenda som på förhand aviserat sin avsikt att begå terrorbrott. Som framgår av avsnitt 5.1.5 förväntas olika digitala plattformar vara av fortsatt central betydelse för såväl attentatshotet mot Sverige som för tillväxten av våldsbeja- kande miljöer. I dag krävs att Säkerhetspolisen har förmåga att få tidiga varningar om eller upptäcka bland annat terrorhot eller brotts- planer som publicerats på internet.

Vår uppfattning är att den nationella säkerhetstjänsten även i andra sammanhang förväntas ha förmåga att hantera information effektivt och över tid. Ett exempel på behovet av ny förmåga i detta avseende kan hämtas från en av Säkerhetspolisens förundersök- ningar inom kontraspionaget. Inom ramen för brottsutredningen inhämtades uppgifter genom hemlig dataavläsning avseende en individ som misstänktes vara en aktiv agent för främmande makt. Utifrån den samlade informationsbilden bedömdes individen ingå i ett nätverk av agenter som fick uppdrag av samma underrättelse- officer. Säkerhetspolisen hade kännedom om några men troligtvis inte alla agenter verksamma i nätverket. Det inhämtade materialet

287

Inriktningen för en reform

SOU 2025:49

var mycket omfattande och innehöll sannolikt uppgifter som sam- mantaget med annan information skulle kunna bidra till att fler agenter inom samma nätverk kunde identifieras och vars säkerhets- hotande aktiviteter därmed skulle kunna motverkas. Trots att bety- dande resurser lades på granskning och bearbetning av det inhäm- tade materialet var det inte möjligt att i tid granska och bedöma alla personuppgifter enligt säpodatalagens krav. Stora delar av informa- tionen förstördes därför utan att ha tillförts Säkerhetspolisens underrättelsesystem. I uppföljningen av det aktuella nätverket inhämtades senare, i en annan förundersökning, omfattande it- beslag. Informationen från den första förundersökningen kunde dock inte komplettera den nya, eftersom den raderats. Även den information som inhämtades i den nya förundersökningen förstördes då informationsmassan innehöll ett mycket stort antal personuppgif- ter som inte var möjliga att bedöma var för sig. Säkerhetspolisens konsekvensanalys är att oförmågan att behandla informationen som inhämtats medförde en sämre förmåga att identifiera okända individer som bedriver olovlig underrättelseverksamhet eller kontak- ter till dem.

Ett annat exempel är de uppgifter som behövs inom Säkerhets- polisens personskyddsverksamhet. Inom denna verksamhet finns behov bland annat av att kontinuerligt och över tid kunna hämta in och behandla öppet tillgänglig information. För att kunna följa utvecklingen av potentiellt hotdrivande kommunikation och upp- märksamhet kring skyddspersoner i den centrala statsledningen behöver Säkerhetspolisen löpande analysera uppgifter från sociala medier. Detta för att kunna göra mer träffsäkra bedömningar av den sammantagna hotbilden mot skyddspersoner och fatta välav- vägda beslut om dimensioneringen av personskyddet. Genom att analysera avvikelser, trender och mönster i sociala medier är det möjligt att tydligare kunna urskilja och förstå bakomliggande orsa- ker till potentiellt hotdrivande kommunikation och känslostäm- ningar. Möjligheten att inhämta och behandla större datamängder över tid skulle också stärka myndighetens förmåga att utvärdera och lära av tidigare händelser, då information från exempelvis sociala medier kan vara en viktig pusselbit för att förstå varför ett skeende kom att se ut som det gjorde. Med befintlig lagstiftning har Säker- hetspolisen inte möjlighet att bedriva sådan inhämtning givet att den typ av information som inhämtningen skulle riktas mot inne-

288

SOU 2025:49

Inriktningen för en reform

håller en stor mängd personuppgifter, ibland även känsliga person- uppgifter, som var och en måste granskas och bedömas enligt Säpo- datalagens bestämmelser. Konsekvenserna av detta blir en sämre förmåga för Säkerhetspolisen att, utifrån en helhetsbild, identifiera konkreta och potentiella hot mot Säkerhetspolisens skyddspersoner. Konsekvenserna blir också en sämre förmåga att känna igen och upptäcka förändringar i uppmärksamhet och kommunikation kop- plat till en skyddsperson där dessa förändringar i sig skulle kunna utgöra en varningssignal för att hotbilden mot skyddspersonen redan har eller kan komma att förändras. Eftersom Säkerhetspolisen saknar historiska uppgifter kan inte nya observationer sättas in i ett kontextu- ellt och historiskt sammanhang. Det innebär att nya observationer om företeelser inte kan jämföras eller analyseras med tidigare observa- tioner vilket försvårar bedömningar avseende de nya observationernas underrättelserelevans.

Säkerhetspolisen har ett behov av att kunna bearbeta och ana- lysera information snabbare i dag än vad som var nödvändigt förr. När exempelvis ett terrorattentat inträffat genereras i dag en mycket stor mängd information som behöver samlas in, tips behöver han- teras och information utbytas med nationella och internationella partners. Informationsflödet är vid sådana händelser mycket om- fattande. Ett annat exempel är den spridning av desinformation som skett på senare tid i det svenska samhället, exempelvis i sam- band med de så kallade koranbränningarna. För att ha möjlighet att upptäcka källan till informationen, som skulle kunna vara en statlig aktör som vill skapa en oro och misstro i det svenska samhället, måste Säkerhetspolisen i realtid kunna följa hur informationen spridits, vem som är ursprunget och hur informationsflödesprocessen ser ut. För att förstå vilka som eventu- ellt radikaliseras av den desinformation som sprids, och som därför kan befaras komma att begå terrorhandlingar, behöver Säkerhets- polisen också förstå vilka mottagarna av desinformationen är. Säker- hetspolisen måste, för att kunna hantera denna uppgift, bearbeta och analysera informationsmängder under stark tidspress.

Det finns även behov att behandla uppgifter över tid eftersom det inte alltid är möjligt att identifiera vad som är relevant förrän informationen kopplas samman med annan information. I en nät- verkskartläggning kan det krävas komplex analys för att koppla samman aktörer. Personer som inledningsvis framstått som mindre

289

Inriktningen för en reform

SOU 2025:49

relevanta i förhållande till Säkerhetspolisens uppdrag kan flera år senare, då kartläggningen kompletterats med ytterligare underlag, visa sig vara centrala gestalter. En person som inledningsvis fram- stått som perifer i ett nätverk kan visa sig vara den som kopplar samman ett nätverk med ett annat. Personuppgifter som var för sig inte är ägnade att väcka misstanke kan efter att ha analyserats över tid visa sig utgöra olika identiteter för en och samma antagonistiska aktör.

Vår uppfattning är att dagens regelverk inte ger tillräcklig för- måga för Säkerhetspolisen att utföra sitt underrättelseuppdrag efter- som det saknas medel för att effektivt behandla de allt större informa- tionsmängderna. Det kan vara bland de uppgifter som framstår som perifera, och som därför i normalfallet måste raderas, som det dolda hotet kan uppstå och utvecklas utan att Säkerhetspolisen i dag har möjlighet att upptäcka det. I den information som Säkerhetspolisen tvingas lämna obearbetad och radera utan granskning kan det med säkerhet sägas finnas uppgifter som skulle kunna bidra till att skydda Sveriges eller våra allierades nationella säkerhet. Möjligheten att inhämta och behandla större datamängder över tid skulle också stärka myndighetens förmåga att utvärdera och lära av tidigare händelser, då information från exempelvis sociala medier kan vara en viktig pusselbit för att förstå varför ett skeende kom att se ut som det gjorde.

7.2.2Behandling av vissa informationsmängder kräver undantag från dataskyddskonventionen

Nödvändiga åtgärder för att skydda nationell säkerhet

När det kommer till hotet mot nationell säkerhet och terrorism anser vi att det finns en betydande skillnad mellan förväntningarna på Säkerhetspolisens förmåga att upptäcka okända hot och myndig- hetens rättsliga möjligheter till ett effektivt underrättelsearbete. EU:s dataskyddsregelverk är inte tillämpligt för nationella säker- hets- och underrättelsetjänsters verksamhet och det finns betydande möjligheter till undantag motiverade av nationell säkerhet från de principer som följer av dataskyddskonventionen. Detta visar på att det finns en betydande skillnad mellan personuppgiftsrättens gene- rella tillämpning och hur man ser på avvägningen mellan allmänna

290

SOU 2025:49

Inriktningen för en reform

och enskilda intressen som påverkas och behovet av att förebygga nationella säkerhetshot.

Det finns i dag ingen rättslig möjlighet för Säkerhetspolisen att över tid behandla stora mängder information för att analysera vilka uppgifter som kan vara relevanta för att exempelvis upptäcka spioneri- brottslighet eller förhindra terroristattentat. I en stor informations- mängd saknar ofta en majoritet av de personuppgifter som förekom- mer koppling till något ändamål för vilket Säkerhetspolisen får behandla personuppgifter. Som framgår av avsnitt 6.1 kan inte Säkerhetspolisen hantera all information som inkommer till myn- digheten. Då mängden information ständigt växer och flödar i allt snabbare takt blir gapet mellan Säkerhetspolisens förmåga och behov med tiden allt större. Förmågan att snabbt kunna kontrollera och förstå stora mängder information är avgörande för en säkerhets- tjänst.

Personuppgiftsrätten i allmänhet innehåller flera principer vars syfte är att förhindra att fler uppgifter än nödvändigt behandlas. Principerna om behov, ändamål, adekvans, relevans och uppgifts- minimering syftar till att säkerställa att endast uppgifter som behövs för ett på förhand uttalat ändamål får behandlas. I de flesta verksam- heter i samhället finns inte några skäl att frångå dessa dataskydds- principer. Vi har i föregående avsnitt bedömt att det finns skäl att införa en ny säpodatalag uppbyggd enligt de principer som framgår av dataskyddskonventionen 108+. Dataskyddskonventionen utgör ett ramverk och lämnar inte detaljerade instruktioner om hur en nationell lagstiftning ska utformas. Vi anser att det finns goda möj- ligheter att tillämpa de flesta av konventionens grundläggande principer även inom en verksamhet som Säkerhetspolisens. När det gäller att bygga upp en förmåga att behandla informationsmängder som inte är möjliga att granska manuellt är det inte möjligt att på något meningsfullt sätt uppställa krav på relevans, adekvans eller uppgiftsminimering. Som vi har påpekat i föregående avsnitt finns det ett stort behov att inom alla Säkerhetspolisens verksamhets- grenar behandla sådana uppgiftsmängder. Dataskyddskonventionen medger också undantag från flera centrala bestämmelser om det är nödvändigt och proportionerligt för att bland annat skydda natio- nell säkerhet (artikel 11).

Underrättelsetjänster över hela världen bygger nu upp förmågan att analysera stora datamängder i olika syften. Även inom Europa

291

Inriktningen för en reform

SOU 2025:49

finns det flera exempel på detta, exempelvis finns i Förenade kunga- riket särskild lagstiftning om behandling av så kallade ”bulk personal dataset”. Vi anser att det finns starka skäl som talar för att även Sverige ska göra vissa undantag från några av konventionens bestäm- melser i syfte att stärka Säkerhetspolisens förmåga att behandla information. Säkerhetspolisen saknar i dag förmågor som är väsent- liga för att förebygga, förhindra och upptäcka säkerhetshotande och brottslig verksamhet som innebär hot mot nationell säkerhet eller terrorism. Vi anser att denna förmåga är nödvändig för att Säkerhetspolisen ska kunna fullgöra sitt uppdrag och att det behövs anpassade regler för att hantera personuppgiftsbehandling av vissa stora informationsmängder.

Proportionerliga undantag som respekterar grundläggande fri- och rättigheter genom bestämmelser i en särskild lag

Vi anser att vårt förslag till ny säpodatalag bör gälla generellt för personuppgiftsbehandling som sker inom Säkerhetspolisens brotts- bekämpande verksamhet som rör nationell säkerhet. Från denna lagstiftning bör vissa undantag göras för att kunna behandla vissa informationsmängder som behövs i verksamheten men inte kan hanteras enligt den nya säpodatalagen. Undantagen bör medge behandling inom vissa ramar som respekterar de grundläggande fri- och rättigheter som kommer till uttryck i dataskyddskonventionen och Europakonventionen.

När det kommer till hur de undantag som vi anser vara nödvän- diga ska utformas, finns det inte något tydligt ramverk att förhålla sig till. De vägledningar som finns angående behandling av stora datamängder har sällan beaktat den särskilda avvägning som bör gälla då ändamålet med behandling är skyddet av nationell säkerhet. Det gäller exempelvis den rekommendation till dataskyddskonven- tionen som rör behandling av stora datamängder.5 Rekommenda- tionen är generell till sin utformning och har inte fokus på brotts- bekämpning och i synnerhet inte sådan brottsbekämpning som gäller nationell säkerhet. Det finns dock flera principer i riktlinjen som lämpligen kan utgöra en utgångspunkt för den lagstiftning vi här föreslår. Exempelvis att det ska finnas möjligheter till test och

5Europarådet, Guidelines on the Protection of Individuals with regard to the Processing of Personal Data in a World of Big Data, 17 januari 2017.

292

SOU 2025:49

Inriktningen för en reform

träning genom simulering innan ett system används operativt eller att olika medel för behandling ska ha inbyggt dataskydd.

Det sker en mycket snabb teknisk utveckling i samhället. Genom att göra lagstiftningen så långt som möjligt teknikneutral kan den förbli hållbar över tid. Samtidigt kommer nya tekniker med nya risker. Lagen behöver därför balansera flexibiliteten att kunna ut- nyttja tekniska framsteg samtidigt som den måste innehålla tillräck- liga kontrollmekanismer för att bibehålla sin rättsstatliga legitimitet. Mekanismer som skapar legitimitet anser vi vara helt avgörande för att förtroendet både för Säkerhetspolisen och för de nya metoder som teknikutvecklingen medför.

Samma tekniker som ibland utmålas som en stor samhällelig risk och ett vapen för antagonister kan och bör även användas som ett skydd för samhället som minimerar detta hot och skapar ökad trygg- het. I detta syfte finns ett stort behov av att kunna hantera stora datamängder. I flera utvecklade demokratier sker sådan behandling redan i dag. Även Sverige behöver ett robust system för att Säkerhets- polisen ska kunna utnyttja denna möjlighet under robust, rättsstat- lig kontroll. En hörnsten i en ny lagstiftning på området är att den innehåller robusta tillsynsmekanismer. Det är en förutsättning för tilltron till att rättsstaten har förmåga att hantera den tekniska ut- vecklingen på ett ansvarsfullt sätt.

7.2.3Behandling av stora datamängder innebär en ökad risk för integritetsintrång och för avhållande inverkan på opinionsfriheterna

Personlig integritet vid behandling av stora informationsmängder

Även om det inte finns någon koppling mellan den lagstiftning vi föreslår och EU-rätten, finns anledning att nämna praxis från EU- domstolen avseende hantering av stora mängder information i form av generell datalagring av uppgifter om elektronisk kommunikation. Datalagring innebär en skyldighet för tillhandahållare av elektro- niska kommunikationsnät och kommunikationstjänster, t.ex. mobil- operatörer, att lagra uppgifter om elektronisk kommunikation. Dom- stolen har ansett att lagring av trafik- och lokaliseringsuppgifter från elektronisk kommunikation utgör ett ingrepp i de grundläg-

293

Inriktningen för en reform

SOU 2025:49

gande rättigheter till respekt för privatlivet och skydd av person- uppgifter. Detta oberoende av om de uppgifter som avser privat- livet är av känslig art eller ej eller om de berörda har fått utstå eventuella olägenheter på grund av ingreppet. Det är inte heller relevant huruvida de lagrade uppgifterna därefter används eller inte.

EU-domstolen har motiverat sin slutsats med att trafik- och lokaliseringsuppgifter kan avslöja information om ett stort antal aspekter av de berörda personernas privatliv, inbegripet känslig information, såsom sexuell läggning, politisk åskådning, religiös, filosofisk eller annan övertygelse, samhällsåskådning samt hälso- tillstånd. Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas upp- gifter har lagrats, såsom deras vanor i vardagslivet, deras stadig- varande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Sådana uppgifter gör det möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt med avseende på rätten till respekt för privatlivet som själva innehållet i kommunikationerna.6

Även Europadomstolen har i flera mål kunnat konstatera att polisens eller olika nationella säkerhetsmyndigheters lagring av personuppgifter i sig utgör ett intrång av rätten till privatliv som garanteras enligt artikel 8.1 i Europakonventionen.7 Många domar har handlat om hur medlemsstaterna motiverat dessa intrång och en bedömning av om dessa motiv utgör en proportionerlig avvägning mellan enskildas rätt till privatliv och statens intressen av registrer- ingen. Vi anser att detta synsätt bör avspeglas i den lagstiftning vi nu föreslår på området.

Avhållande inverkan på opinionsfriheterna

Med integritetsriskerna av att utöka möjligheten till kartläggning följer även riskerna att människor börjar anpassa sitt beteende för att undvika kartläggning. EU-domstolen har vid flera tillfällen på- pekat att en omfattande insamling av uppgifter om elektronisk

6EU-domstolens dom den 6 oktober 2020 i de förenade målen C 511/18, C 512/18 och C 520/18, La Quadrature du Net, p. 115–117.

7Se bland andra Leander mot Sverige, nr 9248/81, 26 mars 1987, M.M. mot Förenade kunga- riket, nr 24029/07, 13 november 2012, M.K. mot Frankrike, nr 19522/09, 18 april 2013.

294

SOU 2025:49

Inriktningen för en reform

kommunikation kan ha en avhållande inverkan på hur medborgare väljer att utöva sin yttrandefrihet genom sådana kommunikations- kanaler.8 Med en lagstiftning som mer generellt tillåter behandling av uppgifter kan resonemanget överföras även till andra källor och även allmänt tillgänglig information.9

I avsnitt 6.2.2 och 6.2.4.resonerar vi om att det finns ett behov, en förväntan och ett berättigat intresse för Säkerhetspolisen att kart- lägga bland annat extremistiska och våldsbejakande miljöer på inter- net. Det kan handla om exempelvis stängda eller öppna chattforum där det förekommer radikalisering, rekrytering och annan brottslig verksamhet. I sådana datamängder finns information som är rele- vant för Säkerhetspolisens verksamhet och erfarenhet från andra länder visar att en strukturerad bearbetning av den här typen av data har resulterat i att tidigare okända hotaktörer upptäckts. Mate- rialet innehåller också en betydande mängd personuppgifter som inte är relevanta för Säkerhetspolisens uppföljning.

Den brottsbekämpande verksamheten i allmänhet, så även för- mågan att behandla större datamängder på ett strukturerat sätt, kan verka avhållande i förhållande till yttranden eller manifestationer som utgör brottsliga gärningar. Att upptäcktsrisken verkar brotts- preventivt är inte något problem. Riskerna med den ökade förmågan är att den även verkar avhållande i förhållande till yttranden som inte är kriminaliserade eller kan anses utgöra brottslig verksamhet. Om det upplevs medföra en risk för kartläggning att nämna vissa ord eller ge uttryck för en kontroversiell politisk uppfattning eller att förespråka en viss religiös tolkning är påverkan på opinionsfri- heterna ett faktum, se avsnitt 6.3.3.

En lagstiftning som medger behandling av fler uppgifter än vad som kan anses direkt relevanta för bekämpande av säkerhetshotande verksamhet anser vi inte utgöra ett direkt intrång i exempelvis ytt- rande- eller religionsfriheten. Människor är oförhindrade att utöva sina fri- och rättigheter och många uppfattar sannolikt redan i dag att vissa kontroversiella ämnen kan väcka myndigheters intresse.

En sådan lagstiftning får ändå anses medföra ett indirekt intrång, som följer av risken att yttranden eller uttryck, nu eller i framtiden,

8Se bland annat EU-domstolens dom, La Quadrature du Net, p. 118.

9Se avsnitt 4.4.3 om den kritik som riktats mot den norska lagstiftning som tillåter lagring av allmänt tillgänglig information.

295

8En ny lag om Säkerhetspolisens behandling av personuppgifter

8.1Lagens syfte och tillämpningsområde

8.1.1Lagens syfte

Förslag: Syftet med lagen ska vara att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla personuppgifter på ett ändamålsenligt sätt.

Av artikel 1 i dataskyddskonventionen 108+ framgår att syftet med konventionen är att skydda enskilda med avseende på behandling av dennes personuppgifter och därigenom bidra till respekten för de mänskliga rättigheterna och grundläggande friheterna, särskilt avseende rätten till privatliv.

I nuvarande säpodatalag anges att syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhets- polisen kan behandla och utbyta personuppgifter på ett ändamåls- enligt sätt (1 kap. 1 §). Lagens syfte är dubbelt. Vi anser att detta syfte återspeglar att en central målsättning för all personuppgifts- lagstiftning är att skydda den personliga integriteten och andra grundläggande fri- och rättigheter. Detta skydd är emellertid inte ovillkorligt. Det är en nödvändig förutsättning för Säkerhetspolisens verksamhet att det sker en avvägning mellan skyddet för den person- liga integriteten och det allmänna intresset av att Säkerhetspolisen kan bedriva sin verksamhet effektivt. I likhet med den tidigare lagstiftningen bör lagens syfte återspegla att den utgör en sådan avväg- ning; mellan enskildas fri- och rättigheter och det nationella säker-

297

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

hetsintresset. Även säkerhetsintresset syftar ju ytterst till att säker- ställa fri- och rättigheter i Sverige.

Den nuvarande säpodatalagen syftar även till att Säkerhetspoli- sen ska kunna utbyta personuppgifter på ett ändamålsenligt sätt. Skä- let till att utbyte av personuppgifter särskilt nämns hör samman med att säpodatalagen är uppbyggd efter samma modell som EU:s brottsdatadirektiv. Direktivet avsåg att harmonisera medlemsstater- nas skyddsnivå för personuppgifter bland annat i syfte att underlätta det fria flödet av personuppgifter mellan unionens brottsbekämpande myndigheter.1 Detta syfte återspeglas inte lika tydligt i dataskydds- konventionen 108+ vars syfte är att skydda enskildas fri- och rättig- heter vid behandling av personuppgifter, vilket kan bidra till det fria flödet av information.2 Vi anser därför, till skillnad mot nuvarande ordning, att säpodatalagen inte bör ha som syfte att säkerställa infor- mationsutbyte. I övrigt bör den nuvarande lagens syfte även gälla för vårt förslag.

8.1.2Lagens tillämpningsområde

Förslag: Lagen ska vara tillämplig vid behandling av person- uppgifter i Säkerhetspolisens brottsbekämpande verksamhet som rör nationell säkerhet.

Lagen ska även gälla Polismyndigheten då den övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Bedömning: Lagen bör inte vara tillämplig vid behandling av andra uppgifter än personuppgifter.

Säpodatalagens nuvarande tillämpningsområde

Den nuvarande säpodatalagen gäller behandling av personuppgifter i Säkerhetspolisens brottsbekämpande och lagförande verksamhet som rör nationell säkerhet (1 kap. 2 §). Om Säkerhetspolisen behand- lar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott som inte rör natio-

1Se bl.a. förklaringssats 4 och 7 samt artikel 1.2 b brottsdatadirektivet.

2Se artikel 1 i dataskyddskonventionen 108+ samt 6 stycket i preambeln.

298

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

nell säkerhet tillämpas i stället brottsdatalagen (1 kap. 4 §). Sådan behandling kan ske då Säkerhetspolisen bistår Polismyndigheten i enskilda fall eller efter överenskommelse enligt 13 § i Säkerhets- polisens instruktion. För verksamhet som inte rör brottsbekämpning ska EU:s dataskyddsförordning tillämpas, oavsett om verksamheten omfattas av unionsrätten eller inte (1 kap. 2 § dataskyddslagen).

Vad ingår i brottsbekämpande och lagförande verksamhet?

När det gäller frågan om säpodatalagens tillämpningsområde kon- staterade regeringen i förarbetena till nuvarande lag att syftet med personuppgiftsbehandling inte nödvändigtvis behöver utgöra be- gränsningen, eftersom brottsdatadirektivet inte är tillämpligt. Reger- ingen ansåg i stället att verksamheten där behandlingen sker utgjorde en lämplig avgränsning, i likhet med den tidigare polisdatalagens tillämpningsområde. Trots att all Säkerhetspolisens verksamhet har ansetts vara ”i viss utsträckning brottsbekämpande” ansåg regeringen att vissa gränsdragningsfrågor kunde uppkomma. Delar av verksam- heten har inte ett lika tydligt brottsbekämpande syfte som övrig verksamhet, vilket beror på att Säkerhetspolisen också är en säkerhets- tjänst. Eftersom denna verksamhet är inriktad på att förebygga att säkerhetshot skapas och kan förverkligas ansåg regeringen att den indirekt kan sägas ha brottsbekämpande syfte. För att markera att lagen skulle omfatta även denna, mer indirekt brottsbekämpande verksamhet, diskuterades om lagens tillämpningsområde skulle om- fatta exempelvis ”brottsbekämpande och annan operativ verksamhet”. Regeringen stannade dock vid att låta lagen endast omfatta Säkerhets- polisens brottsbekämpande (och lagförande) verksamhet. Skälet var att inarbetade begrepp inte bör ändras utan starka skäl. Några sådana hade inte framförts i lagstiftningsärendet, även om regeringen såg fördelar med ett utvidgat tillämpningsområde.3

Syftet med den nuvarande säpodatalagen är därmed att den ska anses omfatta all operativ verksamhet inom Säkerhetspolisen. Det innefattar kärnverksamheten som nationell säkerhetstjänst där det brottsbekämpande uppdraget till stor del innebär underrättelseverk- samhet i syfte att förebygga, förhindra och upptäcka brottslig verk- samhet. Brottsbekämpning i form av det brottsutredande uppdraget

3Prop. 2018/19:163 s. 53.

299

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

är förhållandevis litet men innebär att Säkerhetspolisen även utgör en polismyndighet. Vid sidan av dessa delar har Säkerhetspolisen även flera andra uppdrag knutna till sin roll som säkerhetstjänst, bland annat person- och säkerhetsskydd samt uppgifter inom utlän- nings- och medborgarskapslagstiftningen. Sådana övriga uppgifter har det gemensamt att de alla kan innebära hantering av mycket känslig information och att de drar nytta av Säkerhetspolisens sam- lade lägesbild över företeelser som kan innebära hot mot nationell säkerhet. Alla dessa övriga uppgifter anses utgöra brottsbekämpning, men kopplingen till brott inom Säkerhetspolisens ansvarsområde är svagare och tyngdpunkten mot att förebygga säkerhetshotande verk- samhet får anses starkare.4 I polislagen anges dessa uppdrag även vid sidan av de renodlat brottsförebyggande och brottsutredande uppdragen.

Vad ingår i nationell säkerhet?

I sitt remissvar till den nuvarande säpodatalagen efterfrågade Polis- myndigheten en definition av begreppet nationell säkerhet, i syfte att kunna underlätta bedömningen av när lagen är tillämplig. Reger- ingen konstaterade att det rör sig om ett EU-rättsligt begrepp som avgränsar EU:s kompetens gentemot medlemsstaterna. I förläng- ningen är det upp till EU-domstolen att avgöra begreppets närmare innebörd och det är därför inte lämpligt att definiera uttrycket.5

Från dataskyddsförordningens tillämpningsområde undantas endast behandling av personuppgifter som utgör ett led i en verksam- het som inte omfattas av unionsrätten. Det är därför möjligt att gränserna för EU:s kompetens, och begreppet skydd av nationell säkerhet kan komma att prövas i frågor som rör skyddet av person- uppgifter.6

Sedan säpodatalagen beslutades har också EU-domstolen prövat ett antal fall som rör dataskyddsförordningens tillämpningsområde och förklarat att undantaget ska tolkas restriktivt. Undantaget avser enligt domstolen behandling av personuppgifter som statliga myn- digheter utför som ett led i en verksamhet som syftar till att upprätt-

4Jfr prop. 2018/19:163 s. 66.

5Prop. 2019/20:163 s. 52 och prop. 2017/18:232 s. 104.

6Se t.ex. EU-domstolens dom den 5 juni 2023 i mål C–204/21 p. 318–319 och den 20 oktober 2022 i mål C–306/21 p. 40–41.

300

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

hålla nationell säkerhet eller andra kategorier av verksamheter som på grund av sin art inte omfattas av unionsrätten. Sådan verksamhet utmärks bland annat av att den syftar till att skydda statens grund- funktioner och samhällets grundläggande intressen.7

Vi delar regeringens tidigare bedömning av att det varken är lämp- ligt eller ens möjligt att definiera begreppet nationell säkerhet i lag. Nationell säkerhet är ett begrepp som behöver innehålla ett visst mått av flexibilitet. Tolkning och tillämpning av begreppet måste därför i någon mån vara en fråga för praxis.8 Vår tolkning är dock att begreppet kan omfatta hela verksamheter, så länge verksamheten är ägnad att skydda eller upprätthålla nationell säkerhet. Vår bedöm- ning är att alla Säkerhetspolisens nuvarande uppgifter i princip ute- slutande ingår som ett led i en verksamhet som syftar till att skydda nationell säkerhet.

Vad omfattas inte av säpodatalagen?

Att den nuvarande säpodatalagen är begränsad till behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brotts- bekämpande och lagförande verksamhet innebär att vissa delar av myndighetens verksamhet i stället omfattas av dataskyddsförordning- ens utvidgade tillämpningsområde.9

Enligt förarbetena till den nuvarande säpodatalagen gäller data- skyddsförordningen och den kompletterande svenska lagstiftningen i första hand då Säkerhetspolisen behandlar personuppgifter i den interna och administrativa verksamheten. Som exempel på interna åtgärder angavs framtagande av interna föreskrifter, handböcker och policydokument. Administrativ verksamhet exemplifierades där som personalfrågor och ekonomihantering. Regeringen ansåg att viss behandling av personuppgifter som utförs i Säkerhetspolisens interna eller administrativa verksamhet kan vara av sådan karaktär att den gäller nationell säkerhet. Det ska exempelvis inte vara möjligt för främmande makt att med hjälp av offentliga uppgifter kartlägga

7EU-domstolens dom den 22 juni 2021 i mål C–439/19 Latvijas Republikas Saeima, p. 66 och dom den 16 januari 2024 i mål C–33/22, Österreichische Datenschutzbehörde mot WK, p. 50–52.

8Se även Europarådets kommission för de mänskliga rättigheterna avgörande den 2 april 1993 Esbester mot Förenade kungariket, mål nr 18601/91.

9Se 1 kap. 2–3 §§ lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning.

301

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Säkerhetspolisens organisation. Det konstaterades dock att Säkerhets- polisens organisation i större utsträckning än normalt omfattas av bland annat försvars- och underrättelsesekretess. Regeringen ansåg likväl att merparten av den personuppgiftsbehandling som sker i intern och administrativ verksamhet hos Säkerhetspolisen inte var av sådan karaktär att den kan anses röra nationell säkerhet.10

Tillsynen över den interna och administrativa verksamheten sker av Integritetsskyddsmyndigheten, och faller utanför Säkerhets- och integritetsskyddsnämndens tillsynskompetens.11

Finns det skäl att utvidga säpodatalagens tillämpningsområde?

Personuppgiftsbehandling för teknisk utveckling bör ske med stöd av säpodatalagen

Det finns som ovan beskrivits vissa problem att tolka lagens nuvar- ande tillämpningsområde, både avseende begreppet brottsbekämp- ande verksamhet och begreppet nationell säkerhet. Det följer av att inget av dessa begrepp är vare sig möjliga eller lämpliga att uttöm- mande definiera i lag. Det finns dock en naturlig korrelation mellan Säkerhetspolisens uppdrag och lagens tillämpningsområde, där ut- gångspunkten måste vara att i princip alla uppdrag som läggs på myndigheten är sådana att personuppgiftsbehandling ska kunna ske med stöd av säpodatalagen. Det finns sällan skäl att lägga en uppgift på Säkerhetspolisen som inte, i vid mening, rör brottsbekämpning avseende nationell säkerhet.

I vissa fall kan det dock finnas verksamhet inom myndigheten som inte direkt följer av något uttryckligt uppdrag men som behövs för att utföra en uppgift. En sådan verksamhet som identifierats under utredningen är den tekniska utvecklingsverksamheten som bedrivs inom myndigheten. Det handlar framför allt om utveckling av nya eller befintliga it-system, där personuppgiftsbehandling kan spela en central roll, se avsnitt 6.2.6.

Den tekniska utvecklingsverksamheten faller inte uppenbart inom den nuvarande lagens tillämpningsområde; behandling av person- uppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbe- kämpande och lagförande verksamhet. I likhet med andra myndig-

10Prop. 2018/19:163 s. 54.

111 § lag (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

302

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

heter måste Säkerhetspolisen verksamhet ständigt ses över, förbättras och vidareutvecklas mot bakgrund av bland annat teknikutvecklingen, ändrade förutsättningar eller förväntningar för verksamheten.12 För Säkerhetspolisen finns ett stort behov och en stor potential att struk- turera, organisera och även i viss mån analysera information med ny teknik. Uppgiften att effektivisera och förenkla informationshanter- ingen inom myndigheten är inte ny. It-system och olika behandlings- metoder har kontinuerligt utvecklats och vidareutvecklats i syfte att effektivisera myndighetens kärnverksamhet. Sådan teknisk utveck- ling har inte ansetts nödvändig att härleda till något uttryckligt upp- drag eller någon särskild rättslig grund, då det ansetts följa indirekt av andra uppdrag eller varit en nödvändig förutsättning för att myn- dighetens förvaltning och funktion.13

Vi anser att it-utveckling som syftar till att öka myndighetens förmåga att bearbeta och analysera personuppgifter utgör en del av den brottsbekämpande verksamheten. Teknisk utveckling som är inriktad mot brottsbekämpning utgör därmed även ett led i Säker- hetspolisens verksamhet som syftar till att upprätthålla nationell säkerhet. Vi bedömer därmed att det inte finns några hinder mot att tillämpa säpodatalagen för den personuppgiftsbehandling som behövs för att utveckla tekniska verktyg med en tydlig koppling till Säkerhetspolisens kärnverksamhet.

Övriga uppdrag som rör brottsbekämpning i vid bemärkelse

Säkerhetspolisens huvudsakliga brottsbekämpande uppdrag avser gärningar som är straffbelagda enligt 18 och 19 kap. brottsbalken och terroristbrottslagen. Myndigheten har emellertid många upp- drag som kan sägas röra brottsbekämpning utan att de för den delen är kopplade till den brottskatalog som myndigheten ansvarar för. Det kan exempelvis röra brottsbekämpning avseende brott eller brottslig verksamhet som inte omfattas av svensk jurisdiktion eller direkt rör svenska intressen men där Säkerhetspolisen har ett uppdrag att hjälpa utländska partners.

Säkerhetspolisen åläggs kontinuerligt nya uppgifter, senast genom en uppgiftsskyldighet i förhållande till Polismyndigheten angående

12Se 3 och 6 § myndighetsförordningen (2007:515) och 1 kap. 3 § budgetlagen och t.ex. prop. 2009/10:175 s. 24.

13Jfr prop. 2017/18:105 s. 59 f., prop. 2019/20:113 s.19 ff. och prop. 2023/24:29 s. 45 f.

303

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

terrorisminnehåll på internet enligt kompletterande bestämmelser till EU:s så kallade TCO-förordning.14 Förordningen ålägger Sverige att utse en behörig myndighet som bland annat ska kunna förelägga så kallade värdtjänstleverantörer att avlägsna terrorisminnehåll från internet. I Sverige är Polismyndigheten utsedd att utföra dessa upp- gifter och Säkerhetspolisen har fått uppdraget att lämna Polismyndig- heten de uppgifter som den behöver för att fullgöra sitt uppdrag enligt TCO-förordningen.15 Det kan i dessa fall röra sig om terrorism- innehåll som finns tillgängligt för svenskar att ta del av men som inte avser någon brottslig verksamhet i Sverige eller ens Europa. Denna uppgift kan tjäna som exempel på uppdrag som saknar direkt anknyt- ning till eventuell brottslig verksamhet avseende svenska intressen. Lagen bör vara tillämplig då Säkerhetspolisen ägnar sig åt brotts- bekämpning som rör nationell säkerhet utan att lagens tillämpnings-

område är kopplat till en viss brottskatalog. Som tidigare nämnts har det vid upprepade tillfällen uttalats att all operativ verksamhet vid Säkerhetspolisen i någon mån är brottsbekämpande. När det gäller begreppet nationell säkerhet har även klargjorts att det inte endast är Sveriges säkerhet som avses.16

Det har inte framförts något behov att utöka säpodatalagens tillämpningsområde utanför det nuvarande. Inom den brottsbekäm- pande verksamheten inryms all brottslighet som Säkerhetspolisen ska bekämpa med stöd av någon rättslig grund – oavsett om brotten angår svenska eller utländska förhållanden (under förutsättning att den omfattas av EU-domstolens definition av nationell säkerhet). När det gäller utländska förhållanden måste detta avgöras från fall till fall.

Intern och administrativ verksamhet som rör nationell säkerhet

I dagsläget omfattas inte Säkerhetspolisens administrativa verksam- het, som rör bland annat personalfrågor och ekonomihantering, av säpodatalagen eftersom detta område i många fall tydligt faller utan- för myndighetens brottsbekämpande uppdrag, och därmed säpodata-

14Europaparlamentets och rådets förordning (EU) 2021/784 av den 29 april 2021 om åtgärder mot spridning av terrorisminnehåll online (TCO-förordningen).

1512 § lagen (2023:319) med kompletterande bestämmelser till EU:s förordning om åtgärder mot spridning av terrorisminnehåll online.

16Prop. 2018/19:163 s. 53.

304

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

lagens tillämpningsområde. Detsamma gäller annan intern verksam- het som exempelvis framtagande av interna regler, handböcker eller policydokument. För personuppgiftsbehandling som faller utanför brottsbekämpningen tillämpas dataskyddsförordningen fullt ut.

Även den tidigare polisdatalagens tillämpningsområde var begränsad till brottsbekämpande verksamhet. Även tidigare saknades därmed särskild personuppgiftsreglering för Säkerhetspolisens administrativa och interna verksamhet som rör nationell säkerhet, som reglerades enligt den dåvarande personuppgiftslagen.

Det finns utrymme att lagstifta om att alla uppgifter som rör nationell säkerhet ska omfattas av säpodatalagen. Det innebär att det inte finns några hinder mot att låta administrativ och intern verksam- het som rör nationell säkerhet ingå vid sidan av de brottsbekäm- pande uppgifterna. Då Försvarsmakten och FRA fick ny personupp- giftslagstiftning år 2021 ansåg regeringen att det fanns övervägande skäl som talade för att lagstiftningen skulle vara heltäckande inom det område där Sverige har exklusiv lagstiftningskompetens.17 För Försvarsmaktens del innebär den nya personuppgiftslagstiftningen att behandling av personuppgifter i all verksamhet som rör Sveriges försvar och säkerhet samt internationellt försvars- och säkerhets- samarbete omfattas av särregleringen. Tidigare hade endast Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst varit reglerad på annat sätt än genom personuppgiftslagen. Den nya lagstiftningen omfattar därmed även intern och administrativ verksamhet, så länge verksamheten rör Sveriges försvar.18 Exempel- vis omfattas numera Försvarsmaktens personuppgiftsbehandling i samband med personalrekrytering eller ekonomihantering av den särskilda regleringen, till skillnad från motsvarande verksamhet hos Säkerhetspolisen.

Det finns inget egensyfte av att utvidga säpodatalagens tillämp- ningsområde så långt det är möjligt. Den nuvarande ordningen har beskrivits som fungerande och Säkerhetspolisens behov avser i första hand myndighetens operativa verksamhet. Vårt fokus har därför inte varit att utreda frågan om dataskyddsförordningens utsträckta tillämpningsområde.

Nackdelen med att Säkerhetspolisen måste tillämpa två olika regelverk på verksamhet som rör nationell säkerhet, säpodatalagen

17Prop. 2020/21:224 s. 57–60.

18Ibid. s. 168.

305

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

för det som kan anses utgöra brottsbekämpning och dataskyddsför- ordningen för övrig verksamhet, ska inte överdrivas. Det finns även fördelar med att dataskyddsförordningen gäller för all personupp- giftsbehandling inom den interna och administrativa verksamheten och inte endast för de uppgifter som inte rör nationell säkerhet. En sådan är att det inte uppkommer gränsdragningsproblem vid bedöm- ningen av om viss personuppgiftsbehandling rör nationell säkerhet och därmed faller utanför dataskyddsförordningens egentliga tillämp- ningsområde.19 Det kan även underlätta att renodlat administrativa åtgärder hanteras inom samma regelverk hos i princip alla myndig- heter.20 Vi har sammantaget inte funnit skäl att frångå den nuvarande ordningen att begränsa säpodatalagens tillämpning till brottsbekäm- pande verksamhet som rör nationell säkerhet.

Polismyndigheten bör liksom i dag tillämpa lagen då den övertar en uppgift från Säkerhetspolisen

Enligt 15 § i Säkerhetspolisens instruktion21 får en förundersökning eller annan uppgift i den brottsbekämpande verksamheten i ett en- skilt fall lämnas över till Polismyndigheten för fortsatt handläggning. Enligt 25 § i Polismyndighetens instruktion22 ska myndigheten även bistå vid polisverksamhet som leds av Säkerhetspolisen, om Säkerhets- polisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det eller om Polismyndigheten och Säkerhetspolisen kommer överens om det.

Av 1 kap. 2 § andra stycket säpodatalagen framgår att lagen gäller vid Polismyndighetens behandling av personuppgifter när myndig- heten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Av förarbetena framgår tydligt att bestämmelsen är avsedd att träffa både situationen att Polismyndigheten tagit över och då den biträder Säkerhetspolisen med en uppgift inom säpodata- lagens tillämpningsområde.23

19Prop. 2017/18:105 s. 29–30.

20Försvarsdatalagen ska tillämpas på all personuppgiftsbehandling som sker vid Försvarsmakten som inte omfattas av unionsrätten. Även behandlingen av personuppgifter i Försvarsmaktens interna och administrativa verksamhet som rör myndighetens personal omfattas av lagen, se prop. 2020/21:224 s. 168.

21Förordning (2022:1719) med instruktion för Säkerhetspolisen.

22Förordning (2022:1718) med instruktion för Polismyndigheten.

23Prop. 2017/18:232 s. 105 f. samt prop. 2018/19:163 s. 55 och 211.

306

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Polisens brottsdatalag bär stora likheter med den nuvarande säpo- datalagen. Det kan antas ha underlättat Polismyndighetens förståelse och tillämpning av säpodatalagen. Den lag vi föreslår kommer avvika från brottsdatalagens systematik och avvika även i materiellt hän- seende. Det innebär att det inte går att förutsätta att personal från Polismyndigheten lika sömlöst kan påbörja behandling enligt säpo- datalagen. Det kan samtidigt konstateras att de situationer då Polis- myndigheten tar över ett ärende från Säkerhetspolisen ofta sker i det skede då personuppgiftsbehandlingen även är förenlig med polisens brottsdatalag eller följer av särskilda bestämmelser i förundersök- ningskungörelsen och rättegångsbalken som gäller för båda myndig- heterna. Om det i andra fall finns behov av att överlämna ett ärende som kräver behandling enligt säpodatalagen, får frågan lösas genom utbildningsinsatser eller stöd från Säkerhetspolisen.

Vi anser därmed att den nuvarande ordningen har skäl för sig och det har inte framkommit några skäl för att inskränka eller utvidga säpodatalagens tillämpningsområde i denna del.

Behandling av uppgifter om juridiska personer

Dataskyddsregler syftar ytterst till att säkerställa enskilda individers fri- och rättigheter. Det finns inga krav enligt dataskyddskonven- tionen 108+ som innebär att juridiska personers uppgifter ska om- fattas av samma dataskydd som gäller för fysiska personers person- uppgifter. Konventionsstaterna är emellertid fria att lagstifta om skydd även för juridiska personers uppgifter.24

När säpodatalagen infördes avhandlades inte frågan om vilket data- skydd som var nödvändigt för juridiska personers uppgifter annat än helt översiktligt. I förarbetena konstaterades att dessa uppgifter ofta utgjorde indirekta personuppgifter något som innebar att det kunde diskuteras om inte även sådana uppgifter borde skyddas. Efter- som det tidigare ansetts att sådant skydd var nödvändigt, bedömdes inte någon förändring i detta avseende påkallad då den nya säpodata- lagen beslutades.25 I den tidigare lagstiftningen, 2010 års polisdatalag, motiverades att vissa av lagens bestämmelser skulle göras tillämpliga

24Se artikel 3 samt artikel 13 i dataskyddskonventionen 108+ och p. 30 i Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Auto- matic Processing of Personal Data.

25Prop. 2017/18:269 s. 113 och prop. 2018/19:163 s. 61.

307

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

även på juridiska personer främst med att personuppgifter om ägare eller ställföreträdare kunde vara svåra att särskilja från uppgifter om juridiska personer i den elektroniska hanteringen. Det konstaterades dock samtidigt att juridiska personer inte har samma behov av integ- ritetsskydd som fysiska personer.26 Liknande tekniska argument har använts för att motivera att juridiska personer omfattas av flera andra personuppgiftslagstiftningar, både inom det brottsbekämpande området27 och i andra sektorer.28 När den nyinrättade Utbetalnings- myndigheten fick en registerförfattning föreslog utredningen att juridiska personer borde omfattas av vissa bestämmelser, i huvudsak mot bakgrund av samma skäl som tidigare anförts i andra personupp- giftslagar.29 Regeringen ansåg emellertid inte att det fanns tillräck- liga skyddsskäl för uppgifter om juridiska personer för att låta delar av lagstiftningen utvidgas till att gälla utanför dataskyddsförord- ningens tillämpningsområde.30 Samma ställningstagande förefaller ligga bakom att domstolsdatalagen (2015:728), trots utredningens förslag, inte omfattar juridiska personer.31

Vi har funnit skäl att överväga behovet av att juridiska personer omfattas av dataskyddsregler som tillkommit till skydd för den personliga integriteten. Om det fortfarande, i något avseende, finns tekniska svårigheter att särskilja uppgifter om juridiska personer från personuppgifter får det konsekvenser för hur Säkerhetspolisen kan behandla uppgifterna. Sådana tekniska svårigheter bör dock inte vara ett skäl till att personuppgiftslagen ska omfatta även uppgifter om juridiska personer. Uppgifter om exempelvis bolagsföreträdare, styrelsemedlemmar eller liknande är personuppgifter och får som sådana endast behandlas i den utsträckning personuppgiftslagstift-

26Prop. 2009/10:85 s. 78 och Ds 2007:43 s. 100 (där begreppet juridisk person emellertid miss- uppfattats). Att låta juridiska personers uppgifter omfattas av lagen var inspirerat av den samtida lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (prop. 2004/05:164 s. 56).

271 kap. 6 polisens brottsdatalag och motsvarande registerförfattningar för Tullverket (2018:1694), Kustbevakningen (2018:1695) åklagarväsendet (2018:1697) och Skatteverket (2018:1696).

28Se bland annat 1 kap. 1 § andra stycket lag (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, 5 § kustbevakningsdatalag (2019:429), 1 kap. 1 § andra stycket lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet, 1 kap. 3 § vägtrafikdata- lag (2019:369).

29SOU 2020:35 s. 348 f.

30Prop. 2022/23:34 s. 121.

31Se Ds 2013:10 s. 52 och prop. 2014/15:148 s. 25. Jfr SOU 2001:100 s. 104–105.

308

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ningen tillåter det.32 Även indirekta uppgifter om enskilda personer är uppgifter som skyddas i personuppgiftslagstiftningen.

Det kan givetvis finnas skäl att låta juridiska personer omfattas av ett visst dataskydd. Det kan exempelvis ifrågasättas ur ett mer allmänt fri- och rättighetsperspektiv att Säkerhetspolisen samlar upp- gifter om föreningar av olika slag. På samma sätt skulle en omfattande registrering av vilka bolag som handlar med vissa främmande stater kunna uppfattas som ett onödigt intrång i näringsfriheten. Vi anser samtidigt att det finns skäl som talar emot att låta den nuvarande ordningen bestå. Det kan finnas anledning för Säkerhetspolisen att övervaka vissa juridiska personers förehavanden. Juridiska personer kan bedriva säkerhetshotande verksamhet exempelvis i form av ide- ella föreningar vars mål är att med våld störta det demokratiska sam- hället. Det kan också röra sig om föreningar eller bolag som används för att organisera eller finansiera terrorism eller som används vid rekrytering till våldsbejakande miljöer. I dessa fall är Säkerhetspolisens intresse av den juridiska personen avhängigt hur fysiska personer på olika sätt nyttjar dessa juridiska personer för att bedriva säkerhets- hotande verksamhet. I andra fall kan det vara den juridiska personen, exempelvis ett bolag, som är av direkt intresse. Det kan röra sig om att Säkerhetspolisen måste hålla sig informerad om vissa utländska bolag som verkar i Sverige eller i vårt närområde och ägarstruktur- erna i dessa juridiska personer. Så kan vara fallet då en annan stat eller dess säkerhetstjänst har ett direkt inflytande över bolaget eller kan verka genom det. Det kan röra sig om olika bolagskonstruktioner som främmande makt kan sätta upp för att dölja olovlig teknik- anskaffning i Sverige eller som används som täckmantel vid under- rättelseinhämtning. Det kan även finnas andra skäl för Säkerhets- polisen att registrera uppgifter om juridiska personer inom bland annat säkerhetsskyddslagens tillämpningsområde eller lag (2023:560) om granskning av utländska direktinvesteringar.

Att säpodatalagen delvis är tillämplig för uppgifter om juridiska personer orsakar ett administrativt merarbete för myndigheten. Det finns exempelvis vissa svårigheter att definiera vad som är en juri- disk person. I Sverige gäller det framför allt ideella föreningar, som inte behöver registrera sig hos någon myndighet utan kan bildas mer

32Se motsvarande argument i SOU 2023:10 s. 372 som föreslår att kompletterande register- författningar till Dataskyddsförordningen för Skatteverkets, Tullverkets och Kronofogdens icke-brottsbekämpande verksam inte längre ska omfatta juridiska personer.

309

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

formlöst genom att anta stadgar och utse en styrelse. Det stora problemet uppstår emellertid när det kommer till att bedöma om olika slags associationer i andra länder kan anses vara juridiska per- soner enligt utländsk rätt. Särskilt gäller det olika nätverk, lösa sam- manslutningar och andra mer formlösa organisationer. Frågan om en association har rättskapacitet är enligt nuvarande lagstiftning av- görande att besvara för att veta vilka regler som ska tillämpas och i vissa fall om uppgifterna får samlas in och bevaras. Detta medför betydande tillämpningssvårigheter.

Vi anser sammantaget att det saknas tillräckliga skäl att låta lagen omfatta även behandling av uppgifter om juridiska personer. Vi upp- fattar att den nuvarande bestämmelsen innebär en överreglering som inte medför tillräckligt substantiella integritetsvinster. Den skapar däremot tydliga verksamhetshinder och påverkar därmed myndig- hetens förmåga. Att lagen är tillämplig på direkta och indirekta personuppgifter om exempelvis föreningsmedlemmar och bolagsföre- trädare anser vi ger ett tillräckligt skydd för den personliga integri- teten. I den praktiska tillämpningen kommer skyddet för juridiska personer i många fall upprätthållas genom de indirekta personupp- gifter som information om bland annat föreningar och bolag inne- håller. Det bör därför inte införas någon bestämmelse om att lagen, helt eller delvis, ska vara tillämplig på uppgifter även om juridiska personer.

8.1.3Förhållandet till annan lagstiftning

Förslag: Lagen ska vara subsidiär till bestämmelser i annan lag.

Den nuvarande säpodatalagen är, enligt 1 kap. 4 §, subsidiär till annan lag eller förordning. Bestämmelsen är motiverad i huvudsak av att enskildas rättigheter enligt säpodatalagen ansågs riskera att stå i strid med enskildas rätt till insyn i brottsutredningar och straff- rättsliga förfaranden. Regeringen såg därför ett behov av att för- tydliga att, i första hand, straffprocessuella men även andra regler skulle ha företräde framför säpodatalagen.

Att bestämmelser i speciallagstiftning som rör viss personuppgifts- behandling ska ha företräde framför motsvarande bestämmelser i den generella personuppgiftslagstiftningen är inte anmärknings-

310

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

värt. Däremot kan omfattningen av den nuvarande bestämmelsen ifrågasättas. Den generella utformningen av 1 kap. 4 § innebär att även bestämmelser i förordning kan sätta lagens bestämmelser åt sidan. Det kan sättas i fråga om dagens bestämmelse är förenlig med den formella lagkraftens princip (8 kap. 18 § regeringsformen). För det fall en förordning i något avseende ska ha företräde fram- för en skyddslagstiftning bör det inte ske genom en så generell be- stämmelse. Det kan däremot komma i fråga att riksdagen delegerar till regeringen att genom förordning reglera vissa avgränsade om- råden.33 Sådan delegation bör enligt vår mening följa av respektive bestämmelse.

Den tidigare polisdatalagen var subsidiär i förhållande till lagen (2017:496) om internationellt polisiärt samarbete och de föreskrifter som regeringen har meddelat i anslutning till den lagen. Det framgår dock redan av 6 kap. 1 § lagen om internationellt polisiärt samarbete att den lagen och den till lagen knutna förordningen har företräde framför bland annat säpodatalagen.

Vi har inte uppmärksammat någon annan förordning som kan vara motiverad att ge företräde framför säpodatalagen. Det finns dock alltjämt ett behov att lagen ska vara subsidiär till bland annat rättegångsbalken eller speciallagstiftningar som rör inhämtning genom hemliga tvångsmedel. Med hänsyn till att säpodatalagen reglerar en integritetskänslig verksamhet bör endast lag kunna sätta skyddslagstiftningen åt sidan. Möjligheten att göra detta genom förordning bör därför inte överföras till den nya lagen.

8.2All personuppgiftsbehandling som omfattas av lagen ska vara proportionell

8.2.1Dataskyddskonventionens bestämmelser

Proportionalitet vid behandling av personuppgifter är en utgångs- punkt i dataskyddskonventionen 108+:

Article 5 – Legitimacy of data processing and quality of data

1.Data processing shall be proportionate in relation to the legitimate purpose pursued and reflect at all stages of the processing a fair balance

33Jfr Lagrådets yttrande i prop. 2017/18:269 s. 600.

311

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

between all interests concerned, whether public or private, and the rights and freedoms at stake.

Bestämmelsen saknar motsvarighet i konventionens tidigare lydelse och innebär att en behandling bara får ske om den är lämplig för att uppnå ändamålet. Det innebär att personuppgiftsbehandling inte får leda till ett oproportionerligt intrång i den registrerades fri- och rättigheter eller i något allmänt intresse. Proportionalitetsprincipen ska respekteras i alla skeden av behandlingen, även i det inledande skedet, när beslut fattas om huruvida behandlingen ska utföras eller inte.34

8.2.2Den nuvarande regleringen

Proportionalitetsprincipen utgör en konstitutionell princip, som kommer till uttryck i 2 kap. 21 § regeringsformen. Där anges att inskränkningar i grundläggande fri- och rättigheter aldrig får gå ut- över vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Principen kommer, vid sidan av regeringsformen, till uttryck i ett stort antal bestämmelser i lagstiftning och i praxis från de högsta domstolarna. Numera anses proportionalitetsprincipen även utgöra en allmän rättsprincip inom förvaltningsrätten vid avväg- ningen mellan olika, men var för sig skyddsvärda, intressen.

I svensk förvaltningsrätt innebär principen att en myndighet måste avstå från att meddela ett betungande beslut för vilket man i och för sig kan ha författningsstöd, om de negativa konsekvenserna för den enskilde inte står i rimlig proportion till det allmänna intresse som ska tillgodoses.35

Det finns inte någon allmän föreskrift i säpodatalagen som inne- bär att de intressen som talar för respektive mot en behandling ska vägas mot varandra och vara utslagsgivande i fråga om en behand- ling ska utföras eller inte. Det finns emellertid ett exempel då Säker- hetspolisen uttryckligen ska tillämpa en proportionalitetsprincip. Det gäller vissa av de särskilda situationer då personuppgifter får över- föras till ett annat land trots att det saknas garantier om ett adekvat dataskydd för uppgifterna. Då ska Säkerhetspolisen, enligt 9 kap.

34Se p. 40 i Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.

35Se bl.a. prop. 1987/88:65 s. 72, HFD 2012 ref. 12, HFD 2017 ref. 5 och NJA 2016 s. 868 p. 16.

312

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

4 § andra stycket säpodatalagen, först väga den registrerades intresse av skydd mot kränkning av rättigheter och friheter mot det allmänna intresset av överföringen. Detsamma gäller om en överföring, med stöd av 9 kap. 5 § ska göras till exempelvis ett privat företag eller en myndighet som inte har ett brottsbekämpande uppdrag i ett annat land.

Den proportionalitetsprincip som kommer till uttryck i artikel

5.1i dataskyddskonventionen liknar den som Säkerhetspolisen till- lämpar i många andra situationer, som inte direkt rör behandling av personuppgifter. För de straffprocessuella tvångsmedlen framgår principen direkt av de olika bestämmelserna och i polislagen finns en proportionalitetsprincip för polisingripanden.

I brottsdatadirektivet återfinns inte någon motsvarande proportio- nalitetsprincip som ska tillämpas vid alla behandlingsåtgärder. Enligt vissa särskilda bestämmelser ska dock motsvarande avvägningar göras. Exempelvis får, enligt artikel 4.2 b, personuppgiftsbehandling för andra ändamål än brottsbekämpning ske endast om sådan behand- ling är nödvändig och står i proportion till detta andra ändamål. Proportionalitetsbedömningar ska även ske i vissa fall enligt data- skyddsförordningen. Om en ny typ av behandling sannolikt innebär en hög risk för enskildas fri- och rättigheter, ska en konsekvens- bedömning göras. Enligt artikel 35.7 b är en beståndsdel av en sådan konsekvensbedömning en prövning av proportionaliteten av behand- lingen i förhållande till syftena.

8.2.3Finns det behov av en uttrycklig proportionalitetsprincip i säpodatalagen?

Bedömning: Dataskyddskonventionen 108+ ställer upp krav på att all behandling av personuppgifter ska vara proportionerlig. Kravet kan genomföras antingen genom att lagen uppställer olika krav som innebär att proportionalitet uppnås eller genom att det föreskrivs att tillämparen ska göra en sådan avvägning.

Genom ett krav på att all personuppgiftsbehandling ska vara proportionerlig kan ändamålet vägas mot intrånget i varje enskilt fall. Det möjliggör en tillämpning som överensstämmer med lagens syfte: att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och

313

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

att säkerställa att Säkerhetspolisen kan behandla personuppgifter på ett ändamålsenligt sätt.

Teknikneutralitet vid insamling, inhämtning och vidarebehandling

Sådan övervakning och kartläggning av enskildas personliga förhål- landen som omfattas av 2 kap. 6 § andra stycket regeringsformen eller sådana intrång i privatlivet som avses i artikel 8.1 i Europakon- ventionen, kan ske på olika sätt. Det görs inte någon skillnad på vilket sätt ett intrång i den personliga integriteten sker. Det är snarare åtgärdens effekter som är relevanta att bedöma för att avgöra om ett intrång också utgör en kränkning av en rättighet. Det kan därför vara lämpligt med ett teknikneutralt rättighetsskydd för att det inte ska vara möjligt att kringgå skyddsmekanismer genom att justera metoder eller för att inte skyddet efter en tid ska bli verkningslöst på grund av teknikutvecklingen. Vi anser att personuppgiftslagstift- ningen på så sätt kan utgöra en teknikneutral skyddsmekanism som förhindrar att teknik och metoder som inte omfattas av särskild lagstiftning lämnas oreglerad i fråga om proportionalitet.

Tidigare personuppgiftslagar har reglerat behandlingsåtgärder i form av exempelvis insamling, bevarande, sökning, delning och radering av uppgifter. Det har också med relativt god träffsäkerhet varit möjligt att vid lagstiftningens beredning förutse hur informa- tion kommer att behandlas och vilka konsekvenser behandlingen kan få för enskilda. Exempelvis är det naturligt att personuppgifter som finns lagrade kan hittas genom sökning under hela tiden de behandlas.36 Även om detaljerna i Säkerhetspolisens it-system är i ständig utveckling och förbättringar skett bland annat i träffsäker- heten vid sökning eller hur information presenteras, har det grund- läggande intrånget i den skyddade rättigheten som sker genom sådana behandlingsåtgärder varit likartad ända sedan myndigheten övergick till datoriserad informationshantering.

I samband med att nya tekniker utvecklats kan intrånget i den personliga integriteten vara mer svårförutsägbar. Utvecklingen kan medföra att det nu eller i framtiden är möjligt att behandla person- uppgifter på ett sätt som utgör ett större intrång än vad som varit

36Jfr exempelvis prop. 1997/98:97 s. 146.

314

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

förväntat då uppgifterna samlades in. Ett exempel är bildmaterial som numera är sökbart på ett annat sätt än tidigare. Denna teknik- utveckling innebär att det numera kan anses mer känsligt att exem- pelvis behandla stora mängder bildmaterial. Teknik för automatiska jämförelser och sökningar av sådant material gör att det som tidigare inte varit möjligt med hänsyn till den manuella arbetsinsats som krävts nu kan göras snabbt, enkelt och träffsäkert. Om sökningar efter individer i ett videomaterial dessutom kan ske i realtid, kan övervakningskameror användas på ett helt annat sätt än som varit möjligt tidigare. Denna teknikutveckling och den potentiella effekten för den personliga integriteten som den har inneburit har föranlett särskild regleringen av bland annat behandling av biometriska upp- gifter.

I framtiden kan det vara möjligt att vidta andra liknande behand- lingsåtgärder med personuppgifter som innebär ett större intrång än vad som tidigare varit möjligt. Det potentiella intrånget i enskil- das rättigheter kan vara likartat, men regleringen kan skilja sig mycket åt beroende på om lagstiftaren hunnit ta ställning till och reglera behandlingen i fråga. Uppgifter som framstod som skäliga att samla in och bevara vid insamlingstidpunkten kan senare visa sig vara mycket integritetskänsliga, då tekniska landvinningar möjliggjort att de behandlas på ett annat sätt. Europadomstolen har exempelvis identifierat att så kallad metadata, uppgifter som omgärdar det egent- liga kommunikationsinnehållet vid elektronisk kommunikation, kan utgöra mycket skyddsvärda uppgifter. Sådan data kan enligt dom- stolen numera användas för att teckna ”en intim bild av en person” genom kartläggning av dennes kontakter, sociala nätverk, platsdata, webhistorik och kommunikationsmönster. Domstolen ansåg att behandling av sådan data, som inte utgör kommunikationsinnehåll och därför inte omfattas av särskild tvångsmedelslagstiftning i alla länder (i Sverige krävs dock beslut av åklagare eller domstol), inte nödvändigtvis utgör ett mindre intrång i den personliga integriteten än själva innehållet i en kommunikation.37

Vi har uppfattat att den tekniska utvecklingen är mycket svår att förutse. Att interagera med de stora språkmodellerna, som Chat-GPT, på det sätt som görs i dag tycktes som en omöjlighet för endast några år sedan. Om utvecklingen fortsätter att accelerera, inom bland annat artificiell intelligens, framstår det som svårt för lagstiftaren

37Se Europadomstolens dom, Centrum för Rättvisa mot Sverige, p. 256 och 277.

315

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

att följa med i utvecklingen och reglera framtida integritetsrisker var för sig. Riskerna med nya behandlingsmetoder inom Säkerhets- polisens verksamhet är givetvis särskilt höga eftersom myndigheten förfogar över en stor mängd personuppgifter som kan vara av känslig art. Uppgifter över vilka enskilda, av naturliga skäl, inte har möjlig- het att ha kontroll.

Omvänt kan även sägas att det kan komma att finnas teknik till- gänglig som det finns ett starkt samhälleligt intresse av att Säkerhets- polisen använder. För att Säkerhetspolisen på ett effektivt sätt ska kunna utföra sitt uppdrag behöver myndigheten tillgodogöra sig och använda ny teknik. Det är inte önskvärt att lagstiftningen är så statisk att Säkerhetspolisen hindras från i och för sig rimliga och proportionerliga behandlingsåtgärder.

Den proportionalitetsprincip som följer av artikel 5.1 i dataskydds- konventionen 108+ kan utgöra ett hinder mot att ny teknik används på ett sätt som inte är förenligt med grundläggande värderingar i vårt samhälle. Samtidigt medger denna princip tillräcklig flexibilitet för att tillåta att ändamål av stor vikt motiverar större intrång i andra skyddsvärda intressen än ändamål som är av lägre dignitet. Proportio- nalitetsprincipen kan därför öppna för en teknikneutral och flexibel lagstiftning, både för verksamhetens behov och för de intressen som dataskyddet värnar.

Styrkan hos ändamålet bestämmer omfattningen av behandlingen

I avsnitt 6.2 redogör vi för några av de problem som identifierats med nuvarande lagstiftning. Ett av dem är att uppgifter med en uppenbar verksamhetsnytta, som exempelvis uppgifter från forum för IS-resenärer eller uppgifter som inhämtats från en person som misstänktes vara aktiv agent för främmande makt, inte kunnat be- handlas på grund av alltför strikta krav enligt nuvarande regelverk. Det finns förväntningar på att Säkerhetspolisen ska ha en hög för- måga att samla in och bearbeta information, i syfte att förhindra brott som kan påverka nationell säkerhet. Denna förväntan ökar naturligen i händelse av ett kraftigt försämrat säkerhetsläge. Det framstår på samma sätt som självklart att polisen dimensionerar en insats och bestämmer vilken utrustning som ska användas bero- ende på vilket brott eller vilken ordningsstörning det är fråga om.

316

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Nuvarande säpodatalag medger emellertid inte att någon hänsyn tas till de allmänna intressen som kan motivera att Säkerhetspolisen har behov av att utföra en viss behandling. Regleringen bygger på syn- sättet att all behandling måste passera samma prövning, utan tydlig hänsyn till hur tungt ändamålet för behandlingen väger. I princip kan samma personuppgifter behandlas för ett ändamål med mycket låg aktualitet som för ett som avser avvärjande av en akut samhälls- fara.

Detta något formalistiska synsätt kan också innebära omotiverat omfattande personuppgiftsbehandling för ändamål som framstår som mindre angelägna. Så länge de formella kraven är uppfyllda finns inte någon tydlig mekanism som innebär att skäligheten prövas. Denna brist på proportionalitetsprövning i personuppgiftsbehandlingen har också föranlett fällanden av Europadomstolen.38

En proportionalitetsprövning kan motivera behandling för tungt vägande ändamål, som inte bör tillåtas för mindre angelägna syften. Säkerhetspolisens brottsbekämpande verksamhet i stort avser det synnerligen tungt vägande allmänintresset nationell säkerhet. Det skulle kunna motivera en mycket tillåtande lagstiftning. Samtidigt kan konstateras att all Säkerhetspolisens verksamhet inte avser de mest allvarliga säkerhetshoten. En generellt tillåtande lagstiftning skulle därför kunna vara oproportionerlig i förhållande till mindre allvarliga eller mer avlägsna hotbilder. En bedömning för varje be- handlingsåtgärd framstår därför som mer lämplig än att försöka anpassa lagen till någon form av mellanläge, som kan framstå som oproportionerlig i förhållande både till det allmänna intresset av att behandla uppgifter och intresset av att inte finnas registrerad hos myndigheten.

Styrkan hos andra intressen kan begränsa behandlingen

Nuvarande lagstiftning har en på många sätt neutral utformning när det gäller bedömningen av vilka personuppgifter som är skyddsvärda. Alla känsliga personuppgifter skyddas på samma sätt och uppgifter som inte innefattas i denna kategori omfattas i princip av samma regler.

38Se Segerstedt-Wiberg m.fl. mot Sverige där bristen på proportionalitet vid Säkerhetspolisens behandling av personuppgifter särskilt framhölls.

317

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Hur stort intrång behandling av personuppgifter kan anses inne- bära för den personliga integriteten eller för bland annat yttrande- friheten beror på flera faktorer. Vi uppfattar att det exempelvis är ett väsentligt mycket större intrång i den personliga integriteten att behandla uppgifter om en enskilds sexualliv eller sexuell läggning än att behandla hälsouppgifter om en persons benbrott. Det är också stor skillnad mellan att en säkerhetstjänst aktivt samlar in politiska eller religiösa yttringar från sociala medier än att det i ett enskilt fall framgår mer indirekt. Ändå regleras dessa behandlingar i princip på samma sätt enligt nuvarande lagstiftning. Enligt säpodatalagen är det behovet som styr möjligheten till behandling av känsliga person- uppgifter. Om det är absolut nödvändigt får i princip behandlingen utföras och skyddet ge vika.

Även om det i vissa fall kan finnas ett absolut behov av att kart- lägga exempelvis politiska åsikter eller religiös övertygelse är det långt ifrån säkert att det är rimligt att genomföra en sådan kartlägg- ning. Det är fullt rimligt att sådan känslig behandling även ska under- kastas en mer allmän bedömning av de faktiska eller potentiella effekterna och inte endast verksamhetsbehovet. Det kan också kon- stateras att känsliga personuppgifter utgör ett trubbigt instrument för att bedöma vilken behandling som är den mest integritetskänsliga. Den mycket breda palett av uppgifter som inryms i detta begrepp kan alla graderas på olika sätt. En hälsouppgift som avser en stukad fot kan exempelvis inte jämföras med en som avser en psykiatrisk diagnos. För en präst i Svenska kyrkan är knappast religiös övertyg- else en lika känslig uppgift som för en person som riskerar förföl- jelse på grund av sin tro.

I vissa andra länder kompletteras de känsliga personuppgifterna av andra skyddsmekanismer. I den tyska grundlagen skyddas exem- pelvis ”privatlivets innersta kärna” (Kernbereich persönlicher Lebens- gestaltung). Skyddet gäller särskilt icke-offentlig kommunikation med betrodda personer och som ska kunna ske under rimliga för- väntningar på att ingen övervakning sker.39 Enligt nuvarande säpodata- lag krävs det inte någon särskild avvägning mellan vilka uppgifter som behandlas, så länge de inte ingår bland de särskilt uppräknade känsliga personuppgifterna. Att bedömningen av om en uppgift får behandlas eller inte sker så binärt som säpodatalagen ger uttryck

39Se Tysklands federala författningsdomstols (Bundesverfassungsgerich) avgörande den 26 april 2022 i mål 1619/17, punkt 276.

318

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

för framstår inte som helt ändamålsenligt. Särskilt inte mot bakgrund av den låga graden av insyn i verksamheten.

Som framgår i inledningen av detta avsnitt finns det i och för sig en allmän proportionalitetsprincip i svensk förvaltningsrätt som är avsedd att förhindra åtgärder som innebär negativa konsekvenser för den enskilde som inte står i rimlig proportion till det allmänna intresse som ska tillgodoses. Tröskeln för att tillämpa denna oskrivna regel får dock anses relativt hög och sker i praktiken sannolikt främst på klagan av enskild. De åtgärder vi anser bära på de största riskerna är sådana där enskilda är omedvetna om intrånget eller som avser allmänna intressen, som intrång i opinionsfriheterna, där enskilda inte har något direkt klagorätt. Att det direkt av lag framgår att en proportionalitetsprövning ska göras vid all behandling av personupp- gifter innebär både ett förtydligande av en viktig princip och att orim- liga effekter av personuppgiftsbehandling kan motverkas.

Helhetssyn i stället för detaljreglering

Säpodatalagen tillämpas på så sätt att varje personuppgift prövas var för sig mot en rad olika bestämmelser. Om en personuppgift, som ett namn, förekommer i en chattkonversation mellan två per- soner, kommer uppgiften först behöva kopplas till ett konkret ända- mål, som i vissa fall måste framgå genom en särskild upplysning. Därefter måste det prövas om uppgiften är nödvändig för ändamålet och dessutom adekvat, relevant och inte onödigt omfattande. Vid prövningen kommer det inte bedömas hur relevant chattkonversa- tionen som sådan är för Säkerhetspolisens verksamhet. Den ovan beskrivna prövningen ska göras för enskilda uppgifter även om det kan vara helt uppenbart att konversationen i sin helhet behövs för att kartlägga exempelvis ett terroristnätverk (se avsnitt 6.1.5).

I praktiken bidrar denna granskning, som framgår av avsnitt 6.1.3, till att minska den faktiska mängden information som behandlas av Säkerhetspolisen. Den detaljnivå som präglar tillämpningen av säpo- datalagen kan på så sätt sägas bidra till ett högt dataskydd, beroende på att personuppgiftsbehandling är förenad med en hög kostnad, i form av granskningsresurser. Samtidigt kan en mycket stor mängd uppgifter om en enskild person behandlas, så länge myndigheten lagt ner sådana resurser för att tillgodose formella förutsättningarna

319

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

för behandlingen. Ett välformulerat ändamål och en oklanderlig genomförd personuppgiftsgranskning kan medge en mycket om- fattande kartläggning av en enskilds privatliv. Det kan vara svårt för tillsynsmyndigheten eller den enskilde att ifrågasätta laglig- heten av sådan behandling, även om den skulle framstå som över- driven i det enskilda fallet.

Ett proportionalitetskrav öppnar för möjligheten att både bedöma relevanta sammanhang i sin helhet samtidigt som den samlade person- uppgiftsbehandlingen går att ifrågasätta på ett annat sätt än i dag. Det kan till exempel innebära att Säkerhetspolisen kan granska och vidarebehandla ett it-beslag i sin helhet snarare än att pröva varje en- skild uppgift i ett sådant beslag. Det kan också innebära att en sådan granskning som Europadomstolen använder för att pröva proportio- naliteten av personuppgiftsbehandling i det enskilda fallet kan inte- greras i verksamheten och även vara föremål för tillsyn.

Vi anser att ett uttryckligt krav på proportionalitet innebär att lagens syften kan uppnås: att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personupp- gifter och att säkerställa att Säkerhetspolisen kan behandla person- uppgifter på ett ändamålsenligt sätt.

8.2.4Det bör införas en uttrycklig proportionalitetsprincip i säpodatalagen

Förslag: Ett grundläggande krav för all behandling av personupp- gifter med stöd av lagen ska vara att behandlingen är proportio- nerlig.

En personuppgiftsbehandling är proportionerlig om skälet för att utföra behandlingen överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den.

Det finns skäl för en proportionalitetsprincip

Enligt artikel 5.1 i dataskyddskonventionen 108+ ska all person- uppgiftsbehandling vara proportionerlig. Detta konventionskrav kan uppfyllas genom att lagstiftningen utformas genom att olika intressen vägs mot varandra så att endast de behandlingsåtgärder

320

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

som är proportionerliga tillåts. Det kan exempelvis ske genom en mycket strikt reglering av vilka personuppgifter som får behandlas eller ett krav på att känsliga uppgifter endast får behandlas under en kort tid. Det är även möjligt att sätta upp olika trösklar, där exempel- vis brottsmisstankar av viss styrka eller avseende vissa utpekade brott, kan ge möjlighet till en mer omfattande personuppgiftsbehandling. Då har kravet uppfyllts på lagstiftningsnivå.

Det andra sättet, som vi förordar, är att införa ett uttryckligt proportionalitetskrav för all personuppgiftsbehandling inom säpo- datalagens tillämpningsområde. Vi har kommit till slutsatsen att det finns goda skäl som talar för att Säkerhetspolisen inför varje behand- lingsåtgärd ska pröva om skälen för åtgärden väger tyngre än den påverkan på enskilda eller allmänna intressen som åtgärden innebär. Det gäller både vid beslut om att samla in personuppgifter, som att lagra dem under viss tid och om vilka olika behandlingsåtgärder som ska vidtas. Vi kommer i förslag till enskilda bestämmelser längre fram i betänkandet förklara hur en proportionalitetsprövning kan få genomslag och påverka utfallet i det enskilda fallet.

Sammanfattningsvis kan konstateras att kravet på att all person- uppgiftsbehandling ska vara proportionerlig ger ett större utrymme att behandla uppgifter när ändamålet är tillräckligt specificerat och av sådan tyngd att det anses väga över de andra intressena av att inte behandla uppgifterna i fråga. Ett vagt formulerat ändamål kan däremot inte ge tillräcklig ledning för en sådan prövning. En proportionalitets- prövning innebär att mycket allvarliga samhällshot kvalitativt kan motivera en kartläggning av högre kvantitet. Om ändamålet endast avser en klart avgränsad fråga, exempelvis frågor som rör medborg- arskap är utrymmet för personuppgiftsbehandling begränsat till de uppgifter som är proportionerliga att behandla för detta ändamål, vilket måhända inte innebär en så stor förändring mot hur uppgifter behandlas i dag. Vår bedömning är att proportionalitetsprövningen kommer få störst betydelse vid den underrättelseverksamhet som syftar till att upptäcka brott mot rikets säkerhet eller terrorbrott.

321

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Är det möjligt att införa en proportionalitetsprövning vid all personuppgiftsbehandling?

Att tillämpa en uttrycklig och generell proportionalitetsprincip på det sätt vi föreslår är en nyhet i svensk personuppgiftsrätt. Det finns därför skäl att noga överväga hur en sådan bestämmelse kan komma att påverka verksamheten och om den är möjlig att införa i praktiken.

Ett proportionalitetskrav för varje enskild behandling kan framstå som en tung materiell prövning i den dagliga verksamheten hos en myndighet vars kärnverksamhet i stor utsträckning består av person- uppgiftsbehandling. Det finns emellertid en hög kompetens hos både Säkerhetspolisen och tillsynsmyndigheterna, som i många andra sammanhang måste tillämpa en proportionalitetsprincip. Åtgärder som vidtas för särskild utlänningskontroll får endast ske efter en av- vägning mellan det enskilda och det allmänna intresset.40 För hemliga tvångsmedel och andra straffprocessuella tvångsmedel utgör en proportionalitetsavvägning en självklar rättsstatlig förutsättning. I likhet med den prövning som ska göras i dessa fall är proportio- nalitetsavvägningen det sista steget i en samlad bedömning av om intrånget i rättigheten är godtagbart i ett demokratiskt samhälle. De steg som föregår den slutliga avvägningen är inga nyheter för Säkerhetspolisen. Ett första grundläggande krav är legalitet. Detta krav om lagstöd för intrånget följer av säpodatalagens krav på rätts- lig grund för behandling av personuppgifter. Därutöver måste in- trånget i den grundläggande fri- och rättigheten syfta till att uppnå ett berättigat ändamål. Att ändamålet för behandlingen ska vara tydligt för den som hanterar personuppgifter inom myndigheten är en naturlig del av det nuvarande arbetssättet. Slutligen ska åtgärden som inskränker den enskildes rätt vara nödvändig för att uppnå ända- målen. Den behandlingströskel som följer av all personuppgiftslag- stiftning är ett utflöde av detta krav, tillsammans med bestämmel- ser om uppgiftsminimering, relevans och adekvans. Om alla dessa krav är uppfyllda återstår den slutliga prövningen av om skälen för åtgärden överväger andra intressen.

Myndigheten kommer behöva bedöma om en behandlingsåtgärd är proportionerlig. Vi föreslår dock inget särskilt dokumentations- krav av bedömningen. Däremot innebär förstås en lagreglering att

401 kap. 8 § lag (2022:700) om särskild kontroll av vissa utlänningar.

322

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Säkerhetspolisen även i enskilda fall kan behöva förklara sin propor- tionalitetsbedömning inför tillsynsmyndigheten, på samma sätt som att behov, adekvans och relevans måste kunna motiveras i dag. Efter- som proportionalitet, enligt vårt förslag, är en förutsättning för att få behandla uppgifter måste utgångspunkten vara att all behandling genomgått denna prövning. En del av tillsynen kommer därför vara att pröva om Säkerhetspolisen haft fog för sin bedömning i denna del.

Sammantaget framstår det för oss som att en proportionalitets- prövning är möjlig att införa i Säkerhetspolisens verksamhet som innefattar personuppgiftsbehandling utan att den i sig utgör en be- tungande administrativ pålaga. Tvärtom kan en sådan prövning moti- vera att uppgifter inte behöver granskas på den nivå som gäller i dag. En samlad proportionalitetsprövning bedömer vi vara en nödvändig komponent i en lagstiftning som både kan medge en effektiv och ändamålsenlig personuppgiftsbehandling som tillgodoser Säkerhets- polisens behov och samtidigt utgör ett adekvat skydd för de enskilda och allmänna intressen som kan påverkas.

Vår uppfattning är att prövningen kommer att kunna integreras i verksamheten på ett naturligt sätt, i likhet med de ingripanden som görs med stöd av polisära befogenheter och som regleras genom 8 § polislagen. I förarbetena till polislagen framhölls att det närmast var en självklarhet att en uttrycklig behovs- och proportionalitets- princip ska framgå av lagtexten. De allmänna befogenheterna för polisingripande som framgår av denna bestämmelse ska även tillämpas vid exempelvis val av olika spaningsmetoder.41

Hur bör proportionalitetsprincipen utformas

När det kommer till utformningen av principen finns det anledning att ge paragrafen en lydelse som ligger nära konventionstexten. Det förklarar att paragrafen avser att införliva artikel 5.1 direkt i lagen.

En direktöversättning av artikel 5.1 skulle kunna ha följande lydelse. ”Behandlingen av uppgifter ska vara proportionerlig i för- hållande till det berättigade ändamål som eftersträvas och i alla ske- den återspegla en skälig avvägning mellan alla berörda intressen, både de enskilda och allmänna, och de rättigheter och friheter som står på spel.” Denna lydelse framstår som omständlig och inte fullt

41Prop. 1983/84:111 s. 76–78.

323

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

ut förenlig med svensk lagstiftningstradition. Andemeningen och syftet med bestämmelsen måste dock vara att föreskriva dels att all behandling ska vara proportionerlig, dels förklara vilka intressen som ska vägas mot varandra. Paragrafen kan därför lämpligen delas in i två meningar när den första meningen slår fast att en proportionalitetsprincip ska tillämpas för all behandling av personuppgifter. Den andra meningen ska innebära att en avvägning ska göras mellan det allmänna intresset av att Säkerhetspolisen utför behandlingen och de enskilda och allmänna intressen som kan påverkas av den. De grundläggande fri- och rättigheterna ingår i begreppet enskilda och allmänna intressen. Att det ska ske en avvägning mellan mål och medel vid behandling av personuppgifter är centralt och måste framgå tydligt. Det kan finnas anledning formulera denna avvägning på liknande sätt som andra svenska lagar.

Proportionalitetsprincipen förekommer även i annan lagstiftning. I regeringsformen slås, i 2 kap. 21 §, fast att en begränsning av en fri- och rättighet aldrig få gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. I förvaltningslagen (2017:900) har principen utformats som att en åtgärd aldrig får vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. I rättegångsbalken uttrycks den, i bland annat 24 kap. 1 § om häktning: skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den misstänkte eller för något annat motstående intresse. I 8 § polislagen (1984:387) anges principen på ett annat sätt. Där förklaras att en polisman som ska verkställa en tjänsteuppgift ska göra på ett sätt som är försvarligt med hänsyn till åtgärdens syfte och övriga omständigheter. I 15 § lagen (2023:421) om ordningsvakter finns motsvarande regel, men uttryckt på ett modernare sätt: ett ingripande ska ske på ett sätt som står i rimlig proportion till åtgärdens syfte och omständigheterna

i övrigt.

Av detta axplock ur svensk rätt framkommer att det inte finns något enhetligt sätt att uttrycka principen om att det ska ske en av- vägning mellan olika intressen. Detta bör uttryckas så enkelt som möjligt. Vi anser att avvägningen ska beskrivas som att skälet för att

324

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

utföra behandlingen ska överväga intrånget i de enskilda eller allmänna intressen som kan påverkas av den. Då framgår att det är ändamålet för att behandla personuppgifter som ska vägas mot de grundläggande fri- och rättigheterna eller andra enskilda eller allmänna intressen som kan påverkas av behandlingen. Bestämmelsen ska tillämpas före en be- handling utförs, vilket innebär att den kommer utgöra en prognos.

Vilket genomslag kan proportionalitetsprincipen få i det enskilda fallet?

Dataskydd handlar i stor utsträckning om skyddet för den personliga integriteten. Vi anser dock att det för en nationell säkerhetstjänst även finns skäl att noggrant överväga hur insamling och annan behand- ling av personuppgifter kan komma att påverka andra grundläggande fri- och rättigheter än de som rör enskildas privatliv. Vi tänker i detta sammanhang främst på direkt eller indirekt påverkan på yttrandefri- heten och andra opinionsfriheter (se avsnitt 6.3.3). Detta är en skill- nad mot de proportionalitetsbedömningar som är föreskrivna för straffprocessuella tvångsmedel där avvägningen företrädesvis görs mot enskilda intressen.

Personuppgifter får bara behandlas om det behövs för ett ända- mål. Prövningen av behovet att utföra behandlingen föregår alltid proportionalitetsprövningen, eftersom det aldrig kan vara propor- tionerligt att behandla uppgifter, eller på annat sätt begränsa en grund- läggande fri- och rättighet, om det inte behövs för ett ändamål som är godtagbart i ett demokratiskt samhälle.

Frågan om proportionalitet innebär en prövning av om dessa ända- mål i det enskilda fallet väger tyngre än de andra intressena som på- verkas. Eftersom lagstiftaren gett Säkerhetspolisen i uppdrag att bland annat förebygga, förhindra och upptäcka ett visst slags brottslig verk- samhet är behandling av de personuppgifter som direkt behövs för att utföra uppdraget ofta proportionerligt i och för sig. Proportio- nalitet syftar till att förhindra att grundläggande fri- och rättigheter kränks. Syftet är förstås inte att på ett allmänt plan försvåra för myn- digheten att utföra sitt uppdrag.

Proportionalitetsprincipen ger emellertid möjlighet att gradera skälen för att utföra behandlingen efter ändamålens tyngd. Om det exempelvis rör sig om personuppgifter som återfunnits i ett it-beslag från en dömd terrorist får den brottsliga gärningen i det fallet sägas

325

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

föranleda att det krävs en avsevärd styrka i de andra intressena för att behandling av de personuppgifter som återfinns i beslaget ska undvaras. Det framstår som uppenbart att alla uppgifter i beslaget kommer att behöva behandlas över tid för att kunna jämföras och kopplas samman med andra uppgifter (jämför avsnitt 6.2.3).

På motsvarande sätt kan en kartläggning av en inte fullt så allvar- lig brottslighet eller brottslig verksamhet som inte är lika specifik innebära att vikten av de andra intressena inte behöver vara fullt så tunga, för att de ska påverka Säkerhetspolisens beslut i fråga om be- handlingsåtgärden. Ett sådant beslut innebär dock inte nödvändigtvis att insamling av uppgifter vid sådan kartläggning inte får ske; det finns olika sätt att minska intrånget av åtgärden för att uppnå propor- tionalitet.

Den lag vi föreslår kommer ge Säkerhetspolisen flera verktyg för att kunna förverkliga en proportionalitetsprövning på ett effektivt sätt. Ändamålsbestämmelserna, uppgiftsminimering och behand- lingstid utgör viktiga komponenter för att uppnå proportionalitet vid behandling. Den lagstiftning vi föreslår innehåller olika verktyg för att kompensera intrånget i syfte att nå en skälig balans mellan myndighetens behov och andra skyddsvärda intressen. Vår intention och lagstiftningens syfte är att ge Säkerhetspolisen ett större utrymme att behandla de personuppgifter som krävs för att skydda nationell säkerhet, men att sådan behandling inte får riskera att medföra ett oskäligt intrång i de grundläggande medborgerliga fri- och rättig- heterna.

Sådana verktyg kan påverka prövningen exempelvis då Säkerhets- polisen går igenom uppgifter som inhämtats med stöd av preventiva tvångsmedel. Ofta kan det vid sådan tvångsmedelsanvändning in- hämtas ett omfattande material som endast delvis är av direkt intresse för den brottsliga verksamhet som undersöks. Frågan kan då upp- komma om det i materialet finns uppgifter som behövs för att upp- täcka ännu okänd brottslig verksamhet. Om det bedöms finnas ett sådant behov, måste det göras en proportionalitetsprövning för behandlingen. Det kan exempelvis röra sig om kommunikations- innehåll mellan anhöriga eller vänner, där en stor mängd känsliga och intima personuppgifter kan förekomma. Trots att det finns ett operativt behov av att behandla uppgifterna under till exempel tio år kan prövningen utmynna i att det skulle innebära ett alltför stort integritetsintrång. Då finns i vår föreslagna lag en möjlighet att redan

326

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

då uppgifterna registreras fastställa en kortare behandlingstid, i exem- pelvis tre år. Integritetsintrånget för en kortare behandlingstid är lägre, vilket kan utmynna i att behandlingen är proportionerlig i för- hållande till ändamålet.

Ett annat exempel från Säkerhetspolisens verksamhet är person- skyddet av den centrala statsledningen. Inför en händelse med möj- lig hög risk, exempelvis Almedalsveckan i Visby, kan aktiviteter som rör Säkerhetspolisens skyddspersoner behöva kartläggas. En omfat- tande informationsinhämtning kan då vara motiverad för att bedöma aktuell hotnivå för skyddspersonerna. Om inhämtning sker i exem- pelvis sociala medier eller på olika internetforum i detta syfte, kan det förutsättas att ett omfattande material som innehåller känsliga personuppgifter kommer att behandlas. Detta kan antas utgöras av helt legitima opinionsyttringar kring skyddspersonerna. En kartlägg- ning av sådana yttranden får sägas riskera att utgöra ett stort intrång i opinionsfriheterna. Samtidigt krävs en bred inhämtning för att kunna bedöma hotbilden. För att kunna motivera en sådan behand- ling krävs ett specifikt ändamål av stor vikt och att behandlingen inte pågår under längre tid än vad som är absolut nödvändigt. Vi anser att Säkerhetspolisen i detta fall skulle kunna motivera en bred inhämtning från sociala medier i syfte att kartlägga exempelvis kvan- titeten av och allvaret i hotfulla uttalanden kring de aktuella skydds- personerna, men att behandlingen måste upphöra omedelbart efter att hotbilden kunnat utvärderas eller händelsen avslutats. Det skulle kunna innebära att behandlingstiden begränsas till några månader och därmed utgör en skälig personuppgiftsbehandling i förhållande till intrånget i yttrandefriheten som kartläggningen kan innebära.

Ett annat sätt att minska intrånget är att tillämpa olika mekanismer för uppgiftsminimering. Det kan ske manuellt eller med automati- serad programvara som identifierar tecken på våldsbejakande extre- mism genom lingvistiska markörer.42

En proportionalitetsprövning ger även en möjlighet att ge allvaret i säkerhetshotet genomslag vid avvägningen. För terrorbrottslighet är det exempelvis klart att behovens tyngd kan medge en mer extensiv personuppgiftsbehandling än brott som utgör ett mindre konkret eller mera avlägset hot mot nationell säkerhet. För allvarliga säkerhets-

42Se exempelvis Johansson, Fredrik m.fl., Detecting Linguistic Markers of Violent Extremism in Online Environments, tillgänglig via https://www.researchgate.net/.

327

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

hot kan även behandling av mer perifera uppgifter eller omfattande behandling av känsliga uppgifter över längre tid vara proportionerligt.

Uppgifternas karaktär kan även beaktas i större utsträckning. Redan med nuvarande lagstiftning anses det exempelvis proportio- nerligt att behandla uppgifter om främmande makts underrättelse- officerare och agenter under mycket lång tid. Att Säkerhetspolisen behandlar uppgifter om de diplomater och annan personal som arbetar på vissa länders ambassader, utgör inte ett särskilt påtagligt integritets- intrång för de registrerade. De individer som bedriver underrättelse- verksamhet mot Sverige under diplomatisk täckmantel måste förut- sätta att de övervakas och kartläggs. Motsvarande bedömning av både säkerhetshotet och intrång kan göras i andra fall, exempelvis avseende de personer som rest utomlands för att ansluta sig till en terroristorganisation. Att uppgifter om sådana personer, som utgör uppenbara hot mot nationell säkerhet, behandlas under lång tid är godtagbart och i det närmaste förväntat i demokratiska rättsstater. I andra vågskålen kan förekomsten av känsliga personuppgifter, mycket privat kommunikation, eller sammanhang där det i hög grad förekommer uttryck för opinionsfriheterna tillåtas få större tyngd vid en proportionalitetsprövning.

Av det ovanstående följer att ändamålet med personuppgifts- behandlingen i många fall blir helt avgörande vid proportionalitets- prövningen. Vi inledde detta avsnitt med att konstatera att Säkerhets- polisen endast får behandla de uppgifter som behövs för något av myndighetens uppdrag. När ett behov kunnat konstateras finns det naturligtvis en viss tyngd i ändamålet, eftersom Säkerhetspolisens uppdrag rör frågor om nationell säkerhet. Behandling för sådana ändamål innebär att det som regel finns ett utrymme att begränsa andra allmänna och enskilda intressen på ett annat sätt än vad som gäller för de flesta andra myndigheters personuppgiftsbehandling. Proportionalitetsprövningen måste därför ske i den kontext som gäller för Säkerhetspolisens verksamhet och de politiska överväg- anden som gjorts avseende myndighetens uppdrag, metoder och befogenheter i övrigt.

Det innebär också att en mer schabloniserad tillämpning kan tillåtas för exempelvis breda underrättelseändamål. Proportionalitetsprövning ger dock gott om utrymme att frångå schabloner när ändamålet är mer precist. Detta gäller både insamling och vidarebehandling av person- uppgifter. Vi kommer återkomma till hur proportionalitetsprövningen

328

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

kan tillämpas i samband med andra bestämmelser i den av oss före- slagna lagen.

Vi föreslår av dessa skäl att det införs en grundläggande bestäm- melse om proportionalitet i den nya lagen.

8.3Rättslig grund för personuppgiftsbehandling

8.3.1Dataskyddskonventionens bestämmelser

Av dataskyddskonventionen 108+ följer att personuppgiftsbehand- ling som sker utan samtycke måste vila på en rättslig grund:

Article 5 – Legitimacy of data processing and quality of data

2.Each Party shall provide that data processing can be carried out on the basis of the free, specific, informed and unambiguous consent of the data subject or of some other legitimate basis laid down by law.

Enligt kommentaren till bestämmelsen avses med annan rättslig grund fastställd i lag, bland annat de lagliga grunder för behandling som anges i dataskyddsförordningen: som behandling till följd av avtal, för att skydda den registrerades eller annans intressen av grund- läggande betydelse, för att uppfylla en rättslig förpliktelse, för ett allmänt intresse eller för den personuppgiftsansvariges berättigade intressen.

8.3.2Den nuvarande regleringen

I avsnitt 3.5.4 redogör vi för den nuvarande bestämmelsen om rätts- lig grund. Sammanfattningsvis anges under rubriken rättslig grund, i 2 kap. 1 § säpodatalagen bland annat att personuppgifter får behand- las om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet, terrorbrott, eller tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv.43 Vidare framgår att person- uppgifter får behandlas för att utreda eller lagföra sådana brott eller efter särskilt beslut annat brott.

43Se avsnitt 3.5.4 angående 2 kap. 1 § 1 punkten c som oavsiktligt medger behandling av personuppgifter för brottsbekämpning utanför Säkerhetspolisens ansvarsområde.

329

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

I paragrafen framgår även att Säkerhetspolisens uppgifter i sam- band med personskydd, enligt säkerhetsskyddslagen eller utlännings- och medborgarskapslagstiftningen är rättsliga grunder för person- uppgiftsbehandling. Slutligen anges att personuppgifter även får behandlas om det är nödvändigt för att fullgöra någon annan upp- gift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen eller fullgöra förpliktelser som följer av internationella åtaganden.

8.3.3Den rättsliga grunden bör inte definieras i säpodatalagen

Bedömning: Säkerhetspolisens brottsbekämpande uppdrag som rör nationell säkerhet anges och avgränsas i annan författning. Det finns därför inte något behov av att i säpodatalagen upprepa för vilka rättsliga grunder personuppgifter får behandlas.

Förslag: Av lagen ska framgå att Säkerhetspolisen endast får behandla personuppgifter för att bedriva verksamhet som rör nationell säkerhet och som följer av lag, förordning, internationella åtaganden eller särskilt beslut av regeringen.

Den rättslig grunden för Säkerhetspolisens personuppgiftsbehandling

Det finns ett allmänt konstitutionellt krav på att intrång i enskildas rättighetssfär endast får ske med stöd av lag eller annan författning. Denna legalitetsprincip följer direkt både av 2 kap. 20 § regerings- formen och av artikel 8.2 i Europakonventionen.

I likhet med andra myndigheter, och brottsbekämpande myndig- heter i synnerhet, kan Säkerhetspolisen endast i undantagsfall tillämpa samtycke som grund för personuppgiftsbehandling. Det finns därför ett krav på att personuppgiftsbehandling ska ske för att utföra en uppgift som har stöd av lag eller annan författning. Säkerhetspolisen rättsliga grund för att behandla personuppgifter finns samlad i flera olika rättsakter (se avsnitt 3.2.1).

330

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Myndighetens huvudsakliga uppgifter följer av polislagen. Där framgår Säkerhetspolisens övergripande brottsbekämpande uppdrag och vissa uppgifter som är utmärkande för en säkerhetstjänst. Av 1 § förordningen (2022:1719) med instruktion för Säkerhetspolisen fram- går även att Säkerhetspolisen i egenskap av säkerhetstjänst bedriver underrättelse- och säkerhetsarbete. Av instruktionen framgår även den brottskatalog som myndigheten ansvarar för i det brottsbekäm- pande och lagförande arbetet, vilka som omfattas av det personskydd som Säkerhetspolisen ansvarar för och hur säkerhetsskyddsarbetet får bedrivas.

Begreppet rättslig grund för personuppgiftsbehandling används i EU:s rättsakter, som i dataskyddsförordningen och genomgående i de lagar som bygger på EU-rättsliga förlagor. Begreppet återfinns även i brottsdatalagen och dataskyddslagen. I samband med att EU:s dataskyddsdirektiv för brottsbekämpning genomfördes och en ny säpodatalag beslutades, diskuterades skillnaden mellan ändamål och rättslig grund.

Regeringen kunde konstatera att det som i den tidigare polisdata- lagen angetts som primära, övergripande ändamål var allt för oprecisa för att kunna betecknas som ändamål. I stället ansågs den tidigare uppräkningen av primära ändamål som en definition av den rättsliga grunden för personuppgiftsbehandling.44 Denna uppräkning över- fördes därför i stort sett oförändrad till säpodatalagen, men under en annan rubrik.

Det finns inte anledning att räkna upp vissa rättsliga grunder i säpodatalagen

Säkerhetspolisens brottsbekämpande verksamhet är specifik och inriktad på några få, särskilt allvarliga och svårupptäckta säkerhets- hot som rör nationell säkerhet. Detta följer av både polislagen och myndighetens instruktion. En förutsättning för att Säkerhetspolisen ska få behandla personuppgifter är att Säkerhetspolisen har ålagts att utföra en viss arbetsuppgift. Dessa arbetsuppgifter framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

44Se prop. 2018/19:163 s. 62 f. och prop. 2017/18:232 s. 123 f.

331

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Kravet på att det finns en rättslig grund för behandling av person- uppgifter kan uppfyllas genom att det i lagen framgår att person- uppgifter endast får behandlas då Säkerhetspolisen utför en sådan uppgift. Att i Säkerhetspolisens personuppgiftslagstiftning räkna upp samtliga rättsliga grunder som ålägger myndigheten ett brotts- bekämpande uppdrag som rör nationell säkerhet fyller inte någon egentlig funktion. Som framgår av avsnitt 8.1.2 ovan är det heller inte möjligt att exakt definiera lagens tillämpningsområde, men utgångspunkten måste vara att de uppdrag som åläggs myndigheten är sådana att säpodatalagen ska tillämpas.

Att räkna upp rättsliga grunder även i personuppgiftslagen kan inte heller anses vara något rättsstatligt legalitetskrav eller medföra någon ökad förutsebarhet för medborgare. Att som nu upprepa Säker- hetspolisens uppgifter både i polislagen och i säpodatalagen ger näm- ligen inte någon ytterligare ledning om vilken typ av personuppgifts- behandling som kan förväntas ske av Säkerhetspolisen. Den nuvarande uppräkningen framstår både som specifik, avseende exempelvis upp- gifter inom personskyddet, men också som väldigt generell då den även innehåller en hänvisning till ”övriga uppgifter”.

Vi bedömer att de rättsakter som reglerar Säkerhetspolisens upp- drag redan är så tydliga som kan krävas för att medborgarna ska kunna förutse inom vilka områden myndigheten verkar och har ett behov av att kunna behandla personuppgifter. Att upprepa uppdraget i personuppgiftslagstiftningen fyller inte någon ytterligare funktion än den avgränsning som redan följer av lagens tillämpningsområde.

Det bör framgå att personuppgifter endast får behandlas med stöd av någon rättslig grund inom lagens tillämpningsområde

Försvarsmakten och FRA:s lagstiftning är av senare datum än de lagar som följde EU:s dataskyddsreform, bland dem säpodatalagen. Regeringen vände sig i det lagstiftningsärende mot att införa begrep- pet rättslig grund även inom försvarsområdets personuppgiftslag- stiftning. Regeringen förklarade att de rättsliga grunderna för För- svarsmaktens och FRA:s behandling av personuppgifter finns i de regelverk som ligger till grund för myndighetens verksamheter.45

45Prop. 2020/21:224 s. 68.

332

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Vi anser att det bör vara tillräckligt att ange att det är genom lag, förordning, särskilt beslut av regeringen eller för Sverige bindande internationella åtaganden som Säkerhetspolisens nationella säkerhets- uppdrag definieras och att det är inom detta uppdrag som person- uppgifter får behandlas. Det innebär att bland annat att polislagens uppräkning av Säkerhetspolisens uppgifter inte behöver återupp- repas i personuppgiftslagstiftningen.

En sådan lagstiftning är enklare att anpassa till nya uppdrag och mål för myndigheten och det riskerar inte att bli otydligt vilken rättsakt som har företräde när det kommer till att beskriva uppdraget. Alternativet är att som i dag räkna upp några av de mest centrala uppgifterna för Säkerhetspolisen. Vi kan dock inte se att en sådan ordning har några uppenbara fördelar.

Däremot anser vi att det kan finnas behov av att det i lagen ska framgå inom vilka övergripande verksamhetsområden personuppgifts- behandlingen får ske. Som rättslig grund anser vi däremot att det är tillräckligt att ange att Säkerhetspolisen endast får behandla person- uppgifter då myndigheten bedriver verksamhet som rör nationell säkerhet som följer av lag, förordning, internationella åtaganden eller särskilt beslut av regeringen. Vi föreslår därför att bestämmel- serna om rättslig grund får denna utformning i den nya lagen.

8.4Verksamheter för behandling av personuppgifter

8.4.1Dataskyddskonventionens bestämmelser

Av dataskyddskonventionen 108+ framgår att personuppgifter måste behandlas transparent.

Article 5 – Legitimacy of data processing and quality of data

4.a Personal data undergoing processing shall be processed fairly and in a transparent manner;

Kravet om en korrekt och transparent behandling utgör en förut- sättning för att behandling av personuppgifter ska vara förenliga med dataskyddskonventionen 108+. Bestämmelsen om transparens innebär bland annat att personuppgifter inte ska behandlas på ett sätt som kan uppfattas som oväntat. I artikel 8 följer även att den personuppgiftsansvarige bland annat ska ange de ändamål för vilka personuppgifter kan behandlas.

333

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.4.2Måste det framgå för vilka ändamål personuppgifter får behandlas?

Bedömning: Den nuvarande lagens uppräkningen av rättsliga grunder bör ersättas med ett annat sätt att tydliggöra inom vilka ramar lagen medger behandling av personuppgifter.

Syftet med de rättsliga grunder som nuvarande lag innehåller är att ge medborgare en beskrivning av den yttre ram inom vilken person- uppgifter får behandlas med stöd av lagen. Hur dessa bestämmelser formuleras kan dock även ha betydelse för den myndighet som regleringen avser. Lagstiftningen kan på detta sätt avgränsa vilka ändamål som får bestämmas med stöd av en rättslig grund. Behovet av att i lag beskriva inom vilka ramar ett ändamål för personuppgifts- behandling kan bestämmas får sägas bero på vilken myndighet det handlar om och vilka personuppgifter som myndigheten kommer att behandla. Om en myndighets verksamhet är väl reglerad kan det räcka att det framgår att myndigheten får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter.

Vi har bedömt att Säkerhetspolisen uppgifter i och för sig är tillräckligt välavgränsade i de olika rättsakter som är styrande för myndighetens verksamhet. Det är därför inte nödvändigt att, som i dag, exemplifiera vissa av dessa rättsliga grunder och inte heller lämpligt att uttömmande räkna upp dem för att sammanfatta myn- dighetens uppdrag.

Säkerhetspolisens verksamhet rör dock i stor utsträckning person- uppgiftsbehandling som är känslig ur integritetssynpunkt och som kan utgöra en sådan kartläggning av enskilda som avses i 2 kap. 6 § andra stycket regeringsformen. Under dessa förhållanden ställs högre krav på förutsebarhet och i lag uttryckta ändamål för intrånget i den skyddade rättigheten. Även om vi inte uppfattar att det finns ett behov av att ange rättsliga grunder i detalj bör det övervägas om det i lagen ska anges övergripande ändamål för behandling.

I dataskyddsammanhang har begreppet ändamål olika betydelse beroende på i vilket sammanhang det förekommer. En brett formu- lerad ändamålsbestämmelse pekar ut ramarna för den personuppgifts- behandling som en författning reglerar. Ändamålen utgör där en slags sammanfattande beskrivning av den rättsliga grunden och där-

334

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

med de särskilda ändamål som kan komma att aktualiseras inom författningens materiella tillämpningsområde. Breda ändamålsbestäm- melser tydliggör därmed de syften där personuppgiftsbehandling som kan komma i fråga för en viss myndighet.46

Vi anser att det finns goda skäl för att det alltjämt ska framgå inom vilka, brett formulerade, ändamål eller särskilt angivna rätts- liga grunder som det närmare, mer specifika ändamålet för behand- ling av personuppgifter får ske.

8.4.3De verksamheter inom vilka personuppgifter får behandlas bör anges i lagen

Förslag: Av lagen ska framgå inom vilka verksamheter Säkerhets- polisen får behandla personuppgifter.

Syftet med övergripande ändamålsbestämmelser eller att särskilt ange vissa rättsliga grunder i personuppgiftslagstiftning är alltså att förtydliga inom vilka verksamheter som personuppgifter får behandlas med stöd av lagen.

En sådan uppräkning syftar därmed inte till att ersätta kravet på en rättslig grund. De rättsliga grunderna för personuppgiftsbehandling ska anges i en annan rättsakt än personuppgiftlagen och behöver inte upprepas om de inte avser att begränsa lagens tillämpningsområde (se avsnitt 8.3.3).

Uppräkningen ska inte heller utgöra ett särskilt, uttryckligt angivet och berättigat ändamål. Sådana mer precisa ändamål ska som regel bestämmas av den personuppgiftsansvarige och inte av lagstiftaren. Kravet på konkretion är sådant att det sällan lämpar sig att ange i lag, i vart fall inte för den verksamhet som Säkerhetspolisen bedriver. Då säpodatalagen beslutades konstaterade regeringen också att rättsliga grunder för behandling och ändamålsbestämmelser ibland har blandats samman.47

Vi anser att det är viktigt att det varken framstår som att lagen begränsar vilka rättsliga grunder som personuppgifter får behandlas för eller blandas samman med de särskilda ändamålsbestämmelserna. För att undvika att uppräkningen sammanblandas med begreppet

46Se även SOU 2023:100 s. 509–512.

47Jfr prop. 2018/19:163 s. 62 f.

335

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

rättslig grund, som har en självständig betydelse eller ett särskilt ändamål, som ska bestämmas och preciseras av tillämparen, bör ett annat begrepp användas.

Vi anser att det bör anges inom vilka verksamheter som person- uppgifter får behandlas. Det är det som är själva syftet med uppräk- ningen; medborgare ska kunna bilda sig en uppfattning om inom vilka verksamheter som behandling av personuppgifter kommer att kunna ske. De särskilda ändamålen ska bestämmas av den personupp- giftsansvarige. De uppräknade verksamheterna syftar till att förtydliga inom vilka ramar dessa ändamål får bestämmas. Verksamheterna måste därför vara tillräckligt brett angivna för att inrymma de ändamål som behövs för att myndigheten ska kunna utföra sitt uppdrag.

I försvarsdatalagen anges bland annat att personuppgifter får be- handlas för att planera, förbereda och genomföra verksamhet som rör Sveriges försvar och säkerhet, i försvarsunderrättelseverksamhet och i Försvarsmaktens militära säkerhetstjänst. Denna uppräkning ger en bild av vad som är Försvarsmaktens kärnverksamhet och inom vilka delar av denna verksamhet som det är nödvändigt att behandla personuppgifter. En liknande uppräkning kan vara lämp- lig för Säkerhetspolisens del.

När det kommer till vilka verksamheter som ska anges i lagstift- ningen anser vi att det är särskilt viktigt att Säkerhetspolisens uppdrag som nationell säkerhetstjänst framgår. I denna egenskap bedriver myndigheten underrättelse- och säkerhetsverksamhet. Vidare bör det framgå att Säkerhetspolisen är en polismyndighet som bedriver brottsutredande verksamhet. Behandling av personuppgifter för brottsbekämpning anser vi vara så känslig att dessa verksamheter bör framgå direkt av personuppgiftslagstiftningen.

Med hänsyn till att det tydliggörs att personuppgifter får behandlas för uttryckliga brottsbekämpande ändamål måste det av lagen även framgå att behandling även medges för uppdrag enligt rättsliga grun- der där det brottsbekämpande inslaget inte är lika tydligt. Det bör därför även framgå att Säkerhetspolisen får behandla personuppgifter enligt andra ändamål som rör nationell säkerhet. Dessa områden utvecklas i det följande.

336

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.4.4Säkerhetspolisens verksamhet som nationell säkerhetstjänst bör förtydligas

Förslag: Säkerhetspolisens personuppgiftsbehandling i säkerhets- och underrättelseverksamheten ska förtydligas. Av lagen ska fram- gå att Säkerhetspolisen i sin uppgift att förebygga, förhindra och upptäcka brottslig verksamhet får behandla personuppgifter för att kartlägga och klarlägga brottslig verksamhet, eller för att vidta åtgärder som hindrar eller försvårar brottslig verksamhet.

Den rättsliga regleringen av Säkerhetspolisens brottsförebyggande uppdrag

Av polislagen följer som nämnts att Säkerhetspolisen bland annat ska förebygga, förhindra och upptäcka brottslig verksamhet som inne- fattar brott mot rikets säkerhet eller terrorbrott. I myndighetens in- struktion preciseras uppdraget i denna del. Enligt 1 § ska Säkerhets- polisen, i egenskap av säkerhetstjänst, bedriva underrättelse- och säkerhetsarbete.

En säkerhetstjänst arbetar för att höja säkerhetsnivån i det egna landet. Detta görs dels genom att avslöja och reducera säkerhetshot som riktas mot landet och dess skyddsvärda verksamheter, dels genom att reducera sårbarheter i dessa verksamheter. Säkerhetspolisens arbete är alltså främst inriktat mot att identifiera brottslig verksamhet som ännu inte konkretiserats till straffbara gärningar. När Säkerhets- polisen identifierar brottslig verksamhet i ett så tidigt skede kan brottsligheten normalt avvärjas. Säkerhetspolisen behöver därmed kunna behandla personuppgifter på ett tidigt stadium, innan en per- son eller en gruppering har konkreta brottsplaner eller har vidtagit åtgärder för att begå brott, se avsnitt 3.3.

Denna del av Säkerhetspolisens kärnverksamhet är lagtekniskt reglerad på samma sätt som det brottsförebyggande arbete som bedrivs hos andra brottsbekämpande myndigheter, genom uppdraget att förebygga, förhindra och upptäcka brottslig verksamhet, se av- snitt 3.3.2. Detta trots att Säkerhetspolisens uppdrag i denna del får betraktas som mycket särpräglat i förhållande till exempelvis Polis- myndighetens eller Tullverkets uppdrag. Det gäller både avseende

337

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

de befogenheter som finns tillgängliga för respektive myndighet och det samhällsintresse som verksamheten avser att skydda.

Det har funnits en ovilja att lagtekniskt särskilja Säkerhetspolisens brottsförebyggande arbete i förhållande till övriga brottsbekämpande myndigheters. I propositionen till polisdatalagen angavs att Säker- hetspolisen behöver kunna samla in, sammanställa och analysera upp- gifter inom kontraspionageverksamheten, kontraterrorismverksam- heten och författningsskyddsverksamheten även om uppgifterna inte kan hänföras vare sig till något visst konkret brott eller till någon mer konkret definierad brottslig verksamhet. Som exempel nämn- des behovet av att inom kontraspionaget fortlöpande följa utveck- lingen när det gäller andra nationers närvaro i form av underrättelse- agenter här i landet, att kunna övervaka sådana personer och även behandla personuppgifter. Regeringen ansåg även att Säkerhets- polisen behöver följa den politiska utvecklingen i andra länder och verksamheten inom vissa grupper, som kan utgöra ett hot mot det svenska samhället eller som kan komma att göra sig skyldiga till terroristbrott. Regeringen konstaterade att Säkerhetspolisens behov av att kunna genomföra och dokumentera olika typer av undersök- ningar och analyser är stort och att det i flera avseenden skiljer sig från de behov som finns inom den övriga polisen. Säkerhetspolisens brottsförebyggande arbete ansågs särpräglat på så sätt att det normalt inte går att urskilja lika tydliga kopplingar till konkreta brott eller till brottslig verksamhet. Den underrättelseverksamhet som bedrivs inom Säkerhetspolisen är till sin natur ofta sådan att den ligger på ett tidigare stadium. Å andra sidan är den, genom Säkerhetspolisens instruktion, inriktad mot ett fåtal, väl avgränsade företeelser av sär- skilt samhällsfarlig karaktär. Trots denna skillnad ansåg regeringen att den brottförebyggande ändamålsbestämmelsen skulle utformas på samma sätt som motsvarande bestämmelse för polisen, med den skillnaden att Säkerhetspolisens brottskatalog skulle anges.48 Då säpodatalagen beslutades ansåg regeringen att det inte fanns skäl att ändra bestämmelsen om rättslig grund (som motsvarade polisdata- lagens tidigare bestämmelse om brottsförebyggande ändamål).49

48Prop. 2009/10:85 s. 256.

49Prop. 2018/19:163 s. 65.

338

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Säkerhetspolisens förändrade uppdrag

Sedan de uttalanden som gjordes i samband med polisdatalagen, och som ligger till grund även för den nuvarande säpodatalagen, har stora förändringar skett i Säkerhetspolisens verksamhet. Den största förändringen är givetvis att Säkerhetspolisen sedan den 1 januari år 2015 är en egen myndighet. Även omvärlden och hotbilden har för- ändrats och Säkerhetspolisens organisation med den. Säkerhets- polisens uppdrag består i dag till mycket stor del av underrättelse- verksamhet riktad mot hotaktörer med internationella kopplingar. Samverkan med andra länders underrättelsetjänster och med de nationella försvarsunderrättelsemyndigheterna har utvecklats. Säkerhetspolisens allt tydligare roll som säkerhetstjänst innebär att underrättelseverksamheten inte bär lika stora likheter med den kriminalunderrättelseverksamheten som tidigare kanske var fallet.

Säkerhetspolisens verksamhet har, på ett annat sätt än de andra brottsbekämpande myndigheternas verksamhet, också en tydlig kopp- ling till svensk säkerhetspolitik. Annorlunda uttryckt är säkerhets- tjänsten ett av många instrument för att säkerhetspolitiken i vid mening ska fungera. Vid en snabb eskalering av säkerhetshotet mot Sverige skulle Säkerhetspolisens inhämtning utgöra en viktig pusselbit i förståelsen av hotet och vara av betydelse för både regeringen och Försvarsmakten i deras beslutsfattande.

Säkerhetspolisen är Sveriges nationella säkerhetstjänst med ett brottsbekämpande uppdrag. Av olika skäl har uppdraget lagtekniskt reglerats med fokus på polisär brottsbekämpning snarare än på att förebygga säkerhetshot i bredare mening, som utmärker en säker- hetstjänst. Det har fått till följd att Säkerhetspolisens personuppgifts- lagstiftning även fått stora likheter med andra brottsbekämpande myndigheters. Vi anser dock att Säkerhetspolisens uppdrag som nationell säkerhetstjänst bär vissa, och i många avseende större, lik- heter med det liknande uppdrag som anförtrotts Försvarsmaktens militära underrättelse- och säkerhetstjänst. Detta bör komma till uttryck i lag.

Försvarsmaktens verksamhet som avser säkerhetstjänst regleras i försvarsdatalagen. Där anges, i 2 kap. 5 §, som övergripande ända- mål, att personuppgifter får behandlas i Försvarsmaktens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhets- hotande verksamhet som riktas mot Försvarsmakten och dess säker-

339

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

hetsintressen, om det är nödvändigt för att 1. klarlägga verksamhet som innefattar hot mot Sveriges säkerhet, eller 2. vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.

För detta övergripande ändamål får personuppgifter behandlas om det är nödvändigt för vissa, i 2 kap. 6 § uppräknade, mer speci- fika ändamål. Bland annat om det är nödvändiga för att kartlägga verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott, för att kartlägga underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen eller för att kart- lägga annan säkerhetshotande verksamhet som innefattar brott eller åsidosättande av skyldigheter i anställning hos Försvarsmakten.

Underrättelse- och säkerhetsarbete som verksamhet för behandling av personuppgifter

Det pågår löpande ett integrerat samarbete mellan Säkerhetspolisen och den militära underrättelse- och säkerhetstjänsten. Myndighet- ernas uppdrag är i vissa delar närliggande och i andra delar överlap- pande. Samarbetet mellan Säkerhetspolisen och den militära under- rättelse- och säkerhetstjänsten är i vissa avseenden långtgående och inom underrättelseverksamheten finns en tydlig koppling. I denna verksamhet, som får betecknas som Säkerhetspolisens kärnverksam- het, är kopplingen tydligare med den militära underrättelse- och säker- hetstjänsten än mellan Säkerhetspolisen och Polismyndigheten.

I Säkerhetspolisens uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet inryms även flera av de begrepp som uttryck- ligen angetts i lag för den militära underrättelse- och säkerhetstjäns- ten. I Säkerhetspolisens uppdrag ingår bland annat att klarlägga brottslig verksamhet och att kartlägga främmande makts underrätt- elseverksamhet. Av uppdraget följer även att Säkerhetspolisen ska vidta åtgärder för att hindra eller försvåra säkerhetshotande verksam- het inom Säkerhetspolisens ansvarsområde, bland annat avseende terrorism och spionage.

Både den militära och den civila underrättelse- och säkerhets- tjänstens verksamhet förutsätter att personuppgifter kan delas och behandlas på ett likartat sätt i de områden där säkerhetshotet har både utländska och inhemska dimensioner. Ett exempel är gränsöver- skridande terrorism, ett annat är utländsk underrättelseverksamhet som är inriktad både mot Försvarsmakten och dess säkerhetsintressen

340

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

och mot delar av civilsamhället. Vi anser därför att det finns goda skäl för att i större utsträckning än förut harmonisera lagstiftningen för den civila och militära säkerhetstjänsten avseende ändamålet som beskriver underrättelseverksamheten.

Kartlägga och klarlägga brottslig verksamhet

Säkerhetspolisens uppdrag att som säkerhetstjänst bedriva under- rättelseverksamhet förutsätter att myndigheten har förmåga att kartlägga vissa typer av brottslig verksamhet. Av Säkerhetspolisens operativa resurser är en överväldigande majoritet inriktad på under- rättelsearbete inom de olika verksamhetsgrenarna. Det är naturligt att det vid en kartläggning av brottslig verksamhet behöver behandlas en stor mängd personuppgifter. Det är i själva verket det som är utmärkande i den inledande fasen av underrättelseverksamhet, där enskilda aktörers koppling till brott eller ens till brottslig verksamhet ännu inte kunnat fastställas. Att i lagen särskilt ange att det i Säker- hetspolisen brottsbekämpande uppdrag ingår att kartlägga brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott utgör därför ett förtydligande av det nuvarande uppdraget. I likhet med vad som gäller för den militära underrättelse- och säkerhets- tjänsten bör det även framgå att syftet med underrättelseverksamheten är att klarlägga olika förhållanden. Detta kan ses som det nästa natur- liga steget i underrättelsearbetet.

Genom begreppet kartlägga i ändamålsbestämmelsen framgår att personuppgifter kan behöva behandlas för att ge en helhetsbild. Det innebär att det kan behövas uppgifter om personer som i be- handlingsögonblicket inte kan misstänkas för brottslig verksamhet men som ingår i en vidare krets kring misstänkta personer. Även upp- gifter om andra personer som förekommer i en kontext som är nöd- vändig att kartlägga måste kunna behandlas för att ge en tillräcklig förståelse för företeelsen. Ett exempel kan vara att Säkerhetspolisen kartlägger en utländsk underrättelseofficers förehavanden här i landet. Det ligger i sakens natur att alla kontakter denna har med per- soner här i landet kan vara relevanta för att kartlägga brottslig verk- samhet. Sett till underrättelseofficerens uppdrag här i landet går det att anta värvningsförsök eller kontakter med redan etablerade agenter kommer att ske. En kartläggning av dennes brottsliga verksamhet

341

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

kan röra sig om uppgifter om vilka bilar som parkerat på samma eller angränsande våningsplan i ett parkeringsgarage. Utan denna informa- tion är det inte möjligt att veta om bilar knutna till en viss person återkommande parkerar i närheten av underrättelseofficeren och att denne därmed kan misstänkas för att exempelvis dela känsliga upp- gifter till främmande makt.

Denna typ av intensiv underrättelseverksamhet är i princip för- behållet säkerhetstjänsterna. Att beskriva underrättelseverksamheten på ett liknande sätt för Säkerhetspolisen som för den militära under- rättelse- och säkerhetstjänsten markerar en skillnad mellan denna typ av kvalificerat underrättelsearbete i förhållande till andra brotts- bekämpande myndigheter. Detta har tidigare uttryckts i lagför- arbeten utan att närmare klargöras i lagtexten.50

Kartläggning är även ett begrepp som tidigare använts för att be- skriva underrättelseverksamhet och som därför lämpar sig bra att återinföra i den nya lagstiftningen. Kartläggning av enskildas person- liga förhållanden används också i 2 kap. 6 § regeringsformen där det anges att var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes person- liga förhållanden. Genom att uttryckligen hänvisa till begreppet kartläggning står det klart att lagen avser att utgöra en tillåten begräns- ning av denna rättighet enligt regeringsformen 2 kap. 20–21 §§,

i syfte att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.

Begreppet klarlägga har en delvis annan innebörd som medger att personuppgifter kan behandlas för att gå vidare med inlednings- vis mycket svaga misstankar mot en person eller företeelse. I exem- plet ovan skulle det kunna vara att utreda vem som står bakom de hyrbilar som återkommande återfinns i det parkeringsgaraget där Säkerhetspolisen misstänker att underrättelseofficeren träffar en svensk kontaktperson. På så vis kan misstankar som inledningsvis väckts på grund av slump avfärdas, men andra kan vara uppslag till ett ärende om misstänkt spionage. Begreppet klarlägga användes även i definition av underrättelseverksamhet i den äldre polisdata- lagen. Där angavs att underrättelseverksamhet är ”polisverksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att

50Prop. 2018/19:163 s. 68.

342

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

utövas och som inte utgör förundersökning enligt 23 kap. rättegångs- balken” (se även avsnitt 3.3.2). I en underrättelsekontext får begrep- pet ”klarlägga” anses vara kvalificerat i förhållande till att ”kartlägga”. Klarläggning av förhållanden är så att säga målet med kartläggningen och markerar att underrättelsearbetet riktas in mot mer specifika omständigheter än vad som är fallet med en bredare kartläggning.

Hindra eller försvåra brottslig verksamhet

I Sverige är Säkerhetspolisen inte en civil underrättelsetjänst med ett uppdrag begränsat till att kartlägga olika förhållanden. Under- rättelseverksamheten inom myndigheten bedrivs för att Säkerhets- polisen ska kunna utföra uppgifter som nationell säkerhetstjänst. Säkerhetspolisen har därmed inget självständigt intresse att samla information om brottslig verksamhet. Syftet med underrättelse- verksamheten är att förebygga och förhindra brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott. Detta uppdrag förutsätter att brottslig verksamhet först identifierats. Därefter följer åtgärder av olika slag för att förebygga hot eller, i förekommande fall förhindra brottslig verksamhet. Dessa åtgärder är det sista ledet i den brottsförebyggande verksamheten och resul- tatet av ett framgångsrikt underrättelsearbete. Det är dock sällan dessa åtgärder resulterar i en lagföring.

Säkerhetspolisens verksamhet som syftar till att upptäcka och reducera hot bedrivs framför allt inom verksamhetsområdena kontra- spionage, kontraterrorism och författningsskydd. Reduktion av ett hot kan ske på många olika sätt där frihetsberövande och lagföring inom ramen för en förundersökning är ett sätt. Andra sätt som står till myndighetens förfogande är att initiera en utvisning av en utlän- ning som bedöms utgöra ett säkerhetshot eller att påtala för reger- ingen att underrättelseofficerare som arbetar under diplomatisk täck- mantel bör förklaras persona non grata. Säkerhetspolisen arbetar även proaktivt för att minska extremistmiljöerna i Sverige. Så sker till exempel genom så kallad outreach-verksamhet och yttranden till andra myndigheter inom ramen för bl.a. utlänningslagstiftningen och de olika regelverken om statsstöd. Säkerhetspolisens verksam- het som syftar till att upptäcka och reducera sårbarheter bedrivs

343

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

i stället framför allt inom verksamhetsområdena säkerhetsskydd och personskydd.

Det bör i den nya lagen uttryckligen anges att denna del av verk- samheten utgör ett ändamål för personuppgiftsbehandling. Säkerhets- polisens personuppgiftslag bör därför precisera det brottsförebyg- gande uppdraget genom att personuppgifter som behövs för att vidta åtgärder som hindrar eller försvårar sådan brottslig verksamhet omfattas. Även åtgärder för att hindra eller försvåra brottslig verk- samhet är utmärkande för det kvalificerade uppdraget som nationell säkerhetstjänst och motsvarar inte andra brottsbekämpande myndig- heters brottsförebyggande verksamhet. Detta bör komma till uttryck i lagtexten som ett förtydligande av det nuvarande uppdraget. Någon betydelseförskjutning avseende Säkerhetspolisens uppdrag är inte avsedd.

8.4.5Brottsutredning som verksamhet för personuppgiftsbehandling

Förslag: Av lagen ska framgå att Säkerhetspolisen får behandla personuppgifter i sin brottsutredande och lagförande verksamhet.

Det brottsutredande uppdraget ska framgå

Av polislagen framgår att Säkerhetspolisen i likhet med Polismyndig- heten bedriver polisverksamhet och att myndigheten har ett brotts- utredande och lagförande uppdrag. Det innebär bland annat att Säkerhetspolisen inom sitt ansvarsområde får bedriva förundersök- ning och inom ramen för denna använda straffprocessuella tvångs- medel. Säkerhetspolisen bedriver alltså förutom säkerhets- och under- rättelsearbete även brottsutredande verksamhet. På så sätt skiljer sig myndighetens uppgifter i en internationell jämförelse från många andra säkerhetstjänsters uppgifter. Att Säkerhetspolisen är polismyn- dighet med uppgift att utreda brott och kan behandla personuppgifter för detta ändamål bör framgå av lagstiftningen.

Personuppgifter som rör brott, straffrättsliga förfaranden, fällande domar och andra relaterade säkerhetsåtgärder anses i dataskyddskon- ventionen 108+ vara känsliga personuppgifter. För en brottsbekäm-

344

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

pande myndighet är det självklart att sådana personuppgifter måste kunna behandlas, då det utgör själva grunden för myndighetens verk- samhet. Skälet till att det är angeläget att det framgår av lagstift- ningen att uppgifter som myndigheten behandlar får användas för brottsutredande och lagförande ändamål är huvudsakligen för att allmänheten ska kunna förutse konsekvenserna av Säkerhetspolisens personuppgiftsbehandling. Vi anser att den nuvarande bestämmel- sen, om den rättsliga grunden brottsutredning och lagföring bör överföras till den nya lagen. Som framgår nedan finns det dock skäl att justera lydelsen.

Brottskatalogen bör inte anges

Den nuvarande säpodatalagen anger vilka kategorier av brott som Säkerhetspolisen ansvarar för. Som framgått i avsnitt 8.3.3, anser vi att det inte är nödvändigt att upprepa de brott som Säkerhetspolisen ansvarar för som rättslig grund i den generella personuppgiftslagstift- ningen. Av samma skäl anser vi inte att det är nödvändigt att ange vilka brott som ingår i den brottsutredande verksamheten. Det fram- står som mer lämpligt att brottskatalogen anges i de rättsakter som primärt reglerar Säkerhetspolisens uppdrag: i huvudsak polislagen och Säkerhetspolisens instruktion. Det innebär givetvis inte någon utvidgning av Säkerhetspolisens uppdrag i denna del. Säkerhets- polisen ska även fortsättningsvis endast utreda de brott som följer av det uppdrag som getts myndigheten genom lag eller förordning. Däremot medför det att lagen blir mer neutral i sin utformning och möjliggör att uppdraget förändras utan onödiga följdändringar i personuppgiftslagstiftningen. Vår uppfattning är att den rättsliga grunden är tillräcklig för att avgränsa vilka brottsbekämpande ända- mål som får bestämmas inom denna verksamhet.

Det tål att upprepas att säpodatalagens tillämpningsområde är begränsat till brottsbekämpning som rör nationell säkerhet. Sverige har ett stort utrymme att avgöra vilken brottslighet som utgör hot mot nationell säkerhet genom att den hotar statens grundfunktioner och samhällets grundläggande intressen. Trots detta är det endast EU-domstolen som i slutändan kan avgöra var gränsen för brotts- bekämpning som rör nationell säkerhet går och därmed begränsa säpodatalagens tillämpningsområde. Även av denna anledning är

345

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

det lämpligt att inte närmare ange vilken brottslig verksamhet som lagen avser.

8.4.6Övrig brottsbekämpande verksamhet som rör nationell säkerhet

Förslag: Av lagen ska framgå att personuppgifter får behandlas för andra ändamål inom lagens tillämpningsområde om det finns stöd för behandling i en rättslig grund.

Därutöver ska förtydligas att behandling av personuppgifter får ske för utveckling av teknik och metodik inom lagens tillämp- ningsområde.

Andra uppgifter med stöd av rättslig grund

Vid sidan av sitt brottsförebyggande och brottsutredande uppdrag har Säkerhetspolisen även andra uppgifter, som följer av lag, förord- ning eller särskilt beslut av regeringen. Av polislagen anges särskilt att Säkerhetspolisen ansvarar för personskyddet av den centrala stats- ledningen, av säkerhetsskyddslagen följer andra uppgifter, liksom av utlännings- och medborgarskapslagstiftningen. Alla dessa uppgifter anges uttryckligen som rättslig grund i den nuvarande lagstiftningen. Därutöver anges i säpodatalagen att personuppgifter får behandlas om det är nödvändigt för att fullgöra någon annan uppgift som rör nationell säkerhet, om det finns en rättslig grund för behandlingen. Vi anser att en uppräkning av vissa ytterligare uppgifter, vid sidan av de uttryckligt brottsbekämpande, inte fyller någon tydlig funktion. Särskilt inte om uppräkningen inte är uttömmande utan att det där- utöver tillkommer en rad uppgifter som följer av andra, icke utpekade, författningar (se avsnitt 8.3.3).

Därför anser vi att de uttryckligt brottsbekämpande verksamhet- erna i lagen endast bör kompletteras på så sätt att det anges att det ändamålet för personuppgiftsbehandling även kan bestämmas i en annan verksamhet som följer av någon rättslig grund.

346

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Teknikutveckling

Säkerhetspolisen har ett stort och växande behov av att utveckla, testa och utvärdera olika it-system och tekniska förmågor för infor- mationshantering. Det inkluderar framtagande av AI-modeller, för att förbättra den tekniska förmågan. Vi har konstaterat att it-utveck- ling som sker i syfte att öka myndighetens förmåga att bearbeta och analysera personuppgifter inom den brottsbekämpande verksamheten inte kräver särskilt lagstöd utan sker med stöd av det övergripande uppdraget. Vi anser även att teknisk utveckling är sådan verksamhet som faller inom lagens tillämpningsområde (se avsnitt 8.1.2 ovan).

I de fall som test- och utvecklingsverksamhet sker med person- uppgifter som Säkerhetspolisen redan behandlar med stöd av säpo- datalagen utgör finalitetsprincipen i dag den yttersta ramen för vilken behandling som är tillåten. Personuppgiftsbehandling för att utveckla it-system är i normalfallet förenligt med det ändamål uppgifterna ursprungligen behandlades för, eller i vart fall inte oförenligt. Behand- ling av personuppgifter för teständamål, är också något som normalt inte brukar regleras i särskilda registerförfattningar. Det följer av att myndigheter generellt har en skyldighet att ha säkra tekniska lösningar för att kunna utföra de uppgifter som åligger dem. Reger- ingen har uttalat att det numera är en huvudprincip att testverksam- het inte behöver regleras som ett särskilt ändamål.51

FRA har i 2 kap. 5 § FRA-datalagen en ändamålsbestämmelse som medger att personuppgifter behandlas för utvecklingsändamål, om det är nödvändigt för försvarsunderrättelseverksamheten. Para- grafen innebär att FRA får behandla personuppgifter för att följa förändringar i signalmiljön, den tekniska utvecklingen och signal- skyddet samt för fortlöpande utveckla den teknik och metodik som behövs för att bedriva signalspaning.

FRA:s särskilda bestämmelse för personuppgiftsbehandling för teknisk utveckling utgör därmed ett undantag från huvudregeln. Skälet är att det även finns en möjlighet för FRA att bedriva signal- spaning för samma ändamål och därmed inhämta mycket stora mäng- der information och personuppgifter för att utveckla teknik och metodik. När nya metoder för forcering av krypterad information arbetas fram används exempelvis autentiskt signalspaningsmaterial.

51Prop. 2019/20:113 s. 20.

347

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

I målet Centrum för Rättsvisa mot Sverige uttalade sig Europa- domstolen om FRA:s utvecklingsverksamhet. Domstolen framhöll uppgifter inom denna verksamhet inte intresserar myndigheterna på grund av de uppgifter de kan innehålla, utan endast på grund av den möjlighet de ger att analysera de tekniska systemen. Domstolen konstaterade att den grad av intrång i enskildas rättigheter enligt artikel 8 som sådan verksamhet medför ”förefaller vara av mycket låg intensitet med hänsyn till att de uppgifter som erhålls inte är avsedda att generera underrättelser”.52

Den nuvarande säpodatalagen medger att myndigheten i viss ut- sträckning kan använda bedömd information, som uppfyller kvalitets- kraven i nuvarande 2 kap. 7–9 §§ säpodatalagen, som test- och träningsdata för att utveckla eller utvärdera AI-modeller. För att kunna utveckla, testa och utvärdera nya tekniska förmågor på ett ändamålsenligt sätt krävs emellertid behandling av stora, autentiska datamängder av olika uppgiftsslag.

Det finns i dag inte någon möjlighet för Säkerhetspolisen att samla in uppgifter för teknikutveckling. Det finns en god tillgång till autentiskt material, exempelvis olika slags överskottsinformation som hade kunnat användas som träningsdata eller på annat sätt inom utvecklingsverksamheten. Dagens regler innebär dock att uppgifterna måste granskas och uppfylla säpodatalagens krav innan de potentiellt skulle kunna användas för utvecklingsändamål. Efter- som detta är en väldigt tidskrävande process, kan bara begränsade delar av hela materialet hanteras enligt dessa krav. Verktyg som nytt- jar moderna tekniker kräver ofta stora datamängder att utveckla, något som inte är möjligt att åstadkomma med nuvarande lagstiftning.

Det förutsätts att Säkerhetspolisen ska kunna möta dagens och framtidens hot genom en god teknisk förmåga; en förmåga som del- vis måste utvecklas inom myndigheten (se avsnitt 6.2.6). Att Säker- hetspolisen inhämtar och behandlar personuppgifter i detta syfte måste dock ske transparent och inom lagens ram. Vi anser att det därför finns skäl att uttryckligen reglera teknisk utveckling som en verksamhet för vilket Säkerhetspolisen får behandla personuppgifter.

Genom att denna verksamhet tydliggörs i lagstiftningen framgår det att enskildas personuppgifter kan komma att behandlas inom myndigheten trots att det inte omedelbart sker för ett brottsbekäm- pande ändamål. Så kan vara fallet då exempelvis texter av olika slag

52Se Europadomstolens dom, Centrum för Rättvisa mot Sverige, p. 292.

348

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

används för att utvärdera eller vidareutveckla översättningstjänster eller att bildmaterial används för att träna mjukvara som kan identi- fiera vapen. Behandling för sådana utvecklingsändamål innebär nor- malt inte övervakning eller kartläggning av den enskildes personliga förhållanden. Det kan emellertid inte uteslutas att det i vissa fall kan behöva ske en kartläggning i utvärdering- och utvecklingssyfte.

Utvecklingsändamålen i lagen bör medge att uppgifter som ur- sprungligen inhämtats för ett operativt ändamål även behandlas för att utveckla tekniska system, men också att Säkerhetspolisen kan samla in uppgifter enbart för utvecklingsändamål.

Det är viktigt att de uppgifter som behandlas endast för utveck- lingsändamål regleras särskilt avseende vilken vidarebehandling som är tillåten och avseende behandlingstid. Det bör inte vara tillåtet att behandla sådana uppgifter för något annat ändamål och heller under någon längre tid. Vi återkommer därför till dessa frågor.

8.5Författningsenlig och korrekt behandling

8.5.1Dataskyddskonventionens bestämmelse

Av dataskyddskonventionen 108+ framgår kravet på författnings- enligt, transparent och korrekt personuppgiftsbehandling:

Article 5 – Legitimacy of data processing and quality of data

3.Personal data undergoing processing shall be processed lawfully.

4.a Personal data undergoing processing shall be processed fairly and in a transparent manner.

Bestämmelsen om författningsenlighet, i artikel 5.3, utgör ett av de absoluta krav, där särskilda undantag, enligt artikel 11, inte är möjliga, oavsett syfte. Enskilda har även en rätt att kräva radering av person- uppgifter som inte behandlats författningsenligt. Kravet i punkten 4 a omfattas däremot av möjligheterna till undantag.

I dataskyddskonventionen regleras dessa krav, på att personupp- gifter ska behandlas författningsenligt, korrekt och öppet, i ett sammanhang (artikel 5.1 a).

349

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.5.2Den nuvarande regleringen

Bestämmelser som motsvarar konventionens krav finns i nuvarande 2 kap. 6 § säpodatalagen. Där anges att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt. Att personuppgifter ska behandlas författningsenligt innebär att det ska finnas en rättslig grund för behandlingen. Att personuppgifter ska behandlas korrekt innefattar att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.53

8.5.3Den nuvarande bestämmelsen bör överföras

Förslag: Av lagen ska framgå att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Det finns inte några skäl att ändra på den nuvarande bestämmelsen som kräver att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt, vilket får anses vara av upplysningskaraktär. Att en myndighet ska agera i enlighet med lag och att handlägg- ningen ska ske på ett korrekt sätt framstår som en djupt förankrad självklarhet i den svenska förvaltningstraditionen.

I tidigare lagstiftningsärenden har begreppet korrekt ansetts mot- svara det engelska begreppet fairly, även om det engelska ordet ansetts snarast böra översättas till rättvist, skäligt eller rimligt.54 Begreppet fairly i dataskyddskonventionen bör ha samma betydelse som begrep- pet i de EU-rättsliga dataskyddet. I de svenska språkversionerna av dataskyddsförordningen och brottsdatadirektivet används begreppet korrekt. Även om det skulle vara önskvärt att implementera data- skyddskonventionen genom ett begrepp som stämmer bättre över- ens med konventionstexten anser vi att de begrepp som utvecklats inom svenskt dataskydd, med motsvarande innebörd, inte bör ändras när betydelsen avses vara densamma som tidigare.

Dataskyddskonventionens krav på öppenhet eller transparens kommer, i likhet med gällande rätt, främst att tillgodoses genom att det framgår av författning hur personuppgifter får behandlas vid

53Prop. 2018/19:163 s. 72.

54Prop. 2017/18:232 s. 142 f. och prop. 2018/19:163 s. 72.

350

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

myndigheten. Att de övergripande verksamheter för behandling anges bidrar till att uppnå detta krav, se avsnitt 8.4.

8.6Inledande behandling av personuppgifter

8.6.1Dataskyddskonventionens bestämmelser

En av de mest centrala bestämmelserna i dataskyddskonventionen

108+ är artikel 5.4 b. Där framgår bland annat:

Article 5 – Legitimacy of data processing and quality of data

4. Personal data undergoing processing shall be:

b. collected for explicit, specified and legitimate purposes and not processed in a way incompatible with those purposes […]

Denna ändamålsprincip vid personuppgiftsbehandling är en mycket viktig del av dataskyddet. Artikeln uttrycker att personuppgifter ska samlas in för ett särskilt, uttryckligt angivet och berättigat ändamål och inte behandlas på ett sätt som är oförenligt med det ändamålet.

Konventionen tillåter inte behandling för odefinierade, oprecisa eller vaga ändamål. Enligt kommentaren till konventionen är det som utgör ett legitimt ändamål beroende av omständigheterna kring be- handlingen. Bestämmelsen syftar till att säkerställa proportionalitet mellan samtliga fri- och rättigheter och andra intressen som påverkas i det enskilda fallet. Med oförenlig behandling avses sådan behand- ling som kan vara oväntad, olämplig eller på annat sätt stötande för den registrerade. Det kan ha betydelse i vilket sammanhang person- uppgifterna har samlats in och att det finns lämpliga skyddsåtgärder både för den ursprungliga och den avsedda vidare behandlingen.55

Principen, som får anses vara grunden för hela personuppgifts- skyddet, har i Sverige funnits med ända sedan den första datalagen från 1973. Ändamålsprincipen var en del av den första dataskydds- konventionen från 1981 och återfinns i motsvarande lydelse även i EU:s dataskyddsrätt.

55Se Explanatory Report to the Protocol amending the Convention for the Protection of Individ- uals with regard to Automatic Processing of Personal Data, p. 48–49.

351

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.6.2Den nuvarande regleringen

Den nuvarande säpodatalagen är utformad på samma sätt som övrig svensk personuppgiftslagstiftning i det avseendet att insamling av uppgifter inte längre är särreglerat i förhållande till övrig behandling.

Innan det lagstiftningsprojekt som genomförde brottsdatadirek- tivet i svensk rätt angavs i polisdatalagen att personuppgifter endast fick samlas in för särskilda, uttryckligt angivna och berättigade ända- mål.56 Att insamlingsändamålen uttryckligen angavs i polisdatalagen motiverades av regeringen med att det är en central dataskyddsprincip att uppgifter endast får samlas in för specifika och legitima ändamål och att insamlade uppgifter inte får behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Enligt regeringen kunde skyldigheten att ha ett preciserat ändamål för insamlingen visserligen sägas följa redan av de materiella bestämmelser som styr polisens verksamhet men valde ändå att särskilt ange insamlings- ändamål.57

Den nuvarande säpodatalagen, tillsammans med alla de lagstift- ningar som ingick i genomförandet av EU:s dataskyddsreform, har frångått metoden att särskilt ange och reglera personuppgiftsbehand- ling i form av insamling. Denna ordning motiverades med att det inte bara är när personuppgifter samlas in som det ska finnas ett sär- skilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska också uppfylla dessa krav.58

I förarbetena till säpodatalagen förklarade regeringen att det i underrättelseverksamhet, där personuppgifter behandlas på ett tidigt stadium i processen, inte alltid är möjligt att ange ändamålen för behandlingen lika tydligt och detaljerat som i annan brottsbekäm- pande verksamhet. Det innebär enligt regeringen att ändamålet till en början kanske inte kan anges mer preciserat än till vilken verksam- hetsområde en viss uppgift hör, exempelvis kontraterrorism. Det får därför accepteras att beskrivningen av ändamålen inte alltid kan ha samma precision som i annan brottsbekämpande verksamhet. Det finns vidare inget som hindrar att det närmare ändamålet med behand-

569 § första stycket a personuppgiftslagen (1998:204) som genom 2 § första stycket 3 polis- datalagen (2010:631) gjordes tillämplig även för Säkerhetspolisen.

57Prop. 2009/10:85 s. 97 f.

58Prop. 2017/18:232 s. 121.

352

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

lingen inledningsvis är detsamma som anges i bestämmelsen om rätts- lig grund. Ändamålet får sedan preciseras mer när det blir möjligt.59 Dagens reglering kan därmed sägas innebära att det för Säkerhets-

polisen i lagförarbetena har gjorts ett särskilt undantag avseende kravet på ett särskilt, uttryckligt angivet ändamål vid insamling. Undantaget medger att Säkerhetspolisen kan inhämta information för ett vagt formulerat ändamål, och att ändamålet i samband med att uppgifterna bearbetas och analyseras ska vara nödvändiga för ett särskilt, uttryckligt angivet ändamål. Detta möjliggör underrättelse- inhämtning, men framgår alltså inte av lagtexten.

8.6.3Särskilt angående underrättelseinhämtning

Bedömning: Inom Säkerhetspolisens verksamhet finns ett stort och för säkerhets- och underrättelsetjänster utmärkande behov av att aktivt samla in personuppgifter.

Att avslöja och avvärja hoten innan brotten begås är en säkerhets- tjänsts främsta utmaning. En stor del av Säkerhetspolisens under- rättelseverksamhet är beroende av att information inhämtas på olika sätt. Det kan röra sig om inhämtning med stöd av särskilda befogenheter, som exempelvis genom inriktning av signalspaning, hemlig dataavläsning eller avlyssning. I dessa fall finns regelverk som styr för vilka ändamål insamling av personuppgifter får ske och i vil- ken omfattning.

När inhämtning sker med stöd av särskilda befogenheter och särskilda regelverk finns ofta regler om hur länge och på vilket sätt de inhämtade uppgifterna får behandlas. Saknas det ska säpodata- lagen tillämpas. Det gäller exempelvis egen insamling av personupp- gifter från internet eller tips och uppslag som lämnas till Säkerhets- polisen eller uppgifter som lämnats från en samverkande tjänst i ett annat land. Om uppgifter inhämtats genom hemliga tvångsmedel, kan även åklagare, med stöd av 27 kap. 23 a § rättegångsbalken, be- sluta att uppgifter som har kommit fram får användas för ett annat ändamål än det som har legat till grund för åtgärden. Sådan, så kallad

59Prop. 2018/19:163 s. 68.

353

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

överskottsinformation, används ofta för underrättelseändamål och behandlas med stöd av säpodatalagen.

Säkerhetspolisens verksamhet utgörs till övervägande del av under- rättelsearbete. Det bedrivs underrättelseverksamhet även inom andra brottsbekämpande myndigheter. Polismyndigheten har genom Nationella operativa avdelningen liknande möjligheter som Säker- hetspolisen att bedriva aktiv underrättelseinhämtning mot bland annat den grova organiserade gängbrottsligheten. Det finns emeller- tid en betydande skillnad i naturen hos underrättelseverksamheten som bedrivs av Polismyndigheten respektive Säkerhetspolisen. Polismyndigheten övervakar som regel en aktiv kriminell miljö där det finns åtskilliga indikatorer som pekar ut en riktning för under- rättelseverksamheten. Även Säkerhetspolisen kan i vissa fall få indika- tioner som pekar ut en riktning, som att en viss våldsbejakande extre- mistmiljö håller på att radikaliseras.

En viktig del av Säkerhetspolisens uppdrag är emellertid att upp- täcka, förebygga och förhindra mycket allvarlig brottslighet som inte sker i en aktiv kriminell miljö. Terrordåd riktade mot mål i västvärlden utmärks exempelvis ofta av att de planeras och förbereds i största hemlighet och utförs helt utan förvarning. Underrättelseverksamhet som syftar till att upptäcka och avvärja sådana okända hot måste där- för ske utan att några närmare detaljer är kända då underrättelse- inhämtningen påbörjas. Den preventiva uppgiften är den primära vilket innebär att Säkerhetspolisen inte kan förlita sig på polisanmäl- ningar för att fullgöra sitt uppdrag. Myndigheten måste själv inhämta uppgifter för att identifiera om ett brott kan komma att begås. Uppdraget kräver således att Säkerhetspolisen på ett mycket tidigt stadium kan hämta in uppgifter inriktade mot brottslig verksamhet.

Den militära säkerhets- och underrättelsetjänsten har tillsam- mans med FRA ett liknande uppdrag. När FRA inhämtar signaler sker det utifrån ändamål som är brett formulerade genom beslut om försvarsunderrättelseverksamhetens inriktning och genom de inriktande myndigheternas närmare preciseringar (se avsnitt 3.6.2). När personuppgifter inhämtats med stöd av dessa breda ändamål påbörjas personuppgiftsbehandling för särskilda, uttryckligt angivna och berättigade ändamål. Detta sker bland annat genom att uppgifter som är av intresse struktureras och analyseras och att uppgifter som inte behövs för något berättigat ändamål raderas. Att den inledande behandlingen av personuppgifter genom inhämtning eller annan

354

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

insamling sker med stöd av ett bredare ändamål än den fortsatta behandlingen följer för FRA:s del av den särskilda bestämmelsen i

2 kap. 18 § FRA-datalagen. Där anges att flera av lagens krav inte ska gälla hantering av information i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

Det är givetvis inte möjligt att inhämta uppgifter i syfte att före- bygga okända hot, om det krävs att hotet ska anges som ändamål för inhämtning. Trots att den särskilda bestämmelsen i 2 kap. 18 § FRA-datalagen ursprungligen tillkom för att specifikt möta rättsliga hinder för signalspaning finns i 2 kap. 20 § försvarsdatalagen en lika- lydande bestämmelse som kan tillämpas av Försvarsmakten. Denna bestämmelse ger därmed klart lagstöd för den militära underrättelse- och säkerhetstjänsten att inhämta och inledningsvis behandla person- uppgifter utan krav på särskilt, uttryckligt angivet och berättigat ända- mål – i inhämtningsögonblicket.

Av avsnitt 6.1 och 6.2 följer att det finns ett stort behov för en myndighet med Säkerhetspolisens uppdrag att hantera de allt större informationsmängderna i samhället i syfte att identifiera hotaktörer och upptäcka tidigare okänd brottslig verksamhet. Det finns därför ett helt annat behov av att kunna samla in information och även en helt annan förväntan på att Säkerhetspolisen ska kunna agera i dagens informationsmiljö än vad som gäller för andra aktörer. Vi vill säker- ställa att Säkerhetspolisen kan utföra sitt underrättelseuppdrag. Det behövs därför en reglering i säpodatalagen som tar hänsyn till det som utmärker myndighetens verksamhet och det faktum att det sker en exponentiell informationstillväxt i samhället.

8.6.4Insamling och inhämtning bör särregleras

Bedömning: Insamling och liknande sätt att inleda behandling av personuppgifter bör regleras särskilt i säpodatalagen. Det ska inte ställas samma krav för sådan behandling som efterföljande be- handlingsåtgärder.

I många verksamheter innebär den nuvarande ordningen inte något större problem. Normalt sett samlas inte uppgifter in i någon större omfattning av svenska myndigheter, och om det sker är det i så

355

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

liten utsträckning som möjligt. Ofta kommer personuppgifter till en myndighet till följd av en rättslig bestämmelse eller lämnas till myndigheten på dennas uppmaning. Någon regelrätt inhämtning eller insamling av information sker mer sällan av andra myndigheter än de som har någon form av underrättelseverksamhet knutet till sitt uppdrag. För en myndighet som Säkerhetspolisen som har ett uttalat och omfattande underrättelseuppdrag, anser vi att det finns en brist i denna systematik.

En mycket stor del av Säkerhetspolisens arbete går ut på att be- driva underrättelseverksamhet. En av myndighetens kärnuppgifter är därmed att samla in uppgifter som därefter bearbetas och analyse- ras. Det framstår därför som naturligt att insamling av uppgifter ska regleras särskilt och på ett transparent sätt. Det finns i huvudsak två skäl till att insamling av personuppgifter bör regleras särskilt.

Det går inte att ställa krav på uppgifters kvalitet innan uppgifterna är kända

För det första är det inte realistiskt, eller ens möjligt att, som den nuvarande lagstiftningen är formulerad, upprätthålla alla lagens krav på personuppgiftsbehandling under insamlingsskedet. Vid insam- lingen, då uppgifterna fortfarande är okända till sitt innehåll går det nämligen inte att avgöra om personuppgifterna är nödvändiga, eller ifall de visar sig vara känsliga uppgifter, absolut nödvändiga för ett visst ändamål. Inte heller går det att i detta skede att avgöra om upp- gifter är relevanta, adekvata och inte onödigt omfattande för ett visst ändamål. Prövningen av att personuppgifterna behandlas i enlighet med 2 kap. 3, 7–9 §§ säpodatalagen kan ske först efter att de finns tillgängliga hos myndigheten. Då har behandlingen redan påbörjats.

Den nuvarande lagstiftningen innebär i praktiken att Säkerhets- polisen inte kan följa säpodatalagen och samtidigt utföra sitt uppdrag som nationell säkerhetstjänst. Det är därmed svårt för medborgare att endast utifrån innehållet i lagen utläsa hur myndigheten behandlar personuppgifter i verksamheten. Denna otydlighet innebär också att effektiviteten i verksamheten kan lida av att det är osäkert med vilket rättsligt stöd en viss behandling sker.

356

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Uppgifter måste kunna samlas in för att upptäcka okända hot

För det andra är det inte ett mål för Säkerhetspolisens verksamhet att insamling av uppgifter ska ske för på förhand bestämda, särskilda och uttryckligt angivna ändamål. En skillnad i förhållande till övrig brottsbekämpande verksamhet är att Säkerhetspolisen arbetar med brott som till sin natur är svåra – ibland mycket svåra – att bekämpa.

En spion lämnar sällan spår efter sig och inte heller föranleder dennes förehavanden vanligtvis några anmälningar eller uppslag från allmän- heten, som polisarbetet kan utgå från. En stor del av Säkerhetspolisens arbete är inriktat på att kartlägga personer och miljöer med anknyt- ning till brottslighet av den typ som Säkerhetspolisen ska bekämpa. Föremål för Säkerhetspolisens arbete är främst personer eller organi- sationer som det finns anledning att hålla under uppsikt i syfte att förhindra brott mot rikets säkerhet. Det säger sig självt att det är svårt att få inblick i miljöer där sådan verksamhet förekommer. Såväl spioneri som terrorism bedrivs med nödvändighet i det fördolda och över huvud taget i former som till sin natur är slutna.

Det är givetvis inte möjligt att inhämta uppgifter i syfte att före- bygga okända hot från sådana miljöer om det krävs att hotet ska anges som ändamål för inhämtning. Lösningen i den praktiska tillämpningen i dag är att kraven för med vilken precision ändamålen ska uttryckas är lägre i insamlingsskedet än för den efterföljande behandlingen. Enligt propositionsuttalanden finns inget som hindrar att det närmare ändamålet med behandlingen inledningsvis är exempelvis kontra- terrorism för att sedan preciseras när det blir möjligt.60 Denna tillämp- ning bör komma till uttryck i lagstiftningen.

8.6.5Insamling och andra åtgärder som ger Säkerhetspolisen tillgång till personuppgifter bör betecknas som inledande behandling

Förslag: Personuppgiftsbehandling som innebär att Säkerhets- polisen inhämtar, samlar in eller på annat sätt får del av person- uppgifter ska benämnas inledande behandling av personuppgifter.

60Prop. 2018/19:163 s. 68.

357

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Vi har funnit skäl att återgå till att i lagen särskilt reglera insamling av personuppgifter. Enligt allmänt språkbruk innebär insamling att något samlas ihop genom en aktiv handling. Detta begrepp fångar dock inte hela spektrumet av hur Säkerhetspolisen kan komma i kon- takt med personuppgifter. I begreppet insamling av uppgifter ligger ett antagande om att uppgifter kommit till myndigheten genom dess aktiva agerande. Regleringen som vi föreslår bör emellertid gälla även personuppgifter som kommer till Säkerhetspolisen på andra sätt, exempelvis genom att annan myndighet eller en samverkande tjänst i utlandet delar information utan att Säkerhetspolisen aktivt efterfrågat den. Som jämförelse kan vi se på hur olika myndigheter erhåller infor- mation. Medan exempelvis Skatteverket aktivt samlar in uppgifter genom deklarationer, kan Säkerhetspolisen både aktivt söka infor- mation och passivt ta emot den från olika källor. Begreppet insam- ling täcker inte in denna bredd av informationsflöden.

Insamling bör därför ersättas med ett lämpligt samlingsbegrepp. I 2 kap. 3 § säpodatalagen används begreppet ursprunglig behandling som ersättning för insamling för att förklara finalitetsprincipen.

Begreppet används för den situation som vi avser att reglera. Det kan dock uppfattas som otydligt på så sätt att det går att tolka som att begreppet endast avser den första gången en personuppgift han- teras av Säkerhetspolisen. En personuppgift i form av exempelvis ett namn kan dock komma att samlas in många gånger och för olika ändamål. Vi föreslår att begreppet inledande behandling i stället ska användas. Begreppet som även ska framgå av definitionerna i lagen, innebär att personuppgifter kommer till eller görs tillgängliga för Säkerhetspolisen.

8.6.6Inledande behandling bör kunna ske för ett brett formulerat ändamål

Förslag: Det ska inte ställas lika höga krav på att konkretisera ändamålet för den inledande behandlingen som för andra behand- lingsåtgärder. Det ska därför inte ställas krav på ett särskilt angivet ändamål. Inledande behandling ska i stället få ske för ett ändamål som bestäms inom de i lagen angivna verksamheterna.

358

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Syftet med regleringen av inledande behandling är i första hand att uppnå en transparens i lagstiftningen som på ett bättre sätt ska mot- svara Säkerhetspolisens faktiska verksamhet. Lagen kommer på så sätt att avvika från brottsdatalagens struktur och materiella innehåll. För Säkerhetspolisens befogenhet att samla in uppgifter är ingen saklig förändring avsedd, men det tydliggörs att den verksamhet som Säkerhetspolisen ägnar sig åt är av ett särskilt kvalificerat slag, motiverat av nationell säkerhet. Innebörden av regleringen som

viföreslår är därmed att Säkerhetspolisen på samma sätt som sker

idag ska få samla in personuppgifter för breda ändamål. Begreppet ändamål har förändrats över tid. Tidigare innehöll

myndigheters personuppgiftslagstiftningar typiskt sett en uppräkning av primära ändamål, som mer eller mindre preciserat beskrev det myndighetsuppdrag för vilket uppgifter fick behandlas. I samband med EU:s dataskyddsreform gjordes bedömningen att det som tidigare betecknats som ändamål i stället var att anse som rättslig grund för behandling. De ändamål som avsågs med ändamålsprincipen förändrades därmed i vissa fall, eftersom det tidigare ofta ansetts tillräckligt att hänvisa till de primära ändamålen. Även i den tidigare lagstiftningen för Säkerhetspolisen gällde att personuppgifter bara fick samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Skillnaden var att med dessa ändamål avsågs de primära ändamålen, bland annat att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott.61 Denna ordning antogs bestå även genom säpodatalagen, trots att det inte framgår uttryckligen av lagen.62

I avsnitt 8.4 har vi redogjort för varför det bör framgå inom vilka verksamheter som Säkerhetspolisen bör få behandla personuppgifter. Av lagen bör följa att det särskilda ändamålet för inledande behandling ska bestämmas inom någon av dessa verksamheter. Ändamålet för den inledande behandlingen måste vara tillräckligt specificerat för att ge ledning för bedömningen av behov och proportionalitet. Efter- som ändamålet för den inledande behandling även är avgörande för tillämpningen av finalitetsprincipen måste det även vara tillräckligt specifikt för att medge denna prövning.

61Se 6 kap. 1 §polisdatalagen (2010:361) och 9 § c personuppgiftslagen (1998:204) som enligt

2kap. 2 § polisdatalagen skulle tillämpas.

62Prop. 2018/19:163 s. 220.

359

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det innebär sammantaget att det inte är tillräckligt med ett allt- för vagt formulerat ändamål, som brottsbekämpning eller kartläggning av brottslig verksamhet. Det krävs en substans i ändamålet som inne- bär att en avvägning faktiskt kan göras mot andra skyddsvärda intressen och om efterföljande behandling är oförenlig med det inledande ändamålet.

De övergripande verksamheter som anges i lagen avser underrätt- elseverksamhet, säkerhetstjänst, brottsutredning och andra brotts- bekämpande uppdrag. Därutöver finns utvecklingsverksamhet som sker i brottsbekämpande syfte. Det är inte tillräckligt att inleda be- handling av personuppgifter endast med stöd av ändamålet kartlägga och klarlägga brottslig verksamhet. Detta begrepp syftar till att be- skriva underrättelseverksamhet. Om ändamålet för den inledande behandlingen ska bestämmas inom denna verksamhet bör även typen av brottslighet anges. Ett godtagbart ändamål kan vara att uppgift- erna ska behandlas för att kartlägga terrorhot mot Sverige. Då anges vilken brottslig verksamhet som underrättelseverksamheten ska bedrivas mot.

8.6.7Behandlingströskeln för inledande behandling bör vara lägre än i dag

Förslag: Inledande behandling ska kunna ske av personuppgifter som är befogade för ändamålet.

Det är svårt för Säkerhetspolisen att följa säpodatalagen som den är formulerad i dag. Ett exempel på att lagstiftningen inte är förenlig med Säkerhetspolisens verksamhet är att endast uppgifter som är nödvändiga för ett ändamål får behandlas. Bedömningen av om en uppgift är nödvändig för ett ändamål är emellertid inte möjlig att göra förrän uppgiften redan har behandlats. Denna diskrepans mellan verksamhetens praktik och lagstiftning är inte unik för Säkerhets- polisen. Vi uppfattar dock att det är ett särskilt tydligt problem i en verksamhet som kan betecknas som integritetskänslig, vilket ställer höga krav på en transparent lagstiftning. Dessutom utgör inte det beskrivna problemet något särpräglat och sällan förekommande undantag. Säkerhetspolisens underrättelseverksamhet består i hög grad av aktiv insamling av personuppgifter. Lagstiftningen bygger

360

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

på premissen att behovet av vissa specifika uppgifter är känd på för- hand. Det finns dock samtidigt en förväntan på att Säkerhetspolisen i sitt uppdrag som säkerhetstjänst ska upptäcka ännu okända hot.

I praktiken sker det en inhämtning av uppgifter, både av Säker- hetspolisen och andra myndigheter med liknande uppdrag, trots denna lagtekniska utformning. Denna pragmatiska tolkning av vad som är tillåtet enligt gällande rätt bygger på vissa förarbetsuttalanden och ett samförstånd mellan verksamhetsutövare och tillsynsmyndig- heten. Vi anser att det är lämpligare att det framgår av lag att Sveriges nationella säkerhetstjänst får samla in personuppgifter för att upp- täcka okända hot. En sådan lagstiftning är mer transparent och för- utsägbar för medborgarna.

Vår uppfattning är att lagstiftningen bör vara tydlig med att under- rättelseverksamhet får bedrivas mot vissa relevanta informations- miljöer och att inledande behandling får ske av uppgifter som kan förväntas vara relevanta. Att inledande behandling får ske för över- gripande ändamål, som exempelvis ”kartläggning av terrorhot” innebär att en viss typ av uppgifter typiskt sett kan antas vara relevanta att analysera. Det är däremot inte möjligt att behandla endast de upp- gifter som är relevanta, eftersom bedömning av om en uppgift är relevant inte går att göra förrän uppgiften har behandlats genom exempelvis insamling. Europadomstolen har även accepterat att underrättelseverksamhetens natur är sådan att personuppgifter först måste samlas in, innan dess värde som underrättelser kan bedömas.63 För att markera att underrättelseverksamhet får bedrivas genom aktiv insamling och inhämtning mot vissa miljöer i syfte att upptäcka okända hot bör en lägre behandlingströskel gälla för inledande be- handling.

Vilken behandlingströskel bör väljas

I Danmark tillämpas olika behandlingströsklar för säkerhetstjänstens PET:s personuppgiftsbehandling beroende både på vilket ändamål och vilken behandling det är fråga om. PET får samla in och inhämta personuppgifter som kan ha betydelse (”kan have betydning”) för verksamheten. När det gäller efterföljande behandlingsåtgärder, som

63Se Europadomstolens dom 24 januari 2019, Catt mot Förenade kungariket, mål nr 43514/18, p. 117.

361

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

lagring eller delning, är behovskriteriet för underrättelseverksam- heten lägre än övrig verksamhet. För att förebygga och efterforska brott inom PET:s ansvarsområde, krävs att personuppgifterna kan antas ha betydelse (”må antages at have betydning”) vilket är ett betyd- ligt lägre krav än nödvändigt som är behandlingströskeln för annan verksamhet (se även avsnitt 4.2.2).

Det finns oss veterligen ingen motsvarande lagstiftning i Sverige som direkt uppmärksammat ett behov av att särreglera inledande behandling i personuppgiftslagstiftningen. FRA behandlar en stor mängd personuppgifter i sin signalspaningsverksamhet. Enligt FRA- datalagen får myndigheten behandla personuppgifter som är nöd- vändiga för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signal- spaning i försvarsunderrättelseverksamhet. Regeringen uttalade i författningskommentaren att det ligger i underrättelseverksamhetens natur att det inte går att på förhand göra tydliga avgränsningar av vilka uppgifter som måste inhämtas för att nå det slutliga målet att åstadkomma de underrättelser som uppdragsgivarna efterfrågar. Inhämtad information kan motivera inhämtning av annan infor- mation som man från början inte kände till. Verksamheten kan också gå ut på att söka efter företeelser och hot som är okända men som antas existera.64 Denna beskrivning av underrättelseverksamhetens behov kan göras gällande även för Säkerhetspolisen och även för inhämtning som, till skillnad mot signalspaning, inte är special- reglerad.

För att åstadkomma en rimlig avgränsning av Säkerhetspolisens insamling av personuppgifter bör behandlingströskeln för inledande behandling vara lägre än för andra former av behandling, men inte så låg att oskäligt många uppgifter kan samlas in. Begreppet skäligt används i många andra sammanhang. Enligt vår bedömning passar skälig emellertid mindre väl som behandlingströskel. Skälig används exempelvis inom straffprocessen för angivande av en misstankegrad. Kravet för att Säkerhetspolisens ska få behandla personuppgifter bör dock vara betydligt lägre än vad som avses med exempelvis en skälig misstanke om brott. Ett annat begrepp som skulle kunna införas är berättigad. Berättigad innebär att något är välgrundat. Berättigad är emellertid närbesläktat med ordet rättighet och används ofta för att beskriva att någon har rätt till något. Denna åsyftning leder tankarna

64Prop. 2020/21:224 s. 214.

362

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

fel i detta sammanhang. Behandlingströskeln är inte avsedd att be- skriva vilken behörighet som Säkerhetspolisen i och för sig har att inleda personuppgiftsbehandling utan vilken befogenhet som finns för sådan behandling i det enskilda fallet. Ett begrepp som enligt Svenska Akademiens ordlista ligger nära både skälig och berättigad är just ordet befogad. Enligt Svensk Ordbok har befogad betydelsen ”som grundas på övertygande skäl”. Befogad används i många andra lagar för att markera att något är skäligt.65

Enligt vår bedömning motsvarar ”befogad” väl det vi vill efter- sträva med angivandet av en behandlingströskel för inledande behand- ling. Att en inledande behandling måste vara befogad för ett visst ändamål visar att åtgärden måste utgöra en skälig avgränsning i för- hållande till ändamålet. Det får givetvis inte handla om att uppgifter som är helt onödiga för ändamålet behandlas. Om uppgifter före- kommer i ett sammanhang eller en kontext som är relevant att analysera, är dock de där ingående personuppgifterna alltid befogade att inledningsvis behandla. Om den informationsmiljö eller den upp- giftsmängd som den inledande behandlingen avser inte är tillräckligt väl avgränsad kan det emellertid vara svårt för Säkerhetspolisen att motivera att behandlingströskeln är passerad för uppgiftsmängden som helhet.

Vad avses med befogade uppgifter?

Innebörden av begreppet ”befogad” bör vara att det finns någon indikation som ger stöd för att personuppgifterna i fråga är rele- vanta att behandla för ändamålet. Det bör däremot inte krävas någon visshet eller en sannolikhetsövervikt för att uppgifterna verkligen är det. Det finns därmed inget krav på att det på förhand ska finnas belagda misstankar om att någon för Säkerhetspolisen känd aktör förekommer i uppgiftsmängden. Det bör vara tillräckligt att det finns skäl att för det angivna ändamålet undersöka om någon känd aktör förekommer eller att det finns anledning att anta att företeelser eller hot som är okända men antas existera går att identifiera i materialet. Uppgifter av visst slag eller som har visst ursprung kan typiskt

sett vara befogade att behandla för ett inledande ändamål. Exempelvis

65Se exempelvis 1 § lag (1988:688) om kontaktförbud angående kontakter som är uppenbart befogade och i vapenlagstiftningen avseende befogade undantag från generella förbud.

363

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

kan överskottsinformation från hemliga tvångsmedel många gånger antas vara befogad för underrättelseverksamheten. Detsamma kan sägas om information som överlämnats av betrodda partner eller andra myndigheter. I dessa fall har någon annan redan bedömt att uppgifterna är relevanta för Säkerhetspolisen, vilket ofta innebär att det är befogat att undersöka uppgifterna vidare.

8.6.8Det ska inte ställas krav på personuppgifternas kvalitet vid inledande behandling

Förslag: Kraven på personuppgifters kvalitet ska inte tillämpas vid inledande behandling.

Vi har i avsnitt 8.6.4 redogjort för skälen till att inledande behand- ling bör särregleras. Ett av dessa skäl är att det inte är rimligt att uppställa krav på uppgifters kvalitet innan de kunnat granskas. För att kunna granska en uppgift måste den först behandlas – men upp- giften får inte behandlas innan den granskats. Denna interna konflikt mellan dataskyddsrättsliga principer är inte unik för den nuvarande säpodatalagen och innebär att det i praktiken måste göras ett oreglerat undantag från vissa bestämmelser under en inledande gransknings- period.

De flesta myndigheter har inte några större problem att motivera undantag från dessa principer under en kortare period efter att upp- gifter inhämtas eller samlats in, eftersom de granskas i princip simul- tant med denna behandling.

För en myndighet vars uppdrag förutsätter inhämtning och insam- ling av stora, på förhand okända och osorterade informationsmängder, innebär en sådan inkonsekvens att lagen inte på ett korrekt sätt återspeglar tillämpningen. För att förtydliga att det inte uppställs något krav på personuppgifters kvalitet innan de kunnat granskas bör kvalitetskraven särskilt undantas vid inledande behandling.

364

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.6.9Lättnaderna avseende inledande behandling är nödvändiga och proportionerliga

Bedömning: Lagens lägre krav för inledande behandling är propor- tionerligt och nödvändigt i demokratiskt samhälle för att skydda nationell säkerhet. Lagen respekterar andemeningen i skyddet för personuppgifter.

De generella personuppgiftsregelverken, som dataskyddsförord- ningen eller dataskyddskonventionen 108+, är inte särskilt anpassade för brottsbekämpande verksamhet. Det är skillnad på myndigheter och företag som inhämtar personuppgifter genom att den enskilda exempelvis skickar in en ansökan eller ger sitt samtycke till att upp- gifter registreras och en säkerhetstjänst som har till uppdrag att upp- täcka brott och brottslig verksamhet som pågår i det fördolda. Det är utmanande att tillämpa samma principer för så väsensskild verk- samhet. Det finns anledning att se över om den föreslagna lösningen avseende inledande behandling är förenlig med dataskyddskonven- tionen.

Det finns inte någon praxis som direkt bidrar till tolkningen av de särskilda och uttryckligt angivna ändamålen för insamling i data- skyddskonventionen 108+. I den ursprungliga och alltjämt gällande konvention 108, från 1981, uppställs inte samma krav. Där anges, i artikel 5 a, att personuppgifter ska ”erhållas” (”be obtained”) och behandlas korrekt och författningsenligt. I nästa punkt i artikeln, 5 b, anges att ”lagring” av uppgifterna däremot ska ske för ”särskilda och berättigade ändamål”. Principerna om uppgifts- och lagringsminimer- ing ska prövas mot detta särskilda ändamål.

Vår tolkning av den ursprungliga dataskyddskonventionen är att insamling får ske med stöd av det som i Sverige kallas primärt ända- mål eller en rättslig grund men att endast de personuppgifter som behövs för ett särskilt ändamål får behållas. Skillnaderna i konven- tion 108 och 108+ i detta avseende är att den moderniserade kon- ventionen kräver särskilt, uttryckligt angivet och berättigat ändamål för all behandling, inklusive insamling. Det talar emot att vår före- slagna lösning, där inledande behandling i princip ska kunna ske för ett primärt ändamål, är förenlig med konvention 108+. Det finns inte några detaljerade rapporter eller förarbeten om vad som legat bakom förändringen av dataskyddskonventionen i detta avseende.

365

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Ändringen ligger dock i linje med hur det europeiska personuppgifts- rätten utvecklats i övrigt, då både brottsdatadirektivet och data- skyddsförordningen är utformade på samma sätt.

Vi ser ett stort värde i att det ställs höga krav på konkretion av det ändamål för vilket personuppgifter behandlas. Det gäller särskilt för integritetskänslig behandling, som exempelvis behandling som sker med stöd av säpodatalagen. Vilket krav som dataskyddskonven- tionen ställer på konkretionen av ett särskilt ändamål är emellertid svårt att bedöma. Det finns sannolikt olika tolkningar av vad som avses med ett särskilt, uttryckligt angivet ändamål mellan konven- tionsstaterna. Detsamma gäller begreppets uttolkning i olika svenska lagstiftningar.

Vår bedömning är att kravet på ett särskilt, uttryckligt angivet ändamål inte är relevant för insamling som sker i underrättelseverk- samhet. Det huvudsakliga intrånget i den personliga integriteten sker enligt vår uppfattning efter inhämtningsskedet. Regerings- formens integritetsskydd avser personuppgifter som behandlas på ett sätt som innebär ett betydande intrång i den personliga integri- teten och som utgör övervakning eller kartläggning av den enskildes personliga förhållanden. En kartläggning eller övervakning förut- sätter i princip ytterligare behandling än insamling.

Vi anser att andemeningen i principen, som den kommer till ut- tryck i dataskyddskonventionen 108+ medger insamling för breda underrättelseändamål. Detta gäller så länge de insamlade uppgifterna endast får fortsätta att behandlas om det behövs för särskilda, uttryck- ligt angivna och berättigade ändamål. Denna tillämpning är en förut- sättning för att förebygga, förhindra och i synnerhet upptäcka brotts- lig verksamhet som utgör hot mot nationell säkerhet. När en sådan förutsättning föreligger finns också möjlighet att göra undantag, enligt artikel 11 i konventionen.

Oavsett hur dataskyddskonventionen 108+ ska uttolkas i denna del, finns därmed utrymme för Sverige att utforma en lagstiftning i enlighet med vårt förslag. Vår uppfattning är att förslaget befinner sig inom Sveriges bedömningsmarginal när det kommer till frågan om vad som är nödvändigt i ett demokratiskt samhälle för att skydda nationell säkerhet.

366

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.7Efterföljande behandlingsåtgärder

8.7.1Efterföljande behandling bör få ske för särskilda, uttryckligt angivna och berättigade ändamål

Bedömning: Intrånget i rätten till privatliv och den personliga integriteten är större när personuppgifter fortsätter att behandlas efter insamlingen. Det krävs därför ett starkt dataskydd för sådan behandling.

Förslag: Den behandling av personuppgifter som följer efter den inledande behandlingen ska endast få ske för särskilda, uttryckligt angivna och berättigade ändamål.

I begreppet inledande behandling ingår alla de åtgärder som krävs för att myndigheten ska få tillgång till personuppgifter, exempelvis genom inhämtning med stöd av särskild lagstiftning, insamling från öppna källor eller att Säkerhetspolisen tar emot underrättelser från andra tjänster. Efter inledande behandling av uppgifter sker i princip undantagslöst ytterligare behandlingsåtgärder, i form av exempelvis lagring, granskning, läsning eller radering.

Regleringen av den efterföljande behandling av personuppgifter är helt avgörande för ett effektivt dataskydd. Ett betydande intrång och sådan kartläggning som avses i 2 kap. 6 § andra stycket regerings- formen uppstår ofta genom åtgärder som sökning eller samman- ställning av lagrade personuppgifter, antingen ensamt eller i kombi- nation. Vi anser att tyngdpunkten för dataskyddet bör ligga där risken för intrång är som störst. En viktig del i ett sådant skydd är ändamålsprincipen. Det etablerade uttrycket för ändamålsprincipen i dataskyddssammanhang är att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Det finns ingen anledning att frångå denna princip när det gäller andra behand- lingsåtgärder än inledande behandling.

Att ändamålet ska vara särskilt innebär att de måste vara tillräckligt specificerade för att ge ledning för andra bedömningar i lagen. Det krävs en bedömning av om personuppgifterna är adekvata och rele- vanta för ändamålet för behandlingen och inte mer omfattande än vad som behövs. Ett särskilt ändamål är avgörande för att bedöma avgränsningen av den personuppgiftsbehandling som kan motiveras.

367

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Ett övergripande ändamål, som kan godtas vid den inledande behand- lingen, är ofta inte tillräckligt för att göra en sådan prövning. Ett särskilt ändamål kan exempelvis vara en kartläggning av vissa terrorist- nätverk i Sverige eller utomlands. Det kan även röra sig om hotbilds- bedömningar av vissa utpekade skyddspersoner. Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Samma krav ställs emellertid för varje ändamål som angivits.

Att ändamålen ska vara uttryckligt angivna är inte ett dokumenta- tionskrav för behandling av enskilda personuppgifter. Som framgår av avsnitt 8.13.3 föreslår vi att det särskilda ändamålet, i likhet med i dag, ska anges som en särskild upplysning om ändamålet inte fram- går på annat sätt. I många fall följer ändamålet av sammanhanget som uppgiften förekommer i. Om exempelvis någon form av text- meddelanden samlats in och bevarats från ett it-beslag, följer ända- målet för alla personuppgifter som återfinns i dessa av ändamålet med att beslaget överhuvudtaget bevaras. Kravet på uttryckligt angivande av ändamålet innebär att Säkerhetspolisen alltid måste kunna redogöra för vilket eller vilka ändamål uppgiften vidare- behandlas. Detta oavsett om det finns en särskild upplysning eller om det får anses följa av sammanhanget.

Att ändamålen ska vara berättigade innebär att de inte får gå ut- över de breda ändamålen som anges i lagen och måste följa en rätts- lig grund. Exempelvis måste kartläggning av brottslig verksamhet avse verksamhet som innefattar brott som Säkerhetspolisen ansvarar för enligt polislagen och myndighetens instruktion. Kravet på att det särskilda ändamålet ska vara berättigat innebär därmed att det måste vara förenligt med Säkerhetspolisens verksamhet som den anges i lag, förordning, internationellt åtagande eller särskilt beslut av regeringen.

Givetvis kan en rättslig grund som står i strid med en överord- nad norm inte berättiga en personuppgiftsbehandling. Av 12 kap. 10 § regeringsformen följer att om ett offentligt organ finner att en föreskrift står i strid med en bestämmelse i grundlag eller annan överordnad författning, får föreskriften inte tillämpas. En regerings- instruktion som står i strid med exempelvis 2 kap. 21 § regerings- formen kan därför aldrig utgöra en berättigad rättslig grund. Kravet på att ändamålet för behandlingen ska vara berättigat innebär ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer.

368

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.7.2Särskilt om fortsatt behandling av uppgifter inom underrättelseverksamheten

Bedömning: När uppgifter behandlas för att kartlägga brottslig verksamhet går det inte att ställa krav på att varje enskild person- uppgift i ett material ska behandlas för ett specifikt ändamål.

Behandlingen av enskilda personuppgifter bör i underrättelse- verksamhet ses i förhållande till den kontext där de förekommer. Vid kartläggning innebär det att vissa personuppgifter bör kunna behandlas för att sätta andra, mer centrala, uppgifter i sitt samman- hang.

Kartläggning och klarläggning

är en del av underrättelseprocessen

Syftet med särskilda regler för den inledande behandlingen är huvud- sakligen att reglera Säkerhetspolisens underrättelseverksamhet under inhämtningsskedet. Underrättelsearbete bedrivs enligt en särskild process som innebär att en inhämtning följs av bearbetning, analys och slutligen delgivning av information. De efterföljande delarna i denna process innebär i stor utsträckning personuppgiftsbehandling som, till skillnad mot mycket av inhämtningen, inte omfattas av några särskilda regelverk.

Efter att information har hämtats in bearbetas den genom att struktureras, systematiseras och värderas, till exempel genom jäm- förelser med sedan tidigare kända uppgifter. Därefter vidtar analysen. Det kan handla om till exempel hot- och riskanalys, analys av brotts- mönster och kartläggning av nätverk och grupperingar. Efter in- hämtning, bearbetning och analys är ambitionen att det framtagna underrättelsematerialet ska kunna användas i operativt arbete. Det framtagna underrättelsematerialet kan till exempel läggas till grund för beslut om att inleda förundersökning eller om att vidta andra åtgärder för att avvärja brott. Brottsförebyggande åtgärder kan bestå i att berörda personer kontaktas och därigenom blir med- vetna om myndighetens intresse, vilket många gånger leder till att den planerade brottsliga verksamheten aldrig kommer till stånd. Samverkan kan också ske med en annan myndighet för att den myn- digheten ska kunna vidta hotreducerande åtgärder. Underrättelse-

369

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

information kan även delas med samverkande myndigheter i andra länder, se vidare avsnitt 3.3.2 och 3.3.3.

Inom ramen för detta arbete måste Säkerhetspolisen kunna doku- mentera och analysera både information av underrättelsekaraktär och annan information. Detta trots att ändamålet inte går att konkre- tisera till exempelvis en utpekad aktör eller misstankar om att ett visst konkret brott kommer att begås i framtiden. Säkerhetspolisens behov av att kunna genomföra och dokumentera olika typer av undersök- ningar och analyser av bland annat företeelser, personer och platser är således stort. Detta behov skiljer sig även i flera avseenden från de behov som finns inom den övriga polisen. Den underrättelse- verksamhet som bedrivs inom Säkerhetspolisen är till sin natur ofta sådan att den ligger på ett tidigare stadium än den som bedrivs av polisen i övrigt. Å andra sidan är den, genom Säkerhetspolisens in- struktion, inriktad mot ett fåtal, väl avgränsade företeelser av särskilt samhällsfarlig karaktär.66

Trots denna skillnad mellan Säkerhetspolisens och Polismyndig- hetens brottsbekämpande uppdrag, har regleringen av underrättelse- verksamhet varit likartad. Vi har i tidigare avsnitt föreslagit att lagen ska innehålla övergripande verksamheter som beskriver de yttre ramarna för de ändamål som kan föranleda personuppgiftsbehandling. En av dessa bestämmelser syftar till att särskilja underrättelseverk- samheten. Det handlar om uppgifter som behandlas för att kartlägga och klarlägga den typ av brottslig verksamhet som Säkerhetspolisen ansvarar för.

Även om kravet för den inledande behandlingen inte är högre än att det ska anges ett brett formulerat inhämtningsändamål inom en verksamhet, måste ändamålet successivt förtydligas för de uppgifter som fortsätter att behandlas. Ofta sker detta per automatik genom processen med att bearbeta, sammanställa och analysera information. Strukturering av information i myndighetens olika system innebär att ändamålet ofta går att utläsa av sammanhanget. Ändamålsprin- cipens huvudsakliga syfte är emellertid att säkerställa att uppgifter som inte har en tydlig koppling till något ändamål inte heller fortsätter att behandlas.

66Prop. 2009/10:85 s. 256.

370

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Kartläggning innebär att uppgifter kan behandlas i sitt sammanhang

Att uppgifter inte får behandlas om de inte kan kopplas till ett visst specifikt ändamål innebär inte att det i alla sammanhang går att ställa krav på att varje enskild personuppgift i ett material är nödvändig för ett specifikt ändamål. Behandlingen av enskilda personuppgifter måste i underrättelseverksamhet ses i förhållande till den kontext där de förekommer. Det innebär att enskilda personuppgifter, även om de är irrelevanta för att exempelvis avvärja ett terroristbrott, ändå kan behandlas för att sätta mer relevanta uppgifter i sitt sammanhang. Uppgiften kan behövas för den bredare kartläggningen av företeelsen. Detta är avsett att fångas av de nya ändamålsbestämmelserna som ger Säkerhetspolisen rätt att i sin underrättelseverksamhet kartlägga och klarlägga brottslig verksamhet.

Normalt sett ska i underrättelseverksamheten någon radering av enskilda personuppgifter inte behöva göras i ett sammanhållet doku- ment eller från det sammanhang där de naturligt förekommer. Om sammanhanget behövs för att kartlägga en brottslig verksamhet, bör ändamålet för personuppgiftsbehandlingen kunna gälla för samtliga däri ingående personuppgifter. Om personuppgifter i ett helt doku- ment eller (vilket är mer vanligt) i ett digitalt sammanhang ska be- handlas, bör bedömningen av ändamålet för behandlingen få göras gemensamt för de uppgifter som förekommer där. Kravet på att ändamålen ska vara uttryckligt angivna bör därför inte heller anses innebära ett krav på att ändamålen ska dokumenteras i varje enskilt fall och för varje enskild personuppgift.

De första personuppgiftslagarna avsåg att reglera olika register. Innan digitaliseringen utgjordes sådana register av pappersakter i dokumentskåp. I ett sådant register krävdes det att varje individ av intresse tilldelades en personakt eller på annat sätt aktivt fördes in i ett system som möjliggjorde sökning. Att förekomma som en sådan sökbar aktör i register hos Säkerhetspolisen utgjorde regelmässigt ett allvarligt intrång i den personliga integriteten. Det är därför natur- ligt att ändamålsprincipen gällde fullt ut för varje enskild personakt. Det är rimligt att kräva ett särskilt och uttryckligt angivet ändamål för att få registrera en person och föra in information i dennes person- akt. Varken då eller nu är det dock avsett att alla enskilda personupp- gifter som finns hos en underrättelsetjänst individuellt ska prövas

371

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

för ett specifikt ändamål. Det förekom tidigare regelmässigt att tid- ningsurklipp, kontakter som den registrerade haft, eller fotografier där denne förekom tillsammans med andra bevarades i personakter. Europadomstolen har vid upprepade tillfällen prövat om personakter som olika säkerhetstjänster upprättat varit förenliga med artikel 8 i Europakonventionen och i flera fall kritiserat säkerhetstjänster för sådana personakter och deras innehåll. Det finns däremot, oss veter- ligen, inget uttalande från domstolen som innebär att samtliga indivi- duella personuppgifter som ingår i en sådan personakt ska prövas för sig. Normalt sett utgår domstolen från att om det finns ett berättigat ändamål för att upprätta en sådan akt så innefattar det alla uppgifter som behövs för kartläggning av en individ eller ett fenomen.

Nu har registerbegreppet i stort sett övergetts och digitaliseringen har ersatt behovet av att behandla personuppgifter i akter av olika slag. Principen bör dock alltjämt vara densamma. Ändamålet för att behandla personuppgifter bör avse de uppgifter som är förenade av sitt naturliga sammanhang och inte varje personuppgift för sig.

Det bör vara möjligt att behandla en stor mängd personuppgifter genom att i en kartläggning av brottslig verksamhet behandla upp- gifter i ett sammanhang. En sådan kartläggning som kräver efter- följande behandling av ett mer vidlyftigt material begränsas emeller- tid i den föreslagna lagstiftningen genom proportionalitetsprövningen. Behandlingen av informationen måste utgöra en rimlig avvägning mellan ändamålet för behandlingen och de andra skyddsvärda intres- sena som påverkas. Registrering och lagring av uppgifter om personer som endast har en avlägsen koppling till ändamålet kan vara möjlig, om ändamålet är mycket angeläget. Så är exempelvis fallet om ända- målet för kartläggningen är att förhindra ett allvarligt, verkligt och aktuellt hot mot Sveriges säkerhet. Om kartläggningen i stället sker för att möta mer långsiktiga och strategiska hot mot nationell säker- het, kan proportionalitet uppnås på andra sätt. Exempelvis genom att uppgifterna endast behandlas under en kortare tid eller genom att färre uppgifter behandlas.

I likhet med gällande rätt bör kravet på uttryckliga ändamål

kunna tillgodoses genom en särskild upplysning i de fall ändamålet inte framgår av sammanhanget. Ofta framgår sammanhanget klart av den kontext som personuppgifter förekommer i. Om det före- kommer en personuppgift i ett dokument, en konversation eller på

372

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ett fotografi, står det ofta klart utifrån sammanhanget för vilket ändamål samtliga personuppgifter där behandlas.

Det bör därför vara möjligt att fortsätta att behandla samtliga upp- gifter som har ett naturligt samband trots att det endast är vissa personuppgifter som är relevanta för kartläggning av den brottsliga verksamheten i fråga.

8.8Finalitetsprincipen

8.8.1Dataskyddskonventionens bestämmelser

Som en del av ändamålsprincipen i artikel 5.4 b dataskyddskonven- tionen framgår även den så kallade finalitetsprincipen.

Article 5 – Legitimacy of data processing and quality of data

4.b Personal data undergoing processing shall be collected for explicit, specified and legitimate purposes and not processed in a way income- patible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statisti- cal purposes is, subject to appropriate safeguards, compatible with those purposes;

Finalitetsprincipen i dataskyddskonventionen innebär som huvud- regel att personuppgifter inte bör vidarebehandlas på ett sätt som den registrerade kan anse vara oväntat, olämpligt eller på annat sätt stötande. För att fastställa om ett nytt ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in ska den personuppgiftsansvarige, enligt kommentaren till konventionen, bland annat beakta det sammanhang där personuppgifterna har sam- lats in, de registrerade personernas rimliga förväntningar och deras relation till den personuppgiftsansvarige. Personuppgifternas art kan också påverka bedömningen av om behandlingen är förenlig med insamlingsändamålet. Andra aspekter av prövningen är vilka konse- kvenser den avsedda behandlingen kan få för de registrerade samt förekomsten av lämpliga skyddsåtgärder i både den ursprungliga och den avsedda ytterligare behandlingen.67

67Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Proto- col), p. 49.

373

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.8.2Den nuvarande regleringen

Finalitetsprincipen innebär att uppgifter inte får behandlas för nya ändamål som är oförenliga med det ändamål för vilket uppgifterna samlades in. Detta har sedan lång tid gällt för Säkerhetspolisens verk- samhet. Säkerhetspolisen behöver kunna behandla personuppgifter för nya ändamål, till exempel använda information från en förunder- sökning för att senare förebygga nya brott.

Säpodatalagens ändamålsbestämmelse, i 2 kap. 3 § har en liknande utformning som dataskyddskonventionen i detta avseende. Där anges att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för.

När Säkerhetspolisen ska behandla personuppgifter för nya ända- mål, innebär finalitetsprincipen att myndigheten måste pröva om det nya ändamålet är förenligt med det ändamål för vilket person- uppgifterna samlades in. Om det exempelvis krävs för att kartlägga främmande makts inblandning vid ett terroristattentat, kan uppgifter som inledningsvis behandlats för ändamål inom kontraspionaget behandlas för nya ändamål inom kontraterrorverksamheten. Eftersom Säkerhetspolisens brottsbekämpande verksamhet är inriktad på att bekämpa en viss typ av systemhotande brott, har Säkerhetspolisens behandling av personuppgifter för nya ändamål ansetts förenlig med ursprungsändamålet i de allra flesta fallen.68

8.8.3Behandling för nya ändamål bör regleras på samma sätt som i dag

Förslag: Som huvudregel bör finalitetsprincipen gälla. Det innebär att personuppgifter inte får behandlas för ett ändamål som är oför- enligt med ändamålet för den inledande behandlingen.

Finalitetsprincipen hindrar dock inte behandling för diarie- föring och handläggning eller vetenskapliga, statistiska eller histo- riska ändamål.

68Prop. 2018/19:163 s. 221.

374

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Finalitetsprincipen ska gälla

Vi har inte uppfattat att finalitetsprincipen utgör ett problem för den verksamhet som bedrivs inom myndigheten. Principen utgör en viktig del av ändamålsprincipen och utgör en relevant dataskydds- mekanism. Det finns därför inte skäl att reglera behandling för nya ändamål på annat sätt än enligt nuvarande lagstiftning. Vår föreslagna proportionalitetsprövning för all personuppgiftsbehandling innebär emellertid att finalitetsprincipen kompletteras av en liknande prövning som enligt 2 kap. 4 § brottsdatalagen gäller för övriga brottsbekäm- pande myndigheter.

Att behandling för nya ändamål både ska vara proportionerlig och inte oförenlig med ändamålet för den inledande behandlingen utgör enligt vår bedömning en rimlig ordning. Den information som Säker- hetspolisen behandlar kan vara mycket integritetskänslig och det är därför lämpligt att prövningen inte endast sker av ändamålen utan även av vilket intrång som behandlingen för det nya ändamålet kan medföra. Ett nytt ändamål av lägre tyngd kan vid prövningen med- föra att behandlingen för detta ändamål inte är proportionerlig.

Behandling för andra än operativa ändamål

En särskild fråga är hur finalitetsprincipen förhåller sig till ändamål som sker i helt andra intressen än Säkerhetspolisens.

I nuvarande säpodatalag framgår, av 2 kap. 2 §, att personuppgifter får behandlas om det är nödvändigt för diarieföring eller handlägg- ning av en anmälan, ansökan eller liknande. Vi anser att syftet med denna bestämmelse är något oklart. Att Säkerhetspolisen får behandla personuppgifter för att uppfylla sina förvaltningsrättsliga skyldig- heter framstår som självklart. Det finns en rättslig grund för sådan behandling enligt bland annat förvaltningslagen, offentlighets- och sekretesslagen och tryckfrihetsförordningen. Däremot kan det inte anses lika klart att uppgifter som ursprungligen behandlats för ett brottsbekämpande ändamål utan hinder av finalitetsprincipen även får behandlas för ett administrativt. Det kan därför finnas skäl att klargöra att diarieföring och vissa handläggningsåtgärder får ske även enligt den nya lagen.

Av 2 kap. 5 § säpodatalagen följer vidare att Säkerhetspolisen får behandla personuppgifter för vetenskapliga, statistiska eller historiska

375

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

ändamål inom lagens tillämpningsområde. Motsvarande bestämmel- ser finns i många andra personuppgiftslagstiftningar och ger exem- pelvis förutsättningar att göra sökningar och sammanställningar av personuppgifter för brottsstatistiska ändamål eller för en vetenskap- lig undersökning. Det ger även stöd för att lämna ut uppgifter för sådana ändamål. Det får däremot knappast antas ha varit syftet att Säkerhetspolisen ska ägna sig åt insamling eller inhämtning av person- uppgifter för sådana ändamål. Det bör därför vara tillräckligt att ge möjlighet till behandling för sådana ändamål utan hinder av finalitets- principen.

8.8.4Särskilt om personuppgifter som behandlas för utvecklingsändamål

Förslag: Personuppgifter som behandlas för ett brottsbekämpande ändamål ska få behandlas även för att utvecklingsändamål. Person- uppgifter som inledningsvis behandlas endast för utvecklings- ändamål får inte behandlas för något annat ändamål.

Ett ändamål som tidigare inte omnämnts i någon personuppgifts- reglering för Säkerhetspolisen är utvecklingsverksamhet. Vi har ansett att denna del av Säkerhetspolisens verksamhet är viktig och bör regleras särskilt för att klargöra rättsläget och ge myndigheten möjlighet att inleda personuppgiftsbehandling för utvecklingsända- mål. Uppgifter för utvecklingsändamål kan samlas in på olika sätt, exempelvis genom sociala medier. Det kan handla om uppgifter som behövs för utvecklingsändamål, men som saknar koppling till myndighetens brottsbekämpande uppdrag. Ändamålet kan exem- pelvis vara att förbättra en automatisk översättningstjänst. Se vidare avsnitt 8.4.6 och 6.2.6.

Eftersom ändamålet inte direkt behöver ha med Säkerhetspolisens brottsbekämpande uppdrag att göra, finns skäl att förtydliga att upp- gifterna inte får behandlas för andra ändamål än teknisk utveckling. Vi anser att det är rimligt att begränsa användning av personuppgifter som samlats in för utvecklingsändamål på så sätt att de inte får behandlas för något annat ändamål. Detta förhindrar att inledande behandling för utvecklingsändamål övergår till en övervakning eller kartläggning av enskildas personliga förhållanden. Finalitetsprincipen

376

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

bör därför vara absolut avseende uppgifter som inledningsvis be- handlats för utvecklingsändamål.

Det finns däremot ingen anledning att begränsa behandling av personuppgifter som samlats in för något brottsbekämpande ända- mål i förhållande till teknisk utveckling. Att en personuppgift som samlats in för ett visst brottsbekämpande ändamål fortsätter att be- handlas en tid även för att utveckla tekniska system framstår inte som ett tillkommande intrång i den personliga integriteten av bety- delse. Finalitetsprincipen kan dock förhindra att uppgifter vidare- behandlas för att utveckla eller testa tekniska system, med en mer perifer koppling till det brottsbekämpande ändamålet för vilket upp- giften inledningsvis behandlats. Att vidarebehandling för utvecklings- ändamål får ske utan hinder av finalitetsprincipen bör därför framgå direkt av lag.

8.9Behandlingströskeln

8.9.1Behovsprincipen måste uppfyllas

Behovsprincipen innebär ett krav på att en åtgärd ska vara effektiv för att uppnå det eftersträvade målet och att det inte heller ska vara möjligt att uppnå målet med mindre ingripande alternativ. Att denna princip uppfylls är en förutsättning för att det alls ska vara tillåtet att begränsa fri- och rättigheter.

När en säkerhetstjänst behandlar personuppgifter i olika former av register sker ett intrång i enskildas rätt till privat- och familjeliv och en sådan behandling innebär i princip en kartläggning av enskildas personliga förhållanden. Både svensk grundlag och Europakonven- tionen ställer därför upp krav på att Säkerhetspolisens personuppgifts- behandling som utgör ett intrång i dessa grundläggande fri- och rättigheter ska vara motiverad av ett starkt vägande allmänintresse.

I regeringsformen är det uttryckt som att begränsningen av en- skildas rätt till personlig integritet aldrig får gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § regeringsformen). I Europakonventionen uttrycks samma grund- läggande princip som att begräsningen ska vara nödvändig med hänsyn till bland annat den nationella säkerheten.

377

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Behovsprincipen utgör en grundläggande konstitutionell förut- sättning för en lagstiftning inom detta område och kan anses följa direkt av proportionalitetsprincipen. Principen bör betraktas som det första steget som en behandling av personuppgifter måste upp- fylla. Om den föreslagna åtgärden inte klarar kravet på att effektivt kunna uppnå ändamålet, finns det inget skäl av att undersöka dess proportionalitet. Behov är en nödvändig, men inte tillräcklig, förut- sättning för proportionalitet.

8.9.2Dataskyddskonventionens bestämmelser

Att personuppgiftsbehandling endast får ske om det är nödvändigt följer inte av dataskyddskonventionen utan begreppet har sitt ur- sprung i det EU-rättsliga dataskyddet. Det finns inte skäl att använda begreppet inom området för nationell säkerhet.

Behovsprincipen kommer inte till uttryck direkt av dataskydds- konventionen. Det finns inget krav enligt dataskyddskonventionen 108+ som anger att endast personuppgifter som krävs för att full- göra en uppgift på ett effektivt sätt får behandlas. Konventionen uttrycker däremot att personuppgiftsbehandlingen inte får vara oproportionerlig i förhållande till ändamålen.

I det ligger givetvis att en personuppgift som inte är behövs för att på ett effektivt sätt utföra en uppgift inte är proportionerlig att behandla. Men även personuppgifter som kan vara nödvändiga för att i framtiden kunna lösa en uppgift eller som är nödvändiga för att kunna sätta andra uppgifter i sitt sammanhang skulle enligt vår uppfattning kunna anses proportionerligt att samla in och lagra en tid enligt en konventionstolkning av behovskriteriet.

8.9.3Den nuvarande regleringen

Behovsprincipen i säpodatalagen kommer till uttryck genom att det i bestämmelsen om rättslig grund för personuppgiftsbehandling,

2 kap. 1 §, anges att personuppgifter får behandlas om det är nödvän- digt för att utföra en av de uppgifter som anges där. Nödvändighets- rekvisitet innebär, enligt författningskommentaren, att personupp- giftsbehandlingen ska behövas för att uppgiften ska gå att fullgöra på ett effektivt sätt.

378

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Nödvändighetsrekvisitet återkommer i flera andra bestämmelser. I 2 kap. 8 § anges att fler personuppgifter inte får behandlas än vad som är nödvändigt med hänsyn till ändamålet. Av 4 kap. 1 § följer att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet.

I den tidigare polisdatalagen användes begreppet behövs för att uttrycka principen att det krävs ett konkret behov av att utföra personuppgiftsbehandlingen och att detta behov ska svara mot ända- målet med behandlingen. I förarbetena till polisdatalagen angavs att om ändamålet med personuppgiftsbehandlingen är underrättelse- verksamhet kan det till exempel vara nödvändigt att sammanställa uppgifter om vem som hyr vissa lokaler eller vem som äger eller disponerar fordon som man misstänker används i den brottsliga verk- samheten. Det kan också handla om att klarlägga vilka personer som regelbundet besöker en viss plats där man misstänker att allvarlig brottslig verksamhet förekommer. I underrättelseprojekt som rör en viss typ av allvarlig brottslighet bör inte underrättelseuppgifter som helt saknar samband med just det aktuella projektet få be- handlas.69

8.9.4Utformningen av behovsprincipen ändrades genom säpodatalagen

Bedömning: Nödvändighetsrekvisitet har en särskild EU-rättslig innebörd.

Skälen för bedömning

I samband med implementeringen av EU:s dataskyddsdirektiv för brottsbekämpning ändrades begreppet ”behövs” till nödvändig, både i brottsdatalagen och säpodatalagen. Polismyndigheten och Säker- hetspolisen anmärkte i remissbehandlingen att begreppet nödvändigt framstod som mer begränsande i förhållande till det tidigare begreppet behövs. I förarbetena till brottsdatalagen konstaterade regeringen att begreppet nödvändigt enligt Svenska Akademiens ordbok innebär att någonting absolut fordras eller inte kan underlåtas. Det hänvisades

69Prop. 2009/10:85 s. 317 f.

379

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

dock till att ordet nödvändigt i brottsdatadirektivet får anses en själv- ständig EU-rättslig betydelse som innebär att det är fråga om något som ”behövs för att på ett effektivt sätt kunna utföra arbetsupp- giften”.

En enhetlig terminologi mellan dataskyddsförordningen och de lagar som avsåg att genomföra brottsdatadirektivet framhölls som ett skäl i förarbetena till brottsdatalagen.70 Samma motiv angavs i för- arbetena till säpodatalagen: att skälen för en enhetlig begreppsapparat ansågs överväga skälen för att behålla det tidigare behovskriteriet.

Det fick till följd att begreppet nödvändigt, med sin särskilda EU- rättsliga innebörd, kom att tillämpas även för Säkerhetspolisen. Detta trots att säpodatalagen avser att reglera den del av myndig- hetens personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Regeringen framhöll emellertid att det för Säkerhetspolisens del, trots att terminologin ändrats, inte var fråga om någon ändring i förhållande till kraven enligt polisdata- lagen (2010:361) i detta avseende.71

Det kan enligt vår uppfattning ifrågasättas om regeringens inten- tioner att någon saklig ändring inte var avsett verkligen uppfyllts. Förarbetena till polisdatalagen, som återgetts ovan, ger sken av att behovet som avgränsar personuppgiftsbehandling i underrättelse- projekt avseende viss allvarlig brottslighet är sådana uppgifter som inte ”helt saknar samband” med det aktuella projektet. Sådana sär- skilda underrättelseprojekt får anses vara typiskt för Säkerhets- polisens underrättelseverksamhet och uttalandet i propositionen ger bilden av att behovet av att registrera en personuppgift enbart måste vara faktiskt, men inte nödvändigt. I författningskommentaren till säpodatalagen anges i stället att nödvändighetsrekvisitet innebär att personuppgiftsbehandlingen ska behövas för att uppgiften ska gå att fullgöra på ett effektivt sätt.72

Oavsett om denna ändring i sak har någon praktisk betydelse för Säkerhetspolisen, ger förarbetsuttalandena inte någon tydlig vägledning till begreppets innebörd. Det får även sägas vara något av en motsättning att ändra ett begrepp för att harmonisera det mot annan lagstiftning men samtidigt behålla en äldre innebörd av begreppet endast för Säkerhetspolisens verksamhet. Risken för att

70Prop. 2017/18:232 s. 117.

71Prop. 2018/19:163 s. 65.

72Ibid. s. 217.

380

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

begreppet även för Säkerhetspolisen kommer att få samma inne- börd som motsvarande begrepp i de andra lagar där det används får sägas vara överhängande.

8.9.5Behandlingströskeln bör ändras från nödvändigt till behövs

Förslag: Annan personuppgiftsbehandling än inledande behand- ling får ske, om det behövs för ändamålet med behandlingen.

Hur regleras behovsprincipen i andra lagar?

I den norska polisregisterlagen, som i stora delar är tillämplig för PST:s verksamhet, finns ett nödvändighetsrekvisit. I förordning till lagen finns föreskrifter om hur kravet på nödvändighet ska tillämpas. Där framgår att ”vad som ska anses nödvändigt beror på en konkret bedömning i det enskilda fallet”. Vidare anges att ”vid prövningen av vad som är nödvändigt ska en proportionalitetsbedömning göras där det bland annat ska läggas vikt vid syftet med behandlingen, vilka uppgifter som ska behandlas, om behandlingen avser grov eller mindre allvarlig brottslighet samt hur många personer som får tillgång till uppgifterna som behandlas”. I de övriga nordiska länderna finns exempel på att andra begrepp än vad som motsvarar innebörden av det svenska nödvändighetsrekvisitet används i personuppgiftslag- stiftning för just säkerhetstjänster. I Danmark får säkerhetstjänsten PET samla in och inhämta personuppgifter som kan ha betydelse för verksamheten. När det gäller efterföljande behandlingsåtgärder, som lagring eller delning, är behovskriteriet för underrättelseverksamheten lägre än övrig verksamhet. För att förebygga och efterforska brott inom PET:s ansvarsområde, krävs att personuppgifterna kan antas ha betydelse. Inom andra verksamhetsgrenar, som exempelvis säker- hetsskydd, krävs i stället att personuppgifterna är nödvändiga. Även i Finland finns en uppdelning av behovskriteriet, men i stället för ändamålet med behandlingen är det typen av uppgift som avgör tröskeln. Skypo får behandla bland annat identifikationsuppgifter, uppgifter om medborgarskap, bosättningsort och anställning om det behövs för myndighetens uppdrag som civil säkerhetsunderrättelse-

381

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

tjänst. För mer integritetskänsliga uppgifter, om en persons resande, verksamhet och beteende, krävs att uppgifterna är nödvändiga, vilket är samma krav som för behandling av känsliga personuppgifter. För den finska polisens kriminalunderrättelseverksamhet, som även inne- fattar brott som rör nationell säkerhet, är behovskriteriet i underrätt- elseverksamheten beroende på vems personuppgifter som behandlas. Polisen i Finland får behandla personuppgifter inom underrättelse- verksamheten avseende personer som med fog kan antas ha gjort sig eller göra sig skyldiga till brott och under vissa omständigheter även dennes kontakter. Kravet för personuppgiftsbehandling är lägre än vad som krävs för att inleda förundersökning (skäl att misstänka). Det finns uppenbara fördelar med en enhetlig begreppsapparat

för lagstiftningar som avser att reglera samma typ av verksamhet. Bland annat kan praxis utvecklas gemensamt för olika verksamheter vilket skapar en förutsebarhet och underlättar både tillsyn och sam- arbetet mellan olika myndigheter. Det får även anses vara ett ställ- ningstagande från lagstiftaren att harmoniseringen mellan säpodata- lagen och brottsdatalagen i detta och flera andra avseenden medger att EU-rätten, om än indirekt, gjorts tillämplig inom området natio- nell säkerhet. Om EU-domstolen uttolkar, exempelvis begreppet nödvändigt,73 krävs det mycket starka skäl för att inte denna uttolk- ning ska anses gälla även för säpodatalagen. Detta trots att ändamålen som rör nationell säkerhet av naturliga skäl sällan kommer under EU-domstolens prövning och att medlemsstaterna har en stor bedöm- ningsmarginal i vad som avses med dessa ändamål.

Begreppet nödvändigt har redan etablerats i olika personuppgifts- lagstiftningar i Sverige. Även Försvarsmakten och FRA:s respektive datalagar, som i likhet med säpodatalagen inte genomför något EU- direktiv, använder detta begrepp. Att frångå nödvändighetsrekvisitet kräver därför starka skäl.

Det finns nackdelar med att nödvändighetsrekvisitet har en EU-rättslig innebörd

EU-rätten har ett mycket starkt inflytande över skyddet för person- uppgifter inom de områden där unionen har lagstiftningskompetens. Det sker en kontinuerlig utveckling av dataskyddet genom EU-dom-

73Vilket skett i t.ex. mål C–175/20 angående den lettiska skattemyndighetens tillgång till personuppgifter i försäljningsannonser avseende personbilar grundat på allmänt intresse.

382

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

stolens praxis. Att tillämpa ett EU-rättsligt begrepp i en lagstiftning som i sin helhet är avsedd att ligga utanför unionsrätten kan innebära att rättsutvecklingen inom EU kan få oväntade, oönskade och svårför- utsebara konsekvenser för Säkerhetspolisens verksamhet. Vi har tid- igare framfört att den nuvarande säpodatalagens nära koppling till brottsdatadirektivet innebär att den avvägning mellan nationell säkerhet och andra intressen inte fullt ut kunnat prövas på nationell nivå. Det finns goda skäl till att medlemsstaterna har behållit exklusiv lagstiftningskompetens inom området som rör skyddet av nationell säkerhet. Den rättspraxis som kan komma att påverka innebörden av begreppet ”nödvändigt” kommer att utgå från en annan intresse- avvägning än den som bör göras beträffande sådana hot som både till sin art och sitt allvar skiljer sig från brottslighet i allmänhet.

Nödvändighetsrekvisitet bör bytas ut till ett behovsrekvisit

Det finns skäl att i lagen beskriva att behovsprincipen ska tillämpas i varje enskilt fall av personuppgiftsbehandling. Frågan är om detta lämpligen sker genom att i likhet med nuvarande och angränsade personuppgiftslagstiftning ange att behandlingen ska vara nödvändigt för ett särskilt, uttryckligt angivet och berättigat ändamål?

Att begreppet nödvändigt motsvarar behövs kan alltjämt ifråga- sättas rent språkligt. Att det finns behov av en åtgärd, exempelvis att lagra personuppgifter under viss tid, uttrycks lämpligen som att personuppgiftsbehandlingen behövs för att fullgöra en uppgift. Att ange att behandlingen ska vara nödvändig indikerar att det inte är tillräckligt att den behövs. Det är lätt att tolka nödvändighetsrekvisitet som att behandlingen måsta vara oundgänglig eller att uppgiften inte går att utföra utan att registrera personuppgiften i fråga. Så är sällan fallet, vare sig i Säkerhetspolisens verksamhet eller i verksamhet som regleras av andra personuppgiftslagstiftningar.

Målet att skydda nationell säkerhet kan motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna. Behandlingströskeln för att överhuvudtaget få behandla personupp- gifter inom en verksamhet som rör nationell säkerhet anser vi vara av så grundläggande betydelse att den bör formuleras så att den kan få en självständig betydelse på nationell nivå. Skälet till att Säkerhets- polisen har en egen lagstiftning för den verksamhet som ligger utan-

383

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

för EU-rätten är att denna verksamhet kan behöva anpassas och att avvägningarna inom denna verksamhet i stor utsträckning ska vila på nationella överväganden.

Vår slutsats är därför att skälen för att byta ut nödvändighets- rekvisitet och i stället återgå till ett behovsrekvisit överväger skälen mot att behålla det nuvarande begreppet. Vi anser därför att Säker- hetspolisen ska få behandla personuppgifter om det behövs för sär- skilda, uttryckligt angivna och berättigade ändamål.

8.9.6Vad avses med behövs?

Det har inte framförts några skäl som talar för en betydligt lägre behandlingströskel än i dag. Säkerhetspolisen har givetvis inte behov av att behandla personuppgifter som inte krävs för att utföra sina arbetsuppgifter. Begreppet behövs bör därför tolkas på samma sätt som enligt den tidigare polisdatalagen.

I förarbetena till den lagstiftningen angavs att begreppet innebär att det ska finnas ett konkret behov av att behandla personuppgift- erna. Det kan exempelvis finnas behov av att klarlägga vilka personer som regelbundet besöker en viss plats där man misstänker att allvarlig brottslig verksamhet förekommer. Uppgifter som inte behövs är sådana som helt saknar intresse för det aktuella ändamålet.74

Det övergripande ändamålet för underrättelseverksamheten är att kartlägga och klarlägga brottslig verksamhet. Även för ett mer specifikt underrättelseändamål, exempelvis att kartlägga en närmare angiven företeelse, kan uppgifter behövas på en mer aggregerad nivå. I dessa fall följer redan av ändamålet att behovet inte behöver prövas för varje uppgift för sig, utan kan avse ett visst avgränsat material i sin helhet. Hur en informationsmängd i dessa fall ska avgränsas be- stäms både av det konkreta behovet och av proportionalitetspröv- ningen. En kartläggning får inte innebära ett oproportionerligt intrång i de enskilda eller allmänna intressen som påverkas oavsett vilket behov Säkerhetspolisen kan ha av behandlingen i fråga. Den närmare innebörden av ”behövs” behandlas vidare i författningskommentaren.

74Prop. 2009/10:85 s. 317 f.

384

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.10Personuppgifters kvalitet

8.10.1Dataskyddskonventionens bestämmelser

Artikel 5.4 i dataskyddskonventionen innehåller bestämmelser som rör personuppgifters kvalitet.

Article 5 – Legitimacy of data processing and quality of data

4. Personal data undergoing processing shall be:

c. adequate, relevant and not excessive in relation to the purposes for which they are processed;

d. accurate and, where necessary, kept up to date;

De krav som ställs upp i artikel 5 c är välbekanta inom europeisk dataskyddsrätt och innebär att personuppgifter ska vara adekvata, relevanta och inte onödigt omfattande i förhållande till de ändamål för vilka de behandlas. Denna bestämmelse brukar sammanfattas som principen om uppgiftsminimering.

I kommentaren till konventionen förklaras att kravet på att upp- gifterna inte får vara onödigt omfattande innebär att behandlingen ska begränsas till vad som är nödvändigt för ändamålet. Personupp- giftsbehandling får bara ske om ändamålen inte rimligen kan uppfyllas genom att behandla information som inte utgör personuppgifter. Dessutom är kravet att uppgifterna inte får vara onödigt omfattande inte endast kvantitativt utan även kvalitativt. Proportionalitetsprin- cipen innebär att behandling av personuppgifter som i och för sig är adekvata och relevanta inte får ske om behandlingen skulle inne- bära ett oproportionerligt ingrepp i de grundläggande fri- och rättigheter som står på spel.75

Av punkten d framgår att uppgifter också ska vara korrekta och uppdaterade. Detta är ett krav som följer även av det EU-rättsliga personuppgiftsregelverket.

75Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 52.

385

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.10.2Uppgiftsminimering

Bedömning: Regleringen om uppgiftsminimering bör justeras för att stämma bättre överens med dataskyddskonventionens krav.

Förslag: Personuppgifter som behandlas ska vara adekvata, rele- vanta och inte för omfattande i förhållande till ändamålet med behandlingen.

Adekvans och relevans

Den nuvarande regleringen

Dagens regelverk om personuppgifters kvalitet bygger i stor utsträck- ning på det som gäller enligt brottsdatadirektivet och den tidigare polisdatalagen.

När det kommer till adekvans och relevanskravet i nuvarande 2 kap. 8 § säpodatalagen angavs i förarbetena att det kan vara svår- are att bedöma vilka uppgifter som är adekvata och i Säkerhets- polisens verksamhet än i annan polisverksamhet. Detta eftersom det som regel inte är lika tydligt vari den brottsliga verksamheten eller säkerhetshotet består. Vidare ansåg regeringen att det i vissa fall kan vara motiverat att utsträcka adekvans och relevans till person- uppgifter som inte behövs för ändamålet, för att inte avslöja vem eller vilka personer som myndigheten intresserar sig för i sitt under- rättelsearbete.76

Det finns inte skäl att ändra på nuvarande ordning

Det har inte framgått att kravet på att personuppgifter ska vara ade- kvata och relevanta för ändamålet med behandlingen medför tillämp- ningsproblem eller utgör ett otillräckligt personuppgiftsskydd. Prin- ciperna är viktiga för att markera att onödiga uppgifter inte får behandlas. Hur kraven på adekvans och relevans tillämpas beror på vilket ändamål som prövningen ska göras mot. Hur ändamålet for- muleras är avgörande för bedömningen av vilka uppgifter som är relevanta att behandla. Ett vagt ändamål medger inte någon reell pröv-

76Prop. 2018/19:163 s. 74 f.

386

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ning. För att det ska vara möjligt att bedöma vilka uppgifter som får behandlas för ett ändamål krävs ett visst mått av konkretion och specifikation. Därmed är reglerna om adekvans och relevans även avgörande för det krav som ställs på ett ändamål. Ändamålet måste nämligen vara tillräckligt konkret för att det ska vara möjligt göra bedömningen.77

Om ett ändamål för behandling av personuppgifter är att kartlägga en viss företeelse är bedömningen av vilka uppgifter som är relevanta och adekvata en annan än om behandlingen sker för att exempelvis utreda ett brott. En viktig princip i nuvarande lag, som alltjämt bör gälla, är att Säkerhetspolisen måste kunna redogöra för på vilket sätt uppgifter som behandlas är relevanta och adekvata för ändamålet.

Vi har därmed inte funnit skäl att ändra på nuvarande ordning. Det bör alltjämt ställas krav på att de personuppgifter som behandlas ska vara relevanta och adekvata i förhållande till ändamålet.

Inte för ”omfattande” eller ”inte fler” uppgifter?

Den nuvarande regleringen

I 2 kap. 8 § säpodatalagen framkommer vid sidan av kraven på att uppgifter ska vara adekvata och relevanta för ändamålet även, i andra meningen, att inte fler uppgifter än vad som är nödvändigt får be- handlas. I säpodatalagen, men även i brottsdatalagen, har bestämmel- sen om att inte fler uppgifter än nödvändigt får behandlas närmast ansetts utgöra en konsekvens av adekvans och relevanskravet. Om endast de relevanta och adekvata uppgifterna behandlas framstår det som att det tillkommande kravet på att inte fler uppgifter än nöd- vändigt får behandlas sällan får någon självständig betydelse. I för- arbetena nämns däremot undantagen från principen. Det har ansetts tillåtet att samla in fler uppgifter än avseende misstänkta personer för att inte avslöja myndighetens intresse för dem.78

Bestämmelsen, om att inte fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet, återfinns även i brottsdatalagen. Det kan anmärkas att både brottsdatadirektivet och dataskyddsförordningen har en annan formulering av principen om uppgiftsminimering. I dessa rättsakter anges att personuppgifter som behandlas inte får vara för

77Prop. 2018/19:163 s. 67.

78Ibid. s. 74 f.

387

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

omfattande i förhållande till ändamålet. Motsvarande lydelse följer även av det föregångaren till dataskyddsförordningen, det så kallade dataskyddsdirektivet från 1995. Direktivet implementerades genom personuppgiftslagen (1998:204) där direktivets begrepp ”inte för omfattande” byttes ut till ”inte fler”. Det finns inte några motiv till denna ändring som förefaller vara av språklig natur. Som framgår av dataskyddskonventionen 108+ artikel 5 c, som citerats ovan, används det engelska begreppet ”not excessive” för att beskriva principen om uppgiftsminimering. Samma begrepp används i de engelska språkver- sionerna av brottsdatadirektivet och dataskyddsförordningen, som alltså översatts till ”inte för omfattande”.

Kravet på uppgiftsminimering bör anpassas till dataskyddskonventionen

Den något justerade lydelsen av principen om uppgiftsminimering i svensk rätt, i förhållande till den som används inom den europeiska personuppgiftsrätten kan få viss betydelse. I kommentaren till data- skyddskonventionen, som i och för sig inte har någon formell rätts- lig status, förklaras att principen om uppgiftsminimering inte endast är ett kvantitativt krav. Det finns även en kvalitativ aspekt av att de personuppgifter som behandlas inte får vara onödigt omfattande i förhållande till ändamålet. Detta får anses vara en naturlig följd av att det kan göras skillnad i det intrång som behandling av olika slags personuppgifter innebär för enskilds fri- och rättigheter. Den kvali- tativa aspekten innebär att mer integritetskänsliga uppgifter inte får behandlas om det är tillräckligt att behandla mindre känsliga uppgifter för ändamålet.

Mot bakgrund av det krav som vi uppfattar att datakonventionen 108+ innebär kan det finnas skäl att förändra det begrepp i den före- slagna lagen som ska motsvara ”not excessive”. Det finns flera möjliga översättningar. I den svenska språkversionen av både dataskydds- förordningen och brottsdatadirektivet översätts begreppet emeller- tid med ”inte för omfattande”. Detta begrepp får anses spegla data- skyddskonventionens artikel 5 c på det mest korrekta sättet och det finns ett uppenbart mervärde i en konsekvent översättning av ut- ländska begrepp med samma betydelse. Det finns därför skäl att justera lydelsen av principen om uppgiftsminimering i den del som

388

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

framgår i nuvarande 2 kap. 8 § andra meningen säpodatalagen på så sätt att inte fler ska ersättas av inte för omfattande.

Uppgiftsminimering kan påverka proportionalitetsbedömningen

Kravet på att personuppgifterna inte får vara för omfattande gäller även sådana uppgifter som i och för sig är adekvata och relevanta för ändamålet. Huruvida uppgifterna är för omfattande eller inte beror på ändamålet med behandlingen.

Uppgifter som får behandlas för vissa ändamål kan vara för om- fattande för andra. Både antalet och arten av uppgifter påverkar också proportionalitetsprövningen. Uppgiftsminimering utgör ett verktyg för att uppnå proportionalitet och det är därför inte endast behovet av uppgiften som ska prövas. Den ändrade lydelsen av principen om uppgiftsminimering är därmed inte endast språklig. För att uppnå proportionalitet kan krävas uppgiftsminimering; både genom att de mest integritetskänsliga uppgifterna raderas och genom att ett färre antal uppgifter behandlas.

8.10.3Korrekta och uppdaterade uppgifter

Bedömning: Den nuvarande bestämmelsen om hur en persons utseende ska beskrivas följer redan av kraven på författningsenlig och korrekt behandling samt kraven på adekvans och relevans. Den nuvarande regleringen bör därför inte överföras till den nya lagen.

Förslag: Kravet på att personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade ska överföras till den nya lagen.

Den nuvarande regleringen

Kravet på korrekta och uppdaterade uppgifter följer av nuvarande 2 kap. 7 § första stycket säpodatalagen. Av andra stycket framgår ett ytterligare krav; att signalement ska utformas på ett objektivt sätt med respekt för människovärdet.

389

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

När det gäller kravet på korrekta och uppdaterade uppgifter framgår av förarbetena att det kan skilja sig mellan olika ändamål. Personuppgifter som behandlas i brottsanmälan får exempelvis betraktas som korrekta, om de stämmer överens med de inkomna uppgifterna oavsett hur de förhåller sig till de verkliga förhållandena. Uppgifter i underrättelseflödet får på samma sätt anses korrekta om de återger vad som inkommit även om det senare visar sig inte stämma överens med verkligheten. Om uppgifter måste hållas upp- daterade beror också på för vilket ändamål de behandlas. I ärenden kan det exempelvis finnas behov av att uppdatera kontaktuppgifter så länge handläggningen pågår.79

Bestämmelsen som anger att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människo- värdet överfördes från polisdatalagen och har inte sin grund i brotts- datadirektivet. Bestämmelsen infördes ursprungligen i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Det framstår, enligt den lagens förarbeten, som att be- stämmelsen var ett svar på Diskrimineringsombudsmannens farhågor om hur känsliga personuppgifter, särskilt avseende ras och etnicitet, kunde komma att användas som signalement i tullens verksamhet. Syftet med bestämmelsen är att förhindra att personer allmänt be- skrivs i förklenande ordalag som kan anses kränkande för individen, särskilt då känsliga personuppgifter används som signalement.80

Kravet på korrekta och uppdaterade uppgifter ska överföras till den nya lagen

Att uppgifter ska vara korrekta och om nödvändigt hållas uppdaterade kan vara viktiga för enskildas rätt. Det är exempelvis viktigt att upp- gifter som kan ha betydelse vid den registerkontroll som ska utföras vid en säkerhetsprövning är korrekta.

Det finns även i övrigt skäl för att uppgifter som på något sätt kan vara komprometterande för den enskilde ska vara korrekta. Det kan även innebära att uppgifter måste uppdateras för att motsvara förändrade förhållanden.

Bestämmelserna har till syfte att skydda enskildas personliga integritet. Om korrekta och uppdaterade uppgifter behövs eller inte

79Ibid. s. 73 f.

80Prop. 2004/05:164 s. 68 och 118.

390

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

för verksamheten, är därför av underordnad betydelse. Det saknas skäl att göra undantag från kraven i dataskyddskonventionen 108+ om korrekta och uppdaterade uppgifter. Den nuvarande bestämmel- sen bör därför överföras till den nya lagen.

De särskilda bestämmelserna om signalement bör inte regleras särskilt

När det kommer till den särskilda och särpräglade bestämmelsen som avser hur en persons utseende ska beskrivas kan integritets- nyttan i viss mån ifrågasättas. Det får sägas vara en självklarhet inom svensk förvaltning att en persons utseende beskrivs objektivt och med respekt för människovärdet. Detta framgår även av 1 kap. 9 § regeringsformen och 5 § förvaltningslagen (2017:900). Bestäm- melsen i den nuvarande säpodatalagen kan felaktigt ge bilden av att denna självklarhet inte skulle gälla om regeln inte fanns. Å andra sidan har en motsvarande bestämmelse införts för alla andra brotts- bekämpande myndigheter. Att ta bort denna regel för Säkerhets- polisens del skulle kunna misstolkas och som upplysning för allmän- heten kan regeln måhända ha sitt värde.81

Bestämmelsen är inte anpassad för Säkerhetspolisens uppdrag och utgör, enligt vår bedömning, en regel som gör lagen mer kom- plex utan att tillföra uppenbar integritetsnytta. Om Säkerhetspolisen beskriver en persons utseende ska det, enligt allmänna rättsgrundsat- ser inom svenska förvaltningsrätt ske på ett objektivt sätt och med respekt för människovärdet. Den nuvarande regleringen kan också medföra tillämpningsproblem. Det kan exempelvis handla om att Säkerhetspolisen avlyssnar ett samtal mellan personer i en kriminell miljö där en persons utseende beskrivs helt utan respekt för dennes människovärde. Sådana beskrivningar ska återges korrekt och inte anpassas efter denna bestämmelse. Om myndigheten får till sig en beskrivning av någons utseende, vilket inte alls är ovanligt, bör det inte ställas särskilda krav på tillrättalägganden i efterhand för att få behandla uppgiften.

Sammantaget anser vi att skälen som talar för att inte överföra det särskilda kravet på signalementsuppgifter överväger. Det följer av bland annat av kraven på korrekt personuppgiftsbehandling och

81Jfr prop. 2011/12:45 s. 95 f.

391

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

att personuppgifter ska vara adekvata för ändamålet att beskrivningar som Säkerhetspolisen själv är ansvarig för sker på ett objektivt sätt med respekt för människovärdet. Någon ändring i sak är därför inte avsedd.

8.11Det nuvarande begreppet gemensamt tillgängliga uppgifter ska inte användas i den nya lagen

8.11.1Den nuvarande regleringen är svårmotiverad

Vi redogör för innebörden och bakgrunden till den särskilda regler- ingen av gemensamt tillgängliga uppgifter i avsnitt 3.5.6.

Begreppet gemensamt tillgängliga uppgifter omfattar alla person- uppgifter som fler än endast ett fåtal personer har eller kan komma att få åtkomst till över tid. Ett fåtal personer utgörs enligt förarbetena av ett tiotal medarbetare som har eller kan komma att få tillgång till uppgifterna över tid. Nuvarande lagstiftning är uppbyggd kring upp- delningen av uppgifter mellan de som är gemensamt tillgängliga och de som inte är det.

Inom Polismyndigheten bedrivs underrättelseverksamhet vid särskilda enheter med särskilt utbildade tjänstemän (se avsnitt 3.6.1). I propositionen till polisdatalagen uttalade regeringen att det är en naturlig del i underrättelsearbete att begränsa antalet tjänstemän som får del av viss information, till exempel när man kartlägger organiserad eller annan allvarlig brottslighet. Det innebär allmänt sett en risk att sprida uppgifter av underrättelsekaraktär till en vidare krets. För Polismyndighetens del har tillämpningen av reglerna som rör icke gemensamt tillgängliga personuppgifter exemplifierats som mindre underrättelseprojekt bestående av ett fåtal på förhand utpekade personer eller funktioner.

Säkerhetspolisens uppdrag, organisation och verksamhet innebär att det i praktiken inte är möjligt att begränsa kretsen av medarbetare som över tid har tillgång till underrättelseinformation till endast ett fåtal personer. I myndighetens verksamhet samarbetar ofta flera avdelningar och medarbetare måste kunna bytas ut över tid för att upprätthålla kontinuiteten i underrättelsearbetet. Det innebär att i stort sett samtliga personuppgifter behandlas som gemensamt till-

392

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

gängliga inom myndigheten från det att uppgifterna samlats in. Informationsinflödet är vidare så stort att det är svårt att med någon rimlig effektivitet begränsa åtkomsten till uppgifter som inte har bearbetats till endast ett tiotal personer. Bedömningen av relevanta tips och annan information förväntas ske dygnet runt alla årets dagar, vilket kräver en robust grundbemanning.

Säpodatalagen innehåller inte heller, till skillnad mot Polisens brottsdatalag, några begränsningar av vilka uppgifter som får göras gemensamt tillgängliga. Av 3 kap. 2 § följer att personuppgifter får göras gemensamt tillgängliga, om det behövs för att utföra någon av de uppgifter som angetts om rättslig grund. De intressen som Säkerhetspolisen har till uppgift att skydda ansågs motivera att Säkerhetspolisen skulle ges större handlingsfrihet i fråga om vilka uppgifter som får behandlas. Enligt regeringen talade verksamhetens särdrag för att de begränsningar som gäller för Polismyndigheten för att göra uppgifter gemensamt tillgängliga inte bör gälla för Säker- hetspolisen. I samma riktning ansågs svårigheten att förutse och i lag uttrycka de olika kategorier av personuppgifter som bör få göras gemensamt tillgängliga hos Säkerhetspolisen. Säkerhetspolisens verksamhet bedömdes till sin natur vara sådan att informationen sprids i mindre utsträckning än inom Polismyndigheten, vilket minskar risken för otillbörliga intrång i den personliga integriteten, trots att uppgifter kan användas av flera gemensamt.82

8.11.2Begreppet gemensamt tillgängliga uppgifter bör inte användas i säpodatalagen

Bedömning: Den nya lagen bör inte innehålla särskilda regler som bygger på om personuppgifter är gemensamt tillgängliga eller endast tillgängliga för ett fåtal medarbetare.

Skälen för bedömning

Dagens säpodatalag bygger på principen att uppgifter antingen är gemensamt tillgängliga eller behandlas endast av ett fåtal personer. Att en uppgift är gemensamt tillgänglig har ansetts innebära en

82Prop. 2009/10:85 s. 264 och prop. 2018/19:163 s. 87.

393

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

förhöjd risk för att uppgiften missbrukas och ett större integritets- intrång. Tanken är därför att endast viss operativ information som har ett värde för en större del av organisationen ska behandlas i brett tillgängliga system, i vilka det ska vara säkerställt att endast uppgifter som uppfyller alla lagens krav behandlas. Som konstaterats ovan har uppdelningen mellan gemensamt tillgängliga uppgifter och uppgifter som endast ett fåtal personer har rätt att ta del av inte någon egentlig funktion för Säkerhetspolisen. Alla uppgifter får göras gemensamt tillgängliga och det finns mycket få, om ens några, uppgifter som endast är tillgängliga för de tiotal personerna som anses utgöra ett fåtal enligt bestämmelsen.

Det innebär dock inte att alla uppgifter faktiskt är tillgängliga för hela Säkerhetspolisens organisation. Tvärtom finns det antag- ligen få myndigheter som har lika strikta begränsningar gällande vilken information enskilda medarbetare har tillgång till och där uppföljningen av sökningar och slagningar i register sker lika nog- grant. Dessa system är givetvis motiverade främst av informations- säkerhetsskäl hos Säkerhetspolisen, som har en mycket hög med- vetenhet om riskerna som kan följa av att känsliga uppgifter sprids. Säkerhetspolisens verksamhet är till sin natur mer sluten än Polis- myndighetens vilket, som regeringen konstaterade redan i samband med att reglerna infördes, innebär att risken för spridning och otill- börligt intrång i den personliga integriteten är mindre.

En av de principer som den nya lag vi föreslår ska följa är att vi inte ser något värde av regler som gör systemet mer komplext utan att vara påtagligt integritetshöjande. Vi har därför inte sett något större värde av att till en ny lag överföra det relativt komplexa syste- met med uppdelningen av uppgifter som är gemensamt tillgängliga och endast tillgängliga för en handfull personer. Den ursprungliga tanken med att vissa uppgifter kan hanteras med lättnader i person- uppgiftsregleringen så länge de endast är åtkomliga för ett fåtal per- soner har sedan länge spelat ut sin roll inom Säkerhetspolisens verk- samhet. Det är inte heller möjligt att använda sig av ett fåtal personer för att granska om inkomna uppgifter är tillåtna att behandla. När uppgifter kommer in till Säkerhetspolisen kräver grundbearbetning och kvalitetssäkring av inkomna uppgifter normalt att en betydligt större arbetsgrupp har åtkomst till uppgifterna över tid för att den ska kunna ske tillräckligt effektivt. Se avsnitt 6.1.2.

394

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Vi har övervägt att förändra det nuvarande systemet genom att ändra definitionen av när uppgifter ska anses vara åtkomliga för en mindre grupp medarbetare.83 Den nuvarande regleringen om ett tiotal personer bygger emellertid på avvägningar avseende hur många personer som kan ha tillgång till information för att integritets- intrånget ska anses vara acceptabelt för behandling av uppgifter vars kvalitet inte ännu kunnat fastställas. Genom att utöka denna krets till en större enhet inom Säkerhetspolisen skulle syftet med begränsningen ändå inte uppfyllas. En lagstiftning som innebär en uppdelning mellan uppgifter som finns tillgängliga gemensamt och uppgifter som finns tillgängliga för ett femtiotal eller ett hundratal anställda vid en viss enhet fyller inte motsvarande funktion som det nuvarande begreppet är avsett för. Enligt förarbetena gör sig de integ- ritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter inte lika starkt gällande när bara ett fåtal per- soner har tillgång till uppgifterna som när många personer har till- gång till dem.84

Vi har sammantaget inte kunnat finna tillräckliga skäl för att dela in personuppgifter på samma sätt som gjorts tidigare med vissa lättnader för uppgifter som är tillgängliga för ett mindre antal. I stäl- let anser vi att Säkerhetspolisen genom tekniska och organisatoriska åtgärder, som i dag, ska se till och kunna visa att tillgången till per- sonuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Det finns dock ett klart integritetshöjande värde av att uppgifter som kommer in till myndigheten granskas innan de görs brett till- gängliga operativt. Vi anser därför att den inledande granskningen och kvalitetssäkringen av uppgifter ska hanteras genom en ny, sär- skild och tydlig reglering som är avsedd för just detta.

83Jfr Polismyndigheten skrivelse den 5 juli 2024, Hemställan om ändring av bestämmelserna om gemensamt tillgängliga uppgifter i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, dnr A286.201/2024.

84Prop. 2009/10:85 s. 128.

395

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.12Den inledande granskningen av insamlade personuppgifter

8.12.1Olika krav på insamling och vidarebehandling

Vi har i avsnitt 8.6 lämnat förslag om att insamling och annan in- ledande behandling ska regleras på ett sätt som bättre motsvarar Säkerhetspolisens behov och faktiska verksamhet. Principen bakom förslaget är att behandling av personuppgifter i underrättelseverk- samhet måste kunna ske på ett annat sätt än för andra verksamheter; bland annat genom att uttryckligen tillåta insamling av okänd infor- mation. Den reglering vi föreslår är att Säkerhetspolisen ska få inleda behandling av personuppgifter som är befogade för ett brett formulerat ändamål.

I avsnitt 8.7 lämnar vi förslag om att annan personuppgiftsbehand- ling än inledande behandling ska få ske för särskilda och uttryckligt angiva ändamål och i avsnitt 8.9 att uppgifterna ska behövas för detta, mer specifika ändamål. I avsnitt 8.10 lämnar vi förslag om att person- uppgifter som behandlas ska vara förenliga bland annat med princi- pen om uppgiftsminimering. I avsnitt 8.6.7 konstaterar vi att detta krav dock inte är möjligt att upprätthålla vid inledande behandling.

Det ställs därmed helt andra krav när personuppgiftsbehand- lingen inleds, genom att uppgifter exempelvis samlas in jämfört med när de ska fortsätta att behandlas, genom att till exempel lagras i en databas.

Enligt såväl dataskyddskonventionen som det nuvarande och tidigare EU-rättsliga regelverket får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål.85 Där- efter får uppgifterna inte behandlas på ett sätt som står i strid med de ändamål för vilka de samlats in. Det finns inte någon uttrycklig reglering att insamlade uppgifter ska granskas mot insamlingsända- målet, eller något sekundärt ändamål, i förhållande till adekvans, relevant och principen om uppgiftsminimering. Underförstått finns det dock ett krav på granskning av att de insamlade personuppgif- ter uppfyller förutsättningarna för att få behandlas.

I den ursprungliga dataskyddskonventionen från 1981 ingår inte insamling i begreppet personuppgiftsbehandling, och kraven på

85Artikel 5.4.b dataskyddskonventionen 108+, artikel 5.1.b dataskyddsförordningen, artikel 4.1.b brottsdatadirektivet.

396

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

uttryckligt ändamål och uppgiftsminimering gäller de insamlade uppgifter som bevarades.

Article 5 – Quality of data

Personal data undergoing automatic processing shall be:

a)obtained and processed fairly and lawfully;

b)stored for specified and legitimate purposes and not used in a way incompatible with those purposes;

c)adequate, relevant and not excessive in relation to the purposes for which they are stored;

d)accurate and, where necessary, kept up to date;

e)preserved in a form which permits identification of the data subjects for no longer than is required for the purpose for which those data are stored.

Genom systematiken i dataskyddskonventionen framgår kraven som gäller för behandling av personuppgifter i en tydligare krono- logi. Dataskyddskonventionen 108+ har behållit uppräkningen i denna ordning, men justerat kraven i vissa delar. Som framgått i bland annat avsnitt 8.6.1 ställer den moderniserade konventionen upp krav på att insamling ska ske för särskilda ändamål och kraven på författningsenlig och korrekt behandling gäller all behandling.

Principerna bakom säpodatalagen är desamma som i bland annat brottsdatalagen och innebär att personuppgifter endast får behandlas om de, under alla skeden av behandlingen, uppfyller lagens krav.

Det innebär i teorin att ingen personuppgift får samlas in eller tas emot om den inte följer kraven på adekvans och relevans eller om den utgör en känslig personuppgift som inte är absolut nödvändig. Det innebär att det finns ett krav för att uppgifter ska få behandlas som inte går att kontrollera utan att de först behandlas.

Det faller sig mer naturligt, sett till uppbyggnaden av regelverket, att det finns ett krav på efterföljande granskning av insamlade upp- gifter när insamling av uppgifter är särreglerat i förhållande till fort- satt lagring och andra former av personuppgiftsbehandling. Vi anser att det finns skäl att överväga att särskilt reglera granskningsförfaran- det som följer på den inledande behandlingen.

397

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.12.2Den nuvarande regleringen av inledande granskning

I avsnitt 6.1.2–6.1.4 redogörs för Säkerhetspolisens nuvarande arbets- sätt avseende inledande granskning och tillgängliggörande av upp- gifter i centrala register.

Enligt nuvarande ordning måste alla personuppgifter i ett tidigt skede granskas av någon som kan pröva om behandlingen är fören- lig med säpodatalagen. Detta följer av 2 kap. 14 § säpodatalagen som anger att alla rimliga åtgärder ska vidtas för att personuppgif- ter som behandlas i strid med bestämmelser om rättslig grund, ända- mål, kravet på adekvans och relevans eller är onödigt omfattande i förhållande till ändamålet utan onödigt dröjsmål ska raderas. Det- samma gäller känsliga uppgifter som inte är absolut nödvändiga för ändamålet med behandlingen.

Uppgifter som är gemensamt tillgängliga ska enligt 3 kap. 3 och 4 §§ säpodatalagen förses med särskilda upplysningar i vissa fall. Det finns dock, i 3 kap. 4 § tredje stycket, ett undantag för särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak för uppgifter som ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information. En sådan uppgifts- samling för bearbetning och analys får endast var åtkomlig för särskilt angivna tjänstemän och undantaget gäller så länge bearbetning av uppgifterna inte har genomförts.

Behovet av att behandla känsliga personuppgifter prövas särskilt och utgör en grannlaga uppgift. Känsliga personuppgifter som inte får behandlas tas bort genom maskning. Därefter bearbetas informa- tionen genom att uppgifterna bryts ut och länkas samman med annan information, tematiseras och tillförs särskilda upplysningar om det krävs. Under bearbetningen i uppgiftssamlingen för bearbet- ning och analys behöver någon särskild upplysning om uppgifts- lämnarens trovärdighet och uppgifternas riktighet i sak inte anges. Enheten som utför granskningen består dock av fler än ett fåtal personer och andra särskilda upplysningar, om ändamål och miss- tanke, förutsätts därför vara tillfogade personuppgifter under bearbet- ningen. När bearbetningen är klar kan uppgifterna föras över till uppgiftssamlingen med bedömd information eller tas bort. Enligt 4 kap. 8 § säpodatalagen får personuppgifter som behandlas i en uppgiftssamling för bearbetning och analys inte behandlas längre

398

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

än tre år efter utgången av det kalenderår då den senaste registrer- ingen gjordes avseende personen.

Hur lång tid Säkerhetspolisen har på sig att bedöma om en upp- gift ska raderas eller fortsätta att behandlas följer varken av lagen eller omnämns i något uttalande i förarbeten. När det gäller över- skottsinformation från hemliga tvångsmedel uttalas dock att det är först när informationen är möjlig att ta del av, efter exempelvis teknisk bearbetning eller översättning, som någon faktisk gransk- ning kan påbörjas. Kravet på att material som härrör från hemliga tvångsmedel och som är ovidkommande ska tas bort så snabbt som möjligt måste därför ses i ljuset av möjligheterna att på ett tidigt stadium kunna bedöma värdet av informationen.86

8.12.3Det behövs tydligare regler för inledande granskning och behandling av insamlade personuppgifter

Bedömning: Initialgranskning av information som innehåller personuppgifter bör regleras. Det bör uttryckligen anges att det är tillåtet för Säkerhetspolisen att behandla information innan den hunnit granskas.

Eftersom vårt förslag på ny säpodatalag ställer olika krav för inledande och behandling måste glappet mellan kraven fyllas med någon form av granskningsfunktion. Syftet är att sålla och filtrerar bort den information som inte når upp till de strängare kraven för fortsatt behandling. Insamling, bearbetning och analys av information ut- gör Säkerhetspolisens kärnverksamhet. Det är därför lämpligt att det finns ett tydligt rättsligt ramverk för personuppgiftsbehand- lingen under alla stegen i underrättelseprocessen; både för att myn- digheten kunna utföra sina uppgifter på ett effektivt sätt och för att säkerställa tillräckligt skydd för personuppgifter.

Det finns flera olika sätt att hantera insamlad information i syfte att utföra personuppgiftsgranskning. Försvarsmakten och FRA har i sin lagstiftning en särskild regel som medger att uppgifter får be- handlas innan de kunnat granskas. Av 2 kap. 18 § i FRA-datalagen respektive 2 kap. 20 § försvarsdatalagen framgår att hantering av information inte ska anses oförenlig med bestämmelserna om tillåt-

86Prop. 2018/19:163 s. 75.

399

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

lighet, grundläggande krav, känsliga personuppgifter och person- nummer, i det skede av behandlingen då det ännu inte har kunnat fastställas vilka personuppgifter som informationen innehåller. Bestämmelsen var, för FRA:s del, en förutsättning för verksam- heten. Regeringen konstaterade att det även för Försvarsmakten kunde finnas skäl att medge automatiserad hantering av uppgifter innan en manuell bedömning av dem kan göras.87 Bestämmelsen för Försvarsmakten genomfördes trots att Lagrådet kritiserade bestäm- melsens generösa utformning, särskilt att undantaget omfattar även ändamålet med personuppgiftsbehandling.88

Bestämmelsen i FRA och Försvarsmaktens personuppgiftslagar medger att myndigheterna bevarar information och successivt bedömer personuppgifternas förenlighet med respektive myndig- hets personuppgiftslag i samband med att uppgifterna granskas för första gången. Sådan granskning utförs därmed inte av en särskild enhet utan löpande av personal inom de olika verksamhetsgrenarna. Det finns inte någon särskild tidsgräns angiven för behandling enligt nämnda paragrafer.

Behovet att samla in och analysera allt större informationsmäng- der i den operativa verksamheten samtidigt som lagens krav på per- sonuppgiftsbehandling upprätthålls är något som många underrät- telsetjänster brottas med. I Danmark har säkerhetstjänsten PET under flera år kritiserats av tillsynsmyndigheten för att uppgifter som inhämtats eller insamlats sparas längre än de fyra veckor som är föreskrivet. Frågan togs även upp när det i Finland skulle beslutas om en ny personuppgiftslag, som omfattade bland annat underrät- telsetjänsten Skypos verksamhet. I regeringens proposition fanns ett förslag om en inledande granskningsfrist om sex månader för att bedöma om uppgifter som samlats in kan ha betydelse för något ändamål. Denna bestämmelse föll emellertid i Grundlagsutskottet behandling av lagförslaget. Grundlagsutskottet ansåg att den före- slagna regleringen stred mot brottsdatadirektivet och endast kunde tillåtas till den del lagen faller utanför unionsrättens tillämpnings- område, till exempel när det gäller den nationella säkerheten. För att kunna medge en särskild granskningsfrist för grundbearbetning för Skypo, som i praktiken medgav insamling av uppgifter i strid med ändamålsprincipen, krävdes dock enligt utskottet att lagen

87Se prop. 2020/21:224 s. 95–96.

88Ibid. s. 320 (bilaga 8).

400

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

stiftades enligt den i Finland föreskrivna ordningen för grundlags- ändring.

Säkerhetspolisen måste hantera stora mängder information på ett strukturerat sätt för att bygga upp de underrättelsesystem som behövs i den operativa verksamheten. Den tekniska utvecklingen innebär att det är möjligt att automatisera informationshanteringen i större utsträckning än tidigare. I verksamheten kan ostrukturerad information användas i betydligt högre grad genom komplexa sök- ningar och sammanställningar. Sådan teknik ersätter delvis behovet av person- och sakakter för att kunna ta del av information på ett strukturerat sätt. Oavsett hur information tekniskt hanteras, kvar- står emellertid kravet på att personuppgiftsbehandling inom Säker- hetspolisen måste uppfylla de grundläggande kraven som ställs upp i lagstiftningen.

De ovillkorliga krav som uppställs i dataskyddskonventionen är bland annat att personuppgiftsbehandling ska ske för ett berättigat ändamål, vara proportionerlig samt att den ska vara författnings- enligt och korrekt. Till detta kommer regeringsformens krav på att personuppgiftsbehandling som innebär ett betydande intrång i den personliga integriteten måste tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och inte går utöver vad som är nödvän- digt med hänsyn till det ändamål som föranlett behandlingen. Pröv- ning av bland annat proportionalitet och legitimitet får sitt närmare innehåll genom personuppgiftslagstiftningen. Denna bedömning är dock svår att automatisera. För detta krävs som regel att informa- tion läses av mänskliga ögon och att beslut fattas av en person med kunskaper om vad som ingår i prövningen och som i slutändan kan hållas ansvarig för sin bedömning, även om olika beslutsstöd kan underlätta prövningen.

Vi anser inte att dagens krav, som innebär att personuppgifter som behandlas så snart det är möjligt ska följa lagens krav, utgör en tillräcklig reglering för denna granskning. Den nuvarande bestäm- melsen innebär i praktiken att personuppgiftsbehandling sker i strid med bestämmelserna om adekvans, relevans och uppgiftsmini- mering då de samlats in och att det är oreglerat hur länge denna otillåtna behandling får pågå. Denna ordning får anses vara otill- fredsställande för den verksamhet som Säkerhetspolisen bedriver. Vi uppfattar att otydligheten i lagstiftningen på denna punkt inte

401

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

kan betecknas som transparent och öppen i förhållande till de regi- strerade.

Den mycket generösa reglering av särskilda fall av personuppgifts- behandling som gäller för Försvarsmakten och FRA är anpassad i huvudsak för försvarsunderrättelseverksamhet och syftar till att tillåta bland annat kryptoforcering av insamlat material. Detta skäl görs sig inte gällande i samma utsträckning för Säkerhetspolisen. När det kommer till automatiserad behandling av vissa stora upp- giftsmängder som inte kan granskas manuellt föreslår vi, i kapitel 9, en särskild reglering.

Vi anser att det bör finnas en reglering som är särskilt anpassad för Säkerhetspolisens verksamhet och som anger hur personuppgifter får hanteras under den process som syftar till att granska, sortera och radera inkomna och inhämtade uppgifter för att lagens krav ska uppnås. Frågan om hur information som inte har granskats får behandlas bör därför regleras uttryckligen i den nya lagen. Regler- ingen bör ta hänsyn till Säkerhetspolisens uppdrag och utmaningar men samtidigt innebära ett adekvat dataskydd.

8.12.4Hur bör reglerna utformas?

Förslag: Efter inledande behandling ska personuppgifter gran- skas, om det behövs för att säkerställa författningsenlig behand- ling. Innan detta skett får personuppgifterna endast behandlas för den granskningen.

Det ska under den inledande granskningen inte ställas krav på att samtliga uppgifter måste vara relevanta, adekvata och inte onödigt omfattande i förhållande till ändamålet med insamlingen.

Granskning ska ske så snart det är möjligt efter inledande be- handling och får pågå i högst sex månader. Granskningen ska utföras av särskilt utbildad personal.

Grundläggande principer för initialgranskning

Det är viktigt för de intressen som en personuppgiftslag primärt har att värna, den personliga integriteten och andra grundläggande fri- och rättigheter, att det i myndighetens informationssystem

402

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

endast finns uppgifter som behövs för Säkerhetspolisens uppdrag samt att uppgifterna är adekvata, relevanta och inte onödigt omfat- tande i förhållande till ett berättigat ändamål. Medborgare måste ha förtroende för att Säkerhetspolisen inte har tillgång till uppgifter om dem, om de inte förekommer i något sammanhang som gett skäl till det. Det innebär att det i princip är förbjudet för Säkerhets- polisen att bevara uppgifter utan någon koppling till ett berättigat ändamål.

Det är samtidigt omöjligt för Säkerhetspolisen att endast behandla personuppgifter som uppfyller alla lagens bestämmelser. Redan insamling eller inhämtande av uppgifter, genom exempelvis behand- ling av överskottsinformation från hemliga tvångsmedel, uppgifter som delges från FRA eller uppgifter som tillhandahålls av en sam- verkande tjänst innebär en behandling. I det skedet är det inte klart vilka personuppgifter som finns i informationsmängden som han- teras. Att översätta, bearbeta, sammanställa, läsa och analysera dessa uppgifter för att kunna avgöra om de över huvud taget får behandlas innebär i sig personuppgiftsbehandling. Reglerna måste därför medge en temporär behandling under granskningsskedet, med andra krav än vad som gäller för att få fortsätta att behandla uppgifterna genom bland annat lagring. Reglerna bör gälla under en begränsad tid, som inte får vara längre än vad som är nödvändigt för att utföra gransk- ningen. Den undantagssituation som aktualiseras under gransknings- skedet får inte heller medge en behandling som riskerar att stå i strid med de centrala bestämmelserna i Europakonventionen, reger- ingsformen eller dataskyddskonventionen.

Granskning bör kunna ske mer effektivt i den nya lagen

Trots att säpodatalagen är relativt ny kan det konstateras att det

i dag ställs helt andra krav på Säkerhetspolisens förmåga att hantera allt större informationsmängder än vad som kunde förutses vid lagens tillkomst, (se avsnitt 6.2). Säkerhetspolisens organisation har också genomgått förändringar och det är inte längre effektivt att endast låta ett fåtal eller en mindre grupp medarbetare hantera bearbetning av all information som myndigheten behöver i sitt operativa arbete.

403

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Vår uppfattning är att den föreslagna lagstiftningen i många avseenden kommer göra det lättare för Säkerhetspolisen att avgöra om personuppgifter får behandlas. Personuppgifter som behövs inom underrättelseverksamheten för att kartlägga och klarlägga företeelser och verksamheter ska inte behöva granskas och anno- teras på detaljnivå. Det är inte var och en av de personuppgifter som förekommer som ska bedömas, utan uppgifternas samman- hang. Genom att uppgifter som förekommer i ett relevant samman- hang kommer bedömas på en mer aggregerad nivå bör behovet att maskera eller anonymisera enskilda personuppgifter att minska eller upphöra (jämför avsnitt 6.1.3). Vi föreslår även att känsliga personuppgifter bör få behandlas enligt samma behandlingströskel som andra uppgifter, vilket även innebär att det inte som i dag behövs en särskild prövning för varje sådan uppgift som förekommer i ett material (se nedan i avsnitt 8.15.2). Behovet att anförtro granskning till en särskild enhet med hög kompetens inom personuppgiftslagstift- ningen kommer därför inte vara lika tydligt som förut. Det bör där- för vara möjligt för operativ personal inom de olika verksamhets- grenarna att utföra granskning av uppgifterna direkt då de kommer in till myndigheten.

Från vilka bestämmelser bör undantag göras vid initialgranskning?

Som nämnts ovan är det inte möjligt att ställa krav på att Säkerhets- polisen ska ha kännedom om innehållet i de uppgifter som behandlats inledningsvis innan de hunnit granskats. Det är därför inte möjligt att ställa krav på att samtliga uppgifter ska vara relevanta, adekvata eller inte onödigt omfattande i förhållande till ändamålet med insam- lingen.

Däremot finns det inga skäl till att göra undantag från ändamåls- principen som sådan.89 Vi har i avsnitt 8.6.6 kommit till slutsatsen att inledande behandling ska få ske för övergripande ändamål och i avsnitt 8.6.7 att behandlingströskeln ska vara lägre. Detta är motive- rat utifrån Säkerhetspolisens behov av att kunna identifiera ännu okända hot och företeelser. Den inledande granskningen ska därför ske av uppgifter som samlats in för ett övergripande ändamål. Som

89Jfr även Lagrådets yttrande i prop. 2020/21:224, bilaga 8, på s. 320 f.

404

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

framgår av avsnitt 8.7 och 8.9 ska både ändamålet preciseras och en högre behandlingströskel passeras för att personuppgifter ska få fortsätta att behandlas. Den inledande granskningen sker i syfte att säkerhetsställa detta.

Personuppgifterna behandlas för ett övergripande ändamål då granskningen inleds och för ett särskilt, preciserat ändamål då den avslutas. Uppgifter som inte uppfyller kravet för efterföljande behandling ska givetvis raderas. Av avsnitt 8.6.8 framgår att det inte kan ställas några krav på uppgifters kvalitet innan de hunnit gran- skas i detta avseende. Det innebär att den inledande granskningen ska syfta till att säkerställa kvalitetskraven.

Vi föreslår således i den nya lagstiftningen ett undantag från de angivna kraven under den inledande granskningen.

Personuppgifter som inte granskats bör vara begränsade avseende det ändamål för vilka de får behandlas

Att vi i lagen förslår att information som kommer till Säkerhets- polisen ska kunna granskas på ett mer effektivt sätt och i stor ut- sträckning av operativ personal inom de olika verksamhetsgrenarna innebär inte uppgifterna omedelbart ska vara operativt tillgängliga. En sådan ordning är oförenlig med principerna bakom den före- slagna lagen. Granskningen syftar inte till att exempelvis utreda brott eller förebygga brottslig verksamhet. Granskningen syftar till att kontrollera om myndigheten får behandla uppgifterna för något operativt ändamål. Det innebär naturligtvis att granskning måste föregå all annan operativ behandling av personuppgifterna. Samtidigt är tanken att all information ska kunna behandlas operativt så fort det kunnat konstateras att personuppgifterna som granskats upp- fyller kraven på ändamål, kvalitet och proportionalitet.

Uppgifter som kommer till Säkerhetspolisen genom inledande behandling får inte vara sökbara eller operativt tillgängliga innan de granskats. Operativt tillgängliga uppgifter måste även fortsättnings- vis förutsättas vara granskade och uppfylla alla lagens krav. Vår uppfattning är att den lämpligaste regleringstekniken för att uppnå detta är att uppgifter, efter den inledande behandlingen, inte ska få behandlas för något annat ändamål än att säkerställa författnings- enlig behandling.

405

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det innebär att de personer som tar emot uppgifter ska bedöma om fortsatt behandling är proportionerlig, om uppgifterna behövs samt om de är relevanta, adekvata och inte onödigt omfattande i förhållande till ett särskilt uttryckligt angivet ändamål. När allt detta väl konstaterats kan uppgifterna omedelbart behandlas för sitt ända- mål. Typiskt sett innebär det att uppgifterna görs operativt tillgäng- liga genom datatekniska åtgärder. Det innebär att samma personal som granskar uppgifterna omedelbart kan gå vidare med de ytter- ligare åtgärder som föranletts av den information som kommit in till myndigheten. Att personal med sakkunskap inom de olika verk- samheterna själva granskar uppgifter som kommer till enheten ger operativa fördelar. Ofta kan bakgrundskunskap om personer, före- teelser eller verksamheter innebära att ändamålet med fortsatt be- handling kan preciseras i ett tidigt stadium. Effektiviteten hos myn- digheten bör på detta sätt kunna stärkas.

I samband med att personuppgifter granskas ska behandlingstiden bestämmas

Vi föreslår i avsnitt 8.18 att Säkerhetspolisen ska bestämma behand- lingstid för uppgifter i samband med att uppgifterna genomgår inledande granskning. Detta är en viktig bedömning som utgör en integrerad del av den mer övergripande proportionalitetsprövningen.

Vi förutsätter att ett verksamhetsstöd utarbetas för bestämmande av behandlingstid, där riktlinjer för olika typfall kan underlätta bedömningen. Även denna prövning bör lämpligen kunna utföras av personal som arbetar operativt med inom de olika verksamhets- grenarna och som bäst känner till behovet av uppgifterna över tid.

Det bör ställas krav på de personer som ska utföra inledande granskning

En av målsättningar med den föreslagna lagen är att den ska vara lättare att tillämpa för Säkerhetspolisen. Vår ambition har varit att skapa en lagstiftning som är anpassad för myndighetens verksamhet. Därmed inte sagt att lagen är enkel att tillämpa. Vi föreslår exem- pelvis att en proportionalitetsprövning ska vägleda tillämpningen

406

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

i högre grad än i dag. En bedömning som innehåller flera olika para- metrar som kan vägas mot varandra.

Frågor som rör förutsättningar för personuppgiftsbehandling är generellt sett komplexa. Detta gäller särskilt när personuppgifts- behandlingen utgör en myndighets kartläggning av enskildas person- liga förhållanden som, per definition, utgör ett intrång i enskildas grundläggande fri- och rättigheter. Granskningen av personuppgif- ter för att bedöma förutsättningarna för fortsatt operativ behandling får därför inte ske slentrianmässigt.

I dag finns en hög kompentens hos Säkerhetspolisen avseende tillämpningen av den nuvarande lagstiftningen. De personer som i dag granskar om personuppgiftsbehandlingen är tillåten har sär- skilda kvalifikationer. Vår uppfattning är att det bör ställas krav på att alla som har behörighet att föra in uppgifter i Säkerhetspolisens operativa system även i fortsättningen måste vara särskilt lämpade att genomföra den inledande granskningen.

Några formella krav bör dock inte ställas upp i lagstiftningen. Hur tillräcklig kompetens kan tillförsäkras, exempelvis genom sär- skilda internutbildningar, bör vara ett ansvar för myndigheten.

I lagen bör endast anges att granskningen ska utföras av särskilt angivna tjänstemän, vilket är samma begrepp som i dag används för att peka ut de som har åtkomst till uppgiftssamlingen för bearbet- ning och analys (3 kap. 4 § tredje stycket säpodatalagen). Begrep- pet innebär inte någon numerär och inget hindrar att all operativ personal vid en enhet har genomgått den utbildning och fått de behörigheter som krävs för att genomföra inledande granskning av personuppgifter. Genom att kravet på viss kompetens uppställs i säpodatalagen kommer frågan om medarbetarnas utbildning och kunskap också stå under tillsyn.

Vi föreslår en lagregel med denna innebörd.

Den inledande granskningen bör ske så snart det kan ske och vara tidsbegränsad

Att Säkerhetspolisen inledningsvis ska kunna behandla personupp- gifter enligt andra och mer tillåtande regler kräver att behandlingen utgör ett tidsbegränsat undantag. Givetvis får inte personuppgifter behandlas med stöd av undantagsregeln som gäller inledande gransk- ning under längre tid än vad som krävs för att genomföra gransk-

407

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

ningen. Det bör även uppställas ett skyndsamhetskrav för att gransk- ningen som bör ske så snart det är möjligt.

Vid sidan om denna huvudregel finns det även skäl att begränsa den längsta tid Säkerhetspolisen får behandla personuppgifter för granskning. Vår uppfattning är att det är en förutsättning för ett undantag av detta slag i en verksamhet som är så känslig som Säker- hetspolisens. Lagen bör därför innehålla en fast tidsgräns inom vilken granskning måste ske.

Som tidigare nämnts har Norge en tidsgräns på fyra månader och Danmark fyra veckor. Det kan konstateras att den tidsgräns som gäller i Danmark är avsevärt kortare än vad som krävs för att PET ska kunna utföra initialgranskning. Den danska tillsynsmyndig- heten har under flera år riktat kritik mot att behandling i gransk- ningssystemen inte sker inom den reglerade tiden och nyligen har lämnats förslag om en översyn av systemet. Den norska fyramåna- dersfristen framstår mer anpassad till verksamheten och har vi har inte identifierat att denna tidsgräns lyfts som något problem. Sam- tidigt kan konstateras att mängden information som behandlas av Säkerhetspolisen har ökat mycket drastiskt de senaste åren. Den tekniska utvecklingen innebär att en mobiltelefon numera kan inne- hålla lika mycket information som ett medelstort datacenter gjorde för något decennium sedan. I händelse av exempelvis ett stort till- slag måste resurser prioriteras och mindre angelägna granskningar kan då bli liggande under viss tid. För att medge en ordnad och strukturerad informationshantering även under särskilda omständig- heter, för vilka Säkerhetspolisen måste ha en god beredskap, bör tidsfristen inte sättas för snävt.

Den yttersta tidsgränsen föreslår vi av dessa skäl ska uppgå till sex månader.

Den inledande granskningen ska vara ett krav endast när det behövs en sådan granskning för att bedöma informationen

Inledande behandling omfattar även personuppgifter som upprättas eller på andra sätt skapas inom myndigheten. Det innefattar exem- pelvis att en medarbetare nedtecknar personuppgifter i promemoria eller i en tjänsteanteckning. I dessa fall kommer granskningen inte att vara separerad från den inledande behandlingen utan snarare vara en del av den. Det är medarbetarens ansvar att den behandling som

408

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

den faktiska åtgärden att skapa personuppgifter innebär sker för- fattningsenligt.

Den inledande behandling som särskilt motiverar en särskild bestämmelse om granskning är sådan där informationsinnehållet är okänt. Om det är klart att den inledande behandlingen är förenlig med de krav som ställs även för efterföljande behandling, behöver inte uppgifterna granskas. Så kan vara fallet exempelvis då inhämt- ning sker från databaser där uppgiftsinnehållet till sin typ är känt. Om det exempelvis handlar om folkbokföringsuppgifter för regi- strerade personer ska givetvis inte adressuppgifter och liknande behöva granskas av dataskyddsskäl. Det står då klart att den inledande behandlingen behövs för ett särskilt ändamål och att uppgifterna är adekvata och relevanta att behandla. Vi föreslår därför att inledande behandling ska utföras när det behövs för att uppnå syftet, nämligen att säkerställa en författningsenlig behandling.

8.12.5Ej granskad information bör kunna tillgängliggöras vid ett nödläge

Förslag: I nödsituationer bör en av regeringen särskilt utsedd befattningshavare vid Säkerhetspolisen få besluta om att informa- tion som inte granskats får behandlas även för operativa ändamål.

Principerna för ett undantag från kravet på inledande granskning

Säkerhetspolisens uppdrag innebär att det i vissa fall kan inkomma uppgifter som ställer mycket höga krav på myndighetens reaktions- förmåga. Exempelvis kan det inkomma ett tips från en samverkande tjänst om att en terroristcell aktiverats med uppdrag att inom 24 tim- mar detonera en bomb någonstans i Sverige. I det läget måste det finnas en ventil som innebär att det allmänna intresset nationell säkerhet väger tyngre än under normala förhållanden.

En viss händelse kan även föranleda en explosionsartad informa- tionsutveckling, exempelvis terrorattentatet på Drottninggatan den 7 april 2017. Både riskanalysen för ytterligare terrordåd och jakten på gärningsmannen krävde en mycket omfattande analyskapacitet

409

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

av den stora mängd information som kontinuerligt inkom till Säker- hetspolisen.

Säkerhetspolisen bör i dessa, och andra liknande exceptionella fall kunna verka effektivt för att avvärja överhängande hot mot nationell säkerhet. Det bör därför finnas en särskild bestämmelse som kan tillämpas vid nationella nödlägen.

En nödbestämmelse som kan effektivisera informationshanter- ingen är att frångå den ändamålsbegränsning som innebär att insam- lade eller inkomna uppgifter måste granskas innan de kan behandlas operativt. För att möjliggöra högsta möjliga förmåga i krissituatio- ner bör ett sådant undantag införas i lagen.

Med hänsyn till det stora avsteget som en sådan bestämmelse innebär från lagens skyddsmekanismer bör ett undantag beslutas i särskild ordning. Närmare bestämmelsen om vem som är behörig att fatta beslut bör bestämmas i förordning.

Beslutet bör vara skriftligt och motiverat för att möjliggöra granskning i efterhand. För att möjliggöra sådan granskning bör Säkerhets- och integritetsskyddsnämnden få del av ett sådant beslut och kunna granska den behandling som sker med stöd av detta.

Hur bör undantaget vara utformat?

Det finns andra lagstiftningar som har olika slags ventiler som är tänkta att kunna hantera krissituationer. Det finns dock inte några motsvarande exempel i någon annan personuppgiftslagstiftning.

I svensk konstitutionell rätt saknas allmänna formuleringar om nöd. I 5 kap. regeringsformen finns vissa bestämmelser avseende händelse av krig eller krigsfara, som kan innebära att rättighets- skyddet får stå tillbaka.

Vi ser inte något behov av att i säpodatalagen gå så långt som att speciallagstifta angående den exceptionella händelsen av krig eller krigsfara. Den situation vi anser behöva täckas är den då det före- ligger ett allvarligt, verkligt och nära förestående hot mot nationell säkerhet. Det måste röra sig om situationer där det är absolut nöd- vändigt att behandla stora mängder information omedelbart. Hotet ska i princip avse statens väsentliga funktioner eller samhällets grund- läggande intressen och vara så tidskritiskt att undantaget är absolut nödvändigt. En sådan situation kan exempelvis uppkomma om det

410

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

finns trovärdiga upplysningar om att ett allvarligt terrorattentat ska utföras på svensk mark eller mot svenska intressen i närtid. All tillgänglig information som Säkerhetspolisen kan samla och hämta in får då behandlas för att avvärja hotet.

Ett så långtgående undantag måste givetvis vara tidsbegränsat. Med hänsyn till att regeln syftar till att avvärja omedelbara eller nära förestående hot kan tidsbegränsningen vara relativt snäv. Vi anser att 30 dagar bör vara tillräckligt. Givetvis måste undantaget upphöra så snart det inte längre uppfyller kravet på att vara absolut nödvändigt. En ytterligare begränsning bör vara att den informa- tion som behandlas med stöd av undantaget endast får vara tillgäng- lig för dem som behöver behandla uppgifterna för det ändamål som föranlett undantaget. Denna begränsning syftar dels till att för- hindra att uppgifterna behandlas för andra ändamål, som inte i sig hade kunnat motivera undantaget, dels till att minska risken för integ- ritetskränkningar. Att Säkerhets- och integritetsskyddsnämnden ska underrättas så snart ett undantag införs innebär att nämnden får goda möjligheter att inleda granskning av den behandling som skett med stöd av ett undantagsbeslut.

8.12.6Hur förhåller sig inledande granskning till särskilda uppgiftssamlingar?

Förslag: Inledande granskning kan ske i förhållande till kraven för registrering av uppgifter i en särskild uppgiftssamling (se kap. 9).

Framtagning från en särskild uppgiftssamling är inledande behandling och ska därför följas av inledande granskning.

Granskning innan beslut om registrering av uppgifter i en särskild uppgiftssamling

Vi föreslår i kapitel 9 att säpodatalagen ska kompletteras av ett sär- skilt regelverk som gäller behandling av personuppgifter i särskilda uppgiftssamlingar. Den lagstiftningen syftar bland annat till att möj- liggöra behandling av informationsmängder av sådan omfattning att de inte är möjliga att granska enligt de krav som ställs efter inledande behandling. Vi föreslår dock att även sådana större dataset ska

411

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

genomgå en översiktlig granskning för att det ska vara möjligt att fatta ett formellt beslut om att registrera uppgifterna i en särskild uppgiftssamling.

Den inledande granskningen omfattar även uppgifter som häm- tats in i syfte att registrera i en särskild uppgiftssamling. Gransk- ningen ska i dessa fall ske mot de krav som uppställs för att registrera sådana uppgifter i särskilda uppgiftssamlingar.

Uppgifter som tagits fram från en särskild uppgiftssamling ska granskas

Enligt det särskilda regelverk vi föreslår om behandling av person- uppgifter i särskilda uppgiftssamlingar kommer inledande behand- ling kunna ske av uppgifter som Säkerhetspolisen redan förfogar över. Detta sker enligt de särskilda reglerna om framtagning av uppgifter. Det är viktigt att sådana uppgifter granskas enligt säpo- datalagens krav. Att tillstånd getts till framtagningen är nämligen inte en garanti för att uppgifterna får fortsätta att behandlas enligt säpodatalagen.

8.13Särskilda upplysningar

8.13.1Den nuvarande regleringen

Enligt den nuvarande lagstiftningen ska personuppgifter som görs gemensamt tillgängliga förses med vissa upplysningar. Om det ända- mål som gemensamt tillgängliga personuppgifter behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det enligt

3 kap. 3 § säpodatalagen tydliggöras genom en särskild upplysning. Enligt 4 § i samma kapitel ska det genom en särskild upplysning eller på något annat sätt framgå att en person som är registrerad inte är misstänkt för brott eller brottslig verksamhet. Enligt andra stycket i samma bestämmelse ska uppgifter om en person som kan antas ha direkt samband med brottslig verksamhet förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt.

De särskilda upplysningarna tillkom när 2010 års polisdatalag frångick registerbegreppet. Tidigare lagstiftningar på området angav

412

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

att personuppgifter skulle föras i särskilda register av vilka bland annat ändamål framgick. Registrens struktur innebar även att per- soner som förekommer i den brottsbekämpande verksamheten, som misstänkta, vittnen och målsägande tydligt särskildes vid regi- streringen. När uppgifter tilläts behandlas utanför särskilda register ansågs det nödvändigt att införa bestämmelser som säkerställer att den som söker information får motsvarande upplysningar om ända- målet för behandlingen, som han eller hon skulle ha fått om uppgif- terna hade behandlats i ett register. Både verksamhetsskäl och integ- ritetsskyddsskäl ansågs tala för att det vid informationssökning ska framgå varför en uppgift behandlas av polisen. Av samma skäl menade regeringen att det var viktigt att det skulle framgå att en uppgift rör en icke-misstänkt person när så är fallet samt hur till- förlitlig en underrättelseuppgift bedöms vara.90

8.13.2Behövs särskilda upplysningar?

Bedömning: Varje bestämmelse som medför ett krav på att en- skilda uppgifter ska genomgå manuell bedömning och handpålägg- ning är styrande för hur Säpo kan organisera sig och arbeta.

Krav på särskild upplysning ska prövas noga mot nyttan med kravet.

Vår utgångspunkt är att vi i så stor utsträckning som möjligt ska undvika att styra verksamheten genom personuppgiftslagstiftningen. Syftet med lagen är i första hand att värna enskildas personliga integ- ritet. De regler i den nuvarande lagstiftningen som inte primärt uppfyller det syftet bör därför omprövas. Med hänsyn till den verk- samhet som Säkerhetspolisen bedriver kan varje överreglering i per- sonuppgiftslagen innebära en förmågesänkning. Ledtiderna i verk- samheten behöver vara så korta som möjligt för att information som kommer till verksamheten så snabbt som möjligt ska kunna leda till åtgärder för att förebygga och avvärja hot.

De särskilda upplysningar som ska tillföras gemensamt tillgängliga uppgifter i den nuvarande lagstiftningen har pekats ut som en sådan reglering som i vissa fall kan medföra att ledtiderna i verksamheten

90Prop. 2009/10:85 s. 146–147.

413

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

blir onödigt, och ibland omotiverat, långa. Dagens regler om sär- skilda upplysningar innebär en manuell hantering av varje person- uppgift. Det tål att upprepas att datatillväxten och informations- flödet i dagens samhälle utvecklas exponentiellt och det som för några decennier sedan utgjorde ett datacenter numera ryms i varje mobiltelefon.

Att manuellt granska enskildheter i stora informationsmängder är inte en realistisk arbetsmetod. Varje bestämmelse i en person- uppgiftslag som medför ett krav på att varje enskild uppgift ska genomgå manuell granskning, bedömning och handpåläggning kom- mer med nödvändighet att bli kraftigt styrande för hur Säpo kan organisera sig och arbeta. Varje sådant krav måste därför prövas noga mot nyttan med kravet. Mängden personuppgifter som behövs för en kartläggning inom underrättelseverksamheten bör inte begrän- sas av de resurser som finns tillgängliga för att etikettera varje enskild personuppgift med en särskild upplysning. Personuppgiftsbehandling enligt denna lag vilar i stället på de grundläggande principerna att uppgifterna ska behövas för berättigade ändamål och inte innebära ett oproportionerligt intrång i de registrerades fri- och rättigheter.

8.13.3Upplysning om ändamål med behandlingen

Förslag: Om det ändamål som personuppgifter behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

Ändamålet med behandlingen måste framgå

Bestämmelsen om särskild upplysning om ändamål har sitt ursprung i det krav om att grunder för registrering som skulle anges för upp- gifter som fördes in i det så kallade SÄPO-registret, som reglerades i den äldre polisdatalagen. Denna bestämmelse har levt kvar i 3 kap. 3 § säpodatalagen och innebär att en särskild upplysning om ändamål måste anges manuellt för alla de personuppgifter som Säkerhetspoli- sen behandlar. Då det rör sig om nya uppgifter som tillförs redan kända personer kan ändamålet i många fall framgå av sammanhanget. När det däremot handlar om ostrukturerad information som Säker-

414

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

hetspolisen kommer över genom exempelvis inhämtning på inter- net, beslag eller hemliga tvångsmedel handlar det om ett mycket omfattande arbete att särskilja det mer konkreta ändamålet för personuppgifter som hör till olika individer. Vissa uppgifter kan vara relevanta för ett visst ändamål, då de exempelvis har koppling till ett befarat terrordåd som planeras i någon viss miljö. Andra uppgifter kan i och för sig vara relevanta för underrättelseverksam- heten, exempelvis angående den misstänktes kontakter inom en extremistisk miljö, men kan inte direkt kopplas till det ursprungliga ärendet. Sådana uppgifter, som kan vara relevanta för att kartlägga misstankar om annan brottslig verksamhet, behöver regelmässigt förses med en särskild upplysning. Personuppgifter förekommer i olika former av textmeddelanden och i ljud-, bild- eller videofiler. Sammantaget kan enskilda it-beslag ofta innehålla en mycket stor mängd uppgifter som tillsammans eller för sig går att koppla till en identifierad eller identifierbar fysisk person som är i livet. I ett it- beslag kan det i dag röra sig om tusentals personuppgifter som manuellt behöver förses med en sådan upplysning.

Redan av ändamåls- och finalitetsprincipen följer att ändamålet för personuppgiftsbehandling måste framgå vid en inledande behand- ling. Om ändamålet inte framgår, är det inte möjligt att göra pröv- ningen om en viss behandling, är oförenlig med ändamålet för in- samlingen. Det finns därför verksamhetsskäl som med styrka talar för att ändamålet måste anges genom en särskild upplysning, om det inte framgår av sammanhanget. Ändamålet med att en viss upp- gift finns bevarad i Säkerhetspolisens it-miljö möjliggör även att åtkomsten till uppgiften, genom tekniska och organisatoriska åtgär- der, begränsas endast till de medarbetare som har behov av uppgiften. Ur integritetssynpunkt är det viktigt att uppgifter endast behandlas av de som har ett konkret behov av uppgiften för att kunna utföra sina arbetsuppgifter på ett effektivt sätt. Att ändamålet med behand- lingen framgår kan vidare vara en förutsättning för att en tillsyns- myndighet effektivt ska kunna kontrollera om viss behandling är berättigad och utförs i enlighet med lagens bestämmelser. Det förs inte längre särskilda register i specifika underrättelseprojekt där det utifrån registrets namn går att sluta sig till vad som är ändamålet med uppgifter i det. Det finns inte heller personakter där all infor- mation samlas om enskilda individer. Dagens system är och bör vara uppbyggda för att möjliggöra en snabbt och flexibelt informa-

415

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

tionsflöde för att verksamheten ska fungera så effektivt som möjligt. Vi anser sammantaget att det inte är möjligt att upprätthålla ända- målsprincipen om det inte på något sätt går att utläsa för vilket ändamål personuppgifter behandlas. Det finns därför fortfarande ett behov av särskilda upplysningar avseende ändamål.

Enligt gällande rätt har särskilda upplysningar endast varit ett krav för gemensamt tillgängliga uppgifter. Med hänsyn till att upp- delningen mellan gemensamt och icke-gemensamt tillgängliga uppgifter inte överförs till den nya lagen bör bestämmelsen gälla samtliga uppgifter som behandlas i den operativa it-miljön. Det är därmed senast i samband med att uppgifterna lämnar den inledande granskningen som upplysningen ska tillföras. På samma sätt som enligt nuvarande ordning bör kravet endast träffa uppgifter där det inte av sammanhanget går att utläsa det ändamål för vilket uppgifterna behandlats.

Hur detaljerad bör ändamålsupplysningen vara?

Vi har föreslagit att inledande behandling av uppgifter får ske enligt övergripande ändamål (se avsnitt 8.6.6). Denna princip bygger på att ändamålet ska preciseras efter den inledande granskningen. Det sker genom en särskild upplysning, om inte ändamålet framgår på annat sätt. Av underrättelseändamålet – kartlägga och klarlägga brottslig verksamhet – framgår att det kan vara relevant att inte endast behandla de uppgifter som rör kända hotaktörer eller kon- kreta hot. Även uppgifter som förekommer i sammanhang där hotaktörer befinner sig eller kan antas befinna sig kan vara rele- vanta att behandla för att kartlägga den brottsliga verksamheten. Ändamålsupplysningen bör därför omfatta en viss aktör eller ett visst hot, men tillämpas på alla uppgifter som behöver behandlas för kartläggningen. Om ett it-beslag skett från en misstänkt terrorist kan exempelvis ändamålet för att kartlägga terroristnätverket eller eventuella kopplingar till andra hotaktörer tillämpas på samtliga personuppgifter i it-beslaget. Det krävs inte att samtliga person- uppgifter som förekommer i ett it-beslag prövas var för sig så länge de ingår i en relevant kontext som behövs för att kartlägga den brottsliga verksamheten.

416

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.13.4I underrättelseverksamheten bör det inte längre uppställas krav på att personer som inte är misstänkta ska särskiljas genom en särskild upplysning

Bedömning: Det finns inte tillräckliga skäl för att behålla kravet på särskild upplysning avseende personer som inte är misstänkta för brott eller brottslig verksamhet.

Bakgrunden till den nuvarande bestämmelsen

Enligt 3 kap. 4 § säpodatalagen ska det genom en särskild upplysning anges om en person inte är misstänkt för brott eller för att ha utövat eller kan komma att utöva brottslig verksamhet som Säkerhetspoli- sen har till uppgift att bekämpa. I klartext innebär det att aktörer som inte är föremål för förundersökning eller är ”underrättelse- misstänkta” ska särskiljas från dem som är det. En underrättelse- misstanke består av att någon antas ha utövat eller kan komma att utöva brottslig verksamhet. Brottslig verksamhet är det begrepp som brukar användas för att fånga föremålet för brottsbekämpande underrättelseverksamheten. En misstanke om brottslig verksamhet förutsätter inte kännedom om konkreta gärningar. Det måste dock vara fråga om en viss typ av brottslighet, som däremot inte behöver vara närmare specificerad i fråga om omfattning eller detaljer (se avsnitt 3.5.6).

Bestämmelsen kan till exempel vara tillämplig då anhöriga till personer som antas utöva brottslig verksamhet inom viss vålds- bejakande extremistmiljö finns registrerade. Då ska det anges att de inte är misstänkta. Ett annat fall kan vara att skyddspersoner inom personskyddsverksamheten ska särskiljas från de hotaktörer som denne ska beskyddas från.

Andelen misstänkta personer i underrättelseverksamheten är förhållandevis få och därför tillämpas bestämmelsen i praktiken motsatsvis genom att den särskilda uppgiften i stället anger om en person är misstänkt.

417

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Bör det framgå att en person inte är underrättelsemisstänkt?

Bestämmelsen medför i dagsläget ett betydande manuellt merarbete för Säkerhetspolisen. Om den integritetsstärkande funktionen inte framgår tydligt, bör det övervägas om det alltjämt är relevant att reglera frågan i en personuppgiftslag.

Det kan till att börja med ifrågasättas hur betydelsefullt det ur integritetssynpunkt är att det framgår om en person antas ägna sig åt brottslig verksamhet vid registreringen, då den särskilda upplys- ningen tillförs. Ofta stärks eller avtar misstankar successivt i en utredning och detta framgår som regel av sammanhanget. För att den särskilda upplysningen ska fylla sin integritetsstärkande funk- tion bör den därför regelbundet uppdateras. Om en person är under- rättelsemisstänkt eller inte, är en fråga som kräver en sammanvägd bedömning av all information som finns tillgänglig vid tidpunkten för bedömningen. Att kontinuerlig uppdatera misstankemarker- ingar i hela Säkerhetspolisens underrättelsesystem skulle dock inne- bära ett orimligt omfattande merarbete.

Det är givetvis till fördel för tillsynen att kunna undersöka hur uppgifter om personer som inte kan misstänkas för brottslig verk- samhet behandlas. Om det överhuvudtaget inte finns några miss- tankar om brottslig verksamhet, kan Säkerhetspolisen behöva för- klara behovet av uppgifterna närmare. Den särskilda upplysningen om ändamålet med behandlingen bör dock kunna användas för att sluta sig till vilken brottslig verksamhet som föranlett registreringen. Genom innehållet i uppgifterna och sammanhanget de förekommer i bör Säkerhetspolisen kunna motivera behandlingen. Det gäller oavsett om personen är misstänkt eller inte.

Regeringen angav i förarbetena till de övriga brottsbekämpande myndigheters registerlagstiftning att det är särskilt viktigt att det i underrättelseverksamheten görs tydlig skillnad mellan personer som har ett direkt samband med den brottsliga verksamheten och andra personer.91 Detta uttalande bygger dock på att bland annat Polismyndighetens underrättelseverksamhet bedrivs närmare det stadium då någon kan misstänkas för ett konkret brott. I tidigare förarbeten framkommer synsättet att det inom Säkerhetspolisens brottsförebyggande arbete normalt inte går att urskilja lika tydliga kopplingar till konkreta brott eller till brottslig verksamhet som

91Prop. 2017/18:269 s. 109.

418

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

inom den övriga polisen. Den underrättelseverksamhet som bedrivs inom Säkerhetspolisen är till sin natur ofta sådan att den ligger på ett tidigare stadium än den som bedrivs av polisen i övrigt men inriktad mot ett fåtal, väl avgränsade företeelser av särskilt samhälls- farlig karaktär.92

När underrättelseverksamhet sker på det sätt som krävs för Säkerhetspolisen brottsbekämpning kan det i det närmaste förut- sättas att en stor majoritet av de registrerade inte är underrättelse- misstänkta. Integritetsintrånget av att överhuvudtaget vara registrerad bör därför inte vara särskilt mycket mindre genom att en särskild upplysning om att den registrerade inte är misstänkt finns. Om någon är av intresse som misstänkt framgår det ofta av samman- hanget eller går att sluta sig till av de övriga åtgärder Säkerhetspoli- sen vidtagit avseende personen.

Den nuvarande regleringen har ansetts vara särskilt relevant när uppgifter behandlas utanför sitt ursprungliga sammanhang.93 Till att börja med ska konstateras att personuppgifter inom Säkerhets- polisens underrättelseverksamhet sällan behandlas utanför sitt sam- manhang. Om en sökning görs mot en person, är det ofta relevant att ta del av hela sammanhanget som personen förekommer i. Om Säkerhetspolisen delar personuppgifter med en annan myndighet, exempelvis Polismyndigheten, är det inte i en form som innebär att det inte framgår av sammanhanget om personen i fråga är misstänkt eller inte. Detsamma gäller de tillfällen då Säkerhetspolisen delar uppgifter till samverkande tjänst i ett annat land.

Vi anser därmed att de argument som motiverar att avsaknad av underrättelsemisstanke ska anges som särskild upplysning i Säker- hetspolisens verksamhet inte har samma bärkraft som för Polis- myndigheten och de övriga brottsbekämpande myndigheterna. Detta särskilt när bestämmelsen i praktiken tillämpas omvänt, dvs. det särskilt pekas ut underrättelsemisstänkta personer.

Behovet av upplysningen bör prövas utifrån Säkerhetspolisens särskilda verksamhet och de specifika integritetsintressen som gäl- ler denna. Det integritetsintresse som värnas genom den särskilda upplysningen om underrättelsemisstanke är i första hand att det för Säkerhetspolisens personal som behandlar en viss persons person- uppgifter direkt framgår om personen förekommer på grund av en

92Prop. 2009/10:85 s. 256.

93Prop. 2018/19:163 s. 89.

419

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

mer konkret misstanke om brottslig verksamhet eller av något annat skäl.

Säpodatalagen syftar i första hand till att värna den personliga integriteten för de registrerade. Vi bedömer inte att en markering av att personer som är registrerade inte misstänkta för brott eller brottslig verksamhet fyller någon reell integritetshöjande funktion. Om det finns en verksamhetsnytta med att behålla misstankemarker- ingen utgör säpodatalagen inte något hinder mot det. Den nuvarande bestämmelsen framstår för oss som en reglering som ur integritets- synpunkt inte kan motivera det administrativa merarbete som den innebär. Det skulle medföra den typ av genomgång på uppgiftsnivå som blir påtagligt styrande för hur Säkerhetspolisen kan arbeta och organisera sig. Vi föreslår därför inte att bestämmelsen ska överföras till den nya lagen.

8.13.5Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak bör inte vara ett krav i lagen

Bedömning: Det finns inte tillräckliga skäl för att behålla kravet om särskild upplysning angående en uppgiftslämnares trovärdig- het och uppgifternas riktighet i sak.

Den nuvarande bestämmelsens utformning

Av andra stycket i 3 kap. 4 § säpodatalagen följer att uppgifter om en person som kan antas ha direkt samband med brottslig verksam- het ska förses med en upplysning om uppgiftslämnarens trovärdig- het eller uppgifternas riktighet i sak, om det inte på grund av om- ständigheterna är onödigt. Regleringen, som alltså riktar in sig på de som kan betecknas som underrättelsemisstänkta, motiverades av både integritets- och verksamhetsskäl.94 Det är givetvis viktigt att det för någon som har tillgång till ett underrättelseregister inte ska framstå som om en person rör sig i kriminella kretsar eller ägnar sig åt brottslig verksamhet endast på grund av tips eller uppgifter med tvivelaktig tillförlitlighet. För verksamheten har bestämmelsen ansetts motiverad för att undvika att uppgifter som inte är tillförlit-

94Ibid. s. 90 och prop. 2017/18:269, s. 111.

420

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

liga ska läggas till grund för bedömningar och åtgärder som inte är sakligt motiverade. I Säkerhetspolisens underrättelsearbete är utgångs- punkten att uppgifter som inte har bedömts i fråga om trovärdighet och sakriktighet inte läggs till grund för vare sig beslut, bedömningar eller åtgärder. Detta gäller oberoende av om det finns ett lagkrav om en sådan upplysning.

Bör det ställas upp ett krav på trovärdighets- och sakriktighetsbedömning i lagen?

Vi har bedömt att särskild upplysning om underrättelsemisstanke inte längre ska vara ett krav enligt lagen. Frågan är om det trots detta finns skäl att behålla kravet på en trovärdighets- och riktig- hetsbedömning för vissa uppgifter. Till att börja med kan påminnas om att syftet med en personuppgiftslag inte är att styra myndig- hetens verksamhet på andra sätt än de som är föranledda av i huvud- sak integritetsskäl. Oavsett om Säkerhetspolisen behöver göra en trovärdighet- och sakriktighetsbedömning av information innan den kan läggas till grund för en åtgärd, bör det därför i personupp- giftslagstiftningen inte uppställas något sådant krav om det inte är motiverat utifrån lagens syften.

Det finns ett integritetsintresse av att en uppgift eller ett tips som är felaktigt inte ska föranleda en registrering hos Säkerhets- polisen och särskilt inte under längre tid än vad som är nödvändigt för att avfärda misstankarna. Det följer emellertid inte av den nu- varande regleringen i 3 kap. 4 § säpodatalagen att uppgifter med låg trovärdighet eller som är sakligt felaktiga ska raderas. Radering av irrelevanta och felaktiga uppgifter gäller oberoende av den här aktu- ella regleringen om särskild upplysning.

Det har beskrivits att upplysningen spelar en inte obetydlig funktion för tillsynsmyndigheten. Om uppgifter med låg trovärdig- het ligger till grund för omfattande personuppgiftsbehandling, kan Säkerhetspolisen behöva förklara hur behandlingen förhåller sig till bland annat kraven på relevans och adekvans. Detta skulle kunna utgöra ett skäl att behålla den aktuella regleringen. Lagstiftaren har emellertid vid upprepade tillfällen påpekat att Säkerhetspolisens underrättelseverksamhet har en särställning i förhållande till övriga brottsbekämpande myndigheter. Myndigheten har till uppgift att kartlägga mycket tidiga skeenden av brottslig verksamhet innan

421

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

någon konkret misstanke har kunnat formeras och kan stundtals behöva hantera mycket stora informationsmängder.95 Kravet på sakriktighets- och trovärdighetsbedömning förutsätter en gransk- ning på detaljnivå. I likhet med flera andra bestämmelser är sådan detaljgranskning inte anpassad efter de stora och alltjämt växande informationsmängder som måste hanteras i verksamheten. Varje sådant granskningskrav riskerar att bli styrande för myndighetens verksamhet och hämma verksamhetsutveckling och införande av ny teknik eller nya metoder. Kravet på trovärdighet och sakriktighets- bedömning är en sådan bestämmelse som noga måste prövas mot nyttan.

Vi bedömer att det framstår som svårt att i ett inledande sked med tillräcklig precision kunna bedöma trovärdighet och sakriktig- het på ett sätt som bidrar till skyddet av den personliga integriteten. Det ligger i verksamhets natur att Säkerhetspolisen måste undersöka förhållanden trots att det kan vara svårt att avgöra riktigheten av uppgifterna. Om det visar sig att uppgifter är felaktiga eller att en uppgiftslämnare saknar trovärdighet, finns inte heller skäl att behandla uppgifterna. Att uppgifter är mer eller mindre osäkra får däremot betecknas som ett normalläge inom underrättelseverksamhet. När uppgifter om brott, brottslig verksamhet eller personers koppling till sådan är säker medför det givetvis att åtgärder vidtas för att förebygga eller avvärja hot. I vissa fall medför det även att förunder- sökning ska inledas. De åtgärder som vidtas kan, på motsvarande sätt som en särskild upplysning, synliggöra hur Säkerhetspolisen bedömt sakriktighet och trovärdighet av exempelvis ett tips.

Det finns i nuvarande 3 kap. 4 § tredje stycket säpodatalagen ett undantag från kravet på särskild upplysning för uppgifter som behandlas i uppgiftssamlingen för bearbetning och analys. Regeringen ansåg i samband med att säpodatalagen beslutades att det var accep- tabelt att uppgifter som ännu bearbetas inte försågs med en särskild upplysning om trovärdighet och sakriktighet. Det framhölls då att myndighetens personal är van vid att hantera svårbedömd informa- tion.96 Skyddet för den enskildes integritet får sägas ha en undan- skymd roll när det kommer till denna särskilda upplysning.

Vi har sammantaget inte funnit tillräckliga skäl till att behålla lagkravet på att det genom särskild upplysning måste framgå hur

95Jfr prop. 2018/19:163 s.93.

96Ibid. s. 93.

422

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

trovärdiga eller tillförlitliga uppgifter om en persons koppling till brottslig verksamhet är. Ur ett integritetsskyddsperspektiv uppfattar

viinte att upplysningen är av tillräcklig nytta. Upplysningen har inte heller några konsekvenser för hur personuppgifter får behandlas

iövrigt.

8.13.6Vid brottsutredning och lagföring bör det framgå om en person är misstänkt eller tillhör någon annan kategori

Förslag: I brottsutredningar ska så långt det är möjligt person- uppgifter som rör olika kategorier av registrerade särskiljas så att det framgår om personen är misstänkt, dömd för brott, brotts- offer eller någon annan som berörs av ett brott.

Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en sär- skild upplysning.

Dataskyddskonventionens bestämmelser

Article 6 – Special categories of data

The processing of: […]

–personal data relating to offences, criminal proceedings and convic- tions, and related security measures; […]

shall only be allowed where appropriate safeguards are enshrined in law, complementing those of this Convention.

2.Such safeguards shall guard against the risks that the processing of sensitive data may present for the interests, rights and fundamental freedoms of the data subject, notably a risk of discrimination.

Personuppgifter som rör brott, straffrättsliga förfaranden, fällande domar och relaterade säkerhetsåtgärder tillhör kategorin känsliga personuppgifter. Enligt dataskyddskonventionen ska behandling av sådana uppgifter vara omgärdad av tillräckliga säkerhetsåtgärder som särskilt ska beakta risken för rättighetsintrång och diskrimi- nering.

423

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Bakgrunden till dagens bestämmelse

Enligt nuvarande ordning ska det, enligt 3 kap. 4 § säpodatalagen, genom en särskild upplysning även anges om en person inte är miss- tänkt för brott som Säkerhetspolisen har till uppgift att bekämpa. För övriga brottsbekämpande myndigheter gäller att olika kate- gorier av registrerade ska särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott (2 kap. 9 § brottsdatalagen).

Att Säkerhetspolisen inte behöver särskilja andra kategorier av registrerade på samma sätt som övriga brottsbekämpande myndig- heter är motiverat av att myndigheten ofta behandlar personuppgif- ter i ett tidigt skede i sin underrättelseverksamhet, då det normalt inte går att urskilja lika tydliga kopplingar till konkreta brott eller brottslig verksamhet. Regeringen ansåg att det därför inte var rim- ligt att särskilja fler kategorier än de som inte är misstänkta inom Säkerhetspolisens verksamhet.97 Dagens reglering gör därmed inte skillnad på för vilket ändamål uppgifterna behandlas och lättnaden i förhållande till brottsdatalagen är motiverad utifrån Säkerhets- polisens omfattande underrättelseverksamhet.

Om personuppgifter behandlas för brottsutredning bör samma krav ställas som för Polismyndigheten

Säkerhetspolisen ägnar sig åt brottsutredning i en mindre skala jämfört med andra brottsbekämpande myndigheter. Säkerhetspoli- sens uppdrag som nationell säkerhetstjänst innebär att myndigheten i huvudsak bedriver underrättelseverksamhet inom sina olika verk- samhetsgrenar. I praktiken är det mycket få av de som finns regi- strerade av Säkerhetspolisen i dess underrättelseverksamhet som når upp till en tillräcklig misstankegrad för att det ska kunna sägas att personen är misstänkt för brott. När en misstanke uppstår ska underrättelseverksamheten i princip övergå till förundersökning, enligt kravet som uppställs i 23 kap. 1 § rättegångsbalken. Det är tillräckligt att det finns anledning att anta att brott som hör under allmänt åtal har förövats för att en förundersökning ska inledas.

När väl Säkerhetspolisen kan konkretisera brottsliga gärningar och inleder förundersökning anser vi att det inte finns några bärande

97Ibid. s. 89.

424

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

skäl till att frångå den systematik som gäller för övriga brottsbekäm- pande myndigheter. Det finns ett integritetsintresse av att det i förundersökningar, eller med andra ord när personuppgifter behandlas för att utreda och lagföra brott, framgår om en person är exempel- vis vittne eller misstänkt i den förundersökningen. Förundersök- ningskungörelsen (1947:948) utgår vidare från att målsägande, vitt- nen och misstänkta ska särskiljas i förundersökningsprotokollet

(20–21 §§). De förundersökningar som Säkerhetspolisen bedriver lyder under samma regler som för Polismyndigheten. Ett förunder- sökningsprotokoll som upprättas av Säkerhetspolisen bör därför följa samma eller liknande struktur som för andra brottsbekämpande myndigheter.

Vi anser att de skäl som motiverar att Säkerhetspolisen inte ska särskilja olika kategorier av registrerade inte har samma bärkraft i de situationer då konkreta brottsmisstankar uppkommit. När brotts- misstankar uppkommit utgör uppgiften om dessa en känslig person- uppgift enligt dataskyddskonventionen 108+. Vi anser att det mot denna bakgrund finns anledning att se strängare på personuppgifter som förekommer i en förundersökning än sådana som utgör under- rättelseuppgifter. Det finns flera mekanismer som tillgodoser skyd- det för dessa uppgifter, bland annat sekretessbestämmelser och regleringen av belastnings- och misstankeregister. En annan sådan mekanism är att de regler som följer av brottsdatalagen.

Vi anser att det finns övervägande skäl som talar för att Säker- hetspolisen, då personuppgifter behandlas för att utreda eller lag- föra brott, så långt det är möjligt ska särskilja olika kategorier av registrerade så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Bestäm- melsen bör dock endast gälla de utredningar som Säkerhetspolisen ansvarar för. Om uppgifter från en förundersökning även behand- las för underrättelseändamål, gäller alltså kravet inte i den verksam- heten.

Det finns inte skäl att det generellt ska vara Säkerhetspolisens ansvar att särskilja kategorier av registrerade exempelvis om upp- gifterna behandlas för att utlämnas till annan svensk eller utländsk myndighet.

Bestämmelsen gäller så långt det är möjligt. Detta innebär att kraven kan vara beroende på vilket systemstöd som de aktuella personuppgifterna behandlas med och var de förekommer. När

425

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

personuppgifter behandlas i ett förundersökningsprotokoll är möj- ligheterna att särskilja roller goda och behovet stort. När person- uppgifter från ett it-beslag inom en förundersökning analyseras med hjälp av ett analysprogram är möjligheterna att särskilja rol- lerna ofta begränsade. Det finns inte heller samma behov av att särskilja de olika rollerna i det systemet.

Bestämmelsen riktar således in sig främst på uppgifter som behandlas i förundersökningsprotokollet och som kan förväntas vara åtkomliga för många personer. Syftet med bestämmelsen är att förhindra att exempelvis en uppgiftslämnare missuppfattas som delaktig i brottslig verksamhet vilket skulle kunna få stora konse- kvenser exempelvis om uppgiften delges någon som saknar insyn i förundersökningen.

8.14Särskilda bestämmelser om känsliga personuppgifter

8.14.1Dataskyddskonventionens bestämmelser

Article 6 – Special categories of data

1.The processing of:

– genetic data;

–personal data relating to offences, criminal proceedings and convic- tions, and related security measures;

–biometric data uniquely identifying a person;

–personal data for the information they reveal relating to racial or ethnic origin, political opinions, trade-union membership, religious or other beliefs, health or sexual life,

shall only be allowed where appropriate safeguards are enshrined in law, complementing those of this Convention.

I den ursprungliga dataskyddskonventionen från 1981 är vissa per- sonuppgifter utpekade som särskilt skyddsvärda. Det gäller uppgifter som avslöjar ras, politiska åsikter eller religiös eller annan övertygelse, personuppgifter som rör hälsa eller sexualliv samt fällande domar i brottmål. Genom det tilläggsprotokoll som utgör dataskyddskon-

426

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ventionen 108+ läggs till dessa även personuppgifter som avslöjar etniskt ursprung och fackföreningsmedlemskap. Utöver fällande domar i brottmål omfattas även andra liknande uppgifter som rör brott, straffrättsliga förfaranden och relaterade säkerhetsåtgärder i den uppdaterade konventionen. Därutöver har ytterligare två kategorier av särskilt skyddsvärda uppgifter lagts till: genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person (artikel 6.1). Konventionens uppräkning av särskilt känsliga personuppgifter är i stort sett likalydande med vad som anges i det EU-rättsliga dataskyddsregelverket.98

Konventionen 108+ kräver att behandling av känsliga person- uppgifter får ske endast när tillräckliga säkerhetsmekanismer är föreskrivna för att motverka de risker som behandlingen kan inne- bära för den registrerades enskilda intresse, rättigheter och grund- läggande friheter. Särskilt ska risken för diskriminering motverkas (artikel 6.2). Konventionens generella utformning innebär att med- lemsstaterna är fria att utforma sådana säkerhetsmekanismer på lämpligt sätt. Exempel som anges i kommentaren till konventionen är ett krav på uttryckligt samtycke för behandling, författnings- reglering av de undantagsfall då behandling ska vara tillåten eller krav på föregående konsekvensanalys och särskilt utformade skydds- åtgärder. Noterbart är att varken dataskyddskonventionen 108 eller tilläggsprotokollet 108+ uttryckligen medger behandling av käns- liga personuppgifter endast på grund av att de på ett tydligt sätt offentliggjorts av den registrerade.99

Skyddet för känsliga personuppgifter som föreskrivs i dataskydds- konventionen 108+ är absolut och det finns inga möjligheter att göra undantag från bestämmelsen, ens i verksamheter som rör nationell säkerhet eller försvar.

98I dataskyddsförordningen och brottsdatadirektivet är sexuell läggning särskilt uppräknat. I dataskyddskonventionen anses detta ingå i begreppet sexualliv. Uppgifter om fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder har ett data- skydd som är utformat på annat sätt än för övriga känsliga personuppgifter i dataskydds- förordningen (och regleras inte i direktivet). Skyddet för sådana uppgifter har getts ett rela- tivt starkt skydd i EU-domstolens praxis, se mål C–439/19 och C–740/22.

99Jfr artikel 9.1.e i dataskyddsförordningen.

427

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.14.2Europakonventionen och regeringsformen

Europadomstolen har i sin praxis, i första hand angående artikel 8 i Europakonventionen, tillerkänt vissa känsliga personuppgifter ett förhöjd skydd. I flera fall har domstolen haft anledning att påpeka att etnisk härkomst är en viktig beståndsdel av den enskildes pri- vatliv som förtjänar ett starkt skydd. I exempelvis fallet Ciubotaru mot Moldavien100 ansåg domstolen att en enskild måste ha särskilda möjligheter att ifrågasätta den etnicitet som registrerats av myndig- heter. I fallet Catt mot Förenade kungariket101 slog domstolen fast att uppgifter om en persons politiska uppfattning är så känslig att den endast får behandlas av brottsbekämpande myndigheter med förhöjt skydd. Uppgifter om en persons religiösa eller filosofiska övertygelse utgör både en del av privatlivet och av religionsfrihet vilket innebär att de måste behandlas med särskild aktsamhet. Dom- stolen har även, i fallet Mockutė mot Litauen102 bland annat slagit fast att information om en persons sexualliv, moraliska integritet och psykiska hälsa utgör mycket känsliga uppgifter och som måste skyddas enligt artikel 8. Europakonventionen tillförsäkrar därför i sig ett förhöjt skydd för vissa känsliga personuppgifter.

I 2 kap. 6 § andra stycket regeringsformen skyddas var och en mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I förarbetena till bestämmelsen har uttalats att det med betydande intrång ska läggas stor vikt vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer in- gripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten, om uppgifterna är av mycket känslig karaktär.103 Av förarbetena framgår inte någon uppräkning av vilka uppgifter som är så känsliga att endast ett fåtal av dem skulle kunna innebära ett betydande intrång. Däremot anges att vad som utgör ett betydande integritets- intrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle.104 Det kan därför antas att de uppgifter som

100Europadomstolens dom den 27 april 2010 i mål nr 27138/04.

101Europadomstolens dom den 24 januari 2019 i mål nr 43514/18.

102Europadomstolens dom den 27 februari 2018 i mål nr 66490/09.

103Prop. 2009/10:80 s. 183.

104Ibid. s. 185.

428

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ur kvalitativ bemärkelse får anses utgöra ett betydande intrång att registrera enligt regeringsformen i dag motsvarar de särskilda kate- gorier av personuppgifter som anges i dataskyddskonventionen och EU:s dataskyddsregelverk. Detta kan dock komma att förändras. Hur känslig en uppgift är kan skifta över tid och även vara bero- ende av kontext. En uppgift om sexuell läggning eller om en abort kan vara oerhört känslig för vissa personer eller i en viss kontext medan andra kan vara helt öppna även med sådana uppgifter.

Vid sidan av integritetsskyddet i regeringsformen föreskrivs i 2 kap. 3 § att ingen svensk medborgare utan samtycke får antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Bestämmelsen innebär bland annat att en registrering som helt saknar samband med politisk åskådning inte får kompletteras med en sådan anteckning. En sådan anteckning får nämligen anses vara helt självständig och därmed grundad enbart på den registrerades åskådning. Bestämmelsen utgör däremot inte något hinder mot att exempelvis uppgift om partitillhörighet tillförs personer som på andra grunder än enbart sin politiska åskådning kan betraktas som säkerhetsrisker. Grunden för anteckningen är i detta fall att veder- börande anses utgöra en sådan risk.105 Till skillnad mot integritets- skyddet i 2 kap. 6 § regeringsformen är förbudet mot åsiktsregi- strering absolut.

8.14.3Känsliga personuppgifter i EU-rätten

De flesta myndigheter behöver inte behandla uppgifter om exem- pelvis etnicitet, religiös övertygelse eller hälsa för att kunna utföra sina arbetsuppgifter på ett effektivt sätt. För sådana verksamheter är det följaktligen lämpligt med ett generellt förbud att behandla känsliga personuppgifter eller en instruktion om särskild prövning för att sådana uppgifter ska få behandlas. I andra verksamheter före- kommer känsliga uppgifter hela tiden, som exempelvis inom sjuk- vården där känsliga hälsodata löpande behandlas. I dessa fall är det inte rimligt med en lagstiftning vars utgångspunkt är att uppgifter om hälsa inte får behandlas. I stället bör verksamheten vara uppbyggd på så sätt att uppgifterna behandlas med särskilt skydd, i form av bland annat tystnadsplikt.

105Prop. 1975/76:209 s. 118.

429

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Dataskyddsförordningen bygger i stor utsträckning på denna princip: att verksamheter som inte behöver behandla känsliga per- sonuppgifter normalt inte ska göra det och att verksamheter som behöver behandla sådana uppgifter ska göra det under särskilt skydd. För de brottsbekämpande myndigheterna anges i brottsdatadirek- tivet att känsliga personuppgifter endast får behandlas om

–det är absolut nödvändigt,

–det finns lämpliga skyddsåtgärder och

–behandlingen är tillåten enligt nationell rätt, sker för att skydda intressen av grundläggande betydelse för den registrerade eller annan, eller om den enskilde själv på ett tydligt sätt offentlig- gjort uppgiften.

Enligt EU-rätten har de brottsbekämpande myndigheterna därmed möjlighet att behandla alla slags känsliga personuppgifter, men endast om det är absolut nödvändigt.

8.14.4Riskerna med att behandla känsliga personuppgifter

I dataskyddskonventionen motiveras det förstärkta skyddet för vissa uppgifter med att behandling av dessa kan leda till att enskil- das fri- och rättigheter kränks på olika sätt.

Många av de särskilt skyddsvärda uppgifterna kan sägas utgöra kärnan av den personliga integriteten och privatlivets innersta sfär som så långt möjligt ska fredas från insyn. Det uppfattas i allmän- het som ett klart större intrång i den personliga integriteten att uppgifter som rör sexualliv, hälsa eller politiska åsikter finns regi- strerade än uppgifter om exempelvis namn, födelseort eller yrke. Detta oavsett om uppgifterna används i något otillbörligt syfte eller inte. Det finns ofta ett motstånd mot att frivilligt och utan skydd av anonymitet lämna ifrån sig uppgifter som är mycket privata.

Vidare pekas ofta på att många av de känsliga personuppgifterna är sådana som potentiellt riskerar att leda till diskriminering av olika slag. Uppräkningen av känsliga personuppgifter motsvarar därför i stor utsträckning olika diskrimineringsgrunder i annan lagstiftning och internationella instrument. Risken för diskrimi- nering är sannolikt skälet till att det ska finnas särskilda skäl för

430

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

att exempelvis registrera en persons etniska ursprung. Även andra former av negativa konsekvenser för den enskilda har motiverat att exempelvis medlemskap i fackförening eller tidigare kriminalitet tillförts den kategori av personuppgifter som ska behandlas med större varsamhet än andra.

De uppgifter som inom den europeiska personuppgiftsrätten har pekats ut som särskilt skyddsvärda har det gemensamt att de är intimt kopplade till grundläggande fri- och rättigheter. Dessa rättig- heter är sådana som avser förhållandet mellan medborgare och stat. Om en myndighet har tillgång till känsliga uppgifter om den regi- strerades mest intima sfär, såsom hans eller hennes sexualliv eller hälsa, kan de potentiellt komma att utnyttjas för att kränka perso- nens värdighet eller integritet. På samma sätt kan en myndighets kartläggning av bland annat enskildas politiska åsikter eller tros- uppfattning medföra en risk för demokratin.

Behandling av känsliga personuppgifter kan också i sig innebära eller vara en förutsättning för ett intrång eller en kränkning av andra rättigheter. Om staten behandlar uppgifter om enskildas religiösa eller filosofiska övertygelse kan det exempelvis utgöra ett intrång i Europakonventionens artikel 9, som skyddar tanke-, samvetes- och religionsfriheten. På samma sätt kan en registrering av en persons politiska åsikter innebära ett intrång i yttrandefriheten som garan- teras av konventionens artikel 10. Behandling av uppgifter om fackföreningstillhörighet är en sådan uppgift som potentiellt kan leda till ett intrång i artikel 11, som skyddar föreningsfriheten.

8.14.5Den nuvarande regleringen

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får, enligt huvud- regeln i 2 kap. 9 § säpodatalagen, inte behandlas. Enligt paragrafens andra stycket får sådana uppgifter dock komplettera andra uppgifter, om en person om det är absolut nödvändigt för ändamålet med behandlingen.

En biometrisk uppgift är en personuppgift som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller

431

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

bekräftar unik identifiering av personen. Sådana uppgifter, som exempelvis resultatet från en analys som skett med hjälp av ansikts- igenkänningsprogramvara, får behandlas om det är absolut nöd- vändigt för ändamålet med behandlingen (2 kap. 10 § säpodatalagen).

En genetisk uppgift är personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen. Denna defini- tion innebär att analyser som resulterar i så kallade dna-profiler, som syftar till att bekräfta en persons identitet, inte omfattas av begreppet.106 Det som avses är i stället kromosom-, dna- och rna- analyser eller andra liknande analyser av prov eller spår, som gör det möjligt att inhämta unik information om bland annat en per- sons fysiologi, hälsa eller biogeografiska ursprung.107 Genetiska uppgifter får i dagsläget inte behandlas hos Säkerhetspolisen (2 kap. 10 § säpodatalagen).

Vid sidan av de regler som gäller all behandling av känsliga per- sonuppgifter finns även ett generellt sökförbud i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sådana sökningar får dock göras avseende känsliga personuppgifter (med undantag för uppgifter om medlemskap i fackförening, ”ras” och biometriska uppgifter), om det är absolut nödvändigt för vissa ändamål.

8.14.6Säkerhetspolisen bör kunna behandla känsliga personuppgifter i större utsträckning än i dag

Bedömning: Säkerhetspolisen bör kunna behandla känsliga per- sonuppgifter i större utsträckning än i dag. Det bör därför inte föreskrivas ett generellt förbud mot att behandla känsliga person- uppgifter.

106Jfr dock prop. 2017/18:232 s. 150. Där anges att ”genetiska uppgifter behandlas vid dna- analyser för att ta fram dna-profiler eller forensiska uppslag”. Varken den tekniska analysen av biologiskt material i syfte att få fram en dna-profil eller dna-profilen i sig bör dock anses utgöra behandling av genetiska uppgifter enligt definitionen eftersom ingen information om en persons nedärvda eller förvärvade genetiska kännetecken framgår av analysen.

107Prop. 2017/18:232 s. 86 f.

432

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Förbudet mot att behandla känsliga personuppgifter är systematiskt felaktigt

Som framgått finns det i säpodatalagen ett generellt förbud mot att behandla känsliga personuppgifter. Från förbudet finns ett undantag för uppgifter som är absolut nödvändiga för Säkerhetspolisen att behandla. Från ett systemperspektiv kan det således sägas att lag- stiftningens utgångspunkt är att Säkerhetspolisen normalt inte har behov av att behandla känsliga personuppgifter i sin verksamhet, men att det i undantagssituationer får ske på samma sätt som EU- rätten föreskriver för andra brottsbekämpande myndigheter.

Denna utgångspunkt stämmer uppenbarligen inte med Säker- hetspolisen verksamhet. Det finns ett tydligt och legitimt behov av att i relativt stor utsträckning behandla olika slags känsliga per- sonuppgifter. I många fall är sådan behandling även helt avgörande för verksamheten. Exempelvis kräver Säkerhetspolisens kartlägg- ning av religiöst eller politiskt motiverad terrorism att känsliga uppgifter om religiös åskådning eller politisk uppfattning behand- las. Det framstår därmed som felaktigt att föreskriva ett generellt förbud mot behandling av sådana personuppgifter som är en förut- sättning för att Säkerhetspolisen ska kunna utföra sitt uppdrag.

På samma sätt som att hälsodata får behandlas inom sjukvården bör säpodatalagen bygga på att Säkerhetspolisen får behandla de uppgifter som behövs för att utföra myndighetens uppdrag. Den nya säpodatalagen bör därför föreskriva andra mekanismer för att förebygga missbruk av de känsliga uppgifter som måste behandlas.

Den högre behandlingströskeln för behandling av känsliga personuppgifter är inte motiverad

Förbudet för Säkerhetspolisen att behandla känsliga personupp- gifter kompletteras av ett undantag då sådan behandling trots allt är tillåtet. Av säpodatalagen följer att personuppgifter som behandlas om en person får kompletteras med känsliga personuppgifter, om det är absolut nödvändigt. Kravet på absolut nödvändighet innebär enligt förarbetena att behandling av känsliga personuppgifter ska vara restriktiv och att behovet av att komplettera personuppgifts-

433

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

behandlingen med känsliga personuppgifter ska prövas noga i det enskilda ärendet.108

Prövningen av behovet av uppgiften mot den högre behandlings- tröskeln i varje enskilt ärende medför praktiska svårigheter för en myndighet som ägnar sig åt informationsinhämtning. Det är fullt rimligt att en myndighet avstår från att aktivt hämta in känsliga personuppgifter som inte är relevanta för verksamheten eller vidtar åtgärder för att sådana uppgifter inte ska lämnas till myndigheten. I en förhörssituation ska exempelvis inte frågor ställas om etnicitet eller sexuell läggning, om det inte är absolut nödvändigt för ända- målet.

Den högre behandlingströskeln innebär emellertid ett bekym- mer i de fall då känsliga personuppgifter förekommer integrerade i annan relevant information. Att det är olika behandlingströsklar för olika uppgifter innebär att ett dokument, där både känsliga och andra personuppgifter förekommer, inte kan prövas i sin helhet. Principen om att behovet av varje känslig personuppgift ska prövas för sig innebär att det kan krävas att känsliga personuppgifter som inte är absolut nödvändiga för ändamålet kan behöva maskeras eller raderas ur sitt sammanhang. I inhämtade textdokument, e-post eller chattkonversationer kan därmed känsliga personuppgifter behöva maskeras i löpande text. I avlyssnade samtal kan på mot- svarande sätt en känslig personuppgift som nämns, men som inte är absolut nödvändig för ändamålet, behöva ersättas med ett pip. Den arbetsinsats som krävs för att rensa information från känsliga personuppgifter som inte är absolut nödvändiga ska inte underskat- tas. Problemet är givetvis mest påtagligt inom underrättelseverk- samheten där inflödet av information kan vara mycket stort (se avsnitt 6.1 och 6.2).

Det framstår som att den nuvarande regleringen i första hand är anpassad för personuppgifter som aktivt hämtas in eller som i stor utsträckning är avsedd att bearbetas manuellt, genom exempelvis upprättande av en promemoria eller införande av uppgifter i olika personregister. Som tidigare nämnts motsvarar detta sätt att se på informationshantering varken de mycket stora informationsflöden som generas i dagens samhälle eller det arbetssätt som krävs av Säkerhetspolisen för att myndighetens ska kunna utföra sitt nu- varande uppdrag på ett effektivt sätt.

108Se prop. 2018/19:163 s. 77 och prop. 2009/10:85 s. 325.

434

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Vid sidan av att dagens reglering är systematiskt tveksamt är regleringen inte heller anpassad till verksamhetens behov. Till skill- nad mot andra verksamheter där känsliga personuppgifter normalt sett måste hanteras för att utföra verksamheten utgår säpodatalagen från att samtliga känsliga personuppgifter ska utgöra ett särskilt motiverat undantag från annan personuppgiftsbehandling. Detta trots att uppgifterna endast mycket sällan kommer att behandlas av andra än Säkerhetspolisens personal, med sträng tystnadsplikt, under regelbunden tillsyn och omfattande intern kontroll.

Säkerhetspolisen bör få behandla känsliga personuppgifter

Som tidigare nämnts förekommer olika slags känsliga personupp- gifter mycket ofta i utredningar som rör nationell säkerhet. Särskilt inom terrorismbekämpning men även avseende brott som rör natio- nell säkerhet med politiska förtecken är det närmast en huvudregel att känsliga personuppgifter behöver behandlas i någon utsträck- ning. Uppgifter som avslöjar politiska åsikter eller religiös över- tygelse är givetvis fundamentala för att kartlägga exempelvis poli- tiskt eller religiöst motiverade terrorister. I många fall kan även exempelvis psykisk hälsa vara en avgörande uppgift för att bedöma aktörers vilja att begå brott riktade mot en skyddsperson. I många fall utgörs ett signalement av känsliga personuppgifter där exem- pelvis etniskt ursprung eller fysiska kännetecken som rör perso- nens hälsa anges.

Sverige har en förhållandevis sträng reglering avseende behand- ling av känsliga personuppgifter i jämförelse med de övriga länder

vihar studerat. Detta kan till viss del förklaras med att säpodata- lagen inte fullt ut är anpassad för Säkerhetspolisens verksamhet, utan i stora delar grundar sig på brottsdatadirektivet. Även i Norge har direktivet fått stort inflytande över den lagstiftning som gäller för säkerhetstjänsten PST. PST får följaktligen behandla känsliga personuppgifter endast om det absolut nödvändigt.109 Nederländerna har en personuppgiftslag för underrättelsetjänsterna som är mer fristående från EU-rätten. I denna finns ett generellt förbud för underrättelsetjänsterna att grunda personuppgiftsbehand- ling på känsliga personuppgifter. Sådana uppgifter får behandlas om

1097 § politiregisterloven (lov 28 maj 2010 nr 16).

435

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

det sker utöver behandlingen av andra personuppgifter och då med en högre behandlingströskel (som ungefär motsvarar absolut nöd- vändigt). Ett liknande förbud mot att grunda personuppgiftsbehand- ling på känsliga uppgifter återfinns även i den finska lagstiftningen. I Finland får emellertid underrättelsetjänsten Skypo behandla käns- liga personuppgifter enligt samma behandlingströskel (nödvändigt) som andra uppgifter om bland annat en persons verksamhet och beteende. I Danmark, som har en skräddarsydd lag för säkerhets- tjänsten PET:s verksamhet, finns däremot inte några särskilda reg- ler för behandling av känsliga personuppgifter, annat än ett förbud mot åsiktsregistrering av ”lovlig politisk verksamhet”. Det uppställs dock krav på tekniska och organisatoriska åtgärder för att förhindra missbruk av känsliga personuppgifter som behandlas, som loggning och åtkomstbegränsning. Även underrättelsetjänsterna i Förenade kungariket får behandla känsliga personuppgifter i stort sett enligt samma regelverk som andra personuppgifter. Se även kapitel 4 om de refererade utländska rättssystemen.

Det finns skäl för mer tillåtande reglering för behandling av känsliga personuppgifter

I de länder vi jämfört finns därmed inte något exempel på lagstift- ning som innehåller ett generellt förbud mot att behandla känsliga personuppgifter. Däremot förekommer i flera länder förbud mot att grunda behandling av på känsliga personuppgifter.

Vi anser inte heller att det är lämpligt att behålla den huvudregel som i dag förbjuder behandling av sådana uppgifter. Många av de uppgifter som ingår i kategorien känsliga personuppgifter utgör en naturlig och, i förhållande till andra brottsbekämpande myndig- heter, särskiljande del av Säkerhetspolisens uppdrag. Att förse ett förbud med ett undantag som i praktiken tillämpas som en huvud- regel är vidare systematiskt felaktigt och kan uppfattas som miss- visande.

Den nuvarande regleringen påverkar Säkerhetspolisens verksam- het i betydande grad. Dagens krav på absolut nödvändighet för behandling av känsliga personuppgifter ska markera att sådana uppgifter ska användas restriktivt och behovet ska prövas noga i det enskilda ärendet. När information inkommer till myndigheten måste därför känsliga personuppgifter identifieras, granskas, bedömas

436

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

och om de vid tillfället inte kan anses vara absolut nödvändiga att behandla maskeras eller tas bort.

Till skillnad från andra delar av personuppgiftsgranskning är det svårt att effektivisera denna process. I vissa fall kan det konstateras att det finns ett behov av alla uppgifter för ett visst ändamål och att de är adekvata och relevanta. Däremot är det svårt att generellt bedöma om samtliga känsliga personuppgifter är absolut nödvän- diga för ändamålet. Om informationen exempelvis har koppling till islamistisk terrorism kan det förvisso konstateras att alla uppgifter som rör religiös övertygelse är absolut nödvändiga. Däremot går det inte att säga att alla uppgifter som rör hälsa är det. Det innebär att all information måste granskas mycket noga för att bedöma om någon uppgift kan avslöja en persons hälsa, och om sådan informa- tion förekommer måste nödvändigheten av denna uppgift prövas mot ändamålet.

Denna prövning är inte anpassad till att det numera förväntas att Säkerhetspolisen ska kunna hantera mycket stora informations- mängder, som i princip undantagslöst innehåller känsliga person- uppgifter av olika slag. Säpodatalagen bygger vidare på den 15 år gamla polisdatalagens regler i detta avseende. Då riksdagen tog ställning till säpodatalagen hade den första smarta telefonen, iPhone, nyligen lanserats. De få svenskar som hade möjlighet att komma över flaggskeppsmodellen kunde lagra 8 gigabyte data på sin enhet. Den senaste modellen av iPhone har 32 gånger så stor lagrings- kapacitet (och ofta väsentligt större kapacitet i olika integrerade molntjänster). Det är numera ovanligt att det överhuvudtaget raderas information från exempelvis e-post eller olika meddelande- tjänster som därför kan innehålla uppgifter som ackumulerats under många år. Mängden information som ett normalt it-beslag

i dag genererar kräver mångdubbelt med resurser att granska, än vad som förutsattes då reglerna infördes. En betydande del av dessa resurser går ut på att granska förekomsten av och pröva nödvändig- heten av känsliga personuppgifter. Se avsnitt 6.1.3.

437

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.15Hur bör behandling av känsliga personuppgifter regleras?

8.15.1Bör samtliga känsliga personuppgifter regleras på samma sätt?

Bedömning: Biometriska uppgifter bör få behandlas som andra personuppgifter.

Det behövs inte några särskilda bestämmelser om behandling av uppgifter om straffrättsliga förfaranden och liknande.

Det bör inte införas några särskilda bestämmelser om uppgif- ter som offentliggjorts av den registrerade.

Förslag: Säkerhetspolisen ska inte få behandla genetiska uppgifter.

Bör behandling av vissa uppgifter som är tillåten i dag förbjudas?

Den brottskatalog som Säkerhetspolisen ansvarar för utmärks av att brottsligheten ofta är religiöst, politiskt eller på annat sätt ideo- logiskt motiverad och brott där uppgifter om etniskt ursprung kan vara relevanta. Den brottsbekämpande verksamheten som Säker- hetspolisen ansvarar för innebär däremot inte någon naturlig kopp- ling till frågor som rör medlemskap i fackförening, hälsa, sexualliv eller sexuell läggning. Det skulle därmed kunna vara möjligt att särskilt reglera vissa av de känsliga personuppgifterna, som inte har någon koppling till Säkerhetspolisens kärnverksamhet.

Principiellt kan det vara korrekt att reglera frågor som ligger långt utanför kontexten nationell säkerhet på samma sätt som för andra brottsbekämpande myndigheter. Redan i dag har Säkerhets- polisen ett särskilt sökförbud avseende uppgifter som kan avslöja medlemskap i fackförening, vilket motiverats med att myndigheten inte har något behov av att göra sökningar på medlemskap i fack- förening.110 Det går att argumentera på samma sätt avseende behand- ling av personuppgifter som rör exempelvis sexualliv eller sexuell läggning och behålla dagens generella behandlingsförbud för sådana uppgifter.

110Prop. 2018/19:163 s. 80.

438

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Samtliga uppgifter, som betecknas som känsliga personuppgifter kan dock i olika sammanhang vara relevanta att behandla inom Säkerhetspolisens verksamhet, även om behovet inte tydligt fram- går i dagsläget. Grupper som utmärks genom känsliga personuppgif- ter kan utgöra måltavlor för bland annat terror, exempelvis på grund av sin religion eller sexuella läggning. Det är svårt att i dag förutse eller helt avfärda att även andra grupper, som exempelvis fackföre- ningar, skulle kunna bli måltavlor för sådan brottslig verksamhet som Säkerhetspolisen ska bekämpa. På samma sätt kan rörelser, som det i dag inte finns skäl för Säkerhetspolisen att bevaka, i fram- tiden radikaliseras. Det finns exempel från vår omvärld där medlem- mar i den så kallade ”incel-rörelsen” radikaliserats i en våldsbejakande riktning. Samtliga av dessa exempel kräver en omfattande behand- ling av känsliga personuppgifter.

Ett ytterligare skäl som talar emot att ange en högre tröskel för behandling av vissa uppgifter är svårigheten att identifiera och pröva uppgifter var för sig. För Säkerhetspolisens del är det i dagsläget sällan är absolut nödvändigt att behandla uppgifter om enskildas sexualliv eller fackföreningstillhörighet. Om sådana uppgifter ska särbehandlas krävs emellertid en noggrann granskning för att iden- tifiera just dessa uppgifter, eller andra uppgifter som kan vara av- slöjande i detta avseende. En sådan ingående granskning och den noggranna prövningen som krävs för att bedöma om uppgiften är absolut nödvändig är ett stort verksamhetshinder för Säkerhets- polisen i dagsläget. Ett sådant krav redan för behandling i form av insamling och lagring måste motiveras av mycket tungt vägande integritetsskäl. Vi anser inte att skälen som talar för detta väger tillräckligt tungt för någon av de särskilda kategorierna uppgifter som betecknas som känsliga.

Vår slutsats är även att samtliga känsliga personuppgifter bör hanteras på samma sätt, trots att vissa kategorier kommer att behand- las mer frekvent än andra. Både nu gällande och den av oss före- slagna lagstiftning bygger på principer om ändamål, adekvans, relevans och uppgiftsminimering som begränsade faktorer för all personuppgiftsbehandling. Personuppgifter som inte behövs får inte behandlas, oavsett om de betecknas som känsliga eller inte.

439

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Inga särskilda regler behövs för att skapa och bevara biometriska uppgifter

En särskild typ av känslig personuppgift är sådana som rör en per- sons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Typiskt sett utgörs detta av DNA-profiler, fingeravtryck eller ansiktsigenkänning. Det finns dock flera tekniska metoder att utifrån till exempel bild, video, tal eller text hitta utmärkande kännetecken hos en individ och det sker en kontinuerlig teknisk utveckling inom detta område.

Behandling av biometriska uppgifter genom ansiktsigenkänning kan ske på exempelvis följande sätt. Olika datamodeller identifierar först alla ansikten i materialet. Därefter bearbetas dessa genom att olika programvaror bland annat rätar upp, kompenserar för bild- vinkel och bedömer om det identifierade ansiktet är av tillräcklig kvalité för att kunna jämföras. Slutligen skapas en så kallad vektor av varje enskilt ansikte i bilden som uppfyller kraven för jämförelse. En ansiktsvektor är en generisk beskrivning av ansiktsdrag genom att olika parametrar, exempelvis avståndet mellan ögonen, ges nume- riska värden. En ansiktsvektor är en datafil med hundratals paramet- rar som var och en getts ett numeriskt värde. Denna datafil är den biometriska uppgiften som möjliggör eller bekräftar unik identifier- ing av personen. Bildmaterialet, som vektorn är hämtad från, utgör däremot inte biometriska uppgifter.

Andra tekniska tillämpningar som finns för att på motsvarande sätt vektorisera fysiska, fysiologiska eller beteendemässiga känne- tecken kan vara röstigenkänning från ljudinspelningar eller analys av rörelsemönster hos en individ från rörlig bild. Flera sådana bio- metriska analysmetoder kan även användas parallellt för att öka träffsäkerheten vid en jämförelse.

Behovet av att kunna behandla biometriska uppgifter inom Säker- hetspolisens verksamhet är stort. I praktiken finns behov av att en stor andel av det bildmaterial som Säkerhetspolisen behandlar ska genomgå den särskilda tekniska behandlingen som skapar en bio- metrisk uppgift i form av bland annat en ansiktsvektor. I annat fall finns det inget material att göra jämförelser mot om Säkerhetspoli- sen exempelvis skulle ha behov av att identifiera en viss person endast utifrån ett fotografi. Behovet av att behandla biometriska

440

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

uppgifter är därmed i praktiken lika stort som behovet av att över- huvudtaget behandla personuppgiften i form av exempelvis ett bildmaterial.

Det står klart att Säkerhetspolisen kommer att behöva utnyttja biometri i sitt brottsförebyggande och brottsbekämpande uppdrag. I dagsläget innebär kravet på absolut nödvändighet att exempelvis bilder av personer kan behandlas men inte nödvändigtvis den ansikts- vektor (i princip en numerisk lista) som kan användas för att auto- matiskt jämföra personen på bilden mot andra bilder. För att få skapa en ansiktsvektor eller någon annan biometrisk uppgift krävs att det är absolut nödvändigt för ändamålet.

Om ändamålet med att bevara exempelvis en övervakningsfilm är att kontrollera om en viss misstänkt person förekommer, krävs att biometriska uppgifter skapas för alla personer som syns i bild- materialet för att kunna jämföras med den misstänktes biometri.

Det kan röra sig om tusentals personer som passerar en övervak- ningskamera, där endast en är absolut nödvändigt att identifiera. Det kan ifrågasättas om det i dagsläget är absolut nödvändigt att behandla samtligas biometriska uppgifter för att göra jämförelsen. Efter att den biometriska jämförelsen är avslutad finns under alla omständigheter knappast något sådant absolut behov och samtliga uppgifter måste då raderas. Detta innebär att stora databehandlingar måste genomföras för att skapa nya biometriska uppgifter av ett biometriskt underlag inför varje enskild sökoperation. Det är både tidskrävande och ineffektivt.

Bevarandet av datafilen med den biometriska uppgiften, exem- pelvis det numeriska värdet för ansiktsparametrarna i en ansikts- vektor, är i sig inte särskilt integritetskänsligt. De flesta anser nog att bilden som den biometriska uppgiften är hämtad från är mer känslig. Däremot kan olika behandlingsåtgärder med de biomet- riska uppgifterna vara både integritetskänsliga och på andra sätt särskilt riskfyllda ur ett fri- och rättighetsperspektiv. Det finns därför skäl att begränsa hur biometriska uppgifter får användas.

Vi anser dock att skapande och bevarande av biometriska upp- gifter i sig inte utgör en sådan särskilt känslig behandlingsåtgärd. Det är snarare en förutsättning för att det ska finnas skäl att be- handla exempelvis rörlig bild. Enligt vår uppfattning bör behand- ling genom skapande och bevarande av biometriska uppgifter inte ske med större restriktivitet än insamling och bevarande av det

441

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

biometriska underlaget, i form av exempelvis film-, bild- eller ljud- inspelningar.

Det finns inte skäl att tillåta Säkerhetspolisen att behandla genetiska uppgifter

I dagsläget finns ett absolut förbud för Säkerhetspolisen att behandla genetiska personuppgifter (2 kap. 10 § säpodatalagen). Under utred- ningen har frågan uppkommit om vad detta förbud innebär och om det bör kvarstå.

En genetisk uppgift utmärks av att den dels rör en persons ned- ärvda eller förvärvade genetiska kännetecken, dels härrör från ana- lys av ett spår av eller ett prov från personen (se definitionen av i

1 kap. 5 § säpodatalagen). De genetiska kännetecken som avses ska alltså framkomma genom en analys av genetiskt material. Om exem- pelvis en persons hårfärg framkommer genom ett fotografi, är detta inte en genetisk uppgift, trots att detta kännetecken är nedärvt.

I likhet med biometriska uppgifter är det inte källmaterialet som avses, som ett blod- eller vävnadsprov, utan vissa resultat från en analys av detta material. Den genetiska uppgiften är den informa- tion som så att säga lämnar laboratoriet i läsbar form.

Genetiska uppgifter är mycket strängt reglerat i Sverige. Till att börja med kan konstatera att definitionen av vad som utgör en genetisk uppgift är betydligt bredare i brottsdatalagen och säpodata- lagen än i brottsdatadirektivet. I brottsdatadirektivet krävs dels att det genetiska kännetecknet ger ”unik information” dels att det ska avse en persons ”fysiologi eller hälsa”. En genetisk uppgift i de svenska lagstiftningarna omfattar å andra sidan alla genetiska kännetecken, det vill säga även de som inte ger unik information för varje person och även sådana som avser annat än fysiologi eller hälsa.

Skälet till detta är att regeringen ansåg att även andra uppgifter, som exempelvis en persons biogeografiska ursprung, som kan tas fram genom motsvarande analys förtjänade samma skydd som fysio- logiska uppgifter om bland annat hud- eller hårfärg. Däremot finns inget motiv till att den svenska definitionen omfattar alla känne- tecken, även sådana som inte är unika för en person.111 Vidare finns i den svensk rätt omfattande förbud mot att behandla genetiska

111Se prop. 2017/18:232 s. 86–87. Det bör i sammanhanget noteras att endast 1 av 1 000 baspar i en mänsklig DNA-sträng är unik för en individ.

442

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

uppgifter. Av de brottsbekämpande myndigheterna är det endast Nationellt forensiskt centrum (NFC) vid Polismyndigheten som får behandla genetiska uppgifter och då endast om det är absolut nödvändigt (se 6 kap. 4 § polisens brottsdatalag). NFC får utföra forensiska analyser, undersökningar eller jämförelser åt bland annat Säkerhetspolisen. Regeringen uppfattade att genetiska uppgifter rent faktiskt behandlas enbart i den forensiska verksamheten vid NFC för att ta fram dna-profiler eller forensiska uppslag.112 Reger- ingen ansåg därför inte att det fanns behov av att behandla genetiska uppgifter hos de myndigheter som kan lämna uppdrag åt NFC och till vilka resultaten av analysen skulle redovisas.113

Det omfattande förbudet mot att behandla genetiska uppgifter hos de brottsbekämpande myndigheterna har såvitt vi kunnat se inte någon motsvarighet i någon av de andra länder vi studerat. Däremot ställs ofta ett krav på absolut nödvändighet upp för sådan behandling. Därutöver är den svenska definitionen bredare än vad som följer av brottsdatadirektivet vilket innebär att fler uppgifter anses som genetiska i Sverige jämfört med andra EU-länder. Denna stränga reglering kan innebära ett problem för svenska myndig- heter exempelvis i samarbetet och informationsdelningen med myndigheter i andra länder.

Genetiska uppgifter är inte någon central del av Säkerhetspoli- sens verksamhet och dagens reglering har därför inte beskrivits som något problem för myndigheten i dagsläget. Säkerhetspolisen har inte heller något behov av att behandla genetiska uppgifter som på något nämnvärt sätt skiljer sig från Polismyndigheten. Polismyn- digheten har den 20 november 2024 skickat in en hemställan om en fullständig översyn av polisens brottsdatalag.114 Där anges att över- synen bör omfatta behoven för fler delar inom Polismyndigheten att behandla genetiska uppgifter varvid även innebörden av gene- tiska uppgifter kan behöva klargöras. Ärendet bereds i Regerings- kansliet.

Frågan om behovet för Säkerhetspolisen att behandla genetiska uppgifter bör ses över tillsammans med andra myndigheter som har samma eller liknande reglering och som är beställare i förhållande

112Prop. 2017/18:232 s. 150.

113Prop. 2017/18:269 s. 154.

114Hemställan om översyn av polisens brottsdatalag, Polismyndighetens dnr A593.896/2024, Justitiedepartementets dnr Ju2024/02401.

443

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

till NFC. Den nuvarande regleringen bör överföras till den nya lagen i avvaktan på en sådan översyn.

Det behövs inga ytterligare regler avseende uppgifter om brott, straffrättsliga förfaranden och liknande

Av artikel 6.1 i dataskyddskonventionen 108+ följer att person- uppgifter som rör brott, straffrättsliga förfaranden och fällande domar samt relaterade säkerhetsåtgärder är känsliga personuppgif- ter. I nuvarande säpodatalag regleras emellertid inte uppgifter av detta slag som känsliga personuppgifter. Det har sin bakgrund i att denna uppgiftskategori varken regleras särskilt i brottsdatadirek- tivet eller har ansetts utgöra känsliga personuppgifter i den tidigare polisdatalagen.

Visst skydd för dessa uppgifter finns i nuvarande säpodatalag. Personuppgifter som rör brottsmisstankar och liknande omfattas av särskilda regler avseende behandlingstid i 4 kap. 3 och 4 §§ (se avsnitt 8.18.9). I 4 kap. 5 § säpodatalagen finns även en begränsning avseende sökningar mot brottsmisstankar. Om en förundersökning eller ett åtal mot en person har lagts ner eller personen frikänts genom dom som fått laga kraft, får personen inte längre vara sök- bar som misstänkt. Denna bestämmelse återfinns även i bland annat polisens brottsdatalag. I förarbetena förklaras att bestämmelsen inte ska tolkas så att uppgifter om att en viss person har pekats ut eller hörts som misstänkt inte längre får behandlas. Däremot ska det inte längre vara möjligt att vid sökning i elektroniskt lagrat material återfinna den utpekade personen genom en sökning efter misstänkta personer. Bestämmelsen utesluter således inte att per- sonen anges som ”tidigare misstänkt”, förutsatt att det framgår att han eller hon inte längre är det.115

Det framstår som helt naturligt att en person som inte är miss- tänkt för brott hos Säkerhetspolisen inte heller ska vara sökbar som det. Det skulle kunna framstå som ett omotiverat intrång i enskilds rätt att en myndighet vid en sökning efter misstänkta personer inte skulle ta hänsyn till exempelvis frikännande domar. Den nuvarande sökbegränsningen bör därför kvarstå som en skyddsmekanism. Den gäller emellertid endast misstankar om fullbordade brott som

115Prop. 2009/10:85 s. 349.

444

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

utreds av Säkerhetspolisen och inte så kallade underrättelsemiss- tankar, som rör deltagande i brottslig verksamhet.

För en brottsbekämpande myndighet som Säkerhetspolisen bör dock behandling av känsliga personuppgifter i form av brott, straff- rättsliga förfaranden och fällande domar samt relaterade säkerhets- åtgärder inte i övrigt särregleras. Det finns ett generellt och fullt legitimt behov av att behandla uppgifter om kriminell belastning hos personer som Säkerhetspolisen i övrigt har anledning att regi- strera. Till skillnad mot andra känsliga personuppgifter, om exem- pelvis politisk övertygelse eller trosuppfattning bör uppgifter som rör bland annat fällande domar kunna utgöra grunden för en regi- strering.

Det är rimligt att Säkerhetspolisen, om det finns behov av det, kan hålla register över exempelvis personer dömda för terrorbrott för att kartlägga brottslig verksamhet av detta slag. Exempelvis bör det vara möjligt att hålla sammanställningar av dömda terrorister, även om det endast är den fällande domen som utgör grund för registrering. Någon särreglering av hur sådana uppgifter generellt får behandlas bör därför inte införas.

Samma regler bör gälla för känsliga personuppgifter som offentliggjorts av den enskilde själv

Den tidigare personuppgiftslagen innehöll ett generellt förbud mot behandling av känsliga personuppgifter som kompletterades av olika undantag. Ett sådant undantag var om den enskilde samtyckt till behandling eller på ett tydligt sätt själv offentliggjort uppgiften. Denna bestämmelse gällde ursprungligen även för Polismyndigheten och därmed även för Säkerhetspolisen.116 Då den äldre polisdata- lagen år 2010 ersattes av en ny polisdatalag skulle personuppgifts- lagens bestämmelse om offentliggjorda personuppgifter inte längre tillämpas. Denna förflyttning diskuterades dock inte i förarbetena. Frågan togs inte heller upp då polisdatalagen ersattes av säpodata- lagen. Enligt brottsdatadirektivet är ett tydligt offentliggörande från den registrerade en grund som tillåter att känsliga uppgifter behandlas (artikel 10 c).

116Se bland annat 5 § polislagen (1998:622).

445

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

I de nya personuppgiftslagarna för Försvarsmakten och FRA finns ett generellt förbud mot att behandla känsliga personuppgif- ter vid sidan av sådana som kompletterar andra uppgifter och är absolut nödvändiga. Denna huvudregel kompletteras emellertid med ett undantag för uppgifter som den registrerade har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort upp- gifterna. Paragrafen ger Försvarsmakten och FRA möjlighet att

i dessa situationer behandla känsliga personuppgifter på samma sätt som andra personuppgifter.117 Ett tänkbart exempel på offentlig- görande kan enligt förarbetena vara att den registrerade har gjort personuppgifterna tillgängliga på internet.118

Säkerhetspolisen har framfört ett liknande behov av att kunna registrera känsliga personuppgifter som offentliggjorts av den regi- strerade själv, genom att undanta sådana uppgifter från de skydds- mekanismer som gäller i övrigt. De skäl som förts fram för att inte betrakta offentliggjorda uppgifter som lika känsliga är att den enskilde kan sägas ha eftergett sin integritet. Att skydda uppgifter som den enskilde inte själv värnar skulle kunna ses som motsägelsefullt.

Vår bedömning är dock att detta synsätt inte har fog för sig. Även om en enskild i någon mån gett upp sin integritet och upp- giften inte längre kan anses vara en del av privatlivet när den på ett tydligt sätt har offentliggjorts består dess skyddsvärde. En uppgift om en enskild kan även avslöja saker om andra personer, exempel- vis familjemedlemmar, som inte samtyckt till en publicering. Det är inte heller möjligt för en enskild att ångra sig när en uppgift väl är offentliggjord. Skyddet för känsliga personuppgifter är inte heller avsett endast för att värna den enskildes privatliv. Opinionsfriheterna, särskilt yttrandefriheten, skulle kunna påverkas negativt om exem- pelvis politiska eller religiösa yttranden skulle kunna grunda regi- strering på grund av att de offentliggjorts.

Vi kan inte se något behov av ett undantag avseende känsliga

personuppgifter som offentliggjorts som skulle överväga de poten- tiella eller faktiska riskerna för bland annat den personliga integrite- ten eller den fria åsiktsbildningen. Någon reglering, motsvarande Försvarsmaktens och FRA:s, som innebär att offentliggjorda käns-

117Se 2 kap. 19 § försvarsdatalagen respektive 2 kap. 17 § FRA-datalagen.

118Prop. 2020/21:224 s. 185. Förslaget var ursprungligen motiverat av det felaktiga antagandet att den då ännu inte beslutade säpodatalagen skulle innehålla motsvarande bestämmelser och att Försvarsmakten hade samma behov som Säkerhetspolisen i denna del, se SOU 2018:63 s. 192.

446

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

liga personuppgifter inte ska omfattas av samma skydd som andra känsliga personuppgifter bör därför inte införas.

8.15.2Bör det vara en högre behandlingströskel för känsliga personuppgifter?

Bedömning: En högre behandlingströskel för vissa uppgifter är inte en lämplig skyddsmekanism för känsliga personuppgifter i Säkerhetspolisens verksamhet. Dessa uppgifter bör därför skyd- das på annat sätt.

Av vad som angetts i föregående avsnitt har vi kommit till slutsat- sen att förbudet mot att behandla känsliga personuppgifter är syste- matiskt felaktigt och att det ofta är nödvändigt för Säkerhetspoli- sen att behandla dessa. Vi har vidare beskrivit problemet som den nuvarande ordningen medför. Säpodatalagen bygger på äldre lag- stiftning i denna del och innebär ett krav på att känsliga uppgifter ska användas restriktivt och prövas noga i det enskilda fallet. Detta krav är inte anpassat efter Säkerhetspolisens verksamhet och inte heller rimligt att upprätthålla i förhållande myndighetens behov och de förväntningar som ställs på underrättelseverksamheten.

Det finns även verksamhetsskäl som med styrka talar mot att uppställa olika behandlingströsklar för olika uppgifter som samlas in och bevaras. Med en differentierad behandlingströskel på uppgifts- nivå kommer allt material att behöva genomgå en omfattande gransk- ning och individuell prövning på ett sätt som är oförenligt med en effektiv informationshantering inom underrättelseverksamhet. Det framstår som orimligt betungande att Säkerhetspolisen ska ägna sig åt maskering av enskilda personuppgifter som förekommer i den stora och alltjämt växande informationsmängd som myndigheten måste behandla för att kunna utföra sitt uppdrag. Utgångspunkten bör vara att information som existerar i ett naturligt sammanhang kan hanteras gemensamt och att enskilda uppgifter om exempelvis etnicitet inte ska maskeras i ett dokument som i övrigt är relevant att bevara.

Skyddet för den personliga integriteten och andra grundläggande fri- och rättigheter samt mekanismer för att förhindra missbruk av känsliga personuppgifter bör därför utformas på ett annat sätt än

447

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

i dag. Vi har därmed kommit till slutsatsen att det inte är lämpligt att underkasta behandling av känsliga personuppgifter en särskild prövning av absolut nödvändighet. Det förstärkta skyddet för käns- liga personuppgifter bör därför uppnås på annat sätt. Det prövas

i det följande.

8.15.3Känsliga personuppgifter bör inte få vara skälet till att en persons personuppgifter registreras

Förslag: Uppgifter om en person ska inte få behandlas enbart utifrån sådant som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning.

Vi anser att andra säkerhetsmekanismer än en generellt högre behand- lingströskel är lämpligt för att säkerställa att känsliga personuppgif- ter behandlas med stor varsamhet.

Skälet till att en persons uppgifter överhuvudtaget behandlas inom Säkerhetspolisen är inte att denne exempelvis har en viss politisk eller religiös åskådning. Detta skulle stå i strid både med förbudet mot åsiktsregistrering i 2 kap. 3 § regeringsformen och vara oförenligt med förutsättningarna att begränsa enskildas rätt till privatliv enligt 21 § i samma kapitel. Det är också oförenligt med kravet i Europakonventionens artikel 8.2 att en viss etnicitet, med- lemskap i en fackförening eller en omständighet hänförlig till sexual- liv eller hälsa utgör grund för registrering. Dessa grundläggande skyddsregler gäller förstås oavsett utformningen av säpodatalagen.

Det särskilda skyddet för känsliga personuppgifter bör byggas upp utifrån principen att sådana uppgifter inte får vara enda skälet till personuppgiftsbehandlingen. Det innebär att Säkerhetspolisen exempelvis inte aktivt får inhämta uppgifter om personer på grund av att de har viss politisk uppfattning, filosofisk övertygelse eller sexuell läggning. Ett liknande skydd för alla känsliga uppgifter kommer då att gälla som för politisk åskådning enligt 2 kap. 3 § regeringsformen. Vår uppfattning är att denna reglering innebär ett gott skydd mot de risker som behandling av känsliga personuppgifter kan innebära för enskilda och allmänna intressen.

448

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Den föreslagna regleringen innebär att Säkerhetspolisen inte som i dag behöver maskera och gallra bland personuppgifter när exempelvis en chattkonversation som inhämtats innehåller uppgif- ter om att någon har stukat foten (uppgift om hälsa) eller där häls- ningsfraser med religiöst ursprung används (uppgift som avslöjar religiös övertygelse). Informationshanteringen kommer därmed att kunna effektiviseras väsentligt.

Att behandlingströskeln därmed blir densamma som för andra personuppgifter medför att känsliga personuppgifter kommer att behandlas i större utsträckning än i dag. För att balansera detta föreslår vi att bestämmelsen ska kompletteras med begränsningar för sökning och sammanställning, till vilket vi återkommer i av- snitt 8.15.5.

En liknande reglering som den vi föreslår finns i 13 § domstols- datalagen (2015:728). Där anges att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personen utifrån känsliga personuppgifter. Vår uppfattning är även att den föreslagna begränsningen för behandling grundad på känsliga personuppgifter ligger i linje med regleringen i många andra länder vad gäller natio- nell säkerhetstjänst, se kapitel 4.

8.15.4Känsliga personuppgifter påverkar proportionalitetsprövningen

Bedömning: All behandling av personuppgifter ska vara propor- tionerlig. Behandling av känsliga personuppgifter innebär normalt ett större intrång i enskilda eller allmänna intressen än annan per- sonuppgiftsbehandling. Skälet för att utföra behandling måste därför väga tyngre än vid annan personuppgiftsbehandling.

Dataskyddskonventionen hindrar inte behandling av känsliga per- sonuppgifter enligt samma grundläggande krav som andra uppgifter. Däremot förutsätter konventionen att behandling av sådana upp- gifter enbart ska vara tillåten om lämpliga, i lag föreskrivna, säker- hetsåtgärder är på plats för att slå vakt om de risker sådan behandling kan medföra (se avsnitt 8.14.1). Medlemsstaterna är fria att anpassa sådana säkerhetsåtgärder efter ändamålet med att känsliga person- uppgifter överhuvudtaget behandlas.

449

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Vi föreslår en rad regler som förstärker skyddet för känsliga personuppgifter, bl.a. ska sådana uppgifter inte ensamt få ligga till grund för behandling och sökningar på känsliga personuppgifter ska omfattas av särskilda begränsningar. Därtill kommer även att förekomsten av känsliga personuppgifter påverkar proportionali- tetsbedömningen som ska göras.

När en säkerhetstjänst behandlar känsliga personuppgifter ökar rent generellt risken för intrång i grundläggande fri- och rättigheter. Detta har inget att göra med att det skulle finnas något sådant upp- såt hos Säkerhetspolisen. Den ökade risken kommer av att själva kartläggningen utgör ett intrång i enskildas privatliv och att detta intrång är högre om känsliga personuppgifter behandlas.

Att känsliga personuppgifter behandlas i enskilda fall ingår i Säkerhetspolisens uppdrag. Som framgår av avsnitt 8.2.4 föreslår

viatt all personuppgiftsbehandling som sker med stöd av säpodata- lagen ska vara proportionerlig. I prövning kan förekomsten av känsliga personuppgifter i behandlingen vara en av flera aspekter som måste bedömas. Proportionalitetsprövningen utgör den meka- nism som på ett övergripande plan ska tillgodose att tillämpningen inte innebär en kränkning av enskilds rätt eller på annat sätt är ofören- lig med ett demokratiskt samhälle. Denna prövning ersätter i stor utsträckning behovet av att det i lag ska framgå att behovet ska vara särskilt tungt, det vill säga absolut nödvändigt.

Proportionalitetsprincipen innebär att det inte enbart är behovet som avgör om känsliga personuppgifter får behandlas, utan om behandlingen är proportionerlig i förhållande till andra skyddsvärda intressen. Det innebär att frågan om en känslig personuppgift får behandlas eller inte kan prövas mer flexibelt. Olika slags uppgifter innebär olika stor påverkan på enskilda eller allmänna intressen. På samma sätt kan olika behandlingsåtgärder innebära olika grader av intrång. Detta intrång ska sedan ställas mot en värdering av behovet av behandlingen i det enskilda fallet. Skyddet för känsliga person- uppgifter har således delvis förflyttats från kravet på absolut nöd- vändighet till proportionalitetsprövningen.

Det sätt på vilket känsliga personuppgifter behandlas kan även medföra olika grader av intrång. Det är normalt sett ett större intrång om personal inom Säkerhetspolisen specifikt tar fram och delar känsliga uppgifter än att uppgifterna förekommer i sitt ursprungs- sammanhang. Med andra ord är det enligt vår uppfattning normalt

450

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ett större intrång om Säkerhetspolisen upprättar en promemoria som sammanställer känslig information, exempelvis om en persons sexualliv, än att uppgifter som i och för sig kan vara avslöjande i detta avseende finns bevarade i ett it-beslag tillsammans med per- sonens övriga kommunikation. Det krävs därmed ett ändamål av tillräcklig styrka för att exempelvis delge privata och särskilt käns- liga uppgifter till en annan myndighet eller för att särskilt lyfta fram vissa känsliga uppgifter i en promemoria om en person.

Detta kan uttryckas som att det relevanta enskilda eller allmänna intresset påverkas mindre av att känsliga personuppgifter behandlas som en del av ett större sammanhang. Att det förekommer upp- gifter om att en person har skadat sig på något sätt (hälsouppgift) eller besökt sin kyrka (religiös övertygelse) är i sitt sammanhang ofta proportionerliga att behandla. Att en sådan uppgift förkommer i ett dokument som ska behandlas behöver därför inte innebära några särskilda överväganden vid proportionalitetsbedömningen. Det kan dock påverka bedömning om det finns många känsliga uppgifter eller känsliga uppgifter som är särskilt integritetskänsliga. Som framgår av avsnitt 8.2.4 och 8.18.3 kan det innebära att särskilt känsliga uppgifter är proportionerliga att behandla endast under en kortare tid.

8.15.5Sökning och sammanställning av känsliga personuppgifter

Förslag: Sökning och sammanställning av personer grundat på känsliga personuppgifter ska endast vara tillåtet om skälen för att utföra behandlingen uppenbart överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den.

Sökning och sammanställning grundat på känsliga personuppgifter kräver ett särskilt skydd

Genom vårt förslag om att Säkerhetspolisen ska få behandla de känsliga personuppgifter som behövs kan det förväntas att fler sådana personuppgifter också kommer att behandlas av Säkerhets-

451

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

polisen. Vi anser att det därför måste övervägas om detta förhål- lande bör balanseras med ytterligare skyddsmekanismer.

Inom Säkerhetspolisen finns hög informationssäkerhet och risken för att det ska spridas känsliga personuppgifter från verksamheten bedöms som mycket låg. Detsamma gäller obehörig tillgång till känsliga personuppgifter bland myndighetens egen personal. Det finns regler och system på plats för att hindra att medarbetare han- terar information som inte är relaterad till en arbetsuppgift. Vi anser att det finns ett tillräckligt skydd mot risken att enskildas rättigheter kränks genom att känsliga personuppgifter på ett otill- börligt sätt sprids inom eller utanför myndigheten.

En risk, som är mer systematisk, är att staten skulle använda känsliga personuppgifter för att sammanställa exempelvis vilka personer som tillhör ett visst trossamfund, är medlemmar i ett politiskt parti eller har en viss sexuell läggning. Förekomsten av sådana sammanställningar skulle utgöra en potentiell risk för diskri- minering, eller andra åtgärder främmande för en demokrati. Redan oron bland medborgarna om att känsliga personuppgifter används på ett sådant otillbörligt sätt skulle utgöra ett demokratiskt pro- blem. En sökning som avslöjar och sammanställer känsliga person- uppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat för- budet mot behandling av känsliga personuppgifter, nämligen möj- ligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter.119

Samtidigt kan just dessa uppgifter i vissa fall vara helt nödvändiga för att skydda den nationella säkerheten eller värna enskildas grund- läggande demokratiska fri- och rättigheter. Det står klart att Säker- hetspolisen måste kunna göra sammanställningar av medlemmar i bland annat våldsbejakande icke-demokratiska rörelser just utifrån uppgifter som avslöjar politisk övertygelse, eller få reda på vilka ur ett visst trossamfund som rest till ett annat land för att ansluta sig till en terrororganisation.

Vi anser av dessa skäl att det behövs särskilda regler för att ut- föra sökningar för att få fram ett urval av personer grundat på käns- liga personuppgifter. Syftet är att uppnå ett skydd av just de intres- sen som bestämmelserna om känsliga personuppgifter ska värna.

119Se även prop. 2017/18:105 s. 90.

452

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Hur bör sökning och sammanställning av känsliga personuppgifter regleras?

Den nuvarande säpodatalagen innehåller, i 2 kap. 12 §, ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet i paragrafens första stycke kompletteras av ett undantag för sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nöd- vändig för ett ändamål.

Trots att regeringen insåg att känsliga personuppgifter ofta behövde användas som sökbegrepp i verksamheten ansågs en regler- ing som bygger på ett generellt förbud med undantag ge en tyd- ligare signal om att känsliga personuppgifter ska användas restrik- tivt.120 Det undantag som medger sökningar innebär att det ska konstaterats att det finns ett påtagligt behov av sökningen i det enskilda fallet.121

På samma sätt som annan behandling av känsliga personuppgif- ter anser vi inte att skyddet endast ska utgå utifrån behovet av upp- giften, utan även beakta faktisk eller potentiell risk för intrång i enskilda eller allmänna intressen.

Vi anser att det finns skäl att införa en tydlig reglering för sök- ning och urval på grundval av känsliga personuppgifter. Eftersom den generella skyddsmekanismen för känsliga personuppgifter utgörs av proportionalitetsprövningen bör det förstärkta skyddet följa samma systematik.

Skälen för att göra ett urval grundat på känsliga personuppgifter bör uppenbart överväga andra skyddsvärda intressen

Det bör vara tillåtet att göra ett urval genom att söka på känsliga personuppgifter när ändamålet för denna behandling på ett tydligt sätt väger över de intressen som kan påverkas av behandlingen. Vilka intressen som riskeras, och hur, beror givetvis på vad urvalet i övrigt bygger på. Att söka på endast en känslig personuppgift, exempelvis sexuell läggning, skulle skapa en lista på alla registrerade personer

120Prop. 2018/19:163 s. 79.

121Prop. 2009/10:85 s. 266.

453

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

som uppfyller sökkriteriet. En sådan lista är givetvis mycket känslig och ändamålet som föranlett urvalet måste väga mycket tungt och vara välmotiverat. I andra fall kan en sökning innehålla en känslig personuppgift tillsammans med andra uppgifter, vilket innebär att urvalet inte endast sker utifrån den känsliga uppgiften. Ett sådant urval kan i många fall innebära en mindre risk för kränkning.

Vi anser att proportionalitetsprövningen som ska göras vid sök- ningar och urval grundat på känsliga personuppgifter inte bör utgå från att det är tillräckligt med en balans mellan intresset av att ut- föra sökningen och de enskilda och allmänna intressen som påverkas. Det bör i stället krävas att intresset som talar för behandlingen med marginal väger över vid prövningen. Detta bör uttryckas som ett högre krav än att skälet för att utföra behandlingen ska överväga intrånget i de enskilda eller allmänna intressen som kan påverkas av den. Inte heller att skälet klart överväger markerar tillräcklig restriktivitet för denna typ av behandling. Att skälet för åtgärden uppenbart överväger ger däremot tillräcklig ledning. Begreppet uppen- bart innebär att det inte ska råda någon tvekan om att åtgärder inte innebär ett oproportionerligt intrång i grundläggande fri- och rättig- heter.

Olika sökningar som innefattar känsliga personuppgifter före- kommer i stor utsträckning. För att underlätta prövningen för enskilda medarbetare framstår det som rimligt att myndigheten upprättar interna riktlinjer och styrdokument som kan ge konkret vägledning för vanligt förekommande sökningar.

Det bör inte finnas någon begränsning av vilka uppgifter som får grunda ett urval

Enligt 2 kap. 12 § i säpodatalagen gäller ett generellt förbud mot att söka fram personurval baserat på känsliga personuppgifter. Vissa typer av känsliga personuppgifter omfattas dock av ett undantag i paragrafens tredje stycke, vilket innebär att sökning på dessa upp- gifter är tillåten under vissa förutsättningar. Detta undantag gäller dock inte för alla känsliga personuppgifter. Uppgifter om ras, med- lemskap i fackförening och biometriska uppgifter får inte användas som sökgrund. Genetiska uppgifter får inte heller användas för sökning, eftersom dessa överhuvudtaget inte får behandlas enligt nuvarande lagstiftning.

454

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Den 1 juli 2025 tillförs paragrafen ett nytt fjärde stycke som medger sökningar i biometriregister som förs med stöd av polisens brottsdatalag, så länge sökningarna är absolut nödvändiga. Biome- triska uppgifter får därför användas som sökbegrepp i de särskilda biometriregister över misstänkta, dömda och spår som förs med stöd av den lagen och till vilka Säkerhetspolisen får medges direkt- åtkomst. Biometriska uppgifter får dock inte användas för att få fram ett urval av personer i Säkerhetspolisens egna register.

När det gäller sökningar som grundas på den känsliga person- uppgiften ras delar vi förstås den uppfattning som framförts i tidi- gare förarbeten om att begreppet inte har något vetenskapligt stöd. Det finns därför i och för sig inte någon anledning att särskilt reglera begreppet då det inte ska användas av svenska myndigheter. Den reglering vi föreslår avser emellertid endast i mycket begränsad utsträckning sådana personuppgifter där Säkerhetspolisen haft någon inflytande över utformningen. Om begreppet ras exempelvis förekommer i ett material som utformats i nazistiska eller andra högerextrema kretsar bör det inte finnas något förbud för Säker- hetspolisen att använda detta begrepp för att söka i och analysera materialet. Ett otillbörligt användande av sökbegrepp i andra sam- manhang grundat i den ovetenskapliga uppfattningen om förekom- sten av olika människoraser, är främmande för svensk förvaltnings- kultur och kan motverkas på andra sätt.

Skälen för att förbjuda sökningar på fackföreningsmedlemskap är att något sådant behov inte kunde förutses då säpodatalagen beslu- tades. Om det saknas behov, ska en sådan sökning förstås inte ut- föras. Om det däremot finns ett behov, exempelvis för att förhindra ett terroristbrott riktat mot delar av fackföreningsrörelsen, bör en sökning inte vara förbjuden. Vår uppfattning är att risken med ett förbud överväger riskerna som ett sådant urval kan innebära.

När det gäller biometriska uppgifter finns det ett stort och uttalat behov av att kunna använda sådana uppgifter för att göra ett per- sonurval. Om en person ska identifieras är det ett ovärderligt verk- tyg att kunna bekräfta en unik identifiering av personen genom en teknisk process av en bild, video eller annat biometriskt underlag av personen. Det kan exempelvis handla om att Säkerhetspolisen har behov av att jämföra personer som förekommer på fotografier i en misstänkt terrorists mobilkamera med bilder av kända terrorister vars uppgifter redan behandlas. En sådan jämförelse innebär att bio-

455

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

metriska uppgifter tas fram och används som sökkriterier för att få fram ett urval av personer med överensstämmande biometri. Målet är givetvis att endast få fram en enda person och bekräfta en unik identifiering. Även en person utgör dock ett urval så länge det är flera personer som ingått i jämförelsen.

Vi anser att biometriska sökningar ska vara tillåta på samma sätt som för andra känsliga personuppgifter. Det innebär att sökningar får göras både i Säkerhetspolisen egna databaser och i de biometri- register som förs av Polismyndigheten. Sökningar i de särskilt reglerade biometriregistren bör kunna ske på samma sätt som för Polismyndigheten eftersom det i de allra flesta fall torde vara uppen- bart att skälen för åtgärden överväger intrånget. Det har i detta fall gjorts en proportionalitetsavvägning på lagstiftningsnivå som inne- bär att de uppgifter som registrerats i sådana register omfattas av ett särskilt dataskydd.

När det gäller de egna biometriska uppgifter som Säkerhetspoli- sen kan behandla enligt vårt förslag kommer en noggrann propor- tionalitetsbedömningen behöva göras. Det innebär att det inte är tillräckligt att Säkerhetspolisen har behov av att utföra en sökning. Ändamålet för åtgärden måste också prövas och tydligt överväga intrånget i de registrerades fri- och rättigheter som sökningen innebär. Både mängden biometriska uppgifter som utgör underlag och hur de samlats in kommer påverka denna bedömning.

8.16Meddelarfriheten och förtrolig kommunikation mellan misstänkt och försvarare (privilegierad kommunikation)

8.16.1Behovet av ett förstärkt skydd för annat än känsliga personuppgifter

Bedömning: Det bör övervägas om ett förstärkt skydd ska införas för behandling av andra känsliga uppgifter än sådana som följer av dataskyddskonventionen.

De känsliga personuppgifterna som anges i artikel 6 dataskydds- konventionen har fått sin särställning genom att alla Europarådets medlemsstater kunnat enats om att behandling av dessa uppgifter

456

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

generellt bär med sig olika risker. Dessa risker kan uppkomma i alla slags verksamheter där uppgifter behandlas. Som framkommit i det föregående avsnittet finns det dock ofta goda skäl för en nationell säkerhetstjänst att behandla just sådana uppgifter.

Den lagstiftning vi föreslår har fördelen av att all personuppgifts- behandling måste vara proportionerlig. Det innebär att åtgärder som är integritetskänslig eller i övrigt utgör ett intrång i en grund- läggande fri- eller rättighet endast får ske för ändamål som är till- räckligt angelägna. Det är inte avgörande om en personuppgift omfattas av de särskilt uppräknade kategorierna eller om den är känsliga av någon annan anledning. Proportionalitetsprövningen har till syfte att ge en flexibel ram för behandling av uppgifter, där mycket känsliga uppgifter ska kunna behandlas men endast för mycket angelägna ändamål. Om behovet är mer diffust och inte lika angeläget, kan redan behandling av en mindre mängd integri- tetskänsliga uppgifter vara oproportionerlig.

En av utgångspunkterna för denna utredning har varit att ge Säkerhetspolisen en lagstiftning som är särskilt anpassad för en säkerhetstjänst. Det har motiverat en rad särskilda regleringar som ger Säkerhetspolisen möjlighet att behandla personuppgifter på ett sätt som inte skulle vara lämpliga i andra verksamheter; inte ens vid bekämpande av allvarliga brott. Frågan är mot denna bakgrund om det finns skäl att i denna mer tillåtande lagstiftning införa nya säkerhetsmekanismer i syfte att minska risken för påverkan på enskilda och allmänna intressen.

Det är framför allt två risker som vi särskilt har uppmärksam- mat: Den första risken rör den förtroliga kommunikation mellan en misstänkt och dennes försvarare och som utgör en viktig beståndsdel i en rättsstat. Den andra risken är att journalistiska källor obefogat ska vara föremål för säkerhetstjänstens intresse. Båda dessa risker aktualiseras när Säkerhetspolisen nu får förutsättningar till en mer effektiv underrättelseverksamhet. Om en säkerhetstjänst får en ökad förmåga i sin underrättelseverksamhet ökar också de potenti- ella konsekvenserna för den demokratiska rättsstaten vid missbruk av denna förmåga.

457

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.16.2Kommunikation mellan den misstänkte och dennes försvarare

Förslag: Säkerhetspolisen ska förbjudas att behandla personupp- gifter som utgör förtrolig kommunikation mellan en misstänkt och dennes försvarare.

Frågeförbud och tystnadsplikt för försvarare

I brottmålsprocessen är huvudregeln att det råder fri bevisföring och fri bevisprövning. Den fria bevisföringen är dock omskuren av en rad undantag för att utjämna förhållandena mellan åklagaren och den misstänkte och tillgodose kraven på en rättvis rättegång.

En sådan regel är 36 kap. 5 § rättegångsbalken som avser frågan om vilka skyldighet det finns för vissa offentliga funktionärer och vissa yrkeskategorier att vittna i brottmål. I detta avseende har försvararen en särställning. Av paragrafens tredje stycke framgår nämligen att försvarare får höras som vittnen om vad som anför- trotts dem för uppdragets fullgörande endast om parten medger det. Till skillnad mot andra yrkeskategorier omfattas inte de som har uppdrag som försvarare av något av de undantag som föreskrivs i fjärde stycket (genombrottsregeln).

Den inskränkta vittnesplikten har sin grund i att en misstänkt fritt måste kunna diskutera sin process med sin försvarare, utan risk för att uppgifterna därefter kommer att ligga honom eller henne till last. Detta har ansetts utgöra en viktig rättssäkerhetsmekanism. För advokater gäller, enligt 8 kap. 4 §, även en tystnadsplikt för sådant som han eller hon fått kännedom i sin yrkesutövning.

En försvarares rätt att inte behöva vittna om vad som förevarit i överläggningar har ansetts handla om att säkerställa ett förtroende för den viktig rättsstatlig principen att den som står anklagad för brott ska ha rätt till rättsligt biträde. Denna princip slås fast i arti- kel 6.3 c i Europakonventionen och det anses innebära ett krav på i princip full sekretess avseende sådan information som en advokat till följd av sitt uppdrag får tillgång till. Om inte den åtalade kan lita på sekretessen, kan han eller hon inte heller sägas ha fått tillgång till

458

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

rättsliga biträde.122 Denna rätt är en central del av rätten till en rättvis rättegång.

Förbud att använda hemliga tvångsmedel i vissa fall

För att upprätthålla principen om att en misstänkt måste kunna ha förtroendefull kommunikation med sin försvarare är emellertid inte frågeförbudet för försvarare i 36 kap. 5 § rättegångsbalken tillräckligt. Ett sådant förbud kan nämligen kringgås genom att myndigheter på andra sätt får reda på vad som sagts under förtroliga överlägg- ningar. Om exempelvis ett samtal mellan en försvarare och dennes klient avlyssnas, kan upptagningen användas som bevis i domstol enligt principen om fri bevisföring och fri bevisprövning. För att förhindra ett sådant kringgående har det ansetts nödvändigt att begränsningarna i vittnesplikten ska motsvaras av begränsningar

i möjligheten att få fram motsvarande uppgifter genom tvångs- medelsanvändning.123

Det finns därför en rad särskilda regler som omgärdar bland annat denna kommunikation. I 27 kap. 2 § och 38 kap. 2 § rätte- gångsbalken finns bestämmelser som hindrar beslag och edition av handlingar som kan innehålla sådana uppgifter som försvararen inte kan tvingas vittna om. Enligt 27 kap. 22 § får hemlig avlyssning av elektronisk kommunikation inte avse telefonsamtal eller andra meddelanden som utgör sådan privilegierad kommunikation som avses i 36 kap. 5 §. Vidare framgår att hemlig rumsavlyssning ska upphöra så snart det framgår att en försvarare talar. Uppteckningar och upptagningar från hemliga tvångsmedel ska förstöras i de delar som avser sådan kommunikation. Liknande bestämmelser gäller enligt 27 § lagen (2020:62) om hemlig dataavläsning.

Personuppgifter som utgör kommunikation mellan

en misstänkt och dennes försvarare ska inte få behandlas

Kommunikation mellan en misstänkt och dennes försvarare i de förundersökningar som Säkerhetspolisen själv bedriver kan endast i undantagsfall komma till Säkerhetspolisens kännedom. Däremot

122Se justitierådet Lindskog i NJA 2010 s. 122.

123Se prop. 1988/89:124 s. 46.

459

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

kan sådan kommunikation, i avslutade eller pågående processer, som rör annan brottslighet komma att omfattas av myndighetens underrättelseinhämtning. Det har exempelvis blivit allt vanligare att främmande makt använder lokala agenter som rekryteras bland livsstilskriminella. Om Säkerhetspolisen bedriver underrättelse- verksamhet mot sådan brottslig verksamhet, kan det inte uteslutas att det bland andra personuppgifter som behandlas i vissa fall kan finnas förtrolig kommunikation mellan försvarare och misstänkt avseende helt annan brottslighet.

Det finns ett starkt skydd för den privilegierade kommunikatio- nen mellan en försvarare och dennes klient; genom tystnadsplikt och undantag från vittnesplikt samt de särskilda reglerna för de hemliga tvångsmedlen. Det finns dock alltid en risk att uppgifter kan komma att behandlas utan att omfattas av några sådana skydds- regler. Eftersom uppgifter i sådan kommunikation sannolikt är av intresse för Säkerhetspolisens kartläggning av den brottsliga verk- samheten finns också skäl att anta att det skulle finnas ett behov av att fortsätta att behandla uppgifterna. Proportionalitetsprövningen i den föreslagna lagen ger ett visst skydd mot fortsatt behandling av sådana uppgifter eftersom intrånget får betecknas som stort.

Det går dock att ifrågasätta om det överhuvudtaget bör finnas något ändamål som kan motivera att en så viktig rättsstatlig princip åsidosätts som skyddet av förtrolig kommunikation mellan klient och försvarare. Om det visar sig att Säkerhetspolisen haft tillgång till sådan privilegierad kommunikation, skulle spridningseffekterna kunna bli påtagliga och orsaka betydande misstro mot rättsstaten.

Intrånget av att personuppgifter som utgör förtrolig kommunika- tion mellan en misstänkt och dennes försvarare behandlas är gene- rellt för stort för att kunna accepteras ens i förhållande till nationella säkerhetsintressen. Vi anser därför att säpodatalagen bör innehålla ett generellt förbud mot att behandla personuppgifter som avser det som en misstänkt, tilltalad eller dömd person anförtrott en för- svarare inom ramen för dennes uppdrag. Säkerhetspolisen behöver inte aktivt eftersöka sådana uppgifter. Förbudet innebär att de ska tas bort när det framgått att myndigheten behandlar sådana upp- gifter, se avsnitt 8.20.2.

Förbudet bör avse alla uppgifter som anförtrotts en försvarare i anledning av försvararuppdraget och inte endast de uppgifter som krävs för uppdragets fullgörande. Det innebär att även exempelvis

460

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

uppgifter som rör nedlagda misstankar omfattas. En direkt hänvis- ning till frågeförbudet i 36 kap. 5 § tredje stycket rättegångsbalken skulle kunna leda till vissa tillämpningssvårigheter. Behandlings- förbudet bör därför formuleras självständigt.

8.16.3Meddelarfriheten

Förslag: Säkerhetspolisen ska förbjudas att behandla personupp- gifter som innebär att en grundlagsskyddad meddelares anonymi- tet riskeras.

Meddelarskyddet i grundlag

Enligt 1 kap. 7 § tryckfrihetsförordningen och 1 kap. 10 § yttrande- frihetsgrundlagen står det var och en fritt att meddela uppgifter i vilket ämne som helst i syfte att de ska offentliggöras i ett sådan medium som skyddas av de båda grundlagarna.

Den svenska yttrandefriheten bygger bland annat på det så kallade ensamansvaret, vilket innebär att endast den ansvarige utgivaren står till svars för publiceringar. Andra, som på ett eller annat sätt bidrar till innehållet och dess offentliggörande, bär enligt huvud- regeln inget rättsligt ansvar för sin medverkan. Det innebär att meddelarfrihet råder.

Meddelarfriheten är en självständig del av de båda grundlagarna och syftar till att uppmuntras människor att utnyttja sin yttrande- frihet. Detta sker i första hand genom att grundlagarna garanterar att var och en kan tillhandahålla uppgifter till exempelvis en nyhets- redaktion utan rädsla för straff eller andra repressalier från det all- männa. Ett tillhandahållande enligt lagen kan ske på många sätt bland annat genom att meddelaren lämnar information muntligen, överlämnar en skrivelse eller skickar in en handling elektroniskt. För att omfattas av meddelarfriheten ska syftet vara att uppgiften ska offentliggöras. Det finns dock inget krav på att meddelarens syfte ska uppnås. En redaktions val att inte publicera en uppgift innebär därmed inte att skyddet gått förlorat för meddelaren.

Ett meddelande som omfattas av yttrandefrihetsgrundlagen och tryckfrihetsförordningen kan enligt 1 kap. 14 § respektive 1 kap.

461

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

9 § inte föranleda straffansvar eller ersättningsskyldighet, om det inte särskilt anges i någon av dessa grundlagar. Detta brukar benäm- nas som exklusivitetsprincipen. Det råder vidare ett så kallat repres- salieförbud där en myndighet eller annat allmänt organ förhindras att på annat sätt ingripa mot någon för att ha medverkat till en publi- cering. Repressalieförbudet ger skydd mot andra åtgärder som en myndighet vidtar i anledning av att någon utnyttjat sin meddelar- frihet, exempelvis ett arbetsledningsbeslut.

Meddelarfriheten är inte oinskränkt. De båda grundlagarna inne- håller bestämmelser om så kallade meddelarbrott enligt 7 kap. 22 § tryckfrihetsförordningen och 5 kap. 4 § yttrandefrihetsgrundlagen. Det innebär att straffrihet inte råder för uppgifter som innebär att meddelaren gör sig skyldig till brott mot rikets säkerhet: Bland dem högförräderi, spioneri, utlandsspioneri och grov obehörig befatt- ning med hemlig uppgift. Det är främst det sistnämnda brottet som utgör en praktiskt beaktansvärd begränsning av meddelarfriheten. De övriga brott som omnämns i de båda grundlagarna är svåra att leda i bevis med hänsyn till efterforskningsförbud och anonymitets- skydd (se nedan) samt kräver ett avsiktsuppsåt att gå främmande makt tillhanda.124

Vidare straffas även vissa brott mot tystnadsplikten som gäller uppgifter som omfattas av meddelarens tystnadsplikt, handlingar som lämnas i strid med en sekretessbestämmelse eller uppgifter som lämnas på annat sätt och som är kvalificerat hemliga.

Anonymitetsskydd genom tystnadsplikt och efterforskningsförbud

Enligt 3 kap. 1 § tryckfrihetsförordningen och 2 kap. 1 § yttrande- frihetsgrundlagen ger upphovsmän och meddelare rätt till anonymi- tet. Rätten till anonymitet konkretiseras i de för yttrandefriheten mycket centrala bestämmelserna om tystnadsplikt och efterforsk- ningsförbud.

Tystnadsplikten följer av 3 kap. 3 § tryckfrihetsförordningen respektive 2 kap. 3 § yttrandefrihetsgrundlagen. Enligt dessa bestäm- melser får den som tagit befattning med tillkomsten av en utgiv- ning inte röja vad denne vet om vem som är upphovsperson eller

124Se Axberger m.fl., Yttrandefrihetsgrundlagarna, 2023, JUNO, avsnitt 7.2.2.

462

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

vem som är meddelare. Det innebär att inget som kan bidra till att göra bland annat ett meddelares identitet känd får röjas. Tystnads- plikten innefattar i princip allt som kan betecknas som personupp- gifter, eftersom sådana uppgifter är de som ensamt eller tillsammans med annan information kan kopplas till en fysisk person (grund- lagsskyddet gäller dock, till skillnad mot definitionen av en person- uppgift, även personer som inte är i livet.) Den tystnadsplikt som gäller för publicister och andra som tagit befattning med sådana uppgifter är kvalificerad, och omfattas därmed inte i sig av meddelar- frihet.125

Tystnadsplikten för de som har information om en meddelares identitet kompletteras av efterforskningsförbudet. Efterforsknings- förbudet regleras i 3 kap. 5 § tryckfrihetsförordningen respektive

2 kap. 5 § yttrandefrihetsgrundlagen. Innebörden är att en myndig- het eller annat allmänt organ inte får efterforska en anonym upp- hovsman eller meddelare. Efterforskningsförbudet är centralt för att upprätthålla anonymitetsskyddet för de som väljer att lämna upp- gifter till en publicist och förhindrar exempelvis utredningsåtgär- der som går ut på att spåra läckor inom en myndighets organisation. I likhet med meddelarfriheten gäller inte heller anonymitetsskyd- det för dem som meddelar uppgifter som utgör så kallade meddelar- brott, bland annat brott mot rikets säkerhet och åsidosättande av tystnadsplikten i vissa fall.

Reglerna om efterforskningsförbudet kompletteras av motsvarande regler avseende vittnesplikten som redogjorts för i det föregående avsnittet avseende försvarare. Enligt 36 kap. 5 § rättegångsbalken sjätte stycket får den som har tystnadsplikt enligt tryckfrihetsför- ordningen eller yttrandefrihetsgrundlagen inte höras som vittne om förhållanden där tystnadsplikt gäller.

De brottsbekämpande myndigheterna kan trots efterforsknings- förbudet komma över information som omfattas av tystnadsplikt. Det kan exempelvis handla om att det vid ett beslag eller under avlyssning framkommer att en person som är misstänkt för brott även är en meddelare. Det finns därför kompletterande regler för olika straffprocessuella tvångsmedel. Förbud mot beslag av skriftlig handling, hemlig avlyssning av elektronisk kommunikation, hemlig rumsavlyssning och hemlig dataavläsning gäller även till förmån för meddelares anonymitet.

125Se 44 kap. 1 § 2–3 offentlighets- och sekretesslagen.

463

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Personuppgifter som omfattas av grundlagsskyddad tystnadsplikt och efterforskningsförbud ska inte få behandlas

Anonymitet för meddelare utgör en mycket viktig beståndsdel i den demokratiska rättsstaten. Meddelarfriheten har ansetts central för det journalistiska uppdraget att granska stat och makthavare.

Säkerhetspolisens uppdrag och verksamhet avser bland annat att förebygga, förhindra och upptäcka brott mot rikets säkerhet och att utöva tillsyn över säkerhetsskyddslagens bestämmelser. Myndig- hetens uppdrag har på så sätt en naturlig koppling till meddelar- friheten. De så kallade meddelarbrotten utgörs i stor utsträckning av sådana brott som Säkerhetspolisen ansvarar för eller röjande av säkerhetsskyddsklassificerade uppgifter. Vid utredning av ett brott som rör nationell säkerhet eller i underrättelseverksamhet som bedrivs mot sådan brottslig verksamhet finns en möjlighet att Säkerhetspolisen kommer över uppgifter som omfattas grundlags- skydd. Om det rör sig om uppgifter som inhämtats med stöd av särskilda befogenheter finns regler som innebär att sådana uppgifter ska förstöras om de upptäcks.

Det kan dock, särskilt inom underrättelseverksamheten, före- komma situationer som innebär att Säkerhetspolisen kan komma att behandla grundlagsskyddade personuppgifter om en anonym meddelares eller upphovsmans identitet utan att behandlingen om- fattas av något särskilt regelverk. Det kan exempelvis röra sig om uppgifter som Säkerhetspolisen fått från en samverkande tjänst eller som informations som inhämtats utan stöd av särskilda befogen- heter. Säkerhetspolisen har tillgång till flera möjliga källor för infor- mation och en hög förmåga att lägga samman och koppla ihop olika delar för att kartlägga och klarlägga fenomen eller företeelser. Upp- gifter som har ett grundlagsskydd kan beroende på sin natur vara av intresse för underrättelseverksamheten.

Vi anser att intresset av att värna det journalistiska källskyddet väger mycket tungt. Europadomstolen har även uttalat att skyddet för journalistiska källor utgör en väsentlig del av yttrandefriheten enligt artikel 10 i Europakonventionen. Domstolen har beskrivit skyddet av journalistiska källor som en av hörnstenarna i press- friheten. Utan ett sådant skydd kan källor avstå att uppmärksamma pressen, och i förlängningen allmänheten, om frågor som är av stort allmänt intresse. Det journalistiska uppdraget att vara ”allmänhetens

464

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

vakthund” kan då komma att undergrävas. En sådan utveckling skulle sänka medias förmåga att tillhandahålla korrekt och tillför- litlig information. Europadomstolen har därför ansett att ett in- grepp endast kan vara förenligt med artikel 10 i konventionen, om det är motiverat av tvingande hänsyn till allmänintresset.126

Vi anser att det finns starkt vägande skäl för att dessa uppgifter ska behandlas med stor varsamhet oavsett hur de kommit Säker- hetspolisen tillhanda. Det finns, enligt vår bedömning, inte något tillräckligt tungt vägande skäl för att alls tillåta behandling av sådana uppgifter i den brottsbekämpande verksamheten. Skyddet för med- delare är inte oinskränkt och det har från lagstiftarens sida gjorts en avvägning av i vilka fall skyddet ska ge vika. Det finns enligt vår bedömning därför inte något skäl att tillåta behandling av grund- lagsskyddade uppgifter vid sidan av de situationer som anges i yttrandefrihetsgrundlagen respektive tryckfrihetsförordningen.

Genom ett absolut behandlingsförbud kommer de ökade möj- ligheter för Säkerhetspolisen att behandla personuppgifter som vi föreslår inte medföra någon försvagning av meddelarfriheten. På så sätt värnas även yttrandefriheten i stort.

Behandlingsförbudet bör hänvisa direkt till tryckfrihetsförord- ningens och yttrandefrihetsgrundlagens bestämmelser. Behand- lingen ska upphöra om det framgår att uppgifterna tillhör denna kategori. Det innebär inte att Säkerhetspolisen aktivt behöver för- söka identifiera sådana uppgifter men de ska tas bort genast när det framgår att sådana uppgifter behandlas.

8.16.4Det saknas tillräckliga skäl att ge förstärkt skydd för andra uppgifter som är undantagna vittnesplikt

Bedömning: Det finns inte tillräckligt skäl att föreskriva sär- skilda skyddsmekanismer för andra privilegierade uppgifter.

Vid sidan av den typen av kommunikation som vi redogjort för ovan finns andra uppgifter som har ett förstärkt skydd i lag. Av 36 kap. 5 § rättegångsbalken framgår att undantaget från vittnes-

126Europadomstolens dom den 25 februari 2003, Roemen and Schmit mot Luxembourg, mål nr 51772/99 och den 22 november 2012, Telegraaf Media Nederland Landelijke Media B.V. m.fl. mot Nederländerna, mål nr 39315/06.

465

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

plikten under vissa förutsättningar även gäller bland annat viss per- sonal inom hälso- och sjukvården och andra juridiska biträden än försvarare. Vid sidan av försvarare och den som har kännedom om en meddelares identitet gäller det absoluta undantaget endast den som är präst inom ett trossamfund eller har motsvarande ställning. För en sådan person gäller undantaget från vittnesplikt det han eller hon har erfarit under bikt eller enskild själavård.

Även för dessa kategorier råder begränsningar med avseende på hemlig tvångsmedelsanvändning. Som regel får dock kopplingen mellan dessa yrkeskategoriers verksamhet och bekämpandet av brott som rör nationell säkerhet anses vara svag. De särskilda regler som gäller yrkeskategorierna i 36 kap. 5 § andra stycket rättegångs- balken avser att skydda förtroendet mellan dessa yrkesutövare och enskilda samt att värna den enskildes personliga integriteten. 127 Det rör sig, enligt vår mening, dock inte om några integritets- eller demo- kratirisker som behöver omhändertas vid sidan av de regler i rätte- gångsbalken som redan omfattar dessa uppgifter.

När det kommer till uppgifter som lämnats under bikt eller annan enskild själavård har regeringen i tidigare lagstiftningsärende över- vägt behovet av ett förstärkt skydd.128 De personuppgifter som utgör bikt eller enskild själavård omfattas i stor utsträckning av förstöringsskyldighet på grund av särskilda regler för respektive inhämtningsmetod.129 Skyddet för sådana uppgifter är redan mycket starkt och det är svårt att se behovet av att ytterliga förstärka skyd- det. Avvägningen sker inte heller mot brottslighet i allmänhet och intresset av att skydda integriteten i själavård och bikt. Avvägningen sker mot behovet av att skydda nationell säkerhet. Till det kommer den betydande svårigheten att avgöra vad som utgör bikt eller själa- vård i det enskilda fallet.

127Se prop. 2013/14:237 s. 131 ff.

128Prop. 2008/09:201 s. 81.

129Se dock 7 § 4 signalspaningslagen.

466

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.17Längsta tid för behandling av personuppgifter

8.17.1Dataskyddskonventionens bestämmelser om behandlingstid

Dataskyddskonventionen uppställer inga tidsfrister eller detaljerade regler angående behandlingstid.

Article 5 – Legitimacy of data processing and quality of data

4. Personal data undergoing processing shall be

e. preserved in a form which permits identification of data subjects for no longer than is necessary for the purposes for which those data are processed.

Kravet i artikel 5.4 e om tidsfrister för lagring av personuppgifter innebär att uppgifter bör raderas när det ändamål för vilket de behand- lades har uppnåtts, eller att de då endast bevaras i en form som för- hindrar direkt eller indirekt identifiering av den registrerade.

Det är upp till medlemsstaterna att vidta nödvändiga lagstift- ningsåtgärder för att genomföra bestämmelserna i dataskyddskon- ventionen vilket ger en frihet i att reglera behandlingstid i nationell rätt. I likhet med många andra artiklar i konventionen är det möjligt att göra undantag från bestämmelsen om att behandlingen inte ska pågå längre än nödvändigt, om det krävs för att skydda nationell säkerhet.

8.17.2Behandlingstider inom underrättelseverksamhet

Säpodatalagens bestämmelser

I avsnitt 3.5.7 redogör vi för säpodatalagens bestämmelser om behand- lingstid. Inom underrättelseverksamhet gäller som huvudregel att personuppgifter inte får behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. För personuppgifter som behandlas inom kontraspionaget gäller dock att sådana uppgifter inte får behandlas längre än 40 år efter det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet.

I avsnitt 6.1.5 redogör vi för Säkerhetspolisens behov av att kunna behandla personuppgifter längre än vad som följer av dagens regelverk.

467

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Hur är andra säkerhets- och underrättelsetjänster reglerade?

I avsnitt 3.6.2 redogör vi översiktligt för Försvarsmaktens och FRA:s lagstiftning. För militära underrättelse- och säkerhetstjänsten och FRA gäller ingen längsta behandlingstid fastställd i lag. Där tillämpas i stället principen om att personuppgifter inte får behand- las längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Regeringen konstaterade i förarbetena att förståelse för ett skeende eller en aktörs agerande ofta kräver att det som observeras kan sättas in i ett kontextuellt och historiskt sammanhang. Först därefter kan bedömningar om underrättelserelevans göras. För vissa företeelser ansåg regeringen att det kan vara nödvändigt att kunna göra jämförelser med observationer som har gjorts långt tillbaka i tiden, inte sällan 10–20 år.130

Även vid en internationell jämförelse framstår den svenska behand- lingstiden som relativt kort i förhållande till Säkerhetspolisens upp- drag. I Norge, Nederländerna och Förenade kungariket får under- rättelsetjänsterna som huvudregel behandla personuppgifter så länge de är nödvändiga för ändamålet. I Finland tillämpar Skypo en generell behandlingstid om 25 år efter den sista registreringen om en person, med möjlighet till förlängning. Danska PET har en mot- svarande bestämmelse om behandlingstid som dock högst får vara 15 år. I Danmark kompletteras dock lagens bestämmelse av en mer detaljerade reglering i förordning, om bestämmande av lagringstid i samband med registrering (se kapitel 4).

8.17.3Problem med nuvarande reglering av behandlingstid

Bedömning: Tiden för personuppgiftsbehandling är en faktor som dag för dag ökar graden av intrång i den registrerades rättig- heter. Det finns två huvudsakliga problem med dagens reglering:

1.Det finns en risk att personer som en gång registrerats fort- sätter att behandlas under oproportionerligt lång tid, särskilt genom rutinmässig förlängning vid nya registreringar.

130SOU 2018:63 s. 163 och prop. 2020/21:224 s. 71.

468

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

2.Kravet på att varje personuppgift i gemensamt material ska bedömas separat skapar praktiska svårigheter som gör regler- ingen svårtillämpad.

En proportionerlig behandling blir med tiden oproportionerlig

Kartläggning av enskilda personers personliga förhållanden utgör ett intrång i skyddet för den personliga integriteten. På samma sätt kan en övervakning av åsiktsyttringar, deltagande på olika politiska manifestationer eller uttryck för religiös övertygelse utgöra ett in- trång i grundläggande opinionsfriheter. Sådan kartläggning sker i alla demokratiska stater och är förenlig med de mänskliga rättig- heterna så länge det är motiverat utifrån ett trängande allmänintresse. Däremot utgör tiden som en person finns i ett underrättelseregister en faktor som dag för dag ökar graden av intrång i den registrerades rättigheter. I många fall sammanfaller även det tilltagande intrånget med att de förhållanden som ursprungligen motiverade registrer- ingen minskar i betydelse.

Tiden som en person finns registrerad kan därför ensamt utgöra en faktor som innebär att intrånget inte längre är motiverat och därför utgör en kränkning. Europadomstolen har vid upprepade tillfällen påtalat att personuppgifter, om än de var relevanta att samla in, inte får bevaras längre än vad som är nödvändigt för ändamålet.

I ett av domstolens vägledande avgöranden, Segerstedt-Wiberg m.fl. mot Sverige,131 prövades Säkerhetspolisens behandling av per- sonuppgifter om fem personer. Av dem ansågs Sverige ha kränkt fyras rätt till privatliv genom den tid som de varit registrerade hos Säkerhetspolisen. Behandlingen hade i de fallen skett med stöd av polisdatalagen. De personuppgifter som domstolen hade att bedöma var bland annat att en av klagandena, som var en välkänd journalist på Göteborgsposten, år 1967 ”antagligen” hade deltagit i en konferens i Warszawa.132 För en av de andra klagandena prövades registrer- ingar avseende bland annat en mängd tidningsartiklar från 1970-talet och framåt, huvudsakligen avseende dennes aktiviteter i idrotts-

131Europadomstolens dom den 6 juni 2006, i mål 62332/00.

132Se punkt 15 och 19.

469

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

föreningen Proletären FF som har kopplingar till kommunistpartiet KPML(r) samt uppgifter om hans medlemskap i partiet.133

Domstolen ansåg att dessa registreringar i och för sig var accep- tabla under ändamålet att skydda nationell säkerhet, där staten har en bred bedömningsmarginal.134 Att i över trettio år behandla upp- giften om att en person antagligen varit på ett politiskt möte i Warszawa var dock inte proportionerligt i förhållande till detta ändamål. Det ansågs inte heller nödvändigt att bevara uppgifter om idrottsledaren i Proletären FF under så lång tid, då hotet mot natio- nell säkerhet från KPML(r) numera varken kunde anses vara fak- tiskt eller ens potentiellt.135

Den personuppgiftsbehandling som prövades av domstolen, rörde uppgifter som lämnats ut till de klagande strax efter att den absoluta sekretessen för uppgifter hos Säkerhetspolisen upphävts år 1999. I huvudsak avsåg registreringarna öppet tillgänglig infor- mation som tillförts respektive personakt. Uppgifterna kan sedda var för sig inte anses ha varit av särskilt känslig natur och domstolen ansåg att det varit acceptabelt att ursprungligen samla in uppgifter om klagandena utifrån de misstankar som då funnits. Trots detta utföll avvägningen mellan klagandenas rätt till privatliv och statens intresse av att skydda nationell säkerhet till klagandenas fördel, på grund av en allt för lång behandlingstid.

En automatisk förlängning av behandlingstid

vid nya registreringar innebär en risk för kränkning

Skälet till att de klagandes uppgifter i målet Segerstedt-Wiberg m.fl. mot Sverige behandlats under så lång tid var inte avsaknad av en behandlingsfrist i den dåvarande polisdatalagen. Även enligt den lagen skulle personuppgifter som huvudregel raderas senast tio år efter den senaste registreringen, om det inte fanns särskilda skäl.

Avseende de klagande i målet framstår det dock som att nya uppgifter registrerats kontinuerligt. För idrottsledaren i Proletären

FFfanns exempelvis en registrering från 1990-talet som avsåg en namninsamling som han skrivit under för sänkta avgifter för idrotts- anläggningar. Som det får förstås tillfördes denna uppgift mer eller

133Se punkt 30.

134Se punkt 87–88.

135Se punkt 90–91.

470

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

mindre rutinmässigt hans personakt, som ursprungligen öppnats genom en PM från 1973 som avsåg hans aktiva medlemskap i KPML(r). Trots att de ursprungliga misstankar om brottslig verk- samhet inom KPML(r) får antas ha förlorat i betydelse under åren då de senaste registreringarna gjordes kvarstod de som grund för behandling. De nya registreringarna förlängde i sin tur behandlings- tiden för de ursprungliga uppgifterna.

För journalisten vid Göteborgsposten saknades, såvitt framgår i målet, en personakt då han inte var föremål för någon egentlig brottsmisstanke då saken prövades i Europadomstolen. Hans per- sonuppgifter återfanns i stället i en rapport från år 1967 angående en världskonferens i Warszawa. Rapporten fanns alltjämt registrerad hos Säkerhetspolisen, antagligen i syfte att kartlägga vilka personer som kan ha rekryterats som spion för främmande makt under kalla kriget. En datoriserad sökning på journalistens personuppgifter i Säkerhetspolisens dåvarande system gav inte någon träff.136 Trots detta ansågs registreringen av hans personuppgifter i rapporten kränka hans rätt till privatliv.

Slutsatser om hur behandlingstid bör regleras

Rättsfallet Segerstedt-Wiberg m.fl. mot Sverige belyser två problem vid personuppgiftsbehandling inom underrättelseverksamhet. För det första finns det en risk att uppgifter om personer som en gång fångat säkerhetstjänstens uppmärksamhet kommer att fortsätta att behandlas under mycket lång tid. Det finns inom underrättelse- verksamhet, till skillnad mot brottsutredning, inte något egentligt skäl för myndigheten att avfärda misstankar genom att avskriva ett ärende eller liknande. Ett överskott av information är sällan till nackdel för uppdraget att upptäcka brottslig verksamhet och olika lagtekniska lösningar som förlänger behandlingstid har därför en tendens att möjliggöra att existerande personakter växer och fort- sätter att behandlas.

Det andra problemet är att personuppgifter som förekommer i ett material, låt vara att de endast rör sig om namn som nämns i ett avlyssnat samtal eller en personuppgift som ingår i ett dokument som är relevant att spara i sin helhet, alltjämt utgör en personuppgifts-

136Punkt 18–21.

471

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

behandling. Om varje enskild personuppgift i ett källmaterial ska bedömas för sig och endast behandlas så länge det är nödvändigt kommer den ursprungliga källan inte kunna behandlas längre än vad som är proportionerligt för den minst centrala uppgiften i den. För fortsatt behandling måste källmaterialet i annat fall genomgå en omfattande bearbetning där centrala partier isoleras från de mer perifera för att bedöma hur länge enskilda personuppgifter får behandlas. För en PM från en konferens i Warszawa är det kanske möjligt att göra en sådan separation. För mer ostrukturerade infor- mationsmängder ställer det dock mycket höga krav på efterbehand- ling för att åstadkomma en funktionell isolering av olika person- uppgifter. Det kan vara mycket svårt att separera bedömningar av personuppgifter som endast registreras för att de förekommer i ett sammanhang från de uppgifter som är skälet till att sammanhanget överhuvudtaget är relevant behandla.

Vi prövar frågan om hur behandlingstid bör regleras i den nya lagstiftningen med utgångspunkt i denna problemformulering.

8.17.4Hur bör längsta behandlingstid bestämmas?

Bedömning: Om personuppgifter får behandlas så länge de behövs måste behovet omprövas med viss regelbundenhet för att undvika att den personliga integriteten kränks.

Det behövs ett alternativ till en reglering som förutsätter kon- tinuerlig omprövning av varje personuppgift.

Behovsstyrd behandlingstid

Vi delar tanken bakom den nuvarande lagstiftningens grundläggande princip om att personuppgifter inte ska få lagras längre än vad som behövs för det eller de ändamål de behandlas. Att denna princip ska tillämpas följer också av både av dataskyddskonventionen och av Europadomstolens praxis. För att en sådan reglering ska fylla någon integritetshöjande funktion krävs dock att det verkligen sker en kontinuerlig behovsprövning och att personuppgifter där behovet av fortsatt behandling inte är proportionerligt faktiskt raderas.

472

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Särskilt inom underrättelseverksamhet är det ofta lätt att hitta argument för fortsatt behandling. Det finns därför goda skäl för att komplettera behovsprincipen för behandlingstid med bestämmelser om längsta tid för behandling.

Sådana regler får anses bygga på en presumtion för att behovet efter en viss tid inte längre motiverar intrånget som fortsatt regi- strering innebär.137 Att tvinga fram en bedömning av behovet inom viss tid är ett effektivt sätt att förhindra orimligt långa behandlings- tider.

Problemet är att en sådan tidsgräns som är avsedd att utgöra ett tak ofta blir ett golv. I avsnitt 3.5.7 redogör vi för Säkerhets- och integritetsskyddsnämndens uttalande om att det knappast kan anses förenligt med behovsprincipen att som huvudregel behandla alla personuppgifter under lagens längsta tid. Under behandlingstiden måste behovet av uppgifterna kontinuerligt omprövas.

Behovsstyrd behandlingstid, utan en lagstadgad yttersta tidsgräns, finns i Försvarsmaktens och FRA:s respektive personuppgiftslagar och i flera andra rättssystem som vi studerat, bland dem Norge och Förenade kungariket. Trots att lagen anger att personuppgifter får behandlas så länge som det behövs kompletteras den på olika sätt med mekanismer för regelbunden omprövning. Inom Försvarsmakten har vi fått uppgift om att det årligen sker en genomgång av uppgifter i underrättelsesystemen (”administrativa veckan”) för att vidta registervårdande insatser, bland annat genom att uppgifter som inte längre behövs ska raderas. I Norge finns i förordningen till polis- registerlagen en bestämmelse om att personuppgifter i underrät- telseverksamheten ska granskas senast fem år efter den senaste registreringen och att fortsatt lagring ska motiveras därefter.

Denna metod, att föreskriva lämpliga tidsgränser för periodisk översyn av behovet av fortsatt behandling, följer av brottsdatadirek- tivet. Enligt artikel 5 i direktivet är periodisk översyn ett alternativ till tidsgränser för radering. I Förenade kungariket, som bygger sin lagstiftning för säkerhetstjänsten på dataskyddskonventionen 108, har tillsynsmyndigheten förklarat att det krävs interna riktlinjer som på ett objektivt sätt rättfärdigar en viss behandlingstid, trots att det inte finns någon yttre gräns i lagstiftningen (se om refererade utländska rättssystem i kapitel 4).

137Jfr prop. 2009/10:85 s. 210.

473

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Lagtekniska utmaningar med behovsstyrd behandlingstid

Vi har konstaterat att Säkerhetspolisen generellt behöver behandla personuppgifter under längre tid än många andra myndigheter.

Säkerhetspolisen har förordat en längre generell behandlingstid som inte riskerar att uppgifter som senare kan visa sig nödvändiga raderas i förtid. Som framgått är även Sveriges tioårsgräns relativt kort vid en internationell jämförelse. Det finns många exempel på att det på förhand går att sluta sig till att uppgifter som registreras kommer behöva behandlas under längre tid än tio år. Att generellt utöka behandlingstiden, från tio till exempelvis 25 år, kan dock medföra att uppgifter om personer som inte längre har ett tillräckligt högt informationsvärde för Säkerhetspolisen ändå bevaras. Motsva- rande behandlingstid ansågs i målet Segerstedt-Wiberg m.fl. mot Sverige vara oproportionerligt lång med hänsyn till att behovet av uppgifterna successivt avtagit i takt med att omvärlden förändrats.

En sådan generell höjning av behandlingstiden för alla uppgifter skulle därför behöva kompletteras med regler om kontinuerlig behovsprövning för att säkerställa att lagstiftningen lever upp till Sveriges internationella åtaganden. Ur integritetssynpunkt är regel- bunden prövning av behovet av varje persons uppgifter att föredra.

Att reglera om periodvisa granskningar inom en längre tillåten behandlingstid innebär dock att stora resurser skulle behöva om- fördelas från operativ verksamhet till registervård. För att en period- vis granskning ska fylla någon integritetshöjande funktion krävs nämligen mer än att uppgifterna granskas ytligt. Balansen mellan Säkerhetspolisens behov av en uppgift och den enskildes intressen av att inte vara registrerad är inte alltid lätt att utföra.

Att kontinuerligt och manuellt granska samtliga personuppgifter som Säkerhetspolisen behandlar är mycket resurskrävande och förut- sätter en fördelning mellan operativ respektive registervårdande verksamhet som framstår som orimlig. För att förhindra att per- sonuppgifter behandlas oproportionerligt länge samtidigt som myndighetens effektivitet, och i slutändan operativa förmåga, inte påverkas i allt för hög grad behövs ett alternativ till kontinuerlig och manuell behovsprövning.

474

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Olika alternativ till kontinuerlig prövning

Kan vissa behandlingsåtgärder förlänga behandlingstiden?

Ett alternativ är att grunda den längsta behandlingstiden på vilka behandlingsåtgärder som vidtas om en person. Den nuvarande regleringen bygger på att nya uppgifter som registreras om en per- son förlänger behandlingstider för dennes samtliga personuppgifter. Som tidigare nämnts bär detta system på problemet att det sker en mer eller mindre automatisk förlängning av behandlingstiden för alla uppgifter. Detta trots att de uppgifter som tillförs kanske inte är av sådan tyngd att det framstår som motiverat att förlänga den ursprungliga registreringen med ett helt decennium. Det skulle vara möjligt att bygga ett system för förlängning på andra behandlings- åtgärder än registrering. Exempelvis skulle olika slags sökningar eller sammanställning kunna förlänga tidsfristen ett antal år för en person som ingår i en sådan sammanställning. Fördelen skulle vara att personuppgifter som inte aktivt används i den operativa verk- samheten, vilket talar för att uppgiften inte längre uppfyller behovs- kriteriet, på så sätt gallras ur systemet efter hand samtidigt som uppgifter om mer centrala aktörer bevaras.

Ett problem är att Säkerhetspolisens fokusområden har en ten- dens att skifta över tid. Om stora resurser under en period har lagts på att kartlägga islamistisk terrorism kommer uppgifter inom detta område att förlängas. På grund av att myndigheten har begränsade resurser sker emellertid detta på bekostnad av andra verksamhets- grenar trots att uppgifter där också kan vara väsentliga att kunna behandla över tid. Det finns även tekniska problem med att skapa ett effektivt och rättssäkert system runt olika behandlingsåtgärder. På något sätt måste endast vissa mer kvalificerade behandlingar påverka behandlingstiden. Detta för att undvika att allt för många personers uppgifter förlängs genom exempelvis kontinuerliga före- komstssökningar eller uppdateringar av uppgifter. Vi anser mot denna bakgrund att detta inte är en framkomlig väg.

475

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Kan misstanke utgöra grund för behandlingstid?

Ett annat alternativ som vi övervägt är att koppla behandlingstiden för en viss persons personuppgifter till en misstanke avseende den brottsliga verksamhet som Säkerhetspolisen ansvarar för. En person som är underrättelsemisstänkt för allvarlig brottslig verksamhet skulle då kunna behandlas under längre tid än de perifera personer som ingår i en kartläggning, utan att själva vara misstänkta. Ett sådant system skulle ha fördelen att personer vars beteende kan föranleda att Säkerhetspolisen får vidta olika åtgärder skulle kunna bevaras så länge det behövs. Personuppgifter avseende andra, mer perifera, personer skulle kunna ges en kortare behandlingstid. Att på så sätt koppla det intrång som en längre behandlingstid innebär för den enskilda till konkreta omständigheter som rör brottslig verksamhet skulle ligga i linje med Europadomstolens praxis att varje intrång i den personliga integriteten måste vara nödvändigt

i ett demokratiskt samhälle.

Vi har dock som framgått kommit till slutsatsen att misstanke- markering i underrättelseverksamheten inte är lämplig att överföra till den nya lagen, se avsnitt 8.13.4. Misstanke är ett begrepp som inte lämpligen bör användas i detta sammanhang, då misstankarna i underrättelseverksamhet per definition inte får vara av sådan tyngd att det finns anledning att anta brott har förövats. Att peka ut vissa aktörer som underrättelsemisstänkta på så vaga grunder som förut- sätts för att informationen ska utgöra underrättelseverksamhet framstår inte som rättssäkert och behandlingstidens längd kan då få ett betydande inslag av godtycke.

När uppgifter behandlas om personer som kan antas ha begått ett konkret brott ska som regel en förundersökning inledas, vilket innebär att rättegångsbalkens regler blir tillämpliga. En del av Säker- hetspolisens uppdrag är att förhindra brott. Det innebär ofta att en krets kring de som är underrättelsemisstänkta måste kartläggas.

Exempelvis innebär misstankar om att en person är en utländsk underrättelseofficer att kartläggning måste ske av de personer som denne har kontakt med, ibland i flera led. Avgränsningsproblem kan lätt uppkomma i ett sådant system som endast utgår från en misstanke.

Problemet med att personuppgifter som förekommer i ett käll- material som i andra delar är relevant adresseras inte heller genom

476

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

något av dessa alternativ. Vi har därför övervägt ett ytterligare alter- nativ som kan tillgodose kravet på proportionalitet vid personupp- giftsbehandling och samtidigt vara förenligt med en effektiv verk- samhet för Säkerhetspolisen.

8.18Säkerhetspolisen bör bestämma behandlingstiden i samband med registrering av uppgifter

8.18.1Behovet kan ofta bedömas vid registrering

Förslag: Behandlingstiden ska bestämmas vid inledande gransk- ning då personuppgifter registreras eller då personuppgifter bör- jar behandlas för ett nytt ändamål.

Behovet kan ofta förutses

Huvudregeln i dataskyddskonventionen och i Europadomstolens praxis är att personuppgifter inte får behandlas under längre tid än vad som är behövs med hänsyn till ändamålet med behandlingen.

Vi anser att det är möjligt att göra en bedömning av hur länge en person behöver vara registrerad hos Säkerhetspolisen redan då upp- giften registreras. Det finns redan i dagens lagstiftning ett synsätt som innebär att behovet av att behandla vissa uppgifter är beroende av karaktären av den företeelse som föranlett registreringen. I säpo- datalagen finns en möjlighet för Säkerhetspolisen att specifikt inom området säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt bevara uppgifter i upp till 40 år. Den förlängda behandlingstiden inom kontraspio- naget motiverades i förarbetena med att främmande makts infor- mationsinhämtning regelmässigt bedrivs långsiktigt inom ambitiösa spionprogram. Säkerhetspolisen kan redan på förhand förutse att kartläggning av sådan verksamhet kommer att vara relevant under lång tid. Regeringen förklarade att det innan säpodatalagen infördes regelmässigt fattades förlängningsbeslut vid slutet av den tioåriga behandlingsfristen. Säkerhetspolisen uppskattade att personal inom kontraspionaget fattade flera tusen sådana beslut varje år. Reger-

477

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

ingen motiverade den förlängda behandlingstiden inom denna verk- samhetsgren med att det inte är rimligt att lägga betydande resurser på att regelbundet fatta beslut om förlängning, trots att det ofta på förhand kan förutses att förlängning av fristen är nödvändig. Risken för att behandlingen av uppgifter upphör i förtid på grund av tids- brist eller felaktiga beslut vägdes också in.138

Inom kontraspionaget finns därmed ett uttalat behov av lång- siktig kartläggning, vilket motiverat en möjlighet till längre behand- lingsfrist för vissa uppgifter. Vi anser att samma synsätt kan göras gällande även inom andra verksamhetsområden. Som framgår i avsnitt 6.1.5 finns även inom andra verksamhetsgrenar behovet av att lagra uppgifter under längre tid än vad som följer av den nuva- rande tioårsfristen. Exempelvis bör uppgifter om att en person är verksam i en organisation som ägnat sig åt systematiska, omfattande och grova övergrepp kunna behandlas i minst 25 år. I annat fall finns bland annat en risk att den personen på felaktiga grunder beviljas svenskt medborgarskap eller att uppgifter som behövs för utred- ning av brott utan preskriptionstid raderas i förtid. På motsvarande sätt kan det ofta gå att förutse att det saknas skäl att lagra uppgifter under så lång tid som är maximalt tillåtet. En kortare behandlings- tid bör förstås gälla i sådana fall. Det bör alltså övervägas regler som tar hänsyn till dessa varierande förhållanden.

Behandlingstiden kan bestämmas efter inledande granskning

Vi anser att det finns skäl att föreslå regler som låter Säkerhetspoli- sen att på förhand besluta om differentierade och proportionella behandlingstider. Vi har föreslagit att uppgifter som samlas in eller inhämtas ska genomgå en inledande granskning innan de görs opera- tivt tillgängliga. I samband med denna granskning bör behovet av uppgifterna kunna bedömas. Vi utgår ifrån att operativ personal som arbetar i de verksamheter som uppgifterna är hänförliga till kommer att utföra stora delar av denna inledande granskning. De kommer då att ha genomgått de utbildningarna m.m. som krävs för att granska att uppgifterna behandlas författningsenligt. När denna granskning utförs bör det framtida behovet av uppgifterna i verk- samheten kunna bedömas.

138Se prop. 2018/18:162 s. 124 ff.

478

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Genom att beslutet om behandlingstid tar sikte det konkreta behovet i det enskilda fallet kommer dataskyddskonventionens krav att kunna uppfyllas. Risken att uppgifter behandlas under orimligt lång tid på grund av att de inte hunnit eller kunnat omprö- vas minskar också då behandlingstiden är individuellt anpassad.

Om Säkerhetspolisen, då personuppgifter registreras, bestäm- mer en behandlingstid kan både verksamhetens behov och integri- tetsintresset värnas. Detta system har delvis sin förebild i Danmark och de regler som gäller för den danska säkerhetstjänsten PET, se avsnitt 4.2.2.

Ny behandlingstid för nya ändamål

En personuppgift som inledningsvis behandlats för ett visst ändamål kan komma att återaktualiseras för ett annat. Exempelvis kan upp- gifter som inledningsvis behandlats för att kartlägga terroristnät- verk visa sig leda till främmande makts säkerhetshotande verksam- het. Uppgifter som behandlas för underrättelseändamål kan ge upphov till att en förundersökning inleds. Uppgifter från en för- undersökning kan behöva fortsätta att behandlas i underrättelse- verksamhet. Ett annat exempel är att personuppgifter kan behöva behandlas för utvecklingsändamål (se avsnitt 8.4.6).

Behovet av att behandla uppgifter i den nya verksamheten, för andra ändamål, är inte alltid detsamma som behovet av uppgifterna i den verksamhet där de ursprungligen behandlats. När uppgifter börjar behandlas för ett nytt ändamål måste behandlingstiden där- med bestämmas efter behovet i förhållande till det nya ändamålet.

8.18.2Längsta behandlingstid i lag

Förslag: Behandlingstiden får inte bestämmas till längre än vad som behövs för ändamålet och får inte överskrida

–60 år om ändamålet för behandlingen hänför sig till säkerhets- hotande verksamhet från främmande makt,

–5 år om uppgifterna behandlas endast för utvecklingsändamål, och

–25 år om uppgifterna behandlas för något annat ändamål.

479

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det finns skäl att föreskriva en längsta behandlingstid i lag

I och med att en behandlingstid bestäms redan vid registreringen av en uppgift kommer det att finnas en yttre gräns för varje person- uppgift som behandlas. Det bör dock även finnas en dataskydds- mekanism som förhindrar registreringar som i praktiken är obegrän- sade i tid. Inom denna yttre tidsram bör Säkerhetspolisen kunna besluta om en behandlingstid anpassad efter ändamålet med behand- ling, uppgiftens karaktär och övriga omständigheter.

En längsta behandlingstid som regleras i lag är normerande för vilka tider som Säkerhetspolisen bestämmer, där den yttersta tiden i spannet måste vara förbehållet de mest angelägna fallen. Vidare ger det ett mått av transparens som annars inte är möjlig att uppnå.

En längsta behandlingstid som är angiven i lag bör kunna vara betydligt längre än den nuvarande tioårsfristen, eftersom den inte är avsedd att utgöra den generella behandlingstiden för samtliga uppgifter. Dagens tioårsfrist utgör en balans mellan intresset av att inte vara registrerad och Säkerhetspolisens behov av kartläggning av brottslig verksamhet. Det innebär att behov kopplade till skyd- det av nationell säkerhet har fått stå tillbaka för att balansera in- trånget i enskildas fri- och rättigheter. Vi föreslår att denna bedöm- ning inte på samma sätt ska göras på lagstiftningsnivån utan i stället i tillämpningen av differentierade behandlingsfrister i det enskilda fallet. Lagstiftningen bör därför medge en behandlingstid som på ett bättre sätt motsvarar det faktiska behovet av att i vissa särskilt angelägna fall kunna behandla uppgifter under lång tid.

En rimlig behandlingstid för underrättelseverksamheten

En generell behandlingstid som medger kartläggning över tid

Den längsta behandlingstiden bör vara tillräckligt för att kunna kartlägga centrala individer inom alla verksamhetsgrenarna så länge dessa personer kan anses utgöra ett hot mot nationell säkerhet. Den brottskatalog som Säkerhetspolisen i dag ansvarar för inne- håller en rad mycket allvarliga brott där det i vissa fall saknas pre- skriptionstid. Det finns erfarenheter av att personer som begått allvarliga brott upptäcks och lagförs efter mycket lång tid. I dessa fall kan underrättelseuppgifter spela en avgörande roll i brottsutred-

480

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

ningen. Samtidigt bör det finnas en rimlig gräns för hur länge en person kan kvarstå utan att behovet omprövas. Så som illustreras

ifallet Segerstedt-Wiberg m.fl. mot Sverige finns alltid en risk (eller möjlighet) att omvärlden förändras på så sätt att misstankar efter ett antal decennier kan framstå som främmande, om än de fram- stod som relevanta i sin ursprungliga omvärldskontext.

Vi anser att den längsta behandlingstid som bör kunna beslutas då personuppgifter registreras ska vara 25 år. Efter 25 år bör den brottsliga verksamheten antingen ha konkretiserats genom nya uppgifter eller kunnat avfärdas. Denna längsta tid är förstås avsedd att tillämpas endast i de mest angelägna fallen.

Främmande makts säkerhetshotande verksamhet

Alltjämt kvarstår behovet av att kunna kartlägga företeelser som statliga aktörer ligger bakom. Inom främmande makts spionprogram som riktas mot Sverige och vårt närområde utgör enskilda personer endast kuggar i en betydligt större maskin. På motsvarande sätt som i den nuvarande lagstiftningen finns därför skäl att se annor- lunda på personuppgifter som behandlas för ändamålet kontraspio- nage. Säkerhetspolisen bör ha möjlighet att teckna en bild av hela spionprogrammet och hur det utvecklas över tid.

Den nuvarande behandlingsfristen är 40 år för sådana uppgifter. Säkerhetspolisen har pekat på flera förhållanden som talar för att denna tidsfrist inte är tillräckligt lång. Utländska underrättelse- officerare behöver exempelvis regelmässigt kartläggas under hela den tid då de kan förväntas arbeta på främmande makts uppdrag. Denna tid överensstämmer inte alltid med en tjänstetid. En under- rättelseofficer som bosätter sig i Sverige efter pension kan alltjämt förväntas vara av intresse för Säkerhetspolisen. För att kunna kart- lägga utländsk underrättelseverksamhet bör personuppgifter därför få behandlas under mycket lång tid. I likhet med vad som framförts angående den militära underrättelse- och säkerhetstjänstens kart- läggning av utländska militära befattningshavare bör behandlings- tiden motsvara en persons hela aktiva karriär.

Vi anser därför att en yttre behandlingsfrist bör vara 60 år i dessa fall. Integritetsintresset hos personal som är verksamma vid ambas- sader eller andra beskickningar med uppdrag för främmande makt

481

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

väger ofta inte heller lika tungt som i många andra fall. En person som är utsänd att för sin stats räkning inhämta information, eller den som har samröre med en sådan person, räknar sannolikt med att i någon mån vara kartlagd av värdlandets säkerhetstjänst. Att uppgifter om denna behandlas under lång tid kan därför ofta vara proportionellt.

Utvecklingsändamål

Vi har föreslagit en lagregel som uttryckligen medger att Säkerhets- polisen ska få behandla personuppgifter för att fortlöpande utveckla den teknik och metodik som behövs för brottsbekämpningen. För sådana utvecklingsändamål kan finnas integritetsrisker som inte motsvaras av ett motsvarande allmänintresse.

När personuppgifter behandlas för andra operativa ändamål bör det inte finnas något hinder mot att dessa uppgifter även används för exempelvis maskininlärning. Denna behandling får då prövas utifrån de grundläggande kraven på bland annat proportionalitet.

När uppgifter däremot samlats in enbart för utvecklingsända- mål, eller på annat sätt endast behandlas i detta syfte, finns det dock skäl att begränsa behandlingstiden. Uppgifter som behandlas enbart för utvecklingsändamål kan röra personer som inte på något sätt genom sitt eget beteende kan förvänta sig att finnas registre- rade hos Säkerhetspolisen. Det kan exempelvis röra sig om person- uppgifter som används för att förbättra språkmodeller, översätt- ningstjänster eller ansiktsigenkänningsprogramvara.

Sådana uppgifter bör endast få behandlas under kortare tid och som längst i fem år.

8.18.3Proportionell behandlingstid

Förslag: Behandlingstiden ska bestämmas så att en proportio- nerlig behandling av personuppgifter uppnås. Det innebär att tiden inte endast ska bestämmas efter verksamhetens behov utan även beakta intrånget i de enskilda eller allmänna intressena som behandlingen innebär över tid.

482

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Den längsta tiden för behandling av personuppgifter bör som sagt inte vara densamma som den tid som alla personuppgifter i prakti- ken behandlas. I likhet med annan personuppgiftsbehandling enligt lagen ska bestämmande av behandlingstid vara förenlig med de grundläggande principerna för ett fri- och rättighetsintrång. Det innebär att behandlingstiden inte ska vara längre än vad som behövs för ändamålet med behandlingen och inte heller utgöra ett opropor- tionerligt intrång i den registrerades fri- och rättigheter.

Den första delen av denna prövning, hur länge uppgifterna behövs är givetvis beroende av vilket ändamål och vilken slags uppgifter det är fråga om. Som nämnt kan det vid kartläggning av främmande makts underrättelseverksamhet i Sverige ofta finnas behov av en lång- siktig kartläggning. När det å andra sidan gäller personuppgifter som ska behandlas för att utforma hot- och riskanalyser inom per- sonskyddsverksamhet kan uppgifter ofta vara mer av en färskvara.

När behovet klarlagts krävs att behovet och ändamålet prövas mot andra skyddsvärda intressen; i första hand den registrerades intresse av att inte förekomma i Säkerhetspolisens register längre än nödvändigt. Även andra allmänna intressen som risken för att opinionsfriheterna påverkas negativt ska vägas in. Det kan exempel- vis finnas en avkylande effekt för den fria åsiktsbildningen om uttalanden och uttryck för politisk övertygelse bevaras mycket länge. Om intrånget i fri- och rättigheter är så stort att behand- lingen sammantaget framstår som oproportionerlig, måste behand- lingstiden förkortas för att nå en jämnvikt mellan behovet av att skydda nationell säkerhet och enskildas grundläggande fri- och rättigheter.

Eftersom den längsta behandlingstiden ska anses vara reserverad för det fall då ändamålen med styrka talar för att den ska bestämmas till 25 år kommer normaltiden behöva vara kortare. Vid en bred underrättelseinhämtning, då misstankar om brottslig verksamhet är vaga, får behovet av uppgifterna anses relativt sett lägre än vad som är fallet exempelvis om en person rest för att ansluta sig till Islamiska staten. Att behandla personuppgifter i 25 år vid en sådan bredare kartläggning, av exempelvis en viss miljö där radikalisering kan miss- tänkas, skulle vara ett oproportionerligt intrång i de registrerades personliga integritet och medföra risker för opinionsfriheterna.

I de fall, då ändamålet med att behandla de enskilda personupp- gifterna saknar närmare konkretion kan inte proportionalitetspröv-

483

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

ningen medge en allt för lång behandlingstid. Ett bredare under- rättelseändamål tillåter behandling av många personuppgifter. Detta måste kompenseras genom en betydligt kortare behandlingstid för detta ändamål, för att behandlingen ska anses proportionerlig och uppfylla kravet på att vara nödvändigt i ett demokratiskt samhälle.

Det finns flera faktorer som kommer att behöva beaktas vid avvägningen. I svensk lagstiftningstradition anges sällan de ingående parametrarna i en proportionalitetsprövning. Hur bedömningen ska gå till följer bland annat av praxis från Europadomstolen och svenska domstolar. Vi uppfattar att det inte heller är lämpligt att låsa fast prövningen kring vissa bestämda rekvisit. Innehållet i olika begrepp skiftar över tid och är beroende av bland annat utveck- lingen i samhället och ny teknik. Någon närmare instruktion i lag- stiftningen för hur behandlingstiden generellt ska bestämmas behövs därmed inte. Det är tillräckligt att hänvisa till att behandlingstiden är en del av den proportionalitetsprövning som ska gälla all person- uppgiftsbehandling.

I denna bedömning ingår att pröva behovet av att behandla upp- gifterna mot det intrång som registreringen innebär för den enskilde. Behovet av fortsatt behandling avtar ofta över tid. Intrånget där- emot får anses vara relativt sett högre ju längre en uppgift finns bevarad hos en säkerhetstjänst, särskilt om uppgifterna är av käns- lig eller privat natur. Intrångsbedömningen bygger på den grund- läggande tanken att varje år en uppgift behandlas minskar normalt behovet samtidigt som intrånget ökar. När intrånget överstiger behovet föreligger inte längre proportionalitet och behandlingen ska därmed avslutas.

Självklart måste bedömningen i verksamheten ofta vara schablo- niserad och det kommer finnas ett stort behov av metodstöd för de medarbetare som fastställer behandlingstid. Denna modell förutsät- ter även att verksamhetsstöden anpassas till det förändrade regel- verket så att det ger stöd för dessa bedömningar.

8.18.4Behandlingstid för uppgifter om barn

Förslag: Det ska framgå att Säkerhetspolisen ska ta hänsyn till att barns personuppgifter ska omfattas av ett särskilt starkt per- sonuppgiftsskydd.

484

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

När det gäller barn som registreras hos Säkerhetspolisen finns i

4 kap. 7 § andra stycket säpodatalagen särskilda bestämmelser om behandlingstid. För gemensamt tillgängliga uppgifter är behand- lingstiden hälften så lång för barn som för vuxna. Denna ordning var ursprungligen intern myndighetspraxis som kodifierades i sam- band med säpodatalagens tillkomst. De integritetsskyddande reg- lerna ansågs göra sig gällande i särskilt hög grad vid behandling av uppgifter om barn.139 Motsvarande argumentation ligger även bakom bland annat de förkortade gallringstiderna ur belastningsregistret. Vissa påföljder gallras ur belastningsregistret efter fem år om upp- giften avser en person som var under 18 år vid tidpunkten för brottet. För vuxna är motsvarande gallringsfrist tio år.140

Vi anser att det finns goda skäl för att uppgifter om barn inte ska registreras enligt samma principer som för vuxna. En belastande registrering som avser en ung person får anses utgöra ett större integritetsintrång än en motsvarande registrering för en vuxen. In- trånget över tid får även anses öka i högre takt när det gäller regi- streringar som avser barn. Det finns skäl för att misstag som beror på bristande utveckling och dåligt omdöme i barndomen inte ska påverka individens framtida livsval i högre grad än nödvändigt.

Uppgifter om barn som inte innebär något påtagligt intrång i barnets rätt bör dock inte omfattas av särskilda regler. Om det finns uppgifter om ett barn som exempelvis omnämns i ett samtal eller förekommer på ett fotografi behöver inte några särskilda hänsyn tas. Barnets rätt kan inte anses ha påverkats genom att förekomma i ett sådant sammanhang. Att barns personuppgifter är mer skydds- värda avser belastande registreringar.

Vi anser att det vid bestämmande av behandlingstid särskilt ska beaktas att uppgifter som rör barn ska omfattas av ett särskilt starkt personuppgiftsskydd. Detta bör komma till uttryck i lag och inne- bär att detta förhållande särskilt ska beaktas. Det finns dock inte skäl att föreskriva någon bestämd kortare behandlingstid i dessa fall. Behandlingstiderna är som sagt avsedda att utgöra ett tak, och inte att den normala behandlingstiden. Att barns uppgifter ska omfattas av ett särskilt starkt personuppgiftsskydd medför att de längsta behandlingstiderna bör tillämpas endast i undantagsfall.

139Prop. 2018/19:163 s. 121.

140Se 17 § lagen (1998:620) om belastningsregisterlag och prop. 2009/10:191 s. 10 ff.

485

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.18.5Behandlingen ska upphöra om det framgår att uppgifterna inte behövs

Förslag: Personuppgifter får inte behandlas om det framgår att uppgifterna inte längre behövs för ändamålet med behandlingen.

Av behovsprincipen följer att personuppgifter endast får behandlas om de behövs för ett ändamål. Den nuvarande ordningen bygger på tanken om att behovet av en uppgift kontinuerligt ska omprövas.

Det system vi föreslår innebär att prövningen görs på förhand, då behandlingen av uppgiften påbörjas.

Även om det följer av den allmänna principen om att uppgifter som inte behövs inte ska behandlas kan det finnas anledning att särskilt ange att detta gäller även inom behandlingsfristen. Om Säkerhetspolisen upptäcker att personuppgifter inte längre behövs ska det finnas en skyldighet att omedelbart avsluta behandlingen.

Vi kommer i avsnitt 8.20.2 närmare redogöra för vår syn på kontinuerlig personuppgiftsgranskning.

8.18.6Det bör vara möjligt att förlänga behandlingstiden

Förslag: Säkerhetspolisen ska få besluta att förlänga behandlings- tiden för personuppgifter som fortfarande behövs för det ända- mål som de behandlas för.

Säkerhets- och integritetsskyddsnämnden ska underrättas om behandlingstiden överstiger de längsta tider som anges i lag.

Enligt 4 kap. 10 § säpodatalagen får Säkerhetspolisen, om det finns särskilda skäl, besluta att personuppgifter får behandlas under längre tid än vad som följer av de olika fristerna i lagen. Ett särskilt skäl kan vara att ärendet rör en företeelse eller en person som har för- lorat aktualitet men som goda grunder kan antas få ny betydelse i framtiden. Av förarbetena framgår att ett förlängningsbeslut ska dokumenteras särskilt och behovet av längre behandlingstid moti- veras.141

141Se prop. 2018/19:163 s. 127 och 238 samt prop. 2009/10:85 s. 269.

486

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Även om behandlingstiden differentieras på ett annat sätt genom vårt förslag kan behovet av uppgifter förändras då de behandlats en tid. Nya uppgifter om personen eller en bättre förståelse för den företeelse som uppgifterna har anknytning till kan förändra tidigare bedömningar. Det finns därför alltjämt goda skäl till att den tid som ska bestämmas i samband med registrering ska kunna förlängas om behovet av uppgiften kvarstår eller om det är möjligt att förutse att den är längre än vad som antogs då uppgiften registrerades.

Att det ska finnas möjlighet att förlänga och ompröva behand- lingstid kan också bidra till att tiderna inte sätts längre än vad som är nödvändigt ”för säkerhets skull”. Det är Säkerhetspolisens ansvar att bestämma behandlingstiden med tillämpning av proportionalitets- principen inom de gränser som anges i lagen. Om det finns behov av att förlänga behandlingstiden, antingen för att den löpt ut eller för att det går att förutse att behovet är längre, bör Säkerhetspoli- sen kunna göra det på samma sätt som då behandlingstiden bestäms. Så länge förlängningen inte innebär att uppgiften behandlas längre än vad som hade kunnat bestämmas redan första gången finns inte någon anledning att ställa några krav på särskilda skäl eller liknande.

Om behandlingstiden däremot förlängs över de frister som anges i lagen, 25 år eller 60 år, bör det ställas krav på att det ska göras genom ett motiverat beslut. Om det är proportionerligt att för- länga tiden längre än 25 år, får det antas att skälet som talar för åtgärden är av väsentlig betydelse för nationell säkerhet. I dessa fall bör även Säkerhets- och integritetsskyddsnämnden underrättas om beslutet, i syfte att effektivisera tillsynen över denna prövning.

8.18.7Behandlingstiden för uppgifter som är förenade

av ett sammanhang bör kunna bedömas gemensamt

Förslag: Det ska vara möjligt att bestämma en proportionerlig behandlingstid för alla personuppgifter som är förenade av ett sammanhang.

487

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Underrättelseverksamhet kräver sammanhang

Säkerhetspolisens behov skiljer sig mycket från den personuppgifts- behandling som utförs av många andra myndigheter. En myndighet som exempelvis Försäkringskassan eller Centrala Studiestödsnämn- den behandlar i huvudsak uppgifter som den enskilde lämnat in och som är relevanta för att pröva ett visst ärende. Detsamma gäller per- sonuppgiftsbehandling som sker inom näringslivet, där den enskilde lämnar ifrån sig personuppgifter genom att exempelvis använda sig av vissa tjänster. Den största delen av personuppgifter från sådan insamling rör den enskilde själv. Systematiken inom personuppgifts- rätten utgår ofta denna typ av personuppgiftsbehandling där de registrerade kan särskiljas och bedömas för sig.

I dag är utgångspunkten även för Säkerhetspolisens personupp- giftsbehandling att olika personers uppgifter behandlas var för sig i olika personakter. Denna struktur är dock inte anpassad för myn- dighetens uppdrag som bland annat innebär aktiv informations- inhämtning i syfte att upptäcka brottslig verksamhet. Vi har i avsnitt 8.6.3 redogjort för vår bedömning av att det för den natio- nella säkerhetstjänsten inte kan ställas krav på att behovet av varje enskild personuppgift alltid ska kunna motiveras, utan att ända- målen för personuppgiftsbehandling ska kunna avse sammanhang. Detta har vi formulerat som att samtliga uppgifter i ett relevant sammanhang kan behövas för kartläggning av brottslig verksamhet. Frågan är hur behandlingstiden ska bestämmas för dessa uppgifter.

Om Säkerhetspolisen exempelvis behandlar en avlyssnad kon- versation mellan två personer kommer det där förekomma person- uppgifter av olika slag. I konversationen kommer det givetvis finnas uppgifter om de personer som talar med varandra, men ofta också en mängd direkta eller indirekta personuppgifter som rör andra, som endast omnämns. Även om det skulle vara önskvärt att de individer som inte har något att göra med den brottsliga verksam- het som kartläggs skulle maskeras eller registreras endast under en kortare tid är detta i praktiken inte möjligt.

För det första är det inom underrättelseverksamheten svårt att på ett tidigt stadium ha den överblick som krävs för att kunna av- färda uppgifter om individer som omnämns på detta sätt som obehöv- liga. Det följer av underrättelseverksamhetens natur att det behövs

488

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

en bredare kartläggning för att slutligen kunna klarlägga vilka per- sonuppgifter som hör till relevanta aktörer och vilka som inte gör det.

För det andra skulle en radering av vissa personuppgifter i den exemplifierade konversationen kunna förta sammanhanget av andra uppgifter. Om ett avlyssnat samtal skulle vara fullt av raderade par- tier eller plötsliga luckor, där en person som är perifer i samman- hanget omnämns, skulle källvärdet av samtalet som helhet riskera att bli påtagligt lägre.

För det tredje innebär den manuella bedömningen och gallringen bland alla de personuppgifter som kan förekomma i en informations- mängd en påtaglig och i praktiken svårhanterad administrativ börda.

Det finns exempel på hur frågan om personuppgifter i ett sam- manhållet källmaterial kan hanteras. I den danska lagstiftningen finns exempelvis en bestämmelse som innebär att PET inte är skyl- dig att radera personuppgifter som ingår i handlingar eller liknande om handlingen i övrigt uppfyller behovskriteriet för att bevaras. Regeln innebär alltså att behovet av att bevara handlingen även om- fattar de uppgifter i den som i och för sig inte behövs eller är rele- vanta för ändamålet med insamlingen. I Danmark finns därmed en skillnad i regleringen av skyldigheten att radera personuppgifter som förekommer på uppgiftsnivå i förhållande till det som kan betecknas som dokumentnivå.

Behandlingstiden bör kunna bestämmas för ett källmaterial i sin helhet med beaktande av proportionalitetsprincipen

Som tidigare nämnts utgör bestämmande av behandlingstid en cen- tral del av proportionalitetsprövningen i Säkerhetspolisens person- uppgiftsbehandling. En längre behandlingstid utgör ett större intrång som måste vara motiverat av starkare skäl än en kortade behandlings- tid. Vi har anammat synsättet att Säkerhetspolisens personuppgifts- lagstiftning måste vara anpassat efter myndighetens särskilda verk- samhet, där en av förutsättningarna är att fler personuppgifter behöver behandlas än för många andra myndigheter.

Det finns ett behov att i större utsträckning än tidigare kunna bedöma material i ett sammanhang. Det kan exempelvis röra sig om ett it-beslag i form av en mobiltelefon. I stället för att gå igenom varje enskild personuppgift i beslaget bör behovet av att bevara de uppgifter som finns i telefonen kunna bedömas samlat. Ett sådant

489

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

källmaterial innehåller ofta betydligt fler personuppgifter än vad som är direkt relevant för ändamålet med behandlingen. För att sådan information ska kunna behandlas krävs ett regelverk som erkänner och klargör att det är relevant och adekvat att behandla även mer perifera personers uppgifter över tid. Det kan exempelvis vara anhöriga eller bekanta till den som beslaget riktades mot men som inte genom eget beteende gjort skäl för att finnas registrerade hos Säkerhetspolisen. Dessa personers personuppgifter behandlas inte för att upptäcka eller förebygga brottslig verksamhet där de själva ingår. Uppgifterna behandlas i stället för att kartlägga den aktör som ingår i en viss brottslig verksamhet och därmed för att kartlägga och klarlägga den brottsliga verksamheten i stort. Detta får betydelse även för frågan om hur behandlingstiden ska bestämmas.

För att det ska vara möjligt för Säkerhetspolisen att på ett effek- tivt sätt bedriva sin verksamhet bör behandlingstid för uppgifter som förekommer i större, integrerade sammanhang kunna bestäm- mas gemensamt. Behandlingstiden bestäms då inte för varje persons uppgifter, utan för en viss handling eller ett visst sammanhang.

När behandlingstiden ska bestämmas kommer frågan om pro- portionalitet att vara avgörande. I många fall kan det vara möjligt för Säkerhetspolisen att avgränsa ett material på så sätt att det mest centrala personuppgifterna kan behandlas under den tid som behövs. Om det emellertid förekommer en större mängd mer perifera per- sonuppgifter i ett informationsunderlag, är det vår uppfattning att det bör påverka behandlingstiden för materialet som helhet. Det samlade integritetsintrånget för materialet blir högre ju fler per- soners uppgifter som behandlas. Eftersom behovet av att bevara de mer perifera uppgifterna inte är av samma styrka som behovet avseende de centrala aktörerna, kan behandlingstiden för materialet i sin helhet behöva justeras nedåt för att uppnå proportionalitet.

En omfattande behandling kan normalt inte ske lika länge som en mer koncentrerad, eftersom intrånget blir större ju fler uppgifter det rör sig om. Samtidigt kan ett mycket tungt vägande ändamål motivera en lång behandlingstid för de uppgifter som ingår i kart- läggningen. Det krävs dock ett konkret och specifikt ändamål av tillräcklig tyngd för att väga upp intrånget för de personer som inte är föremål för några omedelbara misstankar. Det kan vara till fördel om Säkerhetspolisen utformar metodstöd som medför viss schablo- nisering av bedömningen.

490

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.18.8Från vilken tid ska behandlingsfristen räknas?

Förslag: Behandlingstiden ska antingen räknas från den senaste registreringen avseende personens anknytning till ändamålet för behandlingen eller avse viss tid.

Den nuvarande ordningen

Den nuvarande säpodatalagen innehåller flera olika bestämmelser om den tidpunkt från vilken de olika behandlingstiderna ska räknas. För uppgifter som inte är gemensamt tillgängliga räknas tiden

från att det ärendet avslutats eller, om de inte kan hänföras till ett ärende, från att uppgifterna behandlades första gången. För upp- gifter som förekommer i brottsanmälningar är gränsen densamma som åtalspreskription. I avslutade förundersökningar räknas behand- lingstiden från besluts- eller domsdatum. För övriga uppgifter som gjorts gemensamt tillgängliga räknas tiden från utgången av det kalenderår då den senaste registreringen gjordes avseende perso- nen. För sådana personuppgifter som behandlas inom kontraspio- naget krävs dock att registreringen ska avse personens anknytning till brott eller brottslig verksamhet.

De olika tidsfristerna bygger på en systematik från brottsdata- lagen och tidigare polisdatalagar. Polisens underrättelseverksamhet sker i stor utsträckning i särskilda underrättelseärenden, där tanken är att uppgifterna endast behandlas av ett fåtal personer. I sådana underrättelseprojekt får uppgifter behandlas till dess att ärendet avslutades och ett år därefter. För Säkerhetspolisens finns inga egentliga skäl att inleda motsvarande underrättelseärenden. Vi anser att den nya lagen behöver ha en annan utgångspunkt när det gäller hur behandlingsfristen ska konstrueras.

491

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det behövs en möjlighet att räkna behandlingsfristen för varje person från den senaste registreringen

Det finns ett behov av att behandla uppgifter i personakter

Det nuvarande systemet är komplext på ett sätt som inte framstår som motiverat av integritetshänsyn. Den behandlingsfrist som i dagsläget främst tillämpas är att tiden förlängs vid varje ny registrer- ing. Denna bestämmelse är lätt att tillämpa om det förekommer personakter i verksamheten. Varje uppgift som tillförs en person- akt förlänger då tiden som hela akten får behandlas. Bestämmelsen är dock inte lätt att tillämpa för uppgifter som förekommer i inte- grerade sammanhang. Det är svårt att hantera ett dokument som innehåller uppgifter om flera olika personer.

Det finns alltjämt ett stort behov av att behandla uppgifter på ett sätt som påminner om personakter. Personer som är centrala i underrättelseverksamheten utgör aktörer i system vilket gör det möjligt att exempelvis koppla samman dem i olika nätverk eller länka en person till en företeelse. Att skapa en aktör i systemet innebär att information och uppgifter bearbetas och sammanförs på ett sådant sätt att alla uppgifter kan behandlas fristående från sina olika källor. För de existerande och framtida personuppgifter som behandlas på detta sätt utgör tiden från den senaste registrer- ingen ett lämpligt sätt att bestämma behandlingstid. Denna möjlig- het bör därför i och för sig behållas.

Vilken slags uppgift ska kunna förlänga behandlingstiden?

När behandlingstiden bestäms för en persons personuppgifter är det alltså lämpligt att fristen räknas från den senaste registreringen. Frågan är om alla uppgifter ska kunna förlänga en behandlingsfrist eller endast uppgifter av mer kvalificerat slag.

För Polismyndighetens kriminalunderrättelseverksamhet är det nya registreringar beträffande personens anknytning till brottslig verksamhet som förlänger behandlingsfristen.142 Frågan om motsva- rande krav skulle ställas på uppgifter i Säkerhetspolisens underrättelse- verksamhet togs upp i förarbetena till säpodatalagen. Utredningen föreslog en motsvarande bestämmelse som för Polismyndigheten

142Se 4 kap. 7 § polisens brottsdatalag.

492

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

även för Säkerhetspolisens del. Regeringen delade bedömningen att tiden för hur länge personuppgifter får behandlas hos Säkerhets- polisen naturligtvis inte ska kunna påverkas av att vilka uppgifter som helst registreras. När det gäller Säkerhetspolisens underrättelse- verksamhet menade emellertid regeringen att det ofta är svårt att veta vilken brottslig verksamhet en viss uppgift kan hänföras till, eftersom myndigheten agerar i ett så tidigt skede. Om möjligheterna att fortsätta behandla personuppgifter knyts till omständigheter som har betydelse för personens anknytning till brottslig verksam- het, skulle det enligt regeringen kunna vara negativt för Säkerhets- polisens underrättelseverksamhet. Regeringen stannade därför vid den reglering som tidigare gällt. Regeringen framhöll dock att det självfallet är viktigt att inte vilka uppgifter som helst ska kunna påverka behandlingstiden och att det hade varit önskvärt med ett sådant förtydligande.143

För registreringar inom kontraspionaget räknas i stället den 40-åriga behandlingstiden från den sista registreringen som rör personens koppling till brottslig verksamhet, vilket hör samman med att det endast är för detta ändamål som denna behandlingsfrist gäller.

När Säkerhetspolisen efter den inledande granskningen registre- rar nya personuppgifter för fortsatt behandling ska det ske för ett särskilt, uttryckligt angivet och berättigat ändamål, se avsnitt 8.7. Vid en sådan granskning borde det stå klart om den nya uppgiften är av betydelse för det specifika ändamål som personuppgifterna ursprungligen behandlas för. Om ändamålet med behandling är att kartlägga viss brottslig verksamhet, är uppgifter som inhämtats om personer i denna miljö normalt sett av betydelse för ändamålet. Om det däremot kontinuerligt inhämtas adressuppgifter för dessa per- soner, bör registreringarna inte i sig anses vara av tillräcklig betydelse för ändamålet att kartlägga den brottsliga verksamheten. Registrer- ingen får inte vara rutinmässig eller för att hålla uppgifter uppdate- rade. Det måste krävas att registreringen sker för att berika under- rättelsematerialet, inte endast hålla det uppdaterat.

Vi anser mot denna bakgrund att behandlingstiden ska kunna räknas från den sista registreringen som är av betydelse för ända- målet med behandlingen.

143Prop. 2018/19:163 s. 121 f.

493

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det behövs en möjlighet att bestämma en fast behandlingstid

I säpodatalagen finns inte några särskilda regler om behandlings- tiden för annat än enskilda personuppgifter. Det finns exempelvis inte några regler om hur länge ett dokument, innehållandes per- sonuppgifter angående många olika personer, ska behandlas. Även om alla personuppgifter behövs och dokumentet i och för sig får behandlas, kommer en ny registrering avseende en av personerna som förekommer där att medföra att behandlingsfristen blir olika för olika delar av dokumentet. Den nya registreringen förlänger nämligen behandlingstiden för samtliga uppgifter om den perso- nen, men inte för de andra.

Information från ett dokument måste därför brytas ut och behand- las för sig. Dokumentet i sin helhet kan endast bevaras i tre år enligt reglerna om uppgiftssamlingar för bearbetning och analys,

i 4 kap. 8 § säpodatalagen. Att bryta ut varje enskild persons upp- gifter för att behandla i varje persons personakt är inte en effektiv informationshantering.

Vi har i avsnitt 8.18.7 föreslagit att det ska vara möjligt för Säker- hetspolisen att bedöma uppgifter som är förenade av sitt samman- hang gemensamt. Hur länge ett sådant sammanhang, som ett doku- ment eller en datafil, får behandlas ska bestämmas då uppgifterna registreras. Eftersom det inte är möjligt med en löpande behand- lingstid som utgår från den sista registreringen måste behandlings- tiden vara fast och utgå från datumet för registreringen.

Den behandlingstiden avser då samtliga personuppgifter som är förenade av sammanhanget. Det innebär att enskilda uppgifter som behöver bevaras längre än vad som är proportionerligt för hela detta sammanhang kan behöva brytas ut och behandlas för sig.

Att kunna bestämma en fast behandlingstid är en möjlighet, men inget krav. Om det genom nya tekniska landvinningar exempelvis är möjligt att automatiskt maskera personuppgifter ur ett dokument efter att behandlingstiden löpt ut kan den löpande behandlingstiden även användas för uppgifter som finns i ett gemensamt sammanhang.

494

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.18.9Uppgifter i ärenden om utredning eller lagföring av brott

Bedömning: Det behövs inte några särskilda bestämmelser för uppgifter i ärenden om utredning eller lagföring av brott.

Den nuvarande regleringen

Att Säkerhetspolisen har brottsutredande och lagförande uppgifter innebär att det finns ett relativt omfattande regelverk kring hur miss- tänktas personuppgifter får behandlas. Bestämmelserna är direkt överförda från 2010 års polisdatalag och identiska bestämmelser återfinns i polisens brottsdatalag.

Reglerna, som återfinns i 4 kap. 3–5 §§ säpodatalagen kan sam- manfattas enligt följande. Personuppgifter som finns i en brotts- anmälan får inte behandlas om anmälan avskrivs för att den påstådda gärningen inte utgör brott eller efter att det anmälda brottet pre- skriberats. Personuppgifter som finns i en förundersökning får inte behandlas längre än fem år efter att förundersökningen lagts ned eller en dom vunnit laga kraft. Vidare får inte personer som frikänts för brott eller där förundersökning eller åtal mot personen lagts ner vara sökbara som misstänkta för det aktuella brottet.

Ursprungligen är de särskilda reglerna för uppgifter i avslutade förundersökningar motiverade av att Polismyndigheten har ett behov av att behandla uppgifter som förekommit i brottsanmäl- ningar och förundersökningar under längre tid än andra uppgifter. Efter en tid kan nya uppgifter framkomma som kan göra att en nedlagd förundersökning behöver tas upp på nytt. Det ansågs även viktigt att kunna jämföra uppgifter ur äldre förundersökningar med nya omständigheter vid seriebrottslighet eller för att belysa förhål- lande mellan en misstänkt gärningsman och ett brottsoffer. Den femårsgräns som angetts ansåg regeringen vara en rimlig avvägning mellan verksamhetens behov och de registrerades integritet.144

För Säkerhetspolisens del utgör reglerna emellertid inte en verk- samhetsanpassad förlängning av behandlingstiden i vissa fall. Tvärtom utgör reglerna en begränsning, eftersom den generella behandlings- tiden för de flesta uppgifter som Säkerhetspolisen behandlar är tio år

144Prop. 2009/10:85 s. 225 ff.

495

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

från den senaste registreringen. Det innebär att uppgifter som stär- ker misstankarna mot en person, exempelvis genom att en brottslig verksamhet kan konkretiseras till en brottslig gärning, i praktiken behandlas kortare tid än uppgifter som behandlas för andra ända- mål än brottsutredning. Om uppgiften innebär att det finns anled- ning att anta att ett brott som hör under allmänt åtal har förövats, ska en förundersökning inledas. På grund av att de brott som Säker- hetspolisen ansvarar för är särskilt svårutredda leder dock sällan förundersökning till åtal. Det är därför vanligt att förundersök- ningar behöver läggas ner. Enligt 4 kap. 4 § säpodatalagen får per- sonuppgifter som finns i en förundersökning inte behandlas längre än fem år efter nedläggningsbeslutet. Hade uppgiften inte räckt till för att inleda förundersökning, hade behandlingstiden i stället varit tio år.

Inga särskilda regler om behandlingstid för personuppgifter som behandlas för utredning och lagföring av brott

Förundersökningar och andra brottsutredningar utgör endast en mindre del av Säkerhetspolisens verksamhet. De förundersökningar som bedrivs leder mer sällan till åtal jämfört med annan polisverk- samhet. Det beror delvis på de särskilda bevissvårigheter som är förknippade med Säkerhetspolisens brottskatalog, men även på Säkerhetspolisens fokus att i ett tidigt skede förhindra brott. De förundersökningar som inleds är ofta resultatet av ett aktivt under- rättelsearbete och mer sällan initierade på grund av en brottsanmälan.

Säkerhetspolisen hanterar sällan ärenden av enkel beskaffenhet. De allra flesta förundersökningar inleds efter beslut av åklagare vid Riksenheten för säkerhetsmål. Åklagare leder också regelmässigt förundersökningarna och fattar därmed beslut om att gå vidare eller lägga ner undersökningen. I många fall läggs förundersökningar ner på grund av att misstankar kunnat avfärdas eller att misstankarna i och för sig kvarstår men utredningsmöjligheterna har tömts ut.

Även om en förundersökning lagts ner kan det dock i många fall finnas ett mycket stort behov av att bevara uppgifterna för under- rättelseändamål. Att bevisningen inte är tillräcklig för att gå vidare med förundersökningen eller att en misstänkt omfattas av diplo- matisk immunitet innebär inte att underrättelseinhämtning i ären- det bör upphöra.

496

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Vi anser att Säkerhetspolisens bedömning av hur länge person- uppgifter behöver behandlas i underrättelseverksamheten inte bör påverkas av åklagarens beslut angående förundersökningen. Åklaga- rens bedömning i frågan om en förundersökning ska läggas ner bör inte, som nu, påverka hur länge personuppgifter får behandlas för andra ändamål än brottsutredning.

Detsamma gäller frågan om uppgifter som lett till åtal och dom. En dom påverkar givetvis ändamålet brottsutredning och lagföring, eftersom ändamålet för denna personuppgiftsbehandling i princip är uppnått. Det finns flera exempel på att åtal väckts för förbere- delse till brott vilket resulterat i en frikännande dom främst för att Säkerhetspolisen agerat i ett så tidigt skede att vissa gärningsmoment varit svåra att bevisa. I dessa fall har ofta uppgifter som förekommit i förundersökningen en mycket stor betydelse för fortsatt under- rättelsearbete avseende den brottsliga verksamhet som omgärdat den konkreta gärningen. Vi anser inte heller att en frikännande dom bör påverka hur länge uppgifter som behandlats för brottsutred- ning ska få behandlas för andra ändamål.

Säkerhetspolisen har särskilda it-system för att ta upp och upp- rätta anmälningar om brott. Vidare har myndigheten system där brottsanmälan registreras efter det att ett beslut om att inleda för- undersökning fattats. I systemen upprättas förundersökningsproto- koll elektroniskt. Uppgifter som hanteras i systemen är uppgifter om det aktuella brottet men även uppgifter om eventuella målsägan- den, vittnen, skäligen misstänkta personer och andra personer som är relevanta inom ramen för en brottsutredning. Det faller sig natur- ligt att de personuppgifter som behandlas i dessa system behandlas för brottsutredande ändamål. Personuppgifter som registreras i dessa system får givetvis behandlas så länge förundersökning eller annan brottsutredning pågår. När ärendet avslutas får Säkerhets- polisen i enlighet med de regler som gäller i övrigt besluta om hur länge personuppgifterna får fortsätta att behandlas för det brotts- utredande ändamålet. Det finns likt i dag skäl att fortsätta att be- handla uppgifter i nedlagda förundersökningar under en tid. Hur länge avslutade utredningar ska behandlas bör beslutas av Säkerhets- polisen med beaktande av bland annat behovs- och proportionali-

497

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

tetsprincipen. Vägledning finns i detta avseende i Europarådets rekommendation för personuppgiftsbehandling inom polissektorn.145

Att uppgifter raderas ur de system som används för brottsutred- ning bör inte påverka behandlingstiden för uppgifterna i andra system, exempelvis system för underrättelseverksamhet. Vi föreslår därför att denna särreglering tas bort.

8.19Enskildas rättigheter

8.19.1Det bör vara förbjudet med automatiserat beslutsfattande som påtagligt påverkar den enskilde

Förslag: Personuppgifter ska inte få användas för att fatta auto- matiserade beslut med betydande påverkan för en person.

Dataskyddskonventionens bestämmelser

Article 9 – Rights of the data subject

1 Every individual shall have a right:

a. not to be subject to a decision significantly affecting him or her based solely on an automated processing of data without having his or her views taken into consideration;

2.Paragraph 1.a shall not apply if the decision is authorised by a law to which the controller is subject and which also lays down suitable mea- sures to safeguard the data subject's rights, freedoms and legitimate interests.

Dataskyddskonventionens bestämmelse om automatiserat besluts- fattande innebär en rätt för enskilda att på ett meningsfullt sätt påverka och ifrågasätta automatiserade beslut. Denna rätt avser i första hand en möjlighet att visa på felaktigheter avseende de per- sonuppgifter som använts som underlag för beslutet eller på omstän- digheter som gör att den profil som tillämpats inte är relevant i det enskilda fallet.

I kommentaren framhålls att rätten att kunna påverka automati- serade beslut är särskilt viktigt då enskilda kan stigmatiseras, exem-

145Se principle 7 i, Recommendation no. R (87) 15 of the committee of ministers to member states regulating the use of personal data in the police sector.

498

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

pelvis genom tillämpning av algoritmiska resonemang som leder till att en rättighet begränsas eller att en social förmån nekas.146 Ett auto- matiserat beslutsfattande som inte tar hänsyn till den enskildas rätt i detta avseende är endast tillåtet om det föreskrivs i lag, som måste innehålla tillräckliga skyddsmekanismer för den registrerades fri- och rättigheter.

Vilket slags automatiserat beslutsfattande omfattas av artikeln?

Liknande regler om automatiserat beslutsfattande finns även i brotts- datadirektivet. Av artikel 11 i direktivet följer bland annat att det utan stöd i författning är förbjudet att fatta beslut som enbart grun- das på automatiserad behandling om de har negativa rättsverkningar eller i betydande grad påverkar den registrerade. I förarbetena till brottsdatalagen förklaras att automatiserade beslut är sådana beslut som inte fattas av någon tjänsteman, utan som blir den automatiska följden av till exempel att en viss handling ges in eller inte inkom- mer inom viss tid.147

Av konventionstexten framgår att de särskilda bestämmelserna endast avser beslut som har betydande påverkan (”significantly affecting”) för honom eller henne. Med betydande påverkan avses, enligt kommentarens exemplifiering, beslut från myndigheter som har en rättsverkan.

Det bör vara förbjudet med automatiserat beslutsfattande som påverkar den enskilde på ett betydande sätt

Automatiserade beslut förekommer i viss utsträckning inom den svenska förvaltningen, men det rör sig främst om beslut i skatte- frågor och i frågor som regleras i socialförsäkringsbalken. Reger- ingen förklarade i samband med att brottsdatalagen beslutades att det inte kunde uteslutas att automatiserat beslutsfattande även skulle kunna börja tillämpas inom brottsdatalagens tillämpnings- område och såg därför skäl att införa en sådan möjlighet enligt de regler som direktivet ställer upp.148

146Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 75.

147Prop. 2017/18:232 s. 168.

148Ibid. s. 168.

499

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Möjligheterna till automatiserat beslutsfattande får anses vara på väg att förändras i samband med utvecklingen av AI. Det finns också höga ambitioner om att införa denna teknik i olika delar av den offentliga förvaltningen.149

Det fattas en rad beslut inom Säkerhetspolisens verksamhet med betydande påverkan för den enskilde, både grundade på polisiära befogenheter och på särskild lagstiftning. En betydande påverkan kan uppkomma exempelvis genom beslut om ett hemligt tvångsmedel, ett beslut om att inleda eller lägga ned en förundersökning, ett beslut om att vidta en åtgärd enligt lag om särskild utlänningskontroll eller ett tillsynsbeslut inom ramen för Säkerhetspolisens uppdrag enligt säkerhetsskyddslagen.

Säkerhetspolisen kan ha möjlighet att effektivisera sin verksam- het genom att införa olika former av automatiserat beslutsfattande. Myndigheten har dock förklarat att den inte ser något behov av detta i dagsläget. Det är också en väsentlig skillnad mellan automatiserat beslutsfattande som rör frågor som är mycket välreglerade och frågor som i stor utsträckning rör bedömningar och värderingar. Inom Säkerhetspolisens brottsbekämpande verksamhet framstår det därför som relativt avlägset med helt automatiserat besluts- fattande.

Vår uppfattning är att frågan om vilken roll automatiserat besluts- fattande ska spela inom Säkerhetspolisens verksamhet är svår att besvara i dagsläget och inte heller bör besvaras av denna utredning. Dataskyddskonventionens krav för att tillåta automatiserat besluts- fattande är knappast möjliga att upprätthålla inom Säkerhetspoli- sens brottsbekämpande verksamhet, där det framstår som främ- mande att ge den enskilde en möjlighet att påverka beslutet. Att undanta konventionens skyddsbestämmelse är svårmotiverat då det inte framförts något konkret verksamhetsbehov i dagsläget. Eftersom konventionen ställer upp vissa krav, går det inte heller att lämna frågan helt oreglerad.

Vår uppfattning är att införandet av automatiserat beslutsfat- tande som direkt kan påverka enskilda, inom en så känslig verk- samhet som Säkerhetspolisen, måste föregås av noggranna över- väganden och vara motiverat av konkreta behov. Vi föreslår därför på nuvarande underlag att Säkerhetspolisen ska förbjudas att fatta

149Se exempelvis AI-kommissionens, Färdplan för Sverige, s. 15 och Myndigheten för digital förvaltning, AI för offentlig förvaltning, www.digg.se/ai.

500

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

helt automatiska beslut inom lagens tillämpningsområde. Ett förbud mot automatiskt beslutsfattande bör även vara begränsat på det sätt som följer av konventionen, vilket innebär att det endast är beslut med betydande påverkan som bör omfattas.

Av konventionens bestämmelse följer dock att det endast är

själva beslutsfattandet som avses, inte olika handläggningsåtgärder eller beredning av ett ärende. Det innebär att artikeln inte sätter upp hinder mot helt automatiserade beslutsstöd. Vi ser inte heller någon anledning till att införa några särskilda begränsningar för de automatiserade processer som sker inför ett beslut eller som ingår som ett led i handläggningen. Avgörande är att sådana automatiska processer inte ensamt är utslagsgivande för ett beslut. Det måste finnas ett reellt utrymme för den mänskliga beslutsfattaren att göra egna bedömningar och avvägningar utifrån ett samlat material.

8.19.2Rätten till allmän information bör inte följa av lag

Bedömning: Det finns inte skäl att i lag föreskriva om att Säker- hetspolisen ska offentliggöra viss allmänna information om per- sonuppgiftsbehandling.

Dataskyddskonventionens bestämmelser

Article 8 – Transparency of processing.

1 Each Party shall provide that the controller informs the data subjects of:

a. his or her identity and habitual residence or establishment; b. the legal basis and the purposes of the intended processing; c. the categories of personal data processed;

d. the recipients or categories of recipients of the personal data, if any; and

e. the means of exercising the rights set out in Article 9,

as well as any necessary additional information in order to ensure fair and transparent processing of the personal data.

2.Paragraph 1 shall not apply where the data subject already has the relevant information.

501

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

3.Where the personal data are not collected from the data subjects, the controller shall not be required to provide such information where the processing is expressly prescribed by law or this proves to be im- possible or involves disproportionate efforts.

Artikel 8 i dataskyddskonventionen innehåller bestämmelser som syftar till att uppnå transparens för personuppgiftsbehandling. Transparensen syftar till att göra det möjligt för de registrerade att förstå och därmed utöva sina rättigheter i samband med person- uppgiftsbehandling. Den information som ska lämnas enligt arti- kel 8.1 ska vara lättförståelig och lämnas antingen direkt till de som registreras eller vara allmänt tillgänglig via en webbsida eller lik- nande.

Av artikel 8.3 framgår att skyldigheten inte är tillämplig vid in- direkt insamling av uppgifter, under förutsättning att insamlingen sker med stöd av lag, om det inte är möjligt eller skulle vara opropor- tionerligt betungande. Av kommentaren till artikeln framgår att undantaget bland annat åsyftar behandling i samband med brotts- utredningar.150

Skyldigheten att lämna viss allmän information bör inte vara lagreglerad

Den nuvarande allmänna informationsplikten följer av 6 kap. 1 § säpodatalagen. Där framgår att Säkerhetspolisen bland annat ska lämna information om myndighetens identitet, dataskyddsombu- dets kontaktuppgifter och för vilka kategorier av ändamål person- uppgiftsbehandling får ske. Vidare ska myndigheten lämna uppgifter om enskildas rätt till information, rättelse, och radering (eller begräns- ning). Det gjordes i samband med säpodatalagen inga närmare överväganden om skälet bakom att införa den allmänna informa- tionsskyldigheten i lag. Det hänvisades i stället till att motsvarande informationsplikt gäller enligt brottsdatalagen. Regeringen konsta- terade att det av brottsdatadirektivet även följer en skyldighet att lämna information om möjligheten att lämna in klagomål till till- synsmyndigheten men att detta inte behövs för Säkerhetspolisens del.151 Varken i förarbetena till säpodatalagen eller till brottsdata-

150Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 67–70.

151Prop. 2018/19:163 s. 154 f.

502

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

lagen görs några överväganden om huruvida skyldigheten att lämna information bör följa av lag.152

Vi anser att den nuvarande regleringen kan ifrågasättas av flera skäl. För det första får transparenskravet för personuppgiftsbehand- ling anses uppfyllt genom lagstiftningen. Av lagen ska det vara möj- ligt att utläsa den rättsliga grunden, för vilka ändamål personuppgif- ter får behandlas (8.1 b), vilka kategorier av personuppgifter som får behandlas (8.1 c), vilka överföringar som får ske (8.1 d) och hur enskilda kan utöva sina rättigheter (8.1 e). Att myndigheten ska göra sin identitet och säte känt för allmänheten följer av andra bestämmelser (8.1 a).

Konventionsbestämmelsen om transparens kan antas ha till huvudsakligt ändamål att reglera privata subjekt. För myndigheter framgår motsvarande information ofta direkt av författning. Sär- skilt för Säkerhetspolisens verksamhet, som till stora delar omfattas av sekretess, är det svårt att på något meningsfullt sätt närmare för- klara lagstiftningens praktiska tillämpning. Däremot kan det fylla en funktion att myndigheten är skyldig att hänvisa till de bestäm- melser som reglerar personuppgiftsbehandlingen och då särskilt till de bestämmelser som avser enskildas rättigheter.

För det andra framstår skyldigheten att informera om vissa aspek- ter av verksamheten inte lämpad för lagreglering. Reglering av en myndighets skyldighet att informera om sin verksamhet utgör ett område som faller inom regeringens så kallade restkompetens enligt 8 kap. 7 § regeringsformen. Av säpodatalagens förarbeten framgår även att den närmare utformningen av informationen kan regleras i förordning. Av 5 kap. 1 § säpodataförordningen följer att infor- mationen ska vara lättillgänglig, lättbegriplig och lämnas i lämplig form. För oss framstår det som att informationsskyldigheten lämp- ligen bör kunna regleras genom bestämmelser i förordning i sin helhet och inte tynga ned lagstiftningen.

8.19.3Rätten till registerutdrag bör finnas kvar

Bedömning: Enskildas möjlighet till insyn i Säkerhetspolisens personuppgiftsbehandling bör vara mer begränsad än vad som är motiverat för andra myndigheter.

152Jfr prop. 2017/18:232 s. 223 ff.

503

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Förslag: På begäran av en enskild ska Säkerhetspolisen lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få föl- jande skriftliga information:

1.vilka personuppgifter om sökanden som behandlas,

2.varifrån personuppgifterna kommer,

3.den rättsliga grunden och ändamålen med behandlingen,

4.mottagare eller kategorier av mottagare av personuppgifterna och

5.hur länge personuppgifterna får behandlas.

Uppgifter som den sökanden inte redan tagit del av ska lämnas utan kostnad en gång per år.

Dataskyddskonventionens bestämmelser

9.1 Every individual shall have a right:

b. to obtain, on request, at reasonable intervals and without excessive delay or expense, confirmation of the processing of personal data relating to him or her, the communication in an intelligible form of the data processed, all available information on their origin, on the preservation period as well as any other information that the controller is required to provide in order to ensure the transparency of processing in accordance with Article 8, paragraph 1;

c. to obtain, on request, knowledge of the reasoning underlying data processing where the results of such processing are applied to him or her;

Artikel 9.1 b innehåller de rättigheter som enskilda har att begära information om hur de egna personuppgifterna behandlas. Av artikel 9.1 c följer att enskilda även ska ha rätt att få information om varför en viss behandling gett ett visst resultat. Med det avses enligt kommentaren till konventionen kunskaper som rör profiler- ing genom användande av algoritmer och logiken bakom automati- serat beslutsfattande.153

153Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 76–77.

504

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Rätten till registerutdrag bör finnas kvar

Rätten till personrelaterad information om personuppgiftsbehand- ling regleras i nuvarande 6 kap. 2 § säpodatalagen. Bestämmelsen är utformad med brottsdatalagen som förebild. Reglerna innebär att enskilda har en rätt att vända sig till myndigheten med en fråga om personuppgifter behandlas och om så är fallet få ta del av dem genom ett så kallat registerutdrag. Av nuvarande bestämmelse följer att Säkerhetspolisen ska lämna information om vilka personuppgifter som behandlas, varifrån personuppgifterna kommer, den rättsliga grunden för behandlingen, ändamålen med behandlingen, mottagare eller kategorier av mottagare av personuppgifterna, hur länge per- sonuppgifterna får behandlas och rätten att begära rättelse och radering.

I förarbetena till säpodatalagen framhöll regeringen att en del i personuppgiftsskyddet utgörs av enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den personuppgifts- behandling som pågår är en förutsättning för att enskilda ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Regeringen ansåg att det i princip kunde stäl- las samma krav på Säkerhetspolisen som på andra myndigheter när det gäller enskildas rättigheter. Skälet var att det på så sätt ansågs bli lättare för den enskilde att ta tillvara sina rättigheter. Mot den bakgrunden överfördes huvuddelen av bestämmelserna i brottsdata- lagen som reglerar enskildas rättigheter till säpodatalagen.154

Rätten till information om personuppgiftsbehandling utgör inte en rätt att ta del av de handlingar där uppgifterna förekommer. Re- glerna om personuppgiftsbehandling, och den rätt till information som skapas genom dem, utgör bara en mindre del av den samlade rätten till information. Rätten att ta del av allmänna handlingar med stöd av 2 kap. 1 § tryckfrihetsförordningen utgör den huvudsakliga möjligheten till insyn i myndigheters verksamhet. Till skillnad mot rätten till registerutdrag kan var och en utnyttja rätten att ta del av en allmän handling, det vill säga även den som inte är berörd, som en journalist.

Rätten till registerutdrag får sägas ha en betydligt mindre roll för enskilda i Säkerhetspolisens verksamhet än för många andra myndigheter eller privata subjekt som omfattas av en motsvarande

154Prop. 2018/19:163 s. 153 f.

505

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

eller liknande reglering. Det är nämligen möjligt att begränsa denna rätt med hänsyn till sekretess. Eftersom det i princip råder sekretess för frågan om en persons personuppgifter förekommer eller inte hos Säkerhetspolisen, finns det i praktiken mycket begränsade möjligheter till direkt insyn, i vart fall inom underrättelseverksam- heten.155

Det finns emellertid andra uppgifter än sådana som rör under- rättelseverksamhet där det kan vara meningsfullt att begära ett registerutdrag. Det kan exempelvis gälla uppgifter om personer som är föremål för registerkontroller enligt säkerhetsskyddslag- stiftningen. Det framstår därför inte som nödvändigt och propor- tionerligt att helt frånta enskilda rätten till registerutdrag.

Vi anser att den principiella rätten till registerutdrag i huvudsak kan överföras till den nya lagstiftningen. Enligt 6 kap. 9 § säpodata- lagen, som är förenlig med dataskyddskonventionens bestämmelser i detta avseende, ska registerutdrag lämnas kostnadsfritt en gång per år. Det bör framgå av förordning hur avgiften ska bestämmas.

Någon rätt för enskilda att ta del av underlaget bakom automatiska processer bör inte införas

Dataskyddskonventionens bestämmelse avseende rätten till infor- mation om varför en viss behandling gett ett visst resultat har till syfte för enskilda att kunna ifrågasätta bland annat profilering och automatiserat beslutsfattande. I avsnitt 8.19.1 har vi kommit fram till att automatiserat beslutsfattande som medför en betydande påverkan för enskilda inte ska tillåtas.

Andra automatiska behandlingsprocesser bör inte omfattas av någon rätt till enskild insyn. Om Säkerhetspolisens skulle använda sig av profilering med stöd av olika algoritmer eller andra automa- tiska processer, skulle det röra sig om tekniska förmågor som inte bör vara möjliga för enskilda att kartlägga. Det gäller oavsett om det rör sig om sådana processer i underrättelseverksamhet eller i andra delar av verksamheten, eftersom myndighetens allmänna tekniska förmåga då kan bedömas.

Konventionens bestämmelse får förmodas ha som främsta ända- mål att ge enskilda en rätt till insyn i automatiserat beslutsfattande

155Jfr RÅ 2000 ref. 15.

506

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

av olika slag, exempelvis genom kreditvärdighetskontroller och liknande. Automatiskt beslutsfattande är enligt vårt förslag inte tillåtet för Säkerhetspolisen. När det gäller Säkerhetspolisens verk- samhet som omfattas av den föreslagna lagen finns starka skäl som talar för en begränsning av rättigheten. Det står för oss klart att det är nödvändigt och proportionerligt i ett demokratiskt samhälle att helt begränsa enskildas rätt till insyn i Säkerhetspolisens tekniska system. Vi föreslår därför att dataskyddskonventionens rättighet i detta avseende inte ska gälla för den verksamhet som omfattas av den föreslagna lagen.

8.19.4Regleringen av Säkerhetspolisens möjlighet att begränsa enskildas rätt till information ska förenklas

Bedömning: Den nuvarande regleringen av Säkerhetspolisens möjlighet att begränsa rätten till information är onödigt komplex. Det är tillräckligt att ge myndigheten rätt att begränsa informa- tion på grund av sekretess eller annan omständighet som följer av lag.

Förslag: Rätten till information gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. Säkerhetspoli- sen ska inte vara skyldig att lämna ut skälen för ett beslut att avslå en ansökan om information.

Enligt nuvarande regelverk får Säkerhetspolisen, enligt 6 kap. 3 § säpodatalagen, avslå begäran om att ta del av registerutdrag om det är särskilt föreskrivet eller annars följer av beslut som meddelats med stöd av författning. Med det avses i första hand sekretess enligt 18 kap. offentlighets- och sekretesslagen eller ett förbehåll som utländsk myndighet uppställt i samband med att information över- förts till Säkerhetspolisen.

Vidare får en ansökan, enligt 6 kap. 5 §, avslås om den är uppen- bart ogrundad. Av 6 kap. 4 § framgår vidare att rätten till register- utdrag inte omfattar personuppgifter i löptext som inte färdigställts eller som förekommer i minnesanteckningar. Det sistnämnda undan-

507

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

taget gäller dock inte om uppgifterna lämnats ut till annan, behand- las enbart för vetenskapliga, statistiska eller historiska ändamål eller har behandlats längre tid än ett år.

Med hänsyn till att rätten till registerutdrag i praktiken främst begränsas av underrättelsesekretess framstår regleringen i nuvarande lagstiftning som onödigt tung. Undantaget för konceptanteckningar och liknande är tillkomna efter modell från 2 kap. 12 § tryckfrihets- förordningen men har knappast någon praktisk betydelse inom Säkerhetspolisens verksamhet.

Av 6 kap. 3 § andra stycket säpodatalagen framgår att Säkerhets- polisen inte är skyldig att lämna ut skälen för beslut om att begränsa rätten till ett registerutdrag. Ett avslag på en förfrågan om informa- tion från en person vars uppgifter behandlas i Säkerhetspolisens underrättelseverksamhet, men där sekretess hindrar att information lämnas, förses regelmässigt med samma motivering som om per- sonen inte alls hade förekommit. Personuppgiftslagstiftningen ska givetvis inte möjliggöra för en person att få reda på om den står under Säkerhetspolisens uppsikt genom att det i beslutsmotiver- ingen skulle framgå om personen är registrerad eller inte. Detta är sedan länge fastslaget genom praxis men det finns skäl att det, i likhet med den nuvarande ordningen, även ska framgå direkt av lagen.

Vi anser att det nuvarande regelverket bör renodlas på så sätt att rätten att neka enskild information ska begränsas till de fall då upp- gifterna omfattas av sekretess eller av annan anledning inte får läm- nas ut. I övrigt fyller de nuvarande reglerna inte någon funktion som motiverar att de överförs till den nya lagstiftningen.

Enskildas rätt till insyn i Säkerhetspolisen är på grund av sekretess kraftigt beskuren i jämförelse till många andra verksamheter. Det är en naturlig följd av myndighetens uppdrag och utgör ett undan- tag från datakonventionens bestämmelser. För oss råder det ingen tvekan om att undantagen är välmotiverade och proportionerliga. Undantagen kompenseras även av rätten till indirekt insyn, genom Säkerhets- och integritetsskyddsnämndens kontrollåtgärder på begäran av enskild. Om Säkerhetspolisen inte kan lämna ut ett begärt registerutdrag, bör myndigheten därför upplysa sökanden om den rätt till kontroll som följer av 3 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

508

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.19.5Det bör inte finnas en särskild möjlighet att motsätta sig personuppgiftsbehandling eller begära rättelse eller radering

Bedömning: Enskilda bör inte ha rätt att motsätta sig person- uppgiftsbehandling eller begära rättelse eller radering av uppgif- ter som behandlas av Säkerhetspolisen.

Dataskyddskonventionens bestämmelser

Article 9 – Rights of the data subject

1 Every individual shall have a right:

d. to object at any time, on grounds relating to his or her situation, to the processing of personal data concerning him or her unless the con- troller demonstrates legitimate grounds for the processing which over- ride his or her interests or rights and fundamental freedoms;

e. to obtain, on request, free of charge and without excessive delay, rectification or erasure, as the case may be, of such data if these are being, or have been, processed contrary to the provisions of this Con- vention;

Av artikel 9.1 d framgår dels en rätt att motsätta sig personuppgifts- behandling, dels de undantag från denna rätt som kan följa av en rättslig grund som väger tyngre.

Enligt kommentaren till konventionen kan personuppgiftsbehand- ling som rör allmän säkerhet vara motiverad även när den enskilde motsätter sig detta. Behandling som följer av lag och som syftar till att bekämpa brott kan ifrågasättas inom ramen för brottmålspro- cessen. I dessa fall är det inte nödvändigt att ge en självständig möjlighet till rättelse eller radering av personuppgifter grundad endast på personuppgiftsbehandlingen.156

Av artikel 9.1 e framgår att enskilda kan begära rättelse eller radering av personuppgifter som behandlats i strid med någon av konventionens bestämmelser.

156Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 78 och 80.

509

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det finns inte skäl att ge enskilda en självständig rätt till rättelse eller radering

Nuvarande lagstiftning innehåller en rad bestämmelser som rör enskildas rätt till att få till stånd rättelse, komplettering och rader- ing av personuppgifter. Av 6 kap. 7 § säpodatalagen framgår att Säkerhetspolisen på begäran av den registrerade utan onödigt dröjs- mål ska rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Av nästföljande paragraf följer en skyldighet att på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som behandlats i strid med vissa uppräknade, grundläggande bestäm- melser i lagen. Säpodatalagens bestämmelser i dessa avseenden föl- jer motsvarande reglering i brottsdatalagen.

Det relativt omfattande regelkomplexet som på ett ingående sätt beskriver enskildas rättigheter har, såvitt känt, aldrig tillämpats. För att en enskild på ett meningsfullt sätt ska kunna utnyttja sin rätt till rättelse av en felaktig uppgift eller radering av en uppgift som be- handlats felaktigt krävs en ingående kunskap om vilka personupp- gifter som behandlats och på vilket sätt. Som framgått av föregående avsnitt 8.19.4 råder det i normalfallet en sträng sekretess i förhål- lande till den registrerade om just sådana förhållanden.

Reglerna om enskildas rätt till rättelse, komplettering och rader- ing återger alltså inte en reell rättighet. Vi anser att den faktiska tillämpningen som är avsedd också bör återspeglas i lagstiftningen, för att undvika att ge medborgarna en felaktig uppfattning om sina rättigheter i förhållande till myndigheten. För det fall personuppgif- ter behandlas för ett ändamål som inte innebär att de omfattas av sekretess i förhållande till den registrerade och den enskilde påtalar ett förhållande som medför att personuppgifter bör rättas m.m. följer denna skyldighet redan av lagens allmänna bestämmelser. Dataskyddskonventionens krav på att det ska finnas en rätt att motsätta sig personuppgiftsbehandling och till rättelse och radering kan vara viktiga i förhållande till exempelvis privata bolag. Säker- hetspolisens personuppgiftsbehandling står dock under tillsyn av fyra, av varandra oberoende, organ till vilka enskilda kan rikta sina klagomål.

Vid sidan av att det inte framstår som helt transparent att lag- fästa en rättighet som är mycket svår att utnyttja innebär den nuva-

510

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

rande möjligheten en administrativ börda för myndigheten. Efter- som den nuvarande bestämmelsen inte endast utgör en rätt utan även innehåller ett skyndsamhetskrav, kan ett fåtal individer genom upprepade och omfattande ansökningar orsaka betydande merarbete för myndigheten.

Ett undantag från en rättighet, vars huvudsakliga syfte inte är att reglera behandling inom brottsbekämpande verksamhet, framstår som ett välmotiverat undantag från dataskyddskonventionen. Att begränsa enskildas rätt att med egna rättsmedel påverka hur Säker- hetspolisen behandlar personuppgifter, framstår som både nödvän- digt och proportionerligt i ett demokratiskt samhälle eftersom det handlar om brottsbekämpande verksamhet som avser nationell säkerhet.

Denna begränsning kompenseras genom rätten till indirekt insyn. Att en enskild har möjlighet att vända sig till Säkerhets- och integri- tetsskyddsnämnden för att begära kontroll av hur Säkerhetspolisen behandlar dennes personuppgifter är motiverat bland annat av att enskilda har små faktiska möjligheter att själv ifrågasätta behand- lingen.

8.19.6Det ska finnas möjlighet till skadestånd

Förslag: Det finns inte skäl att ändra den nuvarande bestämmel- sen om rätt till ersättning för den skada och kränkning av den personliga integriteten som orsakats av att personuppgifter be- handlas i strid med lagen. Motsvarande regler ska därför föras över till den nya lagen.

Dataskyddskonventionens bestämmelser

Article 9 – Rights of the data subject

1 Every individual shall have a right:

f. to have a remedy under Article 12 where his or her rights under this Convention have been violated;

g. to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority within the meaning of Article 15, in exercising his or her rights under this Convention.

511

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

12 Each Party undertakes to establish appropriate judicial and non- judicial sanctions and remedies for violations of the provisions of this Convention.

Av artikel 9.1 f och 12 framgår att enskilda ska ha tillgång till rätts- medel då deras rättigheter enligt konventionen kränkts. Vilken form av rättsmedel som ska finnas är upp till konventionsstaten men det ska ge enskilda möjlighet att rättslig ifrågasätta beslut eller praxis som rör personuppgiftsbehandling. En sådan möjlighet är rätten till ekonomisk kompensation för materiella och ideella skador som orsakats av behandlingen.157

Av artikel 9.1 g följer att enskilda ska ha rätt till bistånd från en tillsynsmyndighet. I kommentaren till artikeln framgår att hjälpen med att få sina rättigheter tillgodosedda ska ske genom en anmälan som innehåller tillräcklig information för att identifiera den ifråga- satta personuppgiftsbehandlingen. När detta inte är möjligt, exem- pelvis på grund av en begränsad rätt till insyn, kan det behöva göras anpassningar för att tillgodose enskildas rätt till bistånd.158

Det finns inte några skäl att ändra de nuvarande reglerna om skadestånd

Enligt nuvarande lagstiftning ska den personuppgiftsansvarige ersätta den registrerade för den skada och den kränkning av den personliga integriteten som orsakats av personuppgiftsbehandling som skett i strid med säpodatalagen eller föreskrifter som meddelats i anslutning till den. Bestämmelsen är utförligt motiverad i förarbe- tena både till den likalydande bestämmelsen i brottsdatalagen och till säpodatalagen.159

Rätten till skadestånd utgör ett viktigt rättsmedel för enskilda och fyller både ett kompensatoriskt och ett preventivt syfte. Ideellt skadestånd är en sedan länge etablerad princip för att kompensera kränkningar av fri- och rättigheter enligt Europakonventionen och utgör ett sådant rättsmedel för enskild som avses i dataskyddskon- ventionens artikel 9.1 f. Det framstår därför som både lämpligt och

157Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 100.

158Ibid. p. 57.

159Prop. 2017/18:232 s. 339–344 och prop. 2018/19:163 s. 184–187.

512

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

nödvändigt att det finns en rätt som motsvarar dagens bestämmelse. Vi ser inga skäl att ändra gällande rätt i detta avseende.

Under remissbehandlingen av säpodatalagen framfördes att de praktiska möjligheterna till skadestånd var små. Av artikel 9.1 g i dataskyddskonventionen 108+ framgår att tillsynsmyndigheten ska bistå enskilda med att utöva sina rättigheter enligt konventio- nen. I detta sammanhang kan det finnas anledning att lyfta fram Säkerhets- och integritetsskyddsnämndens skyldighet att, enligt 20 § i förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden, anmäla vissa förhållanden till andra myndigheter. Om nämnden vid tillsyn över Säkerhetspolisens per- sonuppgiftsbehandling uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, får nämnden anmäla det till Justitiekanslern. Om motsvarande felaktighet uppmärksammas vid en kontroll som görs på begäran av enskild är nämnden skyldig att göra en sådan anmälan. Enligt 11 § förordning (1975:1345) med instruktion för Justitiekanslern ska Justitiekanslern pröva anmälningar från Säkerhets- och integritetsskyddsnämnden om felaktigheter som kan medföra skadeståndsansvar för staten. Om Justitiekanslern finner att det som har förekommit kan föranleda skadeståndsansvar för staten, ska Justitiekanslern bereda den som berörs tillfälle att framställa sådant anspråk.

Det strikta skadeståndsansvaret som följer av nuvarande lagstift- ning innebär att enskilda kan kompenseras vid felaktig personupp- giftsbehandling så snart en skada eller kränkning kan påvisas. Rätts- medlet får därför anses vara tillgängligt, och genom de möjligheter som finns till indirekt insyn, också effektivt.

8.19.7Överklagande av information om personuppgiftsbehandling och avgift bör prövas i samma ordning som utlämnande av allmän handling

Förslag: Säkerhetspolisens beslut att inte lämna ut information om personuppgiftsbehandling eller om att ta ut avgift för sådan information ska överklagas till kammarrätt. Övriga beslut av Säkerhetspolisen ska inte kunna överklagas.

513

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Den nuvarande ordningen

Enligt 8 kap. 2 § säpodatalagen får Säkerhetspolisens beslut i fråga om rättelse, komplettering, radering eller begränsning av person- uppgifter på enskilds begäran överklagas till allmän förvaltnings- domstol, det vill säga förvaltningsrätt. Detsamma gäller beslut att inte lämna information om personuppgiftsbehandling (registerutdrag) eller att ta ut avgift för sådan information. Enligt 6 kap. 8 § offent- lighets- och sekretesslagen överklagas Säkerhetspolisens beslut om att inte lämna ut en allmän handling till kammarrätt.

I förarbetena till brottsdatalagen, vars bestämmelser överförts till säpodatalagen, förs ett relativt ingående resonemang angående skillnaden mellan att lämna ut ett registerutdrag och en allmän handling. Regeringen konstaterar att de i sig mycket komplexa regelverken om tillgång till handlingar och begränsningen av rätten att ta del av dem har ett annat fokus än lagstiftningen om person- uppgiftsbehandling. Rätten till personrelaterad information ger enligt regeringen inte den registrerade någon rätt att få del av annat än information om just behandlingen av personuppgifterna. Det innebär att det inte ska prövas om den registrerades personuppgif- ter finns i en allmän handling och i så fall i vilken omfattning hand- lingen kan lämnas ut. I stället ska det prövas om det förhållandet att personuppgifter behandlas i ett visst sammanhang, exempelvis i underrättelseverksamhet, kan avslöjas för den registrerade. Reger- ingen konstaterade att det förhållandet att det avslöjas att person- uppgifterna behandlas i ett enskilt fall kan riskera att hindra under- rättelseverksamheten och att informationen då bör kunna begränsas. Regeringens uppfattning var att en sådan prövning inte kräver lika ingående överväganden som en prövning enligt offentlighets- och sekretesslagen. Om det ändå görs en formell sekretessprövning och myndigheten beslutar att inte lämna information, ska beslutet dock överklagas enligt de särskilda reglerna i offentlighets- och sekretess- lagen, det vill säga till kammarrätten.160

160Se prop. 2017/18 :232 s. 238 f. med hänvisning till HFD 2014 ref. 55.

514

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Överklaganden av beslut om att inte lämna ut information och beslut om att inte lämna ut allmän handling bör överklagas i samma ordning

Som tidigare nämnts omfattas uppgiften om en persons person- uppgifter behandlas av Säkerhetspolisen i normalfallet av under- rättelsesekretess enligt 18 kap. 2 § offentlighets- och sekretess- lagen.161 En ansökan om ett så kallat registerutdrag, innefattande uppgifter som behandlas i underrättelseverksamheten, besvaras därför i de allra flesta fall genom en sekretessprövning. Det innebär att sakfrågan i normalfallet överklagas till Kammarrätten i Stockholm precis på samma sätt som ett beslut som avser utlämnande av all- män handling.162 I undantagsfall kan ett ärende komma under för- valtningsrättens prövning, om avslag sker på någon formell grund, om begäran är orimlig eller uppenbart ogrundad eller om det skulle avse en avgift.

I många fall ansöker enskilda om flera olika rättsföljder i samma ärende, exempelvis om att både få del av alla handlingar som rör honom eller henne och att få del av ett registerutdrag. I dessa fall framstår det som mindre lämpligt att beslut fullföljs till olika instanser.

Det som prövas genom ett överklagande av beslut som rör både rätten till information och rätten att ta del av allmän handling är normalt känsliga uppgifter. Den instans som prövar frågan kommer exempelvis att kunna få tillgång till den sekretessbelagda uppgiften om personens uppgifter behandlas, vilket kan avslöja Säkerhetspoli- sens underrättelseförmåga. Uppgifterna i sig omfattas i normalfallet av sekretess. På en aggregerad nivå, då flera uppgifter kan läggas samman, kan det dock även handla om säkerhetsskyddsklassifice- rad information i säkerhetsskyddsklass hemligt, eller till och med kvalificerat hemlig.

Det innebär att den domstol som ska hantera uppgifterna behöver ha ett väl utvecklat säkerhetsskydd. Ur informationssäkerhetsper- spektiv finns alltid ett mervärde i att sprida uppgifterna till så få aktörer som möjligt. Säkerhetspolisen behöver också ta fram rutiner för överlämningen av uppgifterna med flera olika aktörer utifrån deras respektive förutsättningar att ta emot och skydda uppgifterna.

161RÅ 2000 ref. 19.

162För exempel på sådan prövning, se Kammarrätten i Stockholms dom den 24 maj 2024 i mål nr 2438–24.

515

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Det framstår som mest lämpligt att minska sårbarheten i verk- samheten genom att Säkerhetspolisens beslut som rör information om personuppgiftsbehandling ska överklagas i samma ordning som utlämnande av allmän handling. Säkerhetsskyddsaspekter talar starkt för att hålla nere antalet instanser. Det talar för att överklaganden som rör personuppgiftsbehandling ska prövas i den ordning som gäller för beslut enligt offentlighet- och sekretesslagen. Det inne- bär att kammarrätten bör vara första instans vid prövningen av Säkerhetspolisens beslut även enligt säpodatalagen.

Övriga beslut som Säkerhetspolisen fattar med stöd av lagen bör inte kunna överklagas

I förarbetena till säpodatalagen anförs att enskildas rätt att överklaga beslut enbart bör ta sikte på sådana beslut av myndigheten som den fattat i egenskap av personuppgiftsansvarig och som direkt berör den enskilde och som gått honom eller henne emot. Andra beslut som Säkerhetspolisen fattar i egenskap av personuppgiftsansvarig, som administrativa beslut i fråga om tillgången till personuppgifter, bör däremot inte få överklagas.163

Vi föreslår i föregående avsnitt 8.19.5 att Säkerhetspolisen inte längre ska fatta beslut om rättelse, komplettering, radering eller begränsning på enskilds begäran. Sådana beslut ska i stället enbart fattas med stöd av Säkerhetspolisens allmänna skyldigheter att vidta åtgärder för en författningsenlig behandling. En skyldighet för Säkerhetspolisen att rätta och uppdatera uppgifter eller att avsluta behandling som inte är författningsenlig föreligger enligt denna bestämmelse oavsett hur saken kommit till myndighetens kännedom. Sådana beslut bör därför, i likhet med gällande rätt, inte få överklagas.

Det bör i sammanhanget erinras om att de registrerades rättig- heter i stor utsträckning tillgodoses genom det särskilda systemet för indirekt insyn och tillsyn som sker av Säkerhets- och integritets- skyddsnämndens på begäran av enskild.

163Prop. 2018/19:163 s. 188.

516

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.20Säkerhetspolisens skyldigheter

8.20.1Dataskyddskonventionens krav

Article 10 – Additional obligations

1.Each Party shall provide that controllers and, where applicable, pro- cessors, take all appropriate measures to comply with the obligations of this Convention and be able to demonstrate, subject to the domestic legislation adopted in accordance with Article 11, paragraph 3, in parti- cular to the competent supervisory authority provided for in Article 15, that the data processing under their control is in compliance with the provisions of this Convention.

2.Each Party shall provide that controllers and, where applicable, pro- cessors, examine the likely impact of intended data processing on the rights and fundamental freedoms of data subjects prior to the com- mencement of such processing, and shall design the data processing in such a manner as to prevent or minimise the risk of interference with those rights and fundamental freedoms.

3.Each Party shall provide that controllers, and, where applicable, processors, implement technical and organisational measures which take into account the implications of the right to the protection of personal data at all stages of the data processing.

4.Each Party may, having regard to the risks arising for the interests, rights and fundamental freedoms of the data subjects, adapt the appli- cation of the provisions of paragraphs 1, 2 and 3 in the law giving effect to the provisions of this Convention, according to the nature and volume of the data, the nature, scope and purpose of the processing and, where appropriate, the size of the controller or processor.

Punkten 1 i artikel 10 innebär att de skyldigheter som följer av kon- ventionen även ska medföra ett ansvar för personuppgiftsansvariga att kunna bekräfta och visa regelefterlevnad. Den personuppgifts- ansvarige ska därför kunna visa att personalen har den utbildning som krävs eller att det finns interna riktlinjer och rutiner för att exempelvis radera uppgifter från system i rätt tid.164

Av punkten 2 följer en skyldighet att utföra en konsekvensbedöm- ning innan en behandling påbörjas. Konventionen ställer inte upp några formkrav för en sådan bedömning. I kommentaren framhålls att en konsekvensbedömning ska innefatta en heltäckande propor- tionalitetsprövning av den planerade åtgärden.165

164Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 85.

165Ibid. p. 88.

517

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Punkten 3 innehåller ett krav på att de tekniska och organisato- riska åtgärder som krävs ska genomföras med hänsyn till skyddet för personuppgifter under alla steg av behandlingen. Det innebär, enligt kommentaren, bland annat att personuppgiftsskyddet ska beaktas redan då system utvecklas genom inbyggt dataskydd. Vidare framgår att principen om dataskydd som standard bör gälla.166

Av punkten 4 framgår att konventionsstaterna kan anpassa kraven på de personuppgiftsansvariga efter bland annat arten och volymen av de personuppgifter som behandlas, ändamålen med behandlingen och de risker som behandlingen kan medföra för de registrerades intressen och grundläggande fri- och rättigheter. Enligt kommentaren är syftet bland annat att möjliggöra undantag från vissa bestämmelser för exempelvis småföretag som inte ska behöva införa onödigt kostsamma åtgärder för harmlösa behand- lingar.167

8.20.2Skyldighet att vidta åtgärder för författningsenlig behandling av personuppgifter

Förslag: Säkerhetspolisen ska vidta de åtgärder som krävs för författningsenlig behandling, om det framgår att personuppgif- ter behandlas i strid med lag. Detsamma ska gälla om det krävs för att utföra en rättslig förpliktelse.

Nuvarande reglering

I nuvarande säpodatalag finns en generell skyldighet, enligt 2 kap. 13 och 14 §§ att rätta, uppdatera och radera personuppgifter som inte behandlas författningsenligt. Enligt 2 kap. 13 § ska alla rimliga åtgärder vidtas för att personuppgifter som med hänsyn till ända- målet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas. Åtgärderna ska också syfta till att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras, om det är nödvändigt. Enligt

2 kap. 14 § ska alla rimliga åtgärder vidtas för att personuppgifter

166Ibid. p. 89.

167Ibid. p. 90.

518

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

som behandlas i strid med vissa lagkrav utan onödigt dröjsmål raderas och för att förhindra att de lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

De båda paragraferna har sina motsvarigheter i brottsdatalagen (2 kap. 15 och 16 §§) och hade liknande, om än mindre detaljerade, motsvarigheter även i den tidigare lagstiftning som gällde för Säker- hetspolisen. Bestämmelserna är utformade efter de principer som framgår i brottsdatadirektivet men har en mer långtgående imple- mentering i svensk rätt.

Säkerhetspolisens skyldigheter att vidta åtgärder på eget initiativ motsvaras i huvudsak av enskildas rättigheter att begära rättelse, komplettering och radering, se avsnitt 8.19.5.

Det bör finnas en skyldighet att vidta åtgärder för författningsenlig behandling

Den lag vi föreslår innehåller en mängd krav för behandlingen av personuppgifter. Det är självklart att den personuppgiftsansvarige har en skyldighet att vidta de åtgärder som krävs för att uppfylla lagens krav, då uppgifter behandlas för första gången men även under den fortsatta behandlingen.

Av artikel 10.1 i dataskyddskonventionen 108+ följer att den personuppgiftsansvarige ska vidta ändamålsenliga åtgärder för att uppfylla konventionens krav. Konventionen innehåller däremot inte någon uttömmande uppräkning av hur långt denna skyldighet sträcker sig eller med vilka medel den personuppgiftsansvarige ska uppnå detta mål.

Bestämmelsen bör införas som en självständig skyldighet för Säkerhetspolisen. Vi anser inte att det finns något skäl att, som dagens reglering är utformad, särskilt räkna upp vilka åtgärder som ska vidtas. Av bestämmelserna om personuppgifters kvalitet fram- går vad som krävs i detta avseende. Om det exempelvis saknas en särskild upplysning om ändamål och ändamålet inte framgår på annat sätt, ska en sådan upplysning tillföras. Om en grundläggande förutsättning för att behandla personuppgifter saknas, måste behand- lingen upphöra. Det sker normalt genom att uppgiften raderas. Både arkivrättsliga skäl och att uppgiften kan behöva finnas kvar som bevis för felaktigheten talar för att det inte ska föreskrivas något absolut raderingskrav.

519

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Dagens regler innefattar skyldigheter enligt lag, förordning eller rättslig förpliktelse. En rättslig förpliktelse kan exempelvis utgöras av ett föreläggande eller beslut från tillsynsmyndigheten. Detta bör gälla även i den nya lagen.

Inget krav på kontinuerlig granskning av alla personuppgifter

Av många myndigheter är det rimligt att begära registervård i form av att akter och ärenden med viss regelbundenhet granskas och att felaktiga personuppgifter rättas och inaktuella uppgifter uppdateras. Frågan är om det är lämpligt att i lag föreskriva en skyldighet för Säkerhetspolisen att gå igenom de personuppgifter som behandlas för att upptäcka fel eller om det är tillräckligt att rätta felaktigheter när de framkommer.

Skyldigheten att granska uppgifter genom kontinuerlig register- vård är förstås att föredra ur ett integritetsperspektiv, eftersom det säkerhetsställer en hög kvalitet på personuppgifterna och förhindrar att uppgifter behandlas felaktigt under en längre tid. Att kontinu- erligt och manuellt granska samtliga personuppgifter som Säkerhets- polisen behandlar är dock mycket resurskrävande och förutsätter i praktiken en fördelning mellan operativ respektive registervårdande verksamhet som inte framstår som rimlig. Det bör därför inte ställas ett krav på att Säkerhetspolisen ska garantera att alla uppgifter upp- fyller lagens alla krav vid alla tillfällen. Eftersom bland annat behov, proportionalitet och relevans kan variera över tid skulle ett sådant krav kräva att samtliga uppgifter granskades med viss regelbunden- het. Att Säkerhetspolisen är skyldig att vårda sina register genom exempelvis stickprovskontroller eller andra rutiner för registervård är en annan sak. En sådan egenkontroll omfattar verksamheten i stort och inte varje enskild uppgift.

Skyldigheten att vidta åtgärd bör i stället uppkomma då en fel- aktighet konstaterats. Om det t.ex. i det operativa arbetet kan kon- stateras att uppgifter behandlas trots att de inte längre behövs, på grund av ändrade förhållanden eller ny kunskap, ska de inte längre behandlas. Säkerhets- och integritetsskyddsnämnden kan också konstatera brister vid sin tillsyn. Även myndighetens dataskydds- ombud kan upptäcka felaktigheter som behöver rättas till. Om en

520

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

enskild påtalar en felaktighet uppkommer genom bestämmelsen en skyldighet att vidta åtgärd om det finns fog för det.

Ansvaret för att personuppgifter behandlas författningsenligt är givetvis i första hand Säkerhetspolisens. Det är därför myndighetens ansvar att tillse att det finns rutiner på plats både för att förhindra och upptäcka felaktigheter. Oavsett hur felaktigheter upptäcks inne- bär den föreslagna bestämmelsen att de ska åtgärdas.

Av lagtexten bör det av dessa skäl framgå att Säkerhetspolisens skyldighet att agera i form av radering m.m. gäller först när det fram- går att en åtgärd krävs. Det hänvisas vidare till författningskommen- taren till 5 kap. 1 §.

8.20.3Tekniska och organisatoriska åtgärder

Förslag: De nuvarande reglerna om Säkerhetspolisens skyldig- heter att vidta tekniska och organisatoriska åtgärder och att be- gränsa tillgång till personuppgifter ska överföras oförändrade till den nya lagen.

Nuvarande reglering

Enligt 5 kap. 1 § säpodatalagen ska Säkerhetspolisen, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registre- rades rättigheter skyddas. Bestämmelsen om tekniska och organisa- toriska åtgärder följer av brottsdatadirektivet. Regeringen ansåg att det i detta avseende kunde ställas samma krav på Säkerhetspolisen som på övriga brottsbekämpande myndigheter, vilket motiverade en bestämmelse med samma innehåll som 3 kap. 2 § brottsdatalagen.

Det finns vidare, i 5 kap. 2 § säpodatalagen, ett krav på så kallat inbyggt dataskydd, vilket innebär att nödvändiga skyddsåtgärder ska integreras både vid behandlingen och när medlen för behandlingen bestäms. Regeringen ansåg att brottsdatadirektivets krav på att integritetsfrågor ska beaktas, från förstudie och kravställning via design och utveckling till användning och avveckling, innebär både att säkerheten i systemen kan höjas och författningsenlig och kor-

521

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

rekt behandling underlättas. En bestämmelse som var likalydande med brottsdatalagens regel togs därför in säpodatalagen.

Av 5 kap. 3 § följer att det i Säkerhetspolisens behandlingsystem som regel inte ska vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål (dataskydd som standard). Dataskydd som standard innebär att arbetsflödena i ett system automatiskt ska styra användaren mot ett integritetssäkert arbetssätt och att grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas. Den personuppgifts- ansvarige ska vidta lämpliga åtgärder för att i standardfallet säkerställa att så sker. Regeringen ansåg att de krav som följer av brottsdata- direktivet bör ställas även på Säkerhetspolisen i detta avseende. Regeringen påpekade dock att det inte alltid är möjligt att ange ända- målen lika tydligt och detaljerat inom underrättelseverksamheten som i annan brottsbekämpande verksamhet, vilket kan påverka hur dataskyddet som standard implementeras i Säkerhetspolisens verk- samhet.168

I 5 kap. 4 § anges att personuppgiftsbehandling ska loggas i den utsträckning det är särskilt föreskrivet. Loggning är en säkerhets- åtgärd som innebär att behandlingshistorik sparas under en viss tid. Det är en teknisk funktion i systemet som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Loggningen ger Säkerhetspolisen information om åtkomst och användning av system. Loggning kan därmed ge information om bland annat obe- hörig åtkomst eller angrepp mot systemen och är därför en mycket viktig del av myndighetens informationssäkerhetsarbete. Den ger också tillsynsmyndigheten nödvändig information för granskning i efterhand av hur personuppgifter har behandlats.

Kravet på dataskydd som standard och på loggning gäller endast det som i säpodatalagen kallas för automatiserade behandlingssystem. Med automatiserade behandlingssystem avses behandlingssystem som är särskilt utformade eller anpassade för verksamheten där personupp- gifter behandlas mer eller mindre strukturerat. Det kan till exempel handla om verksamhetsstöd i form av dokument- och ärendehanter- ingssystem och olika typer av register och databaser. För att data- skydd som standard ska kunna införas i automatiserade behandlings- system krävs det att Säkerhetspolisen har tekniska möjligheter och rätt att vidta sådana åtgärder i systemet. Standardprogram som Word,

168Prop. 2018/19:163 s. 135.

522

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Outlook och Excel är inte att anse som automatiserade behandlings- system i paragrafens mening och omfattas därför inte av kraven.169

De nuvarande reglerna om tekniska och organisatoriska åtgärder är välavvägda och kan överföras till den nya lagen

Säpodatalagens bestämmelser om tekniska och organisatoriska åt- gärder följer i stora delar brottsdatadirektivet och är mer detaljerade och långtgående än de krav som uppställs i dataskyddskonventionen. För FRA och Försvarsmakten, vars personuppgiftslagar likt Säker- hetspolisens är fristående EU-rätten, saknas exempelvis särskilda bestämmelser om inbyggt dataskydd och dataskydd som standard.

Syftet med den lagstiftning vi föreslår är att upprätthålla ett högt skydd för personuppgifter. De nuvarande bestämmelserna fyller en viktig funktion och är redan integrerade i Säkerhetspolisens organi- sation. Det har inte heller framgått att dessa bestämmelser hindrar en ändamålsenlig personuppgiftsbehandling.

Det finns goda skäl för att under sådana omständigheter inte förändra en etablerad ordning. Det finns också uppenbara fördelar med att eventuella system som Säkerhetspolisen utvecklar följer en brett tillämpad dataskyddsstandard.

Vi har sammantaget inte funnit skäl att göra några ändringar av- seende de nuvarande bestämmelserna i 5 kap. 1–4 §§ säpodatalagen. De bör således föras över till den nya lagen.

8.20.4Dataskyddsombud

Förslag: De nuvarande reglerna om dataskyddsombud bör i huvudsak överföras till den nya lagen. Skyldigheten att anmäla att ett dataskyddsombud utses eller entledigas bör dock gälla i förhållande till både Integritetsskyddsmyndigheten och Säkerhets- och integritetsskyddsnämnden.

Det finns inga bestämmelser i dataskyddskonventionen som innebär en skyldighet att utse ett dataskyddsombud inom en organisation som behandlar personuppgifter. Enligt kommentaren till artikel 10.1

169Ibid. s. 136 f.

523

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

kan ett av flera sätt för en personuppgiftsansvarig att visa att organi- sationen uppfyller konventionens krav vara att utse ett eller flera personuppgiftsombud. Sådana ombud ska ha tillräckliga befogen- heter att agera för att åstadkomma regelefterlevnad inom organi- sationen.170

I Sverige finns en lång historia av en ombudsfunktion i person- uppgiftslagstiftningen. Genom 1998 års personuppgiftslag infördes en roll som liknar dagens dataskyddsombud, under beteckningen personuppgiftsombud. En liknande funktion (kontaktperson) återfanns emellertid redan i 1973 års datalag genom ett tillägg som trädde i kraft år 1988. 171 Kravet på att utse ett dataskyddsombud och de uppgifter som ska åligga denne följer av brottsdatadirektivet och dataskyddsförordningen. När säpodatalagen beslutades ansågs det lämpligt att ett dataskyddsombud fick samma roll och samma uppgifter som det tidigare personuppgiftsombudet.172

Det finns inte heller nu några skäl som talar mot att Säkerhets- polisen ska vara skyldig att inom myndigheten utse ett eller flera dataskyddsombud. Reglerna bör därför i huvudsak överföras.

Enligt nuvarande säpodatalag ska en anmälan om att ett data- skyddsombud utsetts eller entledigats göras till tillsynsmyndigheten, det vill säga Integritetsskyddsmyndigheten. Det framgår inte av för- arbetena varför det endast är Integritetsskyddsmyndigheten som ska underrättas om ändrade förhållanden och därmed inte Säkerhets- och integritetsskyddsnämnden. Däremot framgår att denna anmälan är viktig, eftersom ombudet ska ha till uppgift att samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den i vissa fall.173 Ombudet har, enligt 5 kap. 10 § 5 säpodatalagen, särskilt ansvar att samarbeta med tillsynsmyndigheten vid förhand-samråd, men även i andra frågor som rör behandling av personuppgifter.

Eftersom Säkerhetspolisens tillämpning av säpodatalagen står under tillsyn av två, i förhållande till varandra oberoende, myndig- heter framstår det som lämpligt att ändrade förhållanden ska anmälas till dem båda. Vi föreslår därför en sådan bestämmelse.

170Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 87.

171Se de ändringar i 8 § datalagen (1973:289) som beslutades genom prop. 1986/87:116.

172Prop. 2018/19:163 s. 146.

173Ibid. s. 145.

524

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.21Säkerhetsåtgärder och tillgång till personuppgifter

8.21.1Dataskyddskonventionens krav

Article 7 – Data security

1.Each Party shall provide that the controller, and, where applicable the processor, takes appropriate security measures against risks such as accidental or unauthorised access to, destruction, loss, use, modification or disclosure of personal data.

2.Each Party shall provide that the controller notifies, without delay, at least the competent supervisory authority within the meaning of Article 15 of this Convention, of those data breaches which may seriously interfere with the rights and fundamental freedoms of data subjects.

Artikel 7.1 innebär att den personuppgiftsansvarige ska införa säker- hetsåtgärder för att förebygga risker som oavsiktlig eller otillåten åtkomst till eller förstöring, förlust, användning, förändring eller röjande av personuppgifter. Sådana säkerhetsåtgärder kan vara av både av teknisk och organisatorisk art. Skyddet ska anpassas efter bland annat uppgifternas art och mängd, de potentiella konsekvens- erna för enskilda vid otillåten behandling och graden av sårbarhet i den tekniska struktur som används för behandlingen. Kostnaden för säkerhet bör stå i proportion till hur allvarliga och sannolika de potentiella riskerna är.174

Av artikel 7.2 framgår att en personuppgiftsansvarig ska vara skyl- dig att utan dröjsmål underrätta tillsynsmyndigheten om personupp- giftsincidenter som kan medföra betydande intrång i de registrerades fri- och rättigheter.

Skyldigheterna som följer av artikel 7.1 är absoluta, men under- rättelseskyldigheten i artikel 7.2 omfattas av medlemsstaternas möj- lighet att göra nödvändiga och proportionerliga undantag motiver- ade av bland annat nationell säkerhet och brottsbekämpning.

174Explanatory Report – CETS 223 – Automatic Processing of Personal Data (Amending Protocol), p. 62.

525

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

8.21.2Tillgång till personuppgifter

Förslag: De nuvarande bestämmelserna om tillgång till person- uppgifter ska överföras till den nya lagen.

Bedömning: Det finns inte tillräckligt starka skäl för att ändra den nuvarande regleringen om den interna tillgången till person- uppgifter.

Den nuvarande regleringen

Enligt 5 kap. 5 § säpodatalagen ska Säkerhetspolisen se till att till- gången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Motsvarande bestäm- melse återfinns även i brottsdatalagen (3 kap. 6 §) och en rad andra personuppgiftslagar. Bestämmelsen är inte ny för säpodatalagen, utan är överförd från den tidigare polisdatalagen. Syftet är att för- hindra intrång i enskildas personliga integritet genom att skydda uppgifterna från att behandlas för andra syften än att utföra en tjänsteuppgift.

När stora informationsmängder är samlade på ett sådant sätt att integritetskänsliga personuppgifter är enkelt sökbara på elektronisk väg, finns enligt regeringen uppenbara risker för intrång i den person- liga integriteten. I förarbetena förklaras därför att det är en hörnsten i skyddet av enskildas integritet att åtkomst endast medges till de personuppgifter som den enskilde tjänstemannen behöver för att kunna utföra sina arbetsuppgifter. Vidare konstateras att det inte endast ska vara en fråga om vilka uppgifter en medarbetare får be- handla, utan även vilka uppgifter som denne kan behandla. Ju fler personer i en myndighet som har tillgång till personuppgifter, desto större är risken för obehörig åtkomst eller spridning av uppgifterna. Det innebär att den faktiska åtkomsten ska vara begränsad till vad som krävs.175

175Prop. 2018/19:163 s. 139 och prop. 2017/18:232 s. 180 f.

526

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Finns det skäl att ändra den nuvarande ordningen?

Bestämmelsen i nuvarande 5 kap. 5 § säpodatalagen innebär en skyldighet för myndigheten att bland annat besluta om behörighets- system som begränsar tillgången till personuppgifter. Säkerhets- polisen har implementerat en omfattande sektionering av infor- mation där tillgång begränsas till uppgifter som behövs för specifika verksamheter eller arbetsuppgifter.

Det framgår av interna styrdokument vem som har mandat att besluta om behörigheter till myndighetens informationssystem. För att få behörighet ska medarbetaren ha ett behov av uppgifterna samt ha tillräcklig kunskap om informationssystemet, informations- säkerhet och personuppgiftsskydd. Tillgångsfrågan bedöms utifrån uppgifternas skyddsvärde från både verksamhets- och integritets- synpunkt.

Säkerhetspolisen tillämpar olika behörighetsnivåer i sina infor- mationssystem – från behörigheter som endast tillåter läsning till sådana som medger redigering. Loggning och logguppföljning används för att kontrollera efterlevnaden av reglerna.

Att begränsa sökningar och registerslagningar till sådana som är motiverade av arbetsuppgifter är en central säkerhetsmekanism för att skydda de registrerades personliga integritet. Säkerhetspolisens befintliga system och rutiner för tilldelning av behörigheter fram- står som välfungerande och välavvägda.

Bestämmelserna kompletteras även av särskild lagstiftning. Enligt lag (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott ska Säkerhetspolisen begränsa tillgången till uppgifter från FRA på ett sätt som särskilt beaktar att dessa inte får användas för att utreda brott.

Den nuvarande regleringen bör överföras till den nya lagen

Begränsning av tillgång till personuppgifter är en grundläggande komponent i skyddet av den personliga integriteten. Den nuvarande bestämmelsen har visat sig vara ett effektivt verktyg för att säker- ställa detta skydd inom Säkerhetspolisens verksamhet.

Bestämmelsen ger Säkerhetspolisen ett tydligt ansvar samtidigt som den tillåter en flexibel tillämpning anpassad efter verksam-

527

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

hetens särskilda behov. Den har fungerat väl i praktiken och är väl integrerad i myndighetens interna processer och styrdokument.

Vi anser att den nuvarande regeln, som även har motsvarigheter i många andra personuppgiftslagar, bör överföras till den nya lagen utan ändringar.

8.21.3Säkerhetsåtgärder

Förslag: De nuvarande bestämmelserna om säkerhetsåtgärder för skydd mot otillåten behandling, förlust, förstöring och annan oavsiktlig skada ska överföras till den nya lagen.

Den nuvarande regleringen

Enligt 5 kap. 7 § säpodatalagen ska Säkerhetspolisen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personupp- gifter som behandlas, särskilt mot obehörig eller otillåten behand- ling och mot förlust, förstöring eller annan oavsiktlig skada.

Även denna bestämmelse har sin motsvarighet i brottsdatalagen och gällde redan innan säpodatalagen genom en liknande bestäm- melse i personuppgiftslagen. Enligt förarbetena ska frågan om vilka åtgärder som är lämpliga bestämmas utifrån de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna och de särskilda risker som finns med behandlingen. Vidare ska behand- lingens art, omfattning, sammanhang och ändamål beaktas. Särskild hänsyn bör även tas till i vilken utsträckning känsliga personupp- gifter behandlas och hur integritetskänsliga övriga personuppgifter som behandlas är.176

Isäkerhetsskyddslagen (2018:585) och säkerhetsskyddsförord- ningen (2021:955) finns bestämmelser, som har företräde framför säpodatalagen i fråga om informationssäkerhet för bland annat infor- mationssystem som har betydelse för säkerhetskänslig verksamhet. Enligt 2 kap. 2 § säkerhetsskyddslagen ska den som till någon del bedriver säkerhetskänslig verksamhet förebygga att säkerhetsskydds- klassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga

176Prop. 2018/19:163 s. 143.

528

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

eller förstörs och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Den nuvarande regleringen bör överföras till den nya lagen

Det kan ifrågasättas om det fyller någon funktion att vid sidan av det regelverk som gäller säkerhetsskyddsklassificerade uppgifter även ställa upp informationssäkerhetskrav i säpodatalagen. Säkerhets- polisens operativa it-infrastruktur omfattas i sin helhet av säkerhets- skyddslagens regler.

Syftet är dock olika för de båda lagarna. Säkerhetsskyddslagen reglerar skyddet för säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säpodatalagens bestämmelser om informationssäkerhet avser att skydda de registrerades uppgifter från att spridas eller förstöras. Syftet är att förhindra integritetsintrång eller rättsförlust. Det kan ställas olika krav på informationssäkerhet när det gäller å ena sidan verksamhetens behov och å andra sidan skydd för enskildas rättig- heter.

Ytterligare ett skäl till att behålla bestämmelsen om information- ssäkerhet i säpodatalagen är att det innebär att informationssäker- heten till skydd för enskilda står under tillsyn. Säkerhetspolisen är tillsynsmyndighet enligt säkerhetsskyddslagen och står inte själv under någon tillsyn i det avseendet.177 Övervägande skäl talar för att behålla den nuvarande bestämmelsen om säkerhetsåtgärder i den nya lagen.

8.21.4Det finns inte skäl att införa någon rapporteringsskyldighet vid personuppgiftsincidenter

Bedömning: Det finns inte skäl att införa en skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheten.

177Se 8 kap. 1 § säkerhetsskyddsförordning.

529

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Skälen för bedömningen

Skyldigheten att rapportera personuppgiftsincidenter, enligt artikel 7.2 i dataskyddskonventionen, har sin motsvarighet i brottsdatadirektivet och regleras för de brottsbekämpande myndigheternas del genom

3 kap. 9–11 §§ brottsdatalagen. Skyldigheterna enligt brottsdatalagen gäller emellertid inte för it-incidenter i informationssystem som har betydelse för säkerhetskänslig verksamhet eller om det annars finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts. Sådana incidenter ska, enligt 2 kap. 4 § säkerhetsskydds- förordningen, i stället rapporteras till Säkerhetspolisen, eller i vissa fall till Försvarsmakten.

Behovet av att skydda information om incidenter som kan inne- bära att uppgifter med betydelse för Sveriges säkerhet kan ha läckt har ansetts vara så stort att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. En personuppgiftsincident i Säkerhetspolisens informationssystem som drabbar personuppgifter som behandlas med stöd av säpodatalagen kommer alltid att ha betydelse för Sveriges säkerhet. Det finns därför goda skäl för att personuppgiftsincidenter angående uppgifter som behandlas enligt säpodatalagen ska undantas från konventionens krav om anmälan till tillsynsmyndigheten. Undantaget, motiverat av skyddet för natio- nell säkerhet, är nödvändigt och proportionerligt.

8.22Personuppgiftsbiträden

Förslag: Nuvarande regler för anlitande av personuppgiftsbiträden, skyldigheten för biträdet att följa instruktioner och förbud mot att utan tillstånd anlita underbiträden ska överföras till den nya lagen.

Personuppgiftsbiträdets skyldigheter ska omfatta samma tek- niska och organisatoriska åtgärder som gäller för Säkerhetspolisen. Vidare ska biträdet vara skyldig att samarbeta med tillsynsmyndig- heten och utföra konsekvensbedömningar.

530

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

8.22.1Dataskyddskonventionens krav

Article 2 – Definitions

For the purposes of this Convention:

d. ”controller” means the natural or legal person, public authority, service, agency or any other body which, alone or jointly with others, has decision-making power with respect to data processing;

f. ”processor” means a natural or legal person, public authority, service, agency or any other body which processes personal data on behalf of the controller.

Dataskyddskonventionen 108+ innehåller, till skillnad mot sin före- gångare, regler om personuppgiftsbiträden. För personuppgifts- biträden gäller artiklarna 7 och 10 i konventionen på samma sätt som för den personuppgiftsansvarige. Det finns däremot inte några särskilda regler för hur ett biträde ska utses, vilken behörighet som denne har eller om biträdet i sin tur kan anlita ett underbiträde (jämför artikel 22 i brottsdatadirektivet).

Artikel 7 i konventionen reglerar säkerhetsåtgärder och tillgång till personuppgifter (se avsnitt 8.20). Artikel 10 reglerar den person- uppgiftsansvariges skyldigheter i olika avseenden: skyldigheten att säkerställa och kunna visa att personuppgifter behandlas konvention- senlig, skyldigheten att bedöma konsekvenserna och anpassa behand- lingen för att minska risken för intrång i de intressen som påverkas samt att införa de tekniska och organisatoriska åtgärder som krävs med hänsyn till skyddet för personuppgifter (se avsnitt 8.20.3).

8.22.2Den nuvarande regleringen

Personuppgiftsbiträden regleras i 5 kap. 11–14 §§ säpodatalagen. I 5 kap. 11 § framgår att Säkerhetspolisen får anlita personuppgifts- biträden. Innan ett personuppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda regi- strerades rättigheter. Vidare framgår att personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse. Av 5 kap. 12 § följer att det krävs

531

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

skriftligt tillstånd från Säkerhetspolisen innan ett personuppgifts- biträde får anlita ett eget personuppgiftsbiträde (underbiträde).

Av 5 kap. 13 § framgår den självklara förutsättningen att person- uppgiftsbiträdet ska behandla personuppgifter i enlighet med instruktioner från Säkerhetspolisen. Om ett personuppgiftsbiträde går utanför sina instruktioner och själv bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgifts- ansvarig för den behandlingen, vilket bland annat kan medföra skadeståndsansvar mot de registrerade.

5 kap. 14 § hänvisar till att en del av de skyldigheter som gäller för Säkerhetspolisen som personuppgiftsansvarig även gäller för biträden. Det är skyldigheten att föra loggar och att begränsa med- arbetares tillgång till personuppgifter till det som krävs för att full- göra sina respektive arbetsuppgifter. Vidare gäller skyldigheten att vidta lämpliga säkerhetsåtgärder även för personuppgiftsbiträden. Att dessa skyldigheter gäller även för biträden innebär inte att ansvaret delegerats. Säkerhetspolisen är, enligt 1 kap. 6 § säpodatalagen, ansvarig även för den behandling som utförs av biträden på uppdrag av myndigheten.

8.22.3Det bör ställas högre krav på personuppgiftsbiträden för att säkerställa att dataskyddskonventionen efterlevs

Det behövs regler om personuppgiftsbiträden

Säkerhetspolisen utnyttjar inte möjligheten till personuppgiftsbiträden i någon större omfattning. Bestämmelserna är dock viktiga för att kunna säkerställa tekniska lösningar och resiliens i myndigheten. Det måste också vara möjligt för Säkerhetspolisen att exempelvis uppdra åt Polismyndigheten att behandla personuppgifter i samband med gemensamma insatser. Ett annat fall kan vara att Försvarsmakten lämnar stöd enligt lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning, med exempelvis övervaknings- åtgärder.

Säkerhetspolisen är givetvis noga med att utforma ett eventuellt personuppgiftsbiträdesavtal av bland annat informationssäkerhetsskäl. Säpodatalagens regler är avsedda att skydda den personliga integriteten genom tvingande minimiregler vid sidan av sådana biträdesavtal och

532

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

att ålägga biträden ett självständigt ansvar. Det finns därför goda skäl att behålla regler om personuppgiftsbiträden.

De nuvarande reglerna om anlitande av personuppgiftsbiträden och behandling enligt instruktioner bör överföras till den nya lagen

De nuvarande bestämmelserna om anlitande av personuppgifts- biträden och behandling enligt den personuppgiftsansvariges instruk- tioner i 5 kap. 11–13 §§ framstår som välavvägda.178 Inte minst av tillsynsskäl är det avgörande att ett avtal eller annan överenskom- melse med personuppgiftsbiträdet är skriftligt och att inte biträdet kan anlita underbiträden utan Säkerhetspolisens uttryckliga godkän- nande. Det framstår även som naturligt att Säkerhetspolisen, innan ett avtal ingås, måste säkerställa att biträdet har förmåga att upp- fylla kraven för att skydda personuppgifter. Dessa regler bör således föras över till den nya lagen.

Personuppgiftsbiträdets skyldigheter måste anpassas till dataskyddskonventionen

I 5 kap. 14 § säpodatalagen hänvisas till att personuppgiftsbiträdet har vissa specifika skyldigheter, vilka framgår av 5 kap. 4, 5, 7 och 8 §§ i samma lag. Dessa nuvarande bestämmelser motsvarar dock inte fullt ut de skyldigheter som anges i dataskyddskonventionen 108+. Enligt konventionens artikel 10 ska ett biträde följa samma krav som den personuppgiftsansvarige avseende tekniska och organisatoriska åtgärder för att säkerställa dataskyddet. Det finns därför skäl att ut- vidga biträdets skyldigheter så att samtliga relevanta krav blir tillämp- liga även för personuppgiftsbiträden.

Det innebär att de nuvarande bestämmelserna i 5 kap. 1–8 §§ säpo- datalagen även bör gälla för ett biträde. Det är regler om tekniska och organisatoriska åtgärder, tillgång till personuppgifter, säkerhetsåt- gärder och konsekvensbedömning. Det bör dock inte finnas något krav på förhandssamråd med tillsynsmyndigheten. Om en konse- kvensbedömning visar på en särskild risk för intrång i den registre-

178Se prop. 2018/19:163 s. 148–151.

533

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

rades personliga integritet bör förhandssamrådet ske mellan tillsyns- myndighet och Säkerhetspolisen, och inte med biträdet.

8.23Informationsutbyte

8.23.1Behandling för ändamål i annan verksamhet

Förslag: Personuppgifter får behandlas för att tillhandahålla information till andra om det sker i enlighet med lag eller för- ordning.

Det ska inte längre krävas särskilda skäl för att tillhandahålla information till Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst eller i Försvarets radioanstalts försvars- underrättelseverksamhet.

Personuppgifter ska även få tillhandahållas om de behövs i verksamhet som rör underrättelse- och säkerhetsfrågor hos en internationell organisation som Sverige är medlem.

Den nuvarande regleringen

De så kallade sekundära ändamålen, i 2 kap. 4 § säpodatalagen, syftar till att ge Säkerhetspolisen en möjlighet att dela personuppgifter för ändamål som endast är relevanta för mottagande myndighet. Para- grafen innehåller en uppräkning av de verksamheter där informations- delning har ansetts nödvändig och särskilt motiverad.179 För att tillhandahålla personuppgifter till dessa verksamheter behövs inte någon prövning mot finalitetsprincipen. I huvudsak gäller de sekun- dära ändamålen brottsbekämpning hos andra myndigheter i Sverige eller utomlands. Vidare anges att uppgifter får behandlas för att del- ges andra underrättelse- och säkerhetstjänster. Både svenska part- ners, i första hand den militära underrättelse- och säkerhetstjänsten, men även samverkande utländska tjänster.

Säkerhetspolisen får även behandla personuppgifter för att till- handahålla information till riksdagen och regeringen. Om det finns en skyldighet att lämna uppgifter till följd av lag eller förordning, får uppgifter även behandlas för detta ändamål.

179Se prop. 2009/10:85 s. 260 ff.

534

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

I övrigt får personuppgifter behandlas för sekundära ändamål endast i enskilda fall och efter en prövning av utlämnandets förenlig- het med finalitetsprincipen.

Informationsdelning i överenstämmelse med lag eller förordning

Sekretess och sekundära ändamål

Uppräkningen i nuvarande 2 kap. 4 § är inte uttömmande. Av andra stycket framgår att personuppgifter som behandlas enligt säpodata- lagen även får tillhandahållas annan i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning. Det innebär att någon ytterligare prövning enligt finalitetsprincipen inte behöver göras, om det finns en sekretessbrytande uppgiftsskyldighet.

I många andra lagar anges att detta även ska gälla i de fall då det inte föreligger en skyldighet att lämna uppgift, men då det finns en möjlighet till det. Det rör sig med andra ord om de fall där det finns en sekretessbestämmelse som medger utlämnande. Dessa bestäm- melser är motiverade av att det får förutsättas att det gjorts en avväg- ning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet i samband med införandet av den bestämmelsen som medger utlämnande. Om det föreskrivs att personuppgifter även får lämnas ut om det sker i ”överensstämmelse med lag eller förordning”, avses de tillfällen då lagstiftaren redan genom en sekretessbestämmelse tagit ställning till att uppgiften i sig får lämnas ut. Att utlämnandet sker genom automatiserad be- handling, så att en personuppgiftslag är tillämplig, hindrar då inte utlämnandet.180

Det framstår som rimligt att frågan om en personuppgift får be- handlas genom utlämnande endast ska prövas med tillämpning av ett regelverk. I princip all Säkerhetspolisens personuppgiftsbehand- ling sker numera datoriserat och med stöd av antingen dataskydds- förordningen eller säpodatalagen. Det finns inte något skäl till att ut- lämnanden av uppgifter som är helt eller delvis automatiserat ska omfattas av ett ytterligare regelverk i förhållande till utlämnande av uppgifter som behandlas helt manuellt och endast prövas enligt offent- lighets- och sekretesslagen.

180Se t.ex. prop. 2007/08:126 s. 59.

535

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Frågan om förhållandet mellan sekretess och så kallad sekundär personuppgiftsbehandling utreds för närvarande av Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (Ju 2023:22).

De sekundära ändamålen bör kompletteras med en bestämmelse om utlämnande som sker i överenstämmelse med lag eller förordning

Uppräkningen av de sekundära ändamålen i säpodatalagen avser de typfall då uppgiftslämnande sker inom ramen för lagens tillämpnings- område och då utlämnande kan ske oavsett för vilket ändamål upp- giften ursprungligen behandlats. Uppräkningen bidrar till transparens i fråga om hur Säkerhetspolisen kan behandla uppgifter, trots att listan inte är uttömmande. Vid sidan av uppräkningen ska myndig- heten i dag tillhandahålla information till följd av sekretessbrytande bestämmelser.

Det finns skäl att överväga om säpodatalagen ska få samma regler- ing som många andra myndigheter som innebär att uppgifter även får lämnas ut om det sker i överensstämmelse med lag eller förord- ning. Att en sekretessbestämmelse som medger uppgiftslämnande har företräde framför nuvarande 2 kap. 4 § säpodatalagen utgör sannolikt gällande rätt.181 Vi anser dock att det finns goda skäl att förtydliga att avvägningen mellan enskilda och allmänna intressen gjorts i den sekretessbestämmelse som medger uppgiftslämnande mellan myndigheter. Om lagstiftaren kommit fram till att uppgifter som behandlas inom Säkerhetspolisens verksamhet får lämnas ut utan hinder av sekretess, bör någon ytterligare prövning enligt finalitetsprincipen inte behöva göras.

Den nuvarande uppräkningen av sekundära ändamål i 2 kap. 4 § säpodatalagen kan anses fylla en funktion avseende uppgifter som inte omfattas av någon sekretessbestämmelse. Att lämna ut person- uppgifter utgör en integritetsrisk för enskilda. Det finns därför goda skäl till att räkna upp de typfall då en sådan behandling kan ske för att göra tillämpningen mer transparent.

Utöver den uppräkning av verksamheter med vilka Säkerhets- polisen typiskt sett delar information föreslår vi att det ska framgå att uppgifter även får behandlas för uppgiftslämnande i överens-

181Jfr HFD 2021 ref. 10.

536

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

stämmelse med lag eller förordning. Det omfattar förvisso även de uppräknade myndigheterna.

Informationsdelning med den militära underrättelse- och säkerhetstjänsten och FRA

I likhet med de andra så kallade sekundära ändamålen har bestäm- melserna om informationsdelning mellan Säkerhetspolisen och de den militära underrättelse- och säkerhetstjänsten följt med från tidigare reglering. I förarbetena till 2010 års polisdatalag, där möj- ligheten att tillhandahålla information till Försvarsmaktens under- rättelseverksamhet och säkerhetstjänst först infördes, angavs att underrättelseverksamhet som rör rikets säkerhet är en gemensam angelägenhet för Säkerhetspolisen och Försvarsmakten. För att personuppgifter skulle få lämnas ut för denna verksamhet förklar- ades dock att det dels skulle vara fråga om en uppgift som Säkerhets- polisen bedömer behövs i Försvarsmaktens verksamhet, dels att det fanns särskilda skäl för att tillhandahålla uppgiften. Vilken slags skäl som ska anses vara särskilda anges inte förarbetena men exemplifieras med att det under en förundersökning som Säkerhetspolisen bedriver kommer fram information som kan vara mycket viktig för Försvars- makten i dess underrättelseverksamhet. Det kan till exempel röra sig viktiga uppgifter om en försvarsanställd eller någon i dennes närmaste krets och som är viktiga för Sveriges säkerhet. Ett annat exempel som anges är att Säkerhetspolisen i sin brottsbekämpning noterar svagheter eller brister i skyddet för Försvarsmaktens anlägg- ningar som skulle kunna få allvarliga konsekvenser.182

Genom säpodatalagen tillfördes utlämnande till FRA vid sidan av Försvarsmakten. I lagförarbetena angavs att Säkerhetspolisen, Försvarsmakten och FRA har angränsande uppdrag beträffande Sveriges säkerhet som förutsätter nära samarbete och kontinuerligt informationsutbyte. Regeringen ansåg att på samma sätt som brotts- bekämpning i vissa avseenden är en för flera myndigheter gemen- sam angelägenhet är också underrättelseverksamhet som rör Sveriges säkerhet en för Säkerhetspolisen, Försvarsmakten och FRA gemen- sam angelägenhet, även om myndigheterna har olika uppdrag i förhållande till Sveriges säkerhet. Regeringen ansåg att det därför

182Prop. 2009/10:85 s. 262 och 365 f.

537

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

måste finnas ett utrymme för att utbyta information mellan myndig- heterna. Kravet på särskilda skäl för utlämnande kvarstod emellertid, i syfte att markera att bestämmelsen ska tillämpas restriktivt.183

Vår uppfattning är att hotbilden mot Sverige och säkerhetsläget i vårt närområde ställer krav på ett nära samarbete mellan våra säker- het- och underrättelsetjänster. Den hotbild som finns mot Sverige har alltmer fått internationella dimensioner. En antagonistisk statlig aktör kan exempelvis verka för att destabilisera Sverige på flera fronter och med olika metoder. Hybridhoten har blivit allt vanligare och ofta kan det vara svårt att på förhand avgöra om ett angrepp, exempelvis ett sabotage mot kritisk infrastruktur, rör Sveriges försvar och säkerhet eller om det är en fråga för Säkerhetspolisen.

Med hänsyn till det försämrade säkerhetsläget finns det att ta bort hinder för att förebygga och förhindra hot mot nationell säker- het. Skälen som talar för ett restriktivt informationsutbyte mellan den nationella säkerhetstjänsten och försvarsunderrättelsemyndig- heterna får anses vara överskuggade av de skäl som talar för ett mer integrerat samarbete. Säkerhetspolisen ingår även i det nationella underrättelserådet tillsammans med chefen för den militära under- rättelse- och säkerhetstjänsten och generaldirektören för FRA. Vår bedömning är därför att kravet på särskilda skäl ska utgå ur den nuvarande bestämmelsen.

Informationsdelning inom Nato

Sveriges Nato-medlemskap har inneburit att Säkerhetspolisen ingår i nya strukturer för underrättelsesamverkan. Som nationell säkerhets- tjänst representerar Säkerhetspolisen tillsammans med Försvars- makten Sverige i Natos civila underrättelsekommitté (Civilian Intelli- gence Committee). Civila underrättelsekommittén rapporterar direkt till Nordatlantiska rådet och ger råd i frågor som rör spioneri, terro- rism och relaterade hot.

Säkerhetspolisen hade redan tidigare ett integrerat samarbete med vissa betrodda partners i andra länder. De nuvarande bestämmelserna om informationsdelning tar också sikte på enskilda säkerhets- och underrättelsetjänster. Samarbete med mellanfolkliga organisationer

183Prop. 2018/19:163 s. 70.

538

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

förutsätter att dessa bedriver brottsbekämpande verksamhet, som Europol.

Den information som behöver kunna delas inom ramen för Natos underrättelsesamarbete bör kunna ske utan en prövning mot finali- tetsprincipen. Den underrättelsesamverkan som bedrivs inom Natos civila underrättelsekommitté kan i princip anses vara brottsbekäm- pande. För att undvika eventuella otydligheter bör det dock klargöras att personuppgifter får behandlas för att tillhandahålla information som behövs för underrättelse- och säkerhetsverksamhet i en mellan- folklig organisation där Sverige är medlem. Vi föreslår en lagregler- ing med denna innebörd.

8.23.2Direktåtkomst och sekretessbrytande bestämmelser

Förslag: Säkerhetspolisen ska ha samma möjlighet att medge direktåtkomst som enligt nuvarande lag.

De nuvarande bestämmelserna om direktåtkomst och sekre- tessbrytande bestämmelser ska därför överföras till den nya lagen, med de justeringar som är föranledda av andra ändringar.

Den nuvarande regleringen

Direktåtkomst

Genom säpodatalagen utökades möjligheterna för Säkerhetspolisen att medge direktåtkomst till svenska och utländska myndigheter. Dessa regler är motiverade av att brottsbekämpning bedrivs dygnet runt och vissa uppgifter måste vara tillgängliga omedelbart även utan- för kontorstid. Genom direktåtkomst behöver den mottagande myndigheten inte vända sig till den utlämnande myndigheten med en särskild begäran. Tjänstemännen kan i stället eftersöka och hämta den information som direktåtkomsten ger tillgång till.

Det ansågs vidare ligga i Sveriges intresse, och följa av våra inter- nationella åtaganden, att Säkerhetspolisen på ett effektivt sätt kan bidra till att förhindra terrorism utomlands. Ett väl fungerande samarbete med andra underrättelse- och säkerhetstjänster inom kontraterrorverksamheten ansågs underlättas av möjligheten till direktåtkomst även för utländska säkerhets- och underrättelse-

539

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

tjänster inom EU- och EES-samarbetet. År 2023 utökades möjlig- heterna till direktåtkomst till att avse även underrättelse- och säkerhetstjänster i Schweiz och Förenade kungariket. Skälet var att dessa länder varken är medlemmar i EES eller EU men ingår i det europeiska forumet för att bekämpa terroristbrott, Counter Terrorism Group.

För att kunna medge direktåtkomst krävs som regel sekretess- brytande bestämmelser. I annat fall krävs att varje uppgift som görs tillgänglig genom direktåtkomst måste sekretessprövas. I nu- varande lagstiftning finns därför sekretessbrytande bestämmelser. Vidare får endast gemensamt tillgängliga uppgifter göras tillgäng- liga genom direktåtkomst

Sekretessbrytande bestämmelser

De personuppgifter som Säkerhetspolisen behandlar omfattas som regel av sekretess enligt 15 kap. 1 och 2 §§ och 18 kap. 1 och 2 §§ offentlighets- och sekretesslagen. Där regleras utrikes- och försvars- sekretessen samt sekretessen till skydd för brottsbekämpningen. Bestämmelserna är tillämpliga på uppgifter som hänför sig till eller rör viss verksamhet. Det innebär att de gäller i all verksamhet där sådana uppgifter förekommer.

Uppgifter om enskilda i Säkerhetspolisens verksamhet omfattas även av sekretess enligt 35 kap. 1 § offentlighets- och sekretesslagen. Enligt paragrafen gäller sekretess för uppgifter som rör enskildas personliga och ekonomiska förhållanden och som förekommer i brottsbekämpande verksamhet. Uppgifter om enskilda kan även om- fattas av sekretess enligt 37 kap. 1 § och 21 kap. 3 och 5 §§. Enligt 37 kap. 1 § gäller sekretess i verksamhet för kontroll över utlänningar och i ärenden om svenskt medborgarskap. Enligt 21 kap. 3 § gäller sekretess för enskildas kontaktuppgifter i vissa situationer och en- ligt 5 § gäller sekretess till skydd för utlännings säkerhet i vissa fall.

I 10 kap. offentlighets- och sekretesslagen anges under vilka förhållanden myndigheter kan lämna ut uppgifter trots att sekre- tess gäller. I kapitlet finns flera bestämmelser som medger att Säkerhetspolisen tar del av uppgifter. Uppgifter som rör terrorist- brott eller andra allvarliga brott bryter i vissa fall genom sekretess- skyddet till förmån för enskild. När det gäller möjligheten för

540

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Säkerhetspolisen att lämna ut uppgifter så är det i huvudsak 10 kap. 28 § offentlighets- och sekretesslagen som är av intressen. Enligt denna bestämmelse hindrar inte sekretess för en uppgift att den lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Sådan uppgiftsskyldighet som krävs för att sekretessen ska brytas finns i dag i bland annat säpodatalagen. I 2 kap. 15 § anges att personuppgifter ska lämnas ut för att framställa rättsstatistik, vilket i praktiken innebär en uppgiftsskyldighet i förhållande till Brottsförebyggande rådet.

I 2 kap. 17 och 18 §§ säpodatalagen framgår att Polismyndig- heten, Försvarsmakten och FRA under vissa förhållanden har rätt att ta del av uppgifter utan hinder av den sekretess som kan före- ligga till förmån för enskildas personliga förhållanden. Utlämnande får ske utan hinder av den sekretess som gäller för kontaktuppgifter enligt 21 kap. 3 §, för uppgift i bland annat förundersökning och eller underrättelseverksamhet enligt 35 kap. 1 § eller i ärenden om utlänningskontroll och medborgarskap enligt 37 kap. 1 § offentlig- hets- och sekretesslagen. En förutsättning för utlämnande är att den mottagande myndigheten behöver uppgiften i sin verksamhet. Efter- som dessa bestämmelser innebär en rätt för de mottagande myndig- heterna att ta del av uppgifterna behöver ingen sekretessprövning ske för utlämnande till de myndigheterna som anges och som be- höver uppgifterna för de angivna ändamålen.

I 2 kap. 16 § säpodatalagen regleras under vilka förhållanden personuppgifter får lämnas ut till Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol samt till en utländsk underrättelse- eller säkerhetstjänst. Denna bestämmelse är motiverad av 8 kap. 3 § offentlighets- och sekretesslagen. Där anges att uppgifter som omfattas av sekretess

som huvudregel inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. Detta förbud är förenat med två undan- tag, dels om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning, dels om uppgiften i motsvarande fall skulle få läm- nas ut till en svensk myndighet och det står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndig- heten eller den mellanfolkliga organisationen.

541

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

2 kap. 16 § säpodatalagen är en sådan särskild föreskrift i lag som medger utlämnande av sekretessbelagda uppgifter till utländ- ska myndigheter och mellanfolkliga organisationer.

Säkerhetspolisen bör ha samma möjligheter att medge direktåtkomst som i dag

Det finns inga skäl att ändra på möjligheterna till direktåtkomst

Då säpodatalagen beslutades gjordes grundliga överväganden avse- ende både direktåtkomst och vilka sekretessbrytande bestämmelser som var nödvändiga och proportionerliga.184

Det har inte uppmärksammats något problem med de nuvarande bestämmelser om direktåtkomst och inte heller något behov av att förändra dem. De skäl som föranlett att de infördes gör sig minst lika starkt gällande i dag. Myndighetssamverkan i Sverige är nöd- vändig för att bekämpa brott och samarbetet inom det europeiska samarbetet för kontraterrorism underlättas av att myndigheten både kan ta emot och lämna ut uppgifter genom direktåtkomst. Vår avsikt är därför att föreslå en lagreglering som inte ändrar de materiella för- utsättningarna för direktåtkomst, om det inte är nödvändigt.

Utlämnande genom direktåtkomst måste vara proportionerligt

De förutsättningar som gällde då reglerna om direktåtkomst och sekretessgenombrott infördes i säpodatalagen var något annorlunda än de förutsättningar som gäller enligt vårt förslag. Reglerna om gemen- samt tillgängliga uppgifter är slopade till förmån för en särskild reglering av inledande granskning. Säkerhetspolisen får möjlighet att behandla känsliga personuppgifter i större utsträckning än i dag och att behandla uppgifter för de mer verksamhetsanpassade ändamålet att kartlägga och klarlägga brottslig verksamhet. Dessutom tas kravet på vissa särskilda upplysningar bort, vilket innebär att det bland annat inte längre behövs någon upplysning om trovärdighet eller sakriktighet (se avsnitt 8.13.4 och 8.13.5). Det kan mot denna bak- grund finnas betänkligheter mot att tillåta att alla uppgifter som

184Se prop. 2018/19:163 s. 98–115.

542

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

behandlas för brottsbekämpande ändamål hos Säkerhetspolisen även lämnas ut genom direktåtkomst.

Att lämna ut en personuppgift, oavsett om det sker elektroniskt genom direktåtkomst eller på annat sätt, är en personuppgifts- behandling. Enligt vårt förslag ska alla behandlingsåtgärder vara proportionerliga. Skälet för att utföra behandlingen ska överväga intrånget i de enskilda eller allmänna intressen som kan påverkas av den. Denna bestämmelse kan få inverkan på vilka uppgifter som kan delas genom direktåtkomst med annan myndighet. En del av propor- tionalitetsprövningen utgörs av risken för att personuppgifter miss- brukas eller sprids på ett otillbörligt sätt. Detta gäller särskilt känsliga personuppgifter eller uppgifter som på annat sätt är integritets- känsliga. Det finns därför anledning att noga överväga vilka upp- gifter som görs tillgängliga för andra myndigheter.

Att medge direktåtkomst kräver en prövning, både av de mottag- ande myndigheternas behov, proportionaliteten i förhållande till enskildas intressen och av skyddet för den egna verksamheten. Det bör även beaktas att den mottagande myndigheten måste kunna behandla uppgiften författningsenligt enligt de bestämmelser som gäller i den verksamheten. Detta gäller särskilt då Säkerhetspolisens förutsättningar att behandla personuppgifter enligt den föreslagna lagen kommer skilja sig alltmer från Polismyndigheten och andra mottagare.

Vår bedömning är att de uppgifter som i dag utlämnas med direkt- åtkomst även fortsättningsvis kan göra det. Denna behandling är proportionerlig. I takt med att Säkerhetspolisen förändrar sin infor- mationshantering med stöd av den föreslagna lagen kan dock frågan om vilka uppgifter som delas genom direktåtkomst behöva ses över i särskild ordning. Frågan kan komma att uppmärksammas vid tillsyn.

Sekretessbrytande bestämmelser krävs för direktåtkomst

För att direktåtkomst ska vara funktionell krävs en bestämmelse som bryter sekretessen mellan myndigheterna. I annat fall kommer utlämnandet behöva prövas i varje enskilt fall. De nuvarande reglerna i 2 kap. 16–18 §§ anger de särskilda fall då sekretess inte ska gälla

543

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

mellan myndigheterna och tillkom för att möjliggöra direktåtkomst, men de är inte begränsade till sådant utlämnande.185

Det har uttryckligen enligt våra direktiv inte varit denna utrednings uppdrag att se över sekretess mellan myndigheterna. Om det finns skäl att ändra reglerna måste frågan beredas med de myndigheter som omfattas av dem, vilket i så fall får ske i särskild ordning. De nuvarande bestämmelserna bör därför överföras till den nya lagen.

8.23.3Överföring av personuppgifter till mottagare utomlands

Bedömning: Det ska inte göras någon åtskillnad i lagen mellan tredje land och medlemsstater i EU och EES. Sekretessbrytande bestämmelser i förhållande till utländska myndigheter bör tydlig- göras.

Förslag: Om mottagaren kan garantera tillräckligt skydd för personuppgifter och om det är förenligt med svenska intressen, ska Säkerhetspolisen få föra över personuppgifter till brottsbe- kämpande myndigheter, säkerhets- och underrättelsetjänster och vissa mellanfolkliga organisationer, utan hinder av sekretess. I enskilda fall och efter en sekretessprövning ska överföring

av personuppgifter även få ske till en andra mottagare och till mottagare som inte kan garantera tillräckligt skydd för person- uppgifter. I dessa fall ska skälet för att lämna ut personuppgifter uppenbart överväga intrånget i de enskilda eller allmänna intres- sen som kan påverkas av överföringen.

Dataskyddskonventionens krav

Artikel 14 i dataskyddskonventionen 108+ behandlar frågan om det fria flödet av personuppgifter mellan konventionens medlems- stater.

Article 14 – Transborder flows of personal data

1.A Party shall not, for the sole purpose of the protection of personal data, prohibit or subject to special authorisation the transfer of such data to a recipient who is subject to the jurisdiction of another Party

185Ibid. s. 111 f.

544

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

to the Convention. Such a Party may, however, do so if there is a real and serious risk that the transfer to another Party, or from that other Party to a non-Party, would lead to circumventing the provisions of the Convention. A Party may also do so, if bound by harmonised rules of protection shared by States belonging to a regional international organisation.

2.When the recipient is subject to the jurisdiction of a State or inter- national organisation which is not Party to this Convention, the transfer of personal data may only take place where an appropriate level of protection based on the provisions of this Convention is secured.

3.An appropriate level of protection can be secured by:

a. the law of that State or international organisation, including the applicable international treaties or agreements; or

b. ad hoc or approved standardised safeguards provided by legally- binding and enforceable instruments adopted and implemented by the persons involved in the transfer and further processing.

4.Notwithstanding the provisions of the previous paragraphs, each

Party may provide that the transfer of personal data may take place if:

a. the data subject has given explicit, specific and free consent, after being informed of risks arising in the absence of appropriate safeguards; or

b. the specific interests of the data subject require it in the particular case; or

c. prevailing legitimate interests, in particular important public interests, are provided for by law and such transfer constitutes a necessary and proportionate measure in a democratic society; or

d. it constitutes a necessary and proportionate measure in a democratic society for freedom of expression.

5.Each Party shall provide that the competent supervisory authority within the meaning of Article 15 of this Convention is provided with all relevant information concerning the transfers of data referred to in paragraph 3.b and, upon request, paragraphs 4.b and 4.c.

6.Each Party shall also provide that the supervisory authority is en- titled to request that the person who transfers data demonstrates the effectiveness of the safeguards or the existence of prevailing legitimate interests and that the supervisory authority may, in order to protect the rights and fundamental freedoms of data subjects, prohibit such transfers, suspend them or subject them to condition.

545

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

Dataskyddskonventionens syfte är bland annat att markera att respekten för privatlivet och skyddet av personuppgifter är grund- läggande värden och därigenom bidra till det fria informationsflödet. Artikel 14 reglerar överföring av personuppgifter till ett annat land eller en mellanfolklig organisation. Av punkten 1 följer att skyddet för personuppgifter inte får hindra en överföring till en annan stat som också är ansluten till konventionen. Konventionen ska utgöra en garanti för att dess grundläggande dataskyddsprinciper följer med personuppgifter som rör sig över en landsgräns. Undantag från principen om att personuppgifter ska kunna flöda fritt mellan medlemsstaterna ska endast göras i undantagsfall och om det finns en konkret risk för att mottagarlandet inte uppfyller konventionens alla krav. Bestämmelsen hindrar emellertid inte att det fria flödet av uppgifter regleras till förmån för allmänna intressen, som allmän ordning eller nationell säkerhet.

Punkten 2 innebär att överföring av personuppgifter till ett land som inte medlem av konventionen endast får ske om en tillräcklig skyddsnivå kan garanteras. I punkten 3 anges att bland annat natio- nell lag och bindande överenskommelser kan garantera en tillräcklig skyddsnivå i mottagarlandet. Punkten 4 anger när kravet på tillräck- lig skyddsnivå kan efterges: bland annat om det föreligger ett be- rättigat och angeläget allmänintresse med överföringen som följer av lag och utgör en nödvändig och proportionerlig åtgärd i ett demo- kratiskt samhälle. Den femte punkten föreskriver att en tillsyns- myndighet ska underrättas om alla överföringar som sker med stöd av bindande överenskommelser, och på förfrågan ska ha möjlighet att granska även överföringar som sker med stöd av den enskildes intresse eller ett legitimt intresse. Den sjätte och sista punkten i artikeln innebär att den personuppgiftsansvariga ska kunna visa effektiviteten av dataskyddet hos mottagaren eller att det föreligger ett legitimt intresse med överföringen. Tillsynsmyndigheten ska även ha befogenhet att förbjuda, upphäva eller föreskriva villkor för överföringar i syfte att skydda de registrerades grundläggande fri- och rättigheter.

Konventionen medger endast att undantag görs från punkterna 5 och 6 i artikeln och endast sådana undantag som gäller behandling som sker för nationell säkerhet eller försvar.

546

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Även den nu gällande dataskyddskonventionen 108 innehåller i artikel 12 regler som delvis motsvarar de som ska gälla enligt tilläggs- protokollet.

Nuvarande reglering

Säpodatalagen har, som nämnt i bland annat avsnitt 3.5.1, en nära koppling till brottsdatadirektivet och EU-rätten. Det innebär att överföringar inom EU regleras i enlighet i brottsdatadirektivets intentioner om en harmoniserad lagstiftning med en adekvat skydds- nivå inom hela unionen. Vid sidan av de sekretessbrytande bestäm- melserna i 2 kap. 16 § säpodatalagen saknas därför närmare bestäm- melser som rör överföring av uppgifter till myndigheter inom EU. Säkerhetspolisen får överföra personuppgifter till Europol, polis- myndigheter och underrättelse- eller säkerhetstjänster inom EU utan hinder av vare sig sekretess eller några särskilda krav för person- uppgiftsskydd.

Enligt regeringen var en reglering som innebär högre krav för överföringar till stater som inte är medlemmar i EU eller anslutna till EES-samarbetet viktig ur integritetssynpunkt, eftersom samma skydd inte kan garanteras för personuppgifterna i sådana stater. Regeringen ansåg att brottsdatalagens bestämmelser kunde tas som utgångspunkt. Regleringen blev därmed betydligt utförligare än tidi- gare men medgav, enligt regeringen, större möjligheter att överföra personuppgifter än enligt den tidigare lagstiftningen.186

Reglerna om överföringar av personuppgifter till tredje land och till internationella organisationer återfinns i 9 kap. säpodatalagen och är delvis likalydande med brottsdatalagens motsvarande bestäm- melser. Av 9 kap. 1 § följer förutsättningarna för att Säkerhets- polisen ska få överföra personuppgifter till mottagare i tredjeland eller en internationell organisation. Mottagaren ska vara antingen en brottsbekämpande myndighet, en underrättelse- eller säkerhets- tjänst eller en internationell organisation med brottsbekämpande uppdrag. Vidare ska mottagaren omfattas av ett beslut från EU- kommissionen om adekvat skyddsnivå (9 kap. 2 §) alternativt ska mottagaren genom ett avtal eller på annat sätt kunna garantera att

186Ibid. s. 192 f.

547

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

personuppgifterna kommer att omfattas av tillräckliga skyddsåtgärder hos den som mottar dem (9 kap. 3 §).

Det finns även, i 9 kap. 4 § säpodatalagen, ett undantag från kraven om att uppgifter som överförs till tredjeland ska ha tillräckligt data- skydd hos mottagaren. Kravet är då att det ska vara fråga om de i paragrafen uppräknade situationerna. De särskilda situationerna avser bland annat en möjlighet att överföra uppgifter för att avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige eller i det tredje landet.

I enskilda fall kan överföringar även göras, om det behövs för brottsbekämpande syften eller för att fastställa, göra gällande eller försvara ett rättsligt anspråk. Sådana överföringar får dock endast ske efter en intresseavvägning. Om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas, får personuppgifterna inte överföras. Ett exempel där den registrerades intresse förstås väger tyngre är om han eller hon riskerar dödsstraff, kroppsstraff eller tortyr om hans eller hennes personuppgifter överförs till ett tredjeland.

I9 kap. 1–4 §§ säpodatalagen regleras överföringar till brotts- bekämpande myndigheter och vissa andra offentliga eller mellan- statliga organ. I enskilda fall får Säkerhetspolisen även överföra personuppgifter till andra. Sådana överföringar regleras i 9 kap. 5 §. Det kan röra sig om att Säkerhetspolisen behöver uppgifter från ett privat företag som exempelvis en social mediaplattform, en meddelandetjänst eller ett flygbolag. Det kan även finnas behov av att överföra uppgifter till andra myndigheter än de brottsbekäm- pande, som exempelvis en utländsk folkbokföringsmyndighet. Det tål att påminna sig om att en förfrågan om en person som syftar till att få uppgifter samtidigt innebär att dennes personuppgifter, exem- pelvis namn eller annan identitetsuppgift, överförs. En överföring till annan mottagare än de typiska är dock omgärdad av flera skydds- mekanismer. Till att börja med ska överföringen vara absolut nöd- vändig för att Säkerhetspolisen ska kunna utföra en uppgift. Vidare ska det vara ineffektivt eller olämpligt att överföra uppgifterna till en av de ordinarie mottagarna, som en brottsbekämpande myndig- het eller en säkerhetstjänst. Det innebär att överföringen i princip inte ska kunna underlåtas och syftet med överföringen kan komma att förfelas om Säkerhetspolisen väljer den normala informations- vägen. Ett exempel är att det finns ett tidskritiskt behov av en viss

548

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

uppgift eller åtgärd och det kan förutses att det inte kommer kunna ske tillräckligt snabbt om den kontaktvägen väljs.

I likhet med vissa överföringar till länder utan tillräckligt person- uppgiftsskydd får även överföringar till andra mottagare endast ske efter en intresseavvägning mellan den registrerades intresse av skydd mot fri- och rättighetskränkningar och det allmänna intresset av överföringen.

Försvarsmaktens och FRA:s regelverk

Försvarsmaktens och FRA:s respektive personuppgiftslagstiftning tar inte hänsyn till om en personuppgiftsöverföring sker inom eller utom EU. I avsnitt 7.1.1 har vi redogjort för att det finns skäl att från- gå det EU-rättsliga regelverket och i högre grad än tidigare harmoni- sera Säkerhetspolisens lagstiftning i materiellt avseende med i första hand det som gäller för den militära underrättelse- och säkerhets- tjänsten. Det finns därför skäl att redogöra särskilt för hur frågan om överföring till mottagare utomlands har reglerats i försvarsdatalagen respektive FRA-datalagen.

Försvarsmakten får, enligt 2 kap. 22 § försvarsdatalagen, föra över personuppgifter till ett annat land eller en internationell organisa- tion endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvars- och säkerhetssamarbetet. Reger- ingen kan i förordning även föreskriva om att överföring får ske även i andra fall, om det är nödvändigt för verksamheten vid Försvars- makten. Inom begreppet försvars- och säkerhetssamarbete ingår bland annat Försvarsmaktens försvarsunderrättelsesamarbete med andra länder.

I förarbetena förklaras att huruvida en överföring av personupp- gifter ska ske eller inte i sin helhet måste avgöras efter en sekretess- prövning och försvars- och säkerhetspolitiska överväganden.187 Något uttryckligt krav på mottagarens skydd för personuppgifter finns därmed inte.

För FRA finns mer detaljerade krav för överföringar av person- uppgifter. Enligt 2 kap. 20 § FRA-datalagen får personuppgifter föras över till ett annat land eller en internationell organisation, om

187Prop. 2020/21:224 s. 187.

549

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunder- rättelse- och säkerhetssamarbetet. Överföringen ska riktas till en utländsk underrättelse- eller säkerhetstjänst eller till ett underrättelse- eller säkerhetsorgan i en internationell organisation. Vidare får inte sekretess hindra överföringen och mottagaren måste garantera ett tillräckligt skydd för personuppgifterna. Slutligen får överföringen inte innebär ett oproportionerligt intrång i den registrerades person- liga integritet. Det sistnämnda kravet trädde i kraft den 1 juli 2024 och är föranlett av den kritik som riktats mot Sverige av Europa- domstolen i målet Centrum för rättvis mot Sverige.188

EU-samarbetet och EU-rätten bör inte påverka överföringar utomlands

EU garanterar inte grundläggande fri- och rättigheter för personuppgifter som behandlas för nationell säkerhet

Nuvarande reglering av överföringar av uppgifter utomlands inne- bär att högre krav för överföringar till stater som inte är medlem- mar i EU eller anslutna till EES-samarbetet. Det ansågs viktig ur integritetssynpunkt, eftersom det inte kan garanteras samma skydd för personuppgifterna i sådana stater. Vi har i avsnitt 7.1.1 behand- lat frågan om hur Säkerhetspolisens verksamhet förhåller sig till EU- samarbetet och EU-rätten. Utgångspunkten är att i synnerhet den nationella säkerheten ska vara varje medlemsstats eget ansvar och att Sverige därför bör reglera Säkerhetspolisen behandling av person- uppgifter utifrån nationella överväganden och med beaktande av Europakonventionen och dataskyddskonventionen.

Eftersom EU-rätten har ett begränsat inflytande över frågor som rör nationell säkerhet, kan det även ifrågasättas om EU-sam- arbetet utgör en relevant grund för att bedöma integritetsskyddet för personuppgifter som behandlas i sådan verksamhet. Flera av EU:s medlemsstater reglerar personuppgiftsbehandling för nationell säkerhet enligt regelverk som är helt skilda från EU-rätten. Någon gemensam skyddsnivå finns alltså inte på området nationell säker- het. Det finns därför ingen anledning att dela upp länder på sätt som gjort i säpodatalagen. Begreppet tredje land bör därför inte an-

188Prop. 2023/24:136.

550

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

vändas och regler om överföring bör tillämpas även för medlems- stater i EU och EES. Däremot är det förstås sannolikt så att EU- länder och andra demokratiska rättsstater kan garantera tillräckligt skydd för personuppgifter.

EU-kommissionens beslut om adekvat skyddsnivå avser inte behandling för nationell säkerhet

Som en följd av att nuvarande lagstiftning överfört vissa av brottsdata- lagens bestämmelser om överföring av personuppgifter har EU- kommissionens beslut om adekvat skyddsnivå fått betydelse även inom området nationell säkerhet (9 kap. 2 § säpodatalagen).

Det kan konstateras att EU inte är behöriga att besluta om frågor som rör nationell säkerhet och att det därför kan finnas principiella betänkligheter mot att låta EU-kommissionens bedömning av adekvat skyddsnivå vara bindande i detta avseende. Skyddsnivån i ett beslut från kommissionen bygger också på den generella dataskyddsför- ordningen tillämpningsområde och tar inte hänsyn till de särskilda ändamål som kan föranleda en överföring för nationell säkerhet. Det framstår inte som lämpligt att behålla reglerna om att EU- kommissionens beslut om adekvat skyddsnivå ska få påverkan på Säkerhetspolisens möjlighet att överföra personuppgifter. EU- kommissionens rättsliga ställningstagande i detta avseende kan dock sannolikt tjäna som en del av utredningen om en mottagare kan garantera tillräcklig skyddsnivå för personuppgifter som överförs.

Mellanfolklig, mellanstatlig eller internationell organisation?

I det regelkomplex som Säkerhetspolisen i dag har att förhålla sig till när det gäller internationellt samarbete förekommer olika be- grepp. I säpodatalagen 1 kap. 5 § definieras internationell organisa- tion som en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. Begrep- pet används huvudsakligen i 9 kap. som rör överföring av person- uppgifter till tredje land och internationella organisationer.

I 2 kap. 4 § regleras sekundära ändamålsbestämmelser och i 16 § de sekretessbrytande bestämmelserna. I dessa paragrafer, som gäller

551

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

bland annat Interpol, Europol, används begreppet mellanfolklig organisation. Vad som avses med en mellanfolklig organisation eller om en sådan skiljer sig från en internationell organisation anges inte i lag eller förarbeten. 2 kap. 16 § avser att bryta den sekretess som följer av 8 kap. 3 § offentlighets- och sekretesslagen, där begreppet mellanfolklig organisation används. Begreppet används även i 16 § i Säkerhetspolisen instruktion angående internationellt samarbete Mellanfolklig organisation används även i bland annat 10 kap. 1 § regeringsformen. Där anges att överenskommelser med andra stater eller med mellanfolkliga organisationer ingås av regeringen. Enligt förarbetena avses med mellanfolkliga organisationer endast sådana organisationer som är rättssubjekt enligt folkrätten.189

I exempelvis terroristbrottslagen förekommer även begreppet mellanstatlig organisation. Lagen bygger på EU:s rambeslutet om bekämpande av terrorism, som i sin svenska översättning emellertid använder begreppet internationell organisation. Regeringen ansåg att begreppet mellanstatlig organisation bättre beskrev sådana inter- nationella organisationer som är rättssubjekt enligt folkrätten och som förtjänar samma skydd som enskilda stater, som FN, EU eller Europarådet.190

Det saknas såvitt känt någon betydelseskillnad mellan begreppet internationell organisation, enligt definitionen i säpodatalagen och begreppet mellanfolklig organisation. Eftersom mellanfolklig organi- sation är det begrepp som används i regeringsformen och i offentlig- hets- och sekretesslagen bör det genomgående användas i säpodata- lagen. Det finns ingen anledning att definiera begreppet i den lagen eftersom det måste förutsättas ha samma betydelse som i bland annat regeringsformen.

Alla överföringar ska vara proportionerliga

Till skillnad mot den nuvarande lagstiftningen bygger vårt förslag på att all personuppgiftsbehandling ska vara proportionerlig. Den särskilda proportionalitetsprövningen som enligt den nuvarande lagen ska göras inför vissa överföringar, där mottagaren inte är en

189Prop. 1973:90 s. 357.

190Prop. 2002/03:38 s. 34 och 83.

552

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

utpekad myndighet eller då tillräckligt skydd för personuppgifter saknas, gäller enligt vårt förslag alla överföringar.

Det kan många gånger vara särskilt angeläget med en sådan prövning just när personuppgifter ska föras över till en mottagare i annat land. Kontrollen över hur personuppgifterna kommer att behandlas blir mindre och i många fall är det svårt att följa upp. Det rättighetsintrång och andra enskilda intressen som en gång bedömts avseende Säkerhetspolisens behandling av personuppgifterna i fråga är inte nödvändigtvis desamma som då uppgifterna behandlas av mottagare utomlands. Hur känsliga personuppgifter är varierar mycket beroende på i vilken kontext uppgifterna behandlas. En uppgift som avslöjar sexuell läggning kan exempelvis vara avsevärt mycket mer känslig i länder där homosexualitet är kriminaliserat eller där straffrihet råder för förföljelse än vad uppgiften är i Sverige. Detsamma gäller de flesta andra känsliga personuppgifterna som religiös eller filosofisk övertygelse eller politiska åsikter.

Redan spridning av en uppgift till en myndighet eller annan mottagare i ett annat land får också anses utgöra ett intrång i rätten till privatliv. Det finns därför en högre tröskel för att överföra upp- gifter till andra länder än att behandla dem i Sverige. Skälen som talar för en överföring behöver därför ofta vara starka. Det finns givetvis andra skäl till att informationsöverföringar inte görs lätt- vindigt som grundas på bland annat säkerhetspolitiskas överväganden och frågor som rör säkerhetsskydd avseende den egna myndigheten och dess förmågor. Det är dock angeläget att poängtera att en proportionalitetsprövning av en personuppgiftsöverföring måste utgå från integritetsintrånget, som ska tillmätas självständig betydelse.

Givetvis kommer ändamålet med en överföring av personupp- gifter att påverka prövningen. En överföring kan vara nödvändig för att lösa uppgifter i Sverige, exempelvis genom att en förfrågan om en person ställs till en samverkande tjänst eller genom att Säker- hetspolisen ber att få uppgifter om en person från sociala mediaplatt- former. Ändamålet kan då vägas mot intrånget på samma sätt som vid annan behandling. När överföring av personuppgifter sker för att mottagaren ska kunna lösa en uppgift i sin verksamhet, blir pröv- ningen ofta svårare. En motsvarande prövning kan ske om Säkerhets- polisen har tillräcklig kännedom om för vilket ändamål mottagaren ska behandla uppgifterna och övriga omständigheter. I andra fall, då ändamålet och syftet är mer vagt formulerat kan prövningen vara

553

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

svårare att genomföra, eftersom vagt och brett formulerade ända- mål inte kan motivera ett lika stort intrång i den registrerades intressen (se avsnitt 8.2.4).

Mottagare i andra länder

Systematiskt utbyte med myndigheter och mellanfolkliga organisationer bör förtydligas

Enligt 8 kap. 3 § 1 offentlighets- och sekretesslagen bryts sekretessen i förhållande till utländska myndigheter och mellanfolkliga organi- sationer om utlämnade sker i enlighet med särskild föreskrift i lag eller förordning.

I dag anges, i 2 kap. 16 § säpodatalagen, att Säkerhetspolisen får lämna ut personuppgifter till Interpol eller Europol, eller till en polis- myndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för brottsbekämpande verksamhet hos mot- tagaren. Vidare anges att uppgifter får lämnas till en utländsk under- rättelse- eller säkerhetstjänst. Det finns inte något krav på att den mottagande tjänsten, i likhet med Säkerhetspolisen, ska ha ett uttryck- ligt brottsbekämpande uppdrag. Slutligen anges att personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organi- sation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. Syftet med bestämmelsen är att bryta sekretessen på sätt som anges i 8 kap. 3 § 1 offentlighets- och sekretesslagen. Dessa regler har överförts från tidigare polisdatalag.

I 9 kap. 1 § säpodatalagen finns dock ytterligare en särskild före- skrift som anger att Säkerhetspolisen under vissa förutsättningar får överföra personuppgifter till vissa mottagare i ett tredjeland eller till en internationell organisation. Dessa regler följer av brottsdatadirek- tivet och liknar de som finns i brottsdatalagen. Även bestämmelserna i nuvarande 9 kap., som omfattar alla internationella organisationer med brottsbekämpande uppdrag (inte endast Europol, Interpol) och alla brottsbekämpande myndigheter (inte endast polismyndigheter och åklagarmyndigheter i en stat ansluten till Interpol), är formu- lerade så att de också bryter sekretessen enligt 8 kap. 3 § 1 offentlig- hets- och sekretesslagen. Överföringar enligt 9 kap. kräver dock att mottagaren ska kunna garantera tillräckligt skydd för personuppgifter.

554

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Något sådant krav följer inte av 2 kap. 16 § säpodatalagen. Bestäm- melserna överlappar emellertid varandra och en sådan utländsk myn- dighet som anges i 2 kap. 16 § kan också omfattas av 9 kap. 1 §, om den mottagande staten är ett tredjeland. Det är därför mycket svårt att se vilken självständig funktion den nuvarande 2 kap. 16 § säpodata- lagen spelar. I sammanhanget kan nämnas att Interpol har 196 med- lemsländer, vilket innebär att skillnaden mellan de myndigheter som utlämnande kan ske till enligt 2 kap. 16 § och 9 kap. 1 § är försumbar.

Det finns inte något skäl att inom ramen för denna utredning göra andra allmänna överväganden än vad som tidigare gjorts avse- ende till vilka mottagare som en överföring får ske utan hinder av sekretess. Däremot finns skäl att förtydliga vilka möjligheter som finns för Säkerhetspolisen att överföra personuppgifter till andra länder och förenkla regelverket. Eftersom vi anser att Säkerhets- polisens informationsutbyte med medlemsstater i EU och EES inte ska regleras på annat sätt än för tredjeländer bör reglerna kunna sammanföras.

Under vår utredningstid har Sverige har blivit medlem av Nato. Inom den organisationen finns ett underrättelse- och säkerhetssam- arbete där Säkerhetspolisen numera ingår. Det bör därför förtydligas att ett systematiskt informationsutbyte ska få ske även inom ramen för detta samarbete. Det bör formuleras på liknande sätt som i 2 kap. 20 § FRA-datalagen där det anges att en överföring får ske till under- rättelse- eller säkerhetsorgan i en internationell organisation.

Av säpodatalagen följer att Säkerhetspolisen får behandla person- uppgifter för brottsbekämpande verksamhet hos en utländsk myndig- het eller mellanfolklig organisation, eller i verksamhet hos utländsk underrättelse- eller säkerhetstjänst (se avsnitt 8.23.1 ovan). De upp- gifter som får behandlas får i dag också som huvudregel utlämnas till alla brottsbekämpande myndigheter och underrättelse- och säker- hetstjänster i länder som antingen genom EU- eller EES-medlem- skap presumeras ha tillräckligt dataskydd, eller till tredjeländer som på annat sätt kan garantera detta. Dessutom får personuppgifter delas med mellanfolkliga organisationer som har ett brottsbekämpande uppdrag eller om utlämnandet följer av en internationell överens- kommelse som Sverige har tillträtt efter riksdagens godkännande.

Sammanfattningsvis kan konstateras att den nuvarande huvud- regeln inte sätter upp några sekretesshinder för uppgiftsutlämnande till de mottagare som Säkerhetspolisen kan förväntas ha ett infor-

555

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

mationsutbyte. Däremot framstår det som något inkonsekvent att sekretessen brutits i förhållande till myndigheter som inte har ett brottsbekämpande uppdrag och som Säkerhetspolisen i enskilda fall får överföra uppgifter till. Uppgifter får lämnas till sådana myndig- heter i enskilda fall enligt nuvarande 9 kap. 5 §. Om förutsättningarna i övrigt är uppfyllda krävs ingen sekretessprövning. Det framstår också som inkonsekvent att ställa upp ett krav på att utlämnade ska vara förenligt med svenska intressen enbart för de mottagare anges i 2 kap. 16 § men inte de som anges i 9 kap. 1 och 5 § säpodatalagen. Vad som avses med begreppet svenska intressen är inte heller klart. Begreppet kommer från 8 kap. 3 § 2, som reglerar utlämnanden som inte sker med stöd av en (sekretessbrytande) särskild föreskrift. Enligt denna bestämmelse får uppgifter lämnas ut om den i motsvar- ande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att utlämnandet är förenligt med svenska intressen. Eftersom svenska intressen ska

beaktas enligt just en sådan sekretessbrytande särskild föreskrift som anges i 8 kap. 3 § 1, får det antas att kravet ansetts nödvändigt att behålla, men att det inte ska motsvara en sekretessprövning.

I begreppet svenska intressen ingår dock, enligt ett uttalande från Säkerhets- och integritetsskyddsnämnden, en avvägning mellan Säkerhetspolisens behov av att lämna uppgifter och sekretessintresset, exempelvis det integritetsintrång och de konsekvenser som detta kan innebära för den enskilde.191

Den brottslighet som Säkerhetspolisen har till uppgift att före- bygga och avslöja är i många fall gränsöverskridande till sin natur och utlämnade av information för att förebygga brott mot nationell säker- het eller terrorbrott med andra länder lär sällan vara oförenligt med svenska intressen. Sekretessintresset för enskilda kommer enligt vårt förslag i stor utsträckning beaktas genom den proportionalitetspröv- ning som har en motsvarande funktion. Begreppet svenska intressen antyder dock även att en säkerhetspolitisk avvägning ska göras, exempelvis genom hänsyn till reciprocitet i underrättelsesamarbetet som sker mellan allierade. Det kan därför finnas skäl att begreppet ska kvarstå, för en bestämmelse som avser att bryta sekretessen i förhållande till utländska myndigheter enligt 8 kap. 3 § offentlighets- och sekretesslagen.

191Se Säkerhets- och integritetsskyddsnämndens uttalande den 22 maj 2013 i ärende dnr 2005-2012, s. 3 med hänvisning till prop. 1981/82:186 s. 59.

556

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

Skyddsnivån för personuppgifter måste garanteras för systematiskt informationsutbyte

För en stor del av de utlämnanden som sker i dag krävs inte någon sekretessprövning men däremot krävs att mottagaren garanterar ett tillräckligt dataskydd. Säpodatalagen har utgångspunkten att alla EU:s och EES:s medlemsstater har en tillräckligt hög skyddsnivå och att någon individuell prövning inte behöver göras. Att ta bort hinder för utbyte av personuppgifter mellan medlemsstater är ett av brotts- datadirektivets syften. Av brottsdatalagen följer därför att någon prövning om skydd för personuppgifter inte får göras om överföring sker till en annan medlemsstat (se 2 kap. 20 § brottsdatalagen). Det finns dock ingen nu gällande rättsakt inom EU eller EES som på samma sätt garanterar att medlemsstater upprätthåller en tillräcklig skyddsnivå för personuppgifter som behandlas för nationell säker- het. Trots detta finns det endast krav angående så kallade tredje länders skyddsnivå i säpodatalagen. För tredjeländer krävs ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer (9 kap. 2 och 3 §§ säpodatalagen).

Som framgått ovan är vår bedömning att tillräckliga skyddsåtgärder för personuppgifter ska bedömas i en nationell säkerhetskontext och inte av EU-kommissionen. Det bör därför vara Säkerhetspolisen som ska bedöma om mottagare kan garantera tillräcklig skyddsnivå. Sverige är, i likhet med alla EU:s och EES:s medlemsstater, i dag bundet av dataskyddskonventionen 108, som i de flesta fall utgör en garanti för tillräckligt skydd. Konventionen anger, i artikel 12.2, att de stater som är ansluta till konventionen inte ska uppställa hinder för överföringar endast motiverade av skyddet för person- uppgifter. Enligt sin artikel 3.2 a kan vissa kategorier av personupp- gifter undantas från konventionens tillämpningsområde, exempelvis de som rör brottsbekämpning. Det kan därför finnas anledning att studera huruvida en medlemsstat gjort undantag från konventionens bestämmelser avseende uppgifter som behandlas hos mottagaren. Om några undantag inte gjorts bör en tillräcklig skyddsnivå anses föreligga. Den moderniserade dataskyddskonventionen 108+ inne- håller grundläggande principer för dataskydd som inte är möjliga att undanta behandling som sker för nationell säkerhet. Den moder- niserade konventionen innebär därför att även nationella säkerhets-

557

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

tjänster eller brottsbekämpande myndigheters personuppgiftsbehand- ling bland annat måste vara rättsligt grundad och proportionerlig.

För länder som inte tillträtt dataskyddskonventionen får en till- räckligt skydd för personuppgifter antingen bedömas utifrån nationell lagsstiftning (eller regler för den mellanfolkliga organisationen) eller genom avtal eller andra bindande rättsliga instrument för mottagaren. Ett avtal kan vara en del av ett villkor vid överföring av personupp- gifter i det enskilda fallet eller utgöra en del av standardiserat avtal.

Skyddet för personuppgifter måste vara effektivt och bindande för mottagaren. Se artikel 14.3 i dataskyddskonventionen 108+ och det tilläggsprotokoll till dataskyddskonventionen 108 (ETS 181), som Sverige har tillträtt. Säkerhetspolisen bör i samma utsträckning som i dag även kunna beakta att den som ska behandla personupp- gifterna kommer att ha tystnadsplikt som omfattar de överförda uppgifterna eller att det garanteras att personuppgifterna inte kommer att behandlas för något annat ändamål än det för vilket de överförs. Även bindande åtaganden om att inte föra personuppgifterna vidare eller att inte använda personuppgifterna efter en viss tidpunkt bör kunna beaktas. Det innebär att uppställande av den så kallade tredje- partsregeln bör kunna ge ett tillräckligt skydd för personuppgifterna.

Informationsutbyte mellan underrättelse- och säkerhetstjänster bygger i stor utsträckning på förtroende. Om en underrättelse- eller säkerhetstjänst missbrukar förtroendet, blir konsekvensen att den inte längre kommer att få del av relevant information i samma utsträckning som andra. Det har en självreglerande effekt genom att den mottagande myndigheten måste garantera tillräckligt skydd för uppgifterna för att kunna få del av dem.192

Mer ändamålsenliga regler för internationellt informationsutbyte

Mot bakgrund av det ovanstående lämnar vi förslag om att Säkerhets- polisen ska kunna dela personuppgifter i huvudsak med samma mottagare som i dag. Därutöver ska det av lagen framgå att Säkerhets- polisen kan dela information inom Natos underrättelse- och säker- hetssamarbete. Eftersom vi har uppfattningen att Säkerhetspolisens personuppgiftsbehandling som avser informationsdelning är en del av Sveriges exklusiva nationella lagstiftningskompetens ska inte

192Prop. 2018/19:163 s. 197.

558

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

någon åtskillnad göras mellan medlemsstater i EU eller EES och tredjeländer.

För ett systematiskt informationsutbyte krävs att mottagaren ska kunna garantera tillräckligt skydd för personuppgifter. Det kan ske bland annat genom att dataskyddskonventionen 108+ trätt i kraft i förhållande till mottagarlandet eller på annat sätt. Sekretess hindrar inte systematisk överföring men likt i dag ska en prövning göras om överföringen är förenligt med svenska intressen.

I enskilda fall bör överföringar få ske även utan att skyddsnivån kan garanteras men proportionalitetskravet bör då skärpas

Nuvarande 9 kap. 4 § säpodatalagen innebär att personuppgifter i särskilda fall får överföras utomlands även om det saknas tillräckliga garantier för mottagarens skydd av personuppgifter. De särskilda fall som räknas upp avser den registrerades eller annan persons vitala eller berättigade intressen (1) och för att avvärja en omedelbar och allvarlig fara för allmän säkerhet (4). I enskilda fall får över- föringar göras för att bekämpa brott (2) eller för ett fastställa, göra gällande eller försvara ett rättsligt anspråk (3). I dessa fall ska en prövning göras om den registrerades intresse av skydd mot kränk- ning av rättigheter och friheter väger tyngre än det allmännas intresse av en sådan överföring. Bestämmelsen har en EU-rättslig förebild och motsvaras av 8 kap. 5 § brottsdatalagen.

Dataskyddskonventionen 108+ tillåter under vissa villkor även överföringar till mottagare som inte kan garantera tillräckligt skydd för personuppgifter. Enligt artikel 14.4 finns möjlighet till sådana överföringar om den registrerade har lämnat informerat samtycke (a), om det krävs för att tillgodose den enskildas konkreta behov i ett enskilt fall (b) eller om det utgör en nödvändig och proportio- nerlig åtgärd för yttrandefriheten i ett demokratiskt samhälle (d). I punkten 4 c anges det för Säkerhetspolisen mest relevanta skälet för en sådan överföring: om det föreligger ett angeläget och befogat allmänt intresse och en sådan överföring utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.

De nuvarande undantagen i säpodatalagen är förenliga med kon- ventionsbestämmelserna, men är inte utformade specifikt efter Säkerhetspolisens verksamhet. Tillsammans med den proportiona-

559

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

litetsprövning som ska ske för alla behandlingar bör undantagen kunna utformas mer generellt.

För att kompensera risken för brist på skydd för personuppgifter hos mottagaren bör en prövning göras där skälen för att överföra uppgifterna med råge måste överväga integritetsintrånget och risken för kränkningar hos mottagaren. Vi föreslår att det ska krävas att skälet för att lämna ut uppgifterna uppenbart överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den. Sådana överföringar bör dock endast ske i enstaka fall, och inte avse syste- matisk informationsdelning. Det finns aldrig någon skyldighet för Säkerhetspolisen att lämna ut uppgifter till andra länder. Det faller sig därför naturligt, med hänsyn till att ändamålet uppenbart måste väga över intrånget, att sådana överföringar främst kommer ske för Säkerhetspolisens intressen eller i särskilt angelägna fall.

Den nuvarande lagen lämnar inte någon anvisning om huruvida avsikten varit att bestämmelserna i 9 kap. 4 § skulle vara sekretess- brytande avseende utländska myndigheter. Eftersom det rör sig om ett utlämnande i enlighet med särskild föreskrift bryter dock bestäm- melsen formellt sekretessen enligt 8 kap. 3 § 1 offentlighets- och sekretesslagen.

Det går att ifrågasätta om det är lämpligt att ett utlämnande, som inte skulle fått ske till en svensk myndighet, får ske till en myndighet som inte kan garantera bland annat konfidentialitet för uppgifterna. Det framstår som rimligt och förväntat att kraven ska vara högre för ett sådant utlämnade än för motsvarande utlämnade inom landets gränser. Vi anser därför att det uttryckligen ska anges att bestämmel- sen om utlämnanden i enskilda fall inte ska bryta sekretessen. Därmed får uppgiften lämnas ut till utländska myndigheter och mellanfolk- liga organisationer enligt kraven i 8 kap. 3 § 2 offentlighets- och sekretesslagen. Enligt denna bestämmelse får en uppgift lämnas ut om den i motsvarande fall skulle få lämnas ut till en svensk myndig- het och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

Vi föreslår en lagreglering med denna innebörd.

560

SOU 2025:49

En ny lag om Säkerhetspolisens behandling av personuppgifter

I enskilda fall får överföringar ske även till andra mottagare än myndigheter och mellanfolkliga organisationer

Behovet av att direkt överföra personuppgifter till mottagare i andra länder som inte är brottsbekämpande myndigheter eller en under- rättelse- eller säkerhetstjänst har ökat som en följd av globaliseringen. Det kan vara nödvändigt att gör förfrågningar om personer till olika sociala mediaplattformar eller andra tjänsteleverantörer som befinner sig i andra länder. Vi anser att dagens möjligheter bör finnas kvar.

Den nuvarande regleringen anger att en överföring till en annan mottagare än en brottsbekämpande myndighet eller en underrättelse- eller säkerhetstjänst i det tredjelandet ska vara absolut nödvändigt för att Säkerhetspolisen ska kunna utföra en uppgift. Vidare krävs att det skulle vara ineffektivt eller olämpligt att i stället överföra uppgiften till en brottsbekämpande myndighet eller en underrättelse- eller säkerhetstjänst i tredjelandet. Slutligen krävs att den registre- rades intresse av skydd mot kränkning av rättigheter och friheter inte väger tyngre än det allmännas intresse av att överföringen görs.

I likhet med vad vi föreslår om överföringar till mottagare som inte kan garantera tillräckligt skydd för personuppgifter anser vi att det endast bör få ske i enskilda fall. Det skärpta proportionalitets- kravet bör också gälla. Det ska måste alltså vara uppenbart att det allmänna intresset av överföringen väger tyngre de andra intressen som kan påverkas.

Riskerna med överföringar till andra mottagare är svårbedömda och det framstår som uteslutet att det skulle ske överföringar i annat intresse än Säkerhetspolisens. Intresset av att överföra personupp- gifter måste vara särskilt angeläget om det rör sig både om en mot- tagare som inte kan garantera tillräckligt personuppgiftsskydd och om är ett privat subjekt eller annan myndighet som inte kan garan- tera krav på informationssäkerhet.

Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller inte röjas för enskilda. Enskilda utgörs av fysiska eller juridiska personer utanför den offentliga sektorn, oavsett om de befinner sig inom eller utom landet. Eftersom bestämmelsen endast ger en möjlighet men inte en skyldighet att lämna ut uppgifter bryter den inte sekretess i förhållande till privata subjekt. Bestäm- melsen bör formuleras på så sätt att den inte bryter sekretessen i för-

561

En ny lag om Säkerhetspolisens behandling av personuppgifter

SOU 2025:49

hållande till utländska myndigheter enligt 8 kap. 3 § 1 offentlighets- och sekretesslagen. En myndighet som inte har ett brottsbekämpande uppdrag bör inte behandlas på annat sätt än en motsvarande svensk myndighet.

Direktåtkomst för utländska underrättelse- och säkerhetstjänster

Enligt 3 kap. 7 § säpodatalagen får vissa europeiska underrättelse- eller säkerhetstjänst medges direktåtkomst för de personuppgifter som behövs för att bekämpa terroristbrott. Denna utredning har inte haft till uppdrag att göra några närmare överväganden i denna fråga som var föremål för översyn så sent som år 2023.193

Motsvarande möjlighet till direktåtkomst bör införas i den före- slagna lagen. Direktåtkomsten anger endast sättet för utlämnade. Övriga bestämmelser ska vara uppfyllda för att direktåtkomst ska medges. Det innebär bland annat att samtliga underrättelse- eller säkerhetstjänster som medges sådan åtkomst måste kunna garantera tillräckligt skydd för personuppgifter.

Givetvis påverkas proportionalitetsprövningen av att personupp- gifter görs tillgängliga på detta sätt. Integritetsrisken är påtaglig för uppgifter som andra länders säkerhetstjänster har tillgång till. Ända- målet är, enligt nuvarande bestämmelse, samarbetet mot terrorism som är ett tungt vägande allmänintresse. Vår uppfattning är att den nuvarande omfattningen av direktåtkomsten är proportionerlig.

193Prop. 2022/23:116.

562

9En ny lag för Säkerhetspolisens behandling av stora informationsmängder

9.1Principerna bakom förslaget

9.1.1En särskild lag

Vi har i avsnitt 7.2 redogjort för bakgrunden till att vi föreslår att Säkerhetspolisen ska få en ny förmåga att behandla stora informa- tionsmängder. Denna förmåga utgörs av en särskild form av person- uppgiftsbehandling. För att uppnå lagens syften krävs nämligen undantag från flera av de principer som gäller för annan behandling enligt dataskyddskonventionen 108+. Sådana undantag är möjliga att göra i Säkerhetspolisens verksamhet som rör det mycket ange- lägna allmänna intresset nationell säkerhet. Vi har i avsnitt 7.2.2 redogjort för varför vi tycker att sådana undantag också är nödvän- diga och proportionerliga i ett demokratiskt samhälle.

Vi anser att dessa undantag bör regleras i en egen lag som kom- pletterar, och i delar ersätter, säpodatalagens generella regler. Vi upp- fattar också att en egen lag ger en bättre överblick och underlättar hänvisningar eller framtida ändringar än om motsvarande reglering skulle föras in i ett eget kapitel i säpodatalagen.

563

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.1.2En europarättslig utgångspunkt

Europadomstolens praxis angående signalspaning kan ge vägledning

Vi har inte kunnat hitta någon auktoritativ vägledning när det gäller hur behandling av stora mängder personuppgifter i syfte att skydda nationell säkerhet bör regleras för att vara förenlig med Europa- konventionen och dataskyddskonventionen 108+. Det finns dock andra, mer eller mindre likartade situationer, som bedömts av Europa- domstolen. Vi anser att viss vägledning kan hämtas från sådana av- göranden.

Det finns enligt vår bedömning en stor skillnad mellan att per- sonuppgifter förekommer i ett material som en säkerhetstjänst har tillgång till jämfört med att myndigheten behandlar personuppgif- ter genom att samla in och sammanställa dem på individnivå. I det senare fallet kan förekomsten av det som kan betecknas som en per- sonakt utgöra ett intrång i rätten till privatliv, vilket inte alls är lika framträdande för uppgifter som endast förekommer, bland många andra, i ett större material. I de fall där Europadomstolen konstaterat att artikel 8 har kränkts har det rört sig om registreringar i strukture- rade databaser eller att uppgifter förekommer i en personakt. Denna skillnad i intrång beroende på hur personuppgifter behandlas har manifesterats i främst de domar som rör signalspaning och hemliga tvångsmedel. Europadomstolen har i sådana fall, under vissa villkor, accepterat att en mycket stor mängd personuppgifter behandlas som till övervägande del rör personer utan anknytning till insamlings- ändamålet.

Europadomstolens stora kammare har i målet Centrum för Rätt- visa mot Sverige prövat den svenska lagstiftningen som rör signal- spaning. I avgörandet beskriver Europadomstolen signalspaning som en flerstegsprocess. Det första steget utgörs av datainsamling, där även uppgifter som är ointressanta för ändamålet med insam- lingen ingår. I ett andra steg filtreras informationen genom tillämp- ning av särskilda urvalskriterier, vilka antingen kan vara inriktade på individer (”strong selectors”) eller utgöra mera komplexa sökningar. Den information som på så sätt utvunnits ur den större datamäng- den analyseras till sitt innehåll för första gången av en analytiker i det tredje steget. Det fjärde steget innebär att myndigheten lagrar de relevanta uppgifterna för att användas i verksamheten genom

564

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

exempelvis upprättande av underrättelserapporter. I vissa fall delas dessa uppgifter även till andra underrättelsetjänster, inom eller utom det egna landet.1

Enligt domstolen ökar intrånget i enskildas rättigheter enligt artikel 8 allteftersom denna process fortskrider. Kommunikation som inhämtas genom signalspaning i det första steget, för att raderas som irrelevant i nästa steg, innebär enligt domstolen förvisso allt- jämt ett intrång i den enskildes rätt till privatliv, men inte ett sär- skilt påtagligt intrång. Domstolen påpekade även att det är tillräck- ligt att information om en individs privatliv lagras för att det ska anses utgöra ett intrång enligt artikel 8. Att personuppgifter behand- las automatiserat och inte direkt av människor är inte förmildrande, utan medför tvärtom än högre krav på säkerhetsåtgärder för att för- hindra att personuppgifter hanteras i strid med konventionen. Störst krav på säkerhetsåtgärder för att garantera en konventionsenlig han- tering av personuppgifterna ställs i slutet av processen då uppgifter om individer analyseras, bearbetas och eventuellt delas.

I målet Big Brother Watch mot Förenade kungariket utvecklade domstolen sin syn på stora datamängder som inte inhämtats genom signalspaning av den egna myndigheten. Domstolen ansåg att en underrättelsemyndighet som tar emot uppgifter som efterfrågats från en utländsk partner måste behandla dessa uppgifter som om de vore inhämtade genom signalspaning av den egna myndigheten. Detta ska gälla alla uppgifter som kan vara resultatet av signalspa- ning, även om det inte står klart att så är fallet.2 I målet begränsade domstolen sin prövning till signalspaningsinformation från myndig- heter i tredjeland som efterfrågats av den egna underrättelsetjänsten. Det finns emellertid anledning att anta att behandling av stora mäng- der uppgifter även i andra sammanhang förr eller senare kommer att prövas av Europadomstolen.3

År 2015 publicerade den så kallade Venedigkommissionen en rapport angående signalspaning. Kommissionen är ett rådgivande

1Europadomstolens (stora avdelningen) dom 25 maj 2021, Centrum för Rättvisa m.fl. mot Sverige, mål nr 35252/08, p. 239–243.

2Europadomstolens dom 25 maj 2021, Big Brother Watch m.fl. mot Förenade kungariket, mål nr 58170/13 m.fl., p. 498.

3Jfr klagomålet till Europadomstolen i mål, A.L m.fl. mot Frankrike nr 44715/20 och 47930/21, vilka handlar om överföring av uppgifter från EncroChat, där domstolen under beredningen bett svaranden (Frankrike) att argumentera för om det finns skäl att tillämpa motsvarande kriterier som ställts upp för signalspaning vid prövningen. Målet avskrevs i oktober 2024 med hänvisning till att klagandena inte uttömt de nationella rättsmedlen.

565

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

organ till bland annat Europarådet och består av oberoende experter på det konstitutionella området. I rapporten sägs bland annat att frågan om huruvida en lagstiftning som tillåter signalspaning pas- serar gränsen till massövervakning till stor del beror på om tröskeln för att behandla de genom signalspaning insamlade personuppgif- terna sätts lågt, vilket ger myndigheten tillgång till informationen.4 Vi har uppfattningen att detta uttalande har bäring även avseende andra insamlingsmetoder som innebär ett intrång i grundläggande fri- och rättigheter.

Olika grader av intrång för olika behandlingsåtgärder

Vi ser likheter mellan den principskiss som Europadomstolen dragit upp avseende signalspaning, i målet Centrum för Rättvisa mot Sverige, och den process som kan förväntas vid behandling av stora informa- tionsmängder. även vid sådan behandling kan man se en flerstegs- process med ett gradvis ökat intrång i fri- och rättigheter.

Den typ av informationshantering som vi avser att reglera kan exempelvis inledas genom insamling av en större mängd uppgifter (bland annat personuppgifter). Uppgiftsmängden är sådan att den inte är möjlig att granska manuellt. Efter insamlingen sker automa- tiserad behandling genom att olika urvalskriterier och sökbegrepp tillämpas på uppgiftsmängden. Det leder fram till att en mer begrän- sad mängd uppgifter, som är relevanta för verksamheten, filtreras fram för fortsatt bearbetning och analys. I praktiken är en sådan behandling indelad i samma fyra steg som signalspaning: 1) insam- ling, 2) filtrering, 3) bearbetning och analys samt 4) delgivning eller annan åtgärd.

Den största skillnaden från signalspaning är att det första steget i processen inte avser en viss, mycket integritetskänslig, inhämtnings- metod. Signalspaning fångar uppgifter under överföring medan den behandling av stora uppgiftsmängder vi avser att reglera i stället kommer att ske i ett mer statiskt material, som behandlas över tid. En annan skillnad mot signalspaning är att den, särskilt när den är trådbunden, sker i mycket stora och huvudsakligen odifferentierade informationsströmmar. Säkerhetspolisens behov avser möjligheten

4European Commission for Democracy Through Law, Report on The Democratic Oversight of Signals Intelligence Agencies, nr 719/2013, antagen den 20–21 mars 2015.

566

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

att hantera större informationsmängder, men endast sådana infor- mationsmängder som samlats in för att de med viss sannolikhet är relevanta för ett uttalat ändamål. Vi föreslår inte att Säkerhetspolisen ska få någon ytterligare metod för insamling av information. Den insamling som i praktiken sker i dag men som vi förtydligat i vårt förslag till ny säpodatalag och benämnt inledande behandling, är den generella metoden för insamling av personuppgifter, se avsnitt 8.6. För sådan insamling föreslår vi ett krav på att personuppgifterna ska vara befogade att behandla för ett ändamål. Vid sidan av den möj- lighet till insamling som säpodatalagen medger finns olika särskilt reglerade inhämtningsmetoder, som hemlig dataavläsning eller hem- lig avlyssning av elektronisk kommunikation. Sådana inhämtnings- metoder kan ur integritetshänseende vara lika känsliga som signal- spaning, men får endast ske för vissa specifika ändamål och under strikt kontroll.

Behandling av öppet tillgänglig information, med stöd av reglerna om inledande behandling, är inte lika integritetskänslig som den in- formation som signalspaningsmyndigheten hanterar. Däremot kan lagring av öppet tillgänglig information över tid, i kombination med uppgifter som inhämtas i hemlighet genom olika tvångsmedel, sam- mantaget innebära ett stort intrång i enskilda och allmänna intressen, till exempel opinionsfriheterna. Vi har utformat vårt förslag med dessa utgångspunkter.

Principskiss för reglering av stora datamängder

För signalspaning är det självklart att kraven på personuppgifter som får inhämtas inte kan vara desamma som för uppgifter som exem- pelvis ska delas med andra myndigheter. Som Europadomstolen har konstaterat bygger signalspaning på att stora uppgiftsmängder han- teras, men att fri- och rättighetsintrånget i första hand påverkas av hur kvalificerad behandlingsåtgärden är. Att samla in och lagra per- sonuppgifter utgör inte samma intrång som att läsa, analysera och dela dem. Den lag vi föreslår måste ta hänsyn till denna skillnad i intrång och reglera olika behandlingsåtgärder för sig.

Vi anser att de principer som Europadomstolen har fastställt är välavvägda och lämpliga att överföra till en lagstiftning med generell tillämplighet för behandling av stora uppgiftsmängder. I ett sådant

567

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

system måste det finnas en acceptans för att stora mängder person- uppgifter samlas in och lagras över tid. Detta för att möjliggöra olika behandlingsåtgärder, så länge denna behandling behövs för skyddet av nationell säkerhet.

Nya tekniska behandlingsmetoder kan innebära en högre grad av intrång än om uppgifter bearbetas och analyseras manuellt. En automatiserad profilering utifrån en persons levnadsvanor, kommu- nikation eller andra yttre faktorer kan utgöra ett betydande integri- tetsintrång. Att däremot gallra bort uppenbart irrelevanta person- uppgifter på automatiserad väg innan dessa når ett mänskligt öga kan innebära ett lägre intrång än motsvarande manuell behandling. Ett exempel är om en person manuellt behöver gå igenom alla bilder i en mobiltelefon för att hitta de få som är av intresse. Detta jäm- fört med om ett automatiskt program för bildigenkänning redan har gallrat fram endast de bilder som matchar vissa kriterier, exem- pelvis där skjutvapen förekommer.

Med utgångspunkt i vad Europadomstolen har slagit fast är vi av uppfattningen att stora datamängder inte kan hanteras enligt samma behandlingsneutrala principer som i det övriga dataskyddsregelverket. Det kan med andra ord inte ställas upp ett enda allmänt krav för all personuppgiftsbehandling, med innebörden att uppgifterna när detta krav är uppfyllt får samlas in, lagras, läsas, analyseras, raderas eller delges. Eftersom vi anser att olika behandlingsåtgärder innebär olika grader av intrång, måste de omgärdas av olika regler, som syftar till att minimera intrånget och förhindra att systemet missbrukas.

Vårt synsätt bygger därför på en intrångstrappa som börjar med insamling och registrering av uppgifter för att sedan övergå till olika automatiserade behandlingsåtgärder och slutar vid framtagning av in- formationen. Vi anser att de olika stegen på denna intrångstrappa motiverar olika dataskyddsmekanismer.

Insamling och registrering

Det första steget i den skisserade flerstegsprocessen utgörs av insam- ling och lagring av personuppgifter. Säkerhetspolisen har flera källor för informationsinhämtning, exempelvis hemliga tvångsmedel. Inom myndighetens nuvarande regelverk finns även vissa möjligheter att ta del av information från öppna källor (öppen information). Den

568

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

rättsliga grunden för insamling av personuppgifter finns redan i dag. Vi föreslår inte någon saklig ändring i denna del. Däremot föreslår

vien särskild reglering i säpodatalagen av det vi benämner inledande behandling av personuppgifter. Genom denna reglering tydliggörs kraven för att få samla in personuppgifter när detta är befogat för ett ändamål.

Riktad insamling som sker mot en viss individ, organisation eller gruppering kommer i princip att kunna hanteras inom ramen för vårt förslag till ny säpodatalag. I dessa fall är det möjligt att rikta insam- ling mot de uppgifter som behövs för ett särskilt ändamål. Under den inledande granskningen kan sedan de uppgifter som visar sig vara onödiga raderas. Säpodatalagen är lämplig för att bygga under- rättelser kring kända företeelser och kända aktörer. Det kan exem- pelvis handla om att gå vidare med misstankar som uppkommit genom tips eller spaning.

För att Säkerhetspolisen ska kunna upptäcka hotaktörer som

inte är kända på förhand och vara proaktiv i stället för reaktiv krävs andra metoder. Det är nämligen mycket svårt att i dessa syften rikta in underrättelseverksamheten på det sätt som förutsätts för behand- ling enligt säpodatalagen. Vårt förslag till ny lag innehåller flera lätt- nader i förhållande till det nuvarande regelverket. Det finns däremot inte någon möjlighet att med stöd av den lagen behandla personupp- gifter som vare sig behövs eller är relevanta och adekvata för ett sär- skilt, uttryckligt angivet och berättigat ändamål. För att Säkerhets- polisen ska kunna behandla stora informationsmängder behövs en annan rättslig systematik än vad som är fallet i en generell person- uppgiftslagstiftning.

För att upptäcka ett okänt hot måste information kunna behand- las utifrån prognoser och bedömningar av kontext snarare än de enskilda uppgifter som ingår i informationen. Vi föreslår därför att Säkerhetspolisen ska kunna lagra även stora informationsmängder. När Säkerhetspolisen beslutar att lagra sådana uppgiftsmängder sker, enligt den begreppsapparat vi föreslår för den nya lagen, en registrering.

Framtagning

I slutet av intrångstrappan återfinns den behandling som gör infor- mation tillgänglig för en människa. Att en människa kan ta del av innehållet i registrerade uppgifter är det intrång i rätten till privatliv

569

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

som artikel 8 i Europakonventionen i första hand är avsedd att mot- verka. Skyddet av privatliv utgör ett skydd mot att andra människor på något sätt får tillgång till eller kännedom om uppgifter som den enskilde har rätt att hålla för sig själv. Att lagring av personuppgif- ter i sig utgör ett intrång i privatlivet har, enligt vår uppfattning, en koppling till att rätten till privatliv därigenom kan kränkas genom att en annan människa tar del av de lagrade uppgifterna.

Ett motsvarande intrång kan uppkomma om en automatiserad process leder fram till en åtgärd från en myndighet som kan påverka den enskilde. Vi har i avsnitt 8.20.1 bedömt att automatiskt besluts- fattande inom säpodatalagens tillämpningsområde inte bör tillåtas. Att en människa får del av personuppgifter utgör därför den gemen- samma nämnaren för behandling som utgör den största risken för betydande intrång genom att stora informationsmängder behandlas. Vi har valt att benämna denna personuppgiftsbehandling framtag- ning. Framtagning är den personuppgiftsbehandling som innebär att de registrerade uppgifterna tillgängliggörs. Det är i sin tur en förutsättning för att myndigheten ska kunna utföra olika åtgärder som påtagligt påverkar den registrerade.

Övriga automatiserade behandlingsåtgärder

Mellan registrering och framtagning av personuppgifter finns lag- ring och andra behandlingsåtgärder som inte utgör en framtagning.

Den information som lagrats i ett it-system måste på något sätt kunna struktureras, sammanföras, gallras och göras sökbar. Sådana databastekniska åtgärder omfattas av begreppet personuppgiftsbe- handling men behöver enligt vår bedömning inte innebära något tillkommande intrång i den registrerades rättigheter. Registervård i form av exempelvis radering av uppgifter efter en viss tid sker i den registrerades intresse och är en förutsättning för att behandling ska vara tillåten.

Det finns andra, mer kvalificerade behandlingsåtgärder, som inte heller innebär att intrånget blir större än att personuppgifter över- huvudtaget finns registrerade. Det kan exempelvis handla om auto- matiserad översättning från främmande språk eller att bildigen- känningsprogramvara automatiskt tillför metadata om vad bilder föreställer. Det är viktigt att lagen inte ställer upp onödiga hinder för teknikutveckling inom Säkerhetspolisen. Lagen bör därför inte

570

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

hindra behandlingsåtgärder i syfte att underlätta informationshan- tering, som inte i sig utgör något tillkommande intrång i de regi- strerades rättigheter.

Viss automatiserad personuppgiftsbehandling kan dock utgöra ett tillkommande fri- och rättighetsintrång. Det mest närliggande exemplet är så kallad profilering. Det bör ställas krav på att sådana åtgärder bara sker, om det behövs för ett visst ändamål. Vår upp- fattning är dock att intrånget i enskildas personliga integritet, även av sådana åtgärder främst uppkommer när det är möjligt att ta del av och kunna vidta en åtgärd utifrån resultatet.

En principiell skiss

Det nu sagda går att sammanfatta grafiskt. Skissen nedan utgår från Europadomstolens ställningstaganden i fråga om behandling av in- formation från signalspaning. Av skissen kan slutsatsen dras att det i första hand inte är mängden uppgifter som styr graden av intrång, utan typen av behandling. I takt med att mer avancerad behandling görs, stiger graden av intrång trots att mängden behandlade uppgif- ter sjunker. En slutsats av detta är att det krävs successivt ökade kom- pensatoriska åtgärder i takt med att behandlingen går från insam- ling och lagring till selektering och analys.

Figur 9.1 Principer bakom förslaget

Insamling

Lagring

Selektering

Analys

571

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.1.3Stora risker kräver kraftiga skyddsmekanismer

Riskerna med att behandla stora informationsmängder

En förutsättning för att signalspaning ska kunna godtas som metod, är att det finns robusta skyddsmekanismer. Europadomstolen har uttalat att tillräckliga skyddsmekanismer är en förutsättning, efter- som underrättelseverksamhetens natur är sådan att enskilda inte kan bevaka sin egen rätt, samtidigt som det potentiellt går att miss- bruka systemet.

Mängden personuppgifter utgör i sig en faktor som måste vägas in när det kommer till att bedöma intrånget i den personliga integ- riteten och andra grundläggande fri- och rättigheter. Om en stor mängd uppgifter om en enskild individ samlats in från många olika källor, går det att kartlägga dennes privat- och familjeliv, trosupp- fattning, politiska åsikter eller religiösa övertygelse. Inlägg på sociala medier tillsammans med uppgifter om en persons bosättning, arbete eller sociala nätverk kan teckna en bild som är mer detaljerad än vad som går att få genom att exempelvis avlyssna dennes telefon. Intrånget blir särskilt tydligt om det handlar om källor som inte endast är öppet tillgängliga utan där även uppgifter som den enskilde inte själv har möjlighet att kontrollera kan ingå.

Till integritetsrisken för den enskilde ska läggas risken för avhål- lande inverkan på det demokratiska, offentliga samtalet. Risken att tilldra sig intresse genom offentlig debatt i ämnen som är godtag- bara i ett demokratiskt samhälle, även om de kan anses vara anstöt- liga eller extrema i något avseende, kan leda till just sådana effekter. Om dessa effekter uppkommer, har lagstiftningen som är till för att skydda demokratin fått motsatt effekt. Den fria åsiktsbildningen är en av hörnpelarna som bär upp vårt demokratiska statsskick och även teoretiska risker för att en lag leder till avhållande inverkan på det fria och öppna samtalet måste tas på stort allvar, se vidare avsnitt 7.2.3.

Vår uppfattning är att den lagstiftning om stora informations- mängder vi nu föreslår bär med sig sådana risker att det rättsstatliga skyddet måste vara mycket starkt för att kompensera för dessa.

572

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Generellt förbud mot framtagning hanterar riskerna

Vi har kommit till slutsatsen att den relativt låga tröskeln för Säker- hetspolisen att inleda personuppgiftsbehandling, genom insamling eller inhämtning, behövs för att myndigheten ska kunna utföra sitt uppdrag. I avsnitt 8.6 redogör vi för att inledande behandling ska få ske av personuppgifter som är befogade för ett brett formulerat ända- mål. Dessa krav är lägre än vad som gäller för att personuppgifter ska få fortsätta att behandlas för operativa ändamål, se avsnitt 8.7. Vi har därför reglerat hur granskning av personuppgifter ska ske.

En förmåga som innebär att stora informationsmängder får be- handlas innebär att uppgifter som samlas in också får bevaras över tid, trots att de inte når upp till kraven för fortsatt behandling enligt säpodatalagen. Sådan informationshantering innebär ett intrång i grundläggande fri- och rättigheter. När det kommer till de person- uppgifter som Säkerhetspolisen registrerat med stöd av denna sär- skilda lag föreslår vi därför ett generellt förbud mot det vi benämner framtagning. Det innebär att myndigheten inte ska kunna läsa eller på annat sätt ta del av uppgifterna. På så sätt skapas ett grundläg- gande skydd för de personuppgifter som behandlas. Den lag vi före- slår ska därför innehålla dels ett förbud mot framtagning, dels regle- rade undantag från detta förbud.

Tillsynsmyndigheterna ska ha goda möjligheter att granska både vilka bedömningar som ligger bakom Säkerhetspolisens registreringar enligt denna lag respektive vilka framtagningar som görs och ha kor- rigerande befogenheter när det samlade intrånget anses för stort. På så vis anser vi att riskerna minimeras och legitimiteten för systemet upprätthålls.

Vi har inte kunnat hitta något annat sätt att ge Säkerhetspolisen en helt nödvändig ny förmåga att hantera stora informationsmängder och samtidigt minimera de risker som denna förmåga kan medföra. Den prövning vi föreslår är i princip unik i Sverige och bygger på en svensk förvaltningstradition. I andra undersökta länder är det dock vanligt att behandling av stora datamängder underkastas någon form av judiciell prövning, ofta närliggande den som gäller för till- stånd för signalspaning.

573

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.2Lagens tillämpningsområde

Förslag: Lagen ska tillämpas för behandling av personuppgifter från och med tidpunkten för deras registrering.

Lagen ska omfatta vissa behandlingsåtgärder. Den första och mest grundläggande behandlingsåtgärden är att i sökbara system digitalt bevara uppgifter som samlats in. Vi har valt att ge begreppet regi- strering en för denna lag självständig betydelse.

Det är genom registreringen som avsteg från personuppgifts- rättens grundläggande principer sker. För att kunna behandla stora och osorterade uppgiftsmängder räcker det inte att behandla endast de personuppgifter som behövs för ett visst, på förhand specificerat och konkretiserat ändamål. För att lagen ska ha någon funktion måste den också ge möjlighet att över tid bevara sådana personuppgifter som med säkerhet inte behövs för något ändamål, på grund av att de förekommer i en uppgiftsmängd, som är befogad att behandla

i sin helhet. Personuppgifterna i en sådan uppgiftsmängd kan där- med inte sägas uppfylla kravet på att vara adekvata, relevanta eller inte för omfattande för ändamålet.

Det är naturligt att registrering utgör tröskeln för lagens tillämp- ning – lagen ska reglera både själva registreringsförfarandet av per- sonuppgifter och all efterföljande behandling av dessa registrerade uppgifter.

Lagen bör endast vara tillämplig på automatiserad behandling av personuppgifter. Det finns varken något behov eller någon praktisk möjlighet att tillämpa principerna i den föreslagna lagen för uppgifter som behandlas i pappersform eller liknande.

9.3Insamling och registrering

9.3.1Inledande behandling av vissa datamängder enligt lagen ska inte regleras särskilt

Bedömning: Säkerhetspolisen har tillräckliga möjligheter till in- ledande behandling enligt andra regelverk. Enligt säpodatalagen får inledande behandling ske om det är befogat för ett ändamål.

Någon särskild reglering för insamlingen eller annan inledande

574

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

behandling av personuppgifter som ska registreras behövs där- för inte.

Inledande behandling regleras i säpodatalagen

Säkerhetspolisen har behov av att samla in eller på annat sätt initial- behandla stora informationsmängder inom alla sina verksamhets- grenar och för en rad olika ändamål. Att de datamängder som behöver behandlas blir allt större speglar den mycket stora ökningen av data som genereras i samhället. I avsnitt 6.2 redogör vi för denna utveck- ling. I avsnitt 7.2 redogör vi för vår uppfattning att Säkerhetspolisen har ett behov och ett legitimt intresse av att kunna samla in stora mängder personuppgifter.

Säkerhetspolisen har i dag möjlighet att samla in och ta emot material från en rad källor. I princip alla dessa källor kan generera informationsmängder som inte medger den granskning som förut- sätts för att säpodatalagens regler ska kunna tillämpas. Det kan ex- empelvis vara samverkande tjänster som delar innehåll från avkryp- terade meddelandetjänster, inhämtning från sociala medier för att analysera hotbilden för en skyddsperson över tid, överskottsinfor- mation från ett hemligt tvångsmedel eller ett it-beslag.

Det är endast några av dessa informationskällor, som till exempel it-beslag och hemliga tvångsmedel, som är specialreglerade. Den in- itialbehandling av personuppgifter som inte är reglerad genom sär- skild lagstiftning kommer att omfattas av säpodatalagens bestämmel- ser. De bestämmelser i säpodatalagen som vi föreslår innebär att inledande behandling kan ske av personuppgifter som är befogade för ett övergripande ändamål, så länge denna behandling är propor- tionerlig. Vi anser att dessa kriterier på ett bra sätt avgränsar exempel- vis insamling av uppgifter från internet eller vilka dataset som kan inhämtas. Det finns därför inte något skäl att föreskriva om några andra regler för inledande behandling av personuppgifter, även om syftet är att uppgifterna ska behandlas enligt den lag vi här föreslår.

575

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Inledande granskning enligt säpodatalagen kan leda till att uppgifter registreras enligt denna lag

En nyhet i vårt förslag till ny säpodatalag är att den reglerar inledande granskning av personuppgifter som samlats in. Granskningens syfte är att säkerställa att personuppgifter behandlas författningsenligt.

Innan sådan granskning skett får personuppgifterna inte behandlas för något operativt ändamål. Regleringen syftar till att ge Säkerhets- polisen författningsstöd för att hantera information trots att det inte är känt vilka personuppgifter informationen innehåller, se av- snitt 8.12 och 8.13.

I vårt förslag till säpodatalag är tröskeln för inledande behand- ling lägre än för fortsatt operativ behandling. Uppgifter får samlas in om de är befogade för ett övergripande ändamål men endast de uppgifter som behövs för ett mer konkretiserat ändamål får vidare- behandlas för operativa syften. Inledande behandling av informa- tion sker därför av betydligt större informationsmängder än vad som slutligen förs över till operativa system. De olika kraven för insamling och fortsatt operativ behandling innebär att information filtreras, ofta i flera steg, under granskningen. Uppgifter som inte får fortsätta att behandlas enligt säpodatalagen ska enligt huvud- regeln raderas under granskningsskedet.

Genom den kompletterande lagstiftningen som vi här föreslår tillkommer emellertid möjligheten att i stället registrera sådana upp- gifter, som inte uppfyller säpodatalagens krav för fortsatt behand- ling, enligt denna lag. Även uppgifter som samlats in i syfte att regi- streras som en särskild informationsmängd kommer att träffas av den nyssnämnda bestämmelsen om inledande granskning. Gransk- ningen kommer då att syfta till att säkerställa att uppgifterna kan behandlas författningsenligt enligt den lag vi här föreslår.

Registrering kan vara ett alternativ till radering vid behandlingstidens utgång

Vi har i anslutning till säpodatalagens bestämmelser återkommande refererat till att mängden perifera uppgifter i en källa kan få bety- delse vid proportionalitetsprövningen. Ett dataset där det kan antas att det finns större mängder personuppgifter vars behov inte går att konkretisera i förhållande till ett uttryckligt angivet ändamål, inne-

576

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

bär att intrånget blir större och svårare att motivera. För att behand- ling ska vara proportionerlig kan behandlingstiden då behöva vara mycket kort.

Detta kan illustreras med exempelvis hot- och riskanalys inför Almedalsveckan eller ett statsbesök. För att kunna göra en hotbe- dömning kan Säkerhetspolisen ha ett behov av en bred inhämtning för att analysera exempelvis debattartiklar och uttalanden som gjorts på sociala medier en viss tid innan ett offentligt framträdande ska ske. Intrånget är givetvis mycket stort då det kan röra sig om en bred insamling av politiska uttryck och grundlagsskyddade yttran- den. Inhämtning och analys kan alltjämt vara proportionerligt, under förutsättning att ändamålet är tillräckligt tungt och om intrånget sker endast under en mycket begränsad tid. Enligt säpodatalagens grundläggande principer om minsta möjliga intrång ska personupp- gifter inte behandlas längre än vad som behövs för ändamålet. Det innebär att behandling som regel inte kan motiveras efter att bedöm- ning och analys utförts.

Det finns emellertid ett stort behov av kunskapsuppbyggnad avse- ende orsaker till hotdrivande kommunikation, trender, mönster och avvikelser för att kunna bedöma och reducera framtida hot. I stället för att radera uppgifterna efter att de inte längre får behandlas enligt säpodatalagen, kan de registreras enligt den här föreslagna lagen. Fri- och rättighetsintrånget av en sådan registrering är, på grund av för- budet mot framtagning, betydligt mindre än om de behandlas enligt säpodatalagen. Därför kan det vara proportionerligt att behandla personuppgifter under längre tid om de genom att registreras förs över till den föreslagna nya lagens tillämpningsområde.

9.3.2Uppgifter som är befogade för ett övergripande ändamål ska få registreras om det är proportionerligt

Förslag: Säkerhetspolisen ska kunna besluta att personuppgifter ska registreras i en särskild uppgiftssamling, om det är befogat för vissa ändamål.

577

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Ändamål

Vi har i avsnitt 8.6.6 redogjort för bakgrunden till vårt ställnings- tagande för att ändamålen för inledande behandling ska vara mer övergripande än ändamålen för fortsatt behandling. Där uttrycks det så att inledande behandling får ske, om det är befogat för ett ändamål inom de verksamheter som beskriver Säkerhetspolisens brottsbekämpande uppdrag eller någon annan rättslig grund. Upp- gifter som inledningsvis behandlats för ett sådant brett ändamål får dock endast fortsätta att behandlas, om de behövs för ett särskilt, uttryckligt angivet och berättigat ändamål. Detta mer konkretise- rade ändamål ska, om det inte framgår av sammanhanget, även anges genom en särskild upplysning.

Ändamålen fyller på så sätt olika funktioner. Inledande behand- ling får ske för övergripande ändamål. Fortsatt behandling av insam- lade uppgifter får däremot endast ske för särskilda, uttryckligt angivna ändamål. Det innebär att det måste finnas ett mer konkretiserat be- hov för att få behandla uppgifter över tid. Det är en följd av att per- sonuppgiftsbehandling över tid utgör ett sådant intrång i enskildas fri- och rättigheter som måste kunna viktas mot ett konkret ändamål vid en proportionalitetsprövning. Ett alltför brett formulerat ända- mål, som exempelvis ”kontraterror”, tillåter inte en sådan prövning.

Den lag vi föreslår bygger på ett generellt förbud mot att ta fram registrerade uppgifter. Det intrång som sker av att uppgifter lagras över tid är i dessa fall inte alls lika stort som för uppgifter som är fritt till- gängliga för sökning och framtagning inom den operativa verksam- heten. Syftet med den särskilda lag vi föreslår är att ge Säkerhetspoli- sen en delvis ny förmåga. Det handlar om möjligheten att behandla information i den breda underrättelseverksamheten, som syftar till att bland annat upptäcka okända hot. Hot som är okända är defini- tionsmässigt svåra att konkretisera. Det innebär att det ofta inte heller är möjligt att ange ett ändamål för personuppgiftsbehandling som är tillräckligt konkret för att kunna konstatera att en viss mängd personuppgifter behövs och är relevanta och adekvata för detta ändamål.

För att förbättra Säkerhetspolisens förmåga att upptäcka okända hot bör sådana uppgifter i stället kunna registreras som en uppgifts- mängd för breda underrättelseändamål. Kraven på ändamål för per- sonuppgiftsbehandling bör därför vara samma för registrering som

578

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

för inledande behandling. Det innebär att uppgifter bör kunna regi- streras för ändamål inom någon av Säkerhetspolisens verksamhets- områden. Vi återkommer, i avsnitt 9.10.2, om vår syn på behandling för brottsutredande ändamål inom denna lags tillämpningsområde.

Behov

För insamling och annan inledande behandling enligt vårt förslag till ny säpodatalag ställs krav på att uppgifterna är befogade för ända- målet, se avsnitt 8.6.7. För att uppgifterna ska få fortsätta att behandlas efter den inledande granskningen krävs däremot att de behövs. Med begreppet ”behövs” avses att uppgiften krävs för att Säkerhetspolisen ska kunna utföra sitt uppdrag. På samma sätt som för den inledande behandlingen bör behandlingströskeln för registrering av uppgifts- mängder enligt den nya lagen vara lägre än för de mer kvalificerade behandlingsåtgärderna.

Syftet med att behandla stora informationsmängder är bland annat att upptäcka ett okänt hot eller kartlägga trender och möns- ter över tid. Då är det inte möjligt att endast behandla de uppgifter som behövs vid tidpunkten för registrering. Detta behov går nämligen inte att fastställa förrän uppgifterna har kunnat behandlas under en tid. Endast om uppgifter tillåts att registreras för att de på aggregerad nivå antas vara relevanta, är det möjligt att pröva om de faktiskt är det. Det kan exempelvis komma fram uppgifter över tid som sam- mantagna tecknar en bild som inte varit möjlig att se om varje infor- mationsled endast kunnat bedömas för sig.

Vi anser därför att det finns goda skäl till att ha samma låga be- hovskriterium för registrering som för inledande behandling. Det ska därför krävas att uppgifterna är befogade för ett ändamål för att de ska få registreras. Betydelsen av befogat bör vara densamma som vad gäller insamling.

När det gäller personuppgifter som redan behandlas enligt säpo- datalagen, för att det står klart att de behövs under en viss tid, kan det alltjämt vara befogat att behandla uppgifterna därefter. Då kan det bli aktuellt att registrera uppgifterna enligt den här föreslagna lagen i stället för att radera dem.

Den grundläggande skillnaden i denna lagstiftning jämfört med andra personuppgiftslagstiftningar är att de flesta bestämmelser

579

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

inte avser att reglera behandling av personuppgifter. I stället är det vissa av de behandlingsåtgärder som ingår i behandlingsbegreppet som regleras på skilda sätt. För att lagen på ett tydligt sätt ska kunna ge särskilda rättsliga förutsättningar för olika behandlingsåtgärder finns det ett behov av att definiera vissa av de komponenter som ingår i behandlingsbegreppet.

Vi föreslår mot denna bakgrund att det införs vissa särskilda definitioner i den nya lagen. De begrepp som i första hand kräver definitioner är registrering och framtagning. Vidare bör den lagtek- niska termen särskild uppgiftssamling definieras.

9.3.3Principen om uppgiftsminimering kan inte tillämpas på stora informationsmängder

Bedömning: Det krävs undantag från dataskyddskonventionen 108+, artikel 5.4 c, om att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen.

Skälen för bedömningen

Dataskyddskonventionen 108+ innehåller grundläggande bestäm- melser om adekvans, relevans och uppgiftsminimering. Dessa prin- ciper är i praktiken oförenliga med behandling av stora informations- mängder där innehållet till största delen är okänt.

Kravet i artikel 5.4 c i dataskyddskonventionen 108+ om att upp- gifter inte får vara för omfattande har både en kvantitativ och en kvalitativ aspekt, se avsnitt 8.10.2. I kvantitativt avseende ska behand- lingen av uppgifter begränsas till den mängd som behövs för ända- målet med behandlingen. Vid en kvalitativ bedömning kan person- uppgifter som i och för sig är adekvata och relevanta, men där en behandling skulle innebära ett oproportionerligt intrång betraktas som alltför omfattande.

Både prövningen av adekvans, relevans och om behandlingen är alltför omfattande kräver en kännedom om innehållet i det som regi- strerats. Det går att bilda sig en översiktlig uppfattning om inne- hållet i stora informationsmängder, vilket även förutsetts i den här

580

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

föreslagna lagstiftningen. Någon egentlig prövning avseende adekvans, relevans och om behandlingen är för omfattande kan däremot inte komma i fråga. Det kräver en granskning som är så ingående att syftet med lagen skulle förfelas.

Vi föreslår därmed att den här föreslagna lagen, till skillnad från vårt förslag till säpodatalag, ska innehålla ett undantag från data- skyddskonventionen 108+ avseende principen om uppgiftsminime- ring. Sådana undantag är möjliga att göra i Säkerhetspolisens verk- samhet som rör nationell säkerhet. Undantaget gäller inom lagens tillämpningsområde, vilket innebär att undantaget främst får bety- delse vid registrering av uppgifter. Undantaget är en förutsättning för att kunna hantera stora informationsmängder i syfte att före- bygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet eller terroristbrott. Undantaget är därför nödvändigt för att effektivt kunna förebygga, förhindra och upptäcka hot mot nationell säkerhet.

Framtagna uppgifter ska behandlas enligt säpodatalagen, se av- snitt 8.12.6 och 9.10.1.

Det innebär att uppgifter som inte är relevanta eller adekvata och sådana som är för omfattande för ändamålet ska raderas innan de kan behandlas för något operativt ändamål. Undantaget avseende uppgiftsminimering som gäller för registrering kommer därmed inte att medföra att irrelevanta eller onödigt omfattande uppgifter behandlas i den operativa verksamheten. Undantaget från dataskydds- konventionen går därför inte längre än vad som är nödvändigt i ett demokratiskt samhälle.

9.3.4Ska det finnas andra begränsande faktorer för insamling och registrering av stora informationsmängder?

Bedömning: Säkerhetspolisen bör bestämma vilka personupp- gifter som är befogade för ett ändamål och pröva proportionali- teten av registreringen.

581

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Ska endast vissa typer av information få registreras?

Det är möjligt att i lag begränsa vilka informationsmängder som får registreras med stöd av den nya lagen. Vi har bland annat övervägt att likt Norge endast göra lagen tillämplig på öppet tillgänglig infor- mation, se avsnitt 4.4.3. En annan legalbegränsning skulle kunna innebära att vissa källor undantas från lagens tillämpningsområde eller att innehållet i informationen skulle kunna begränsa möjligheten till registrering. Exempelvis skulle kommunikationsuppgifter kunna undantas eller begränsas på något sätt, exempelvis till metadata och inte kommunikationsinnehåll.

Ett annat exempel skulle kunna vara att information som tillhör en del av privatlivets kärna eller liknande inte får förekomma. En sådan, närmast filosofisk, begränsning finns bland annat inom tysk konstitutionell rätt (”Kernbereich persönlicher Lebensgestaltung”) som skyddas av den tyska författningsdomstolen genom särskilt skydd i olika lagstiftningar som rör statlig övervakning). Ett annat alternativ är att insamling av stora datamängder ska underkastas en förhandsprövning eller underställas något annat organ som är fristå- ende från myndigheten. Liknande mekanismer förekommer både i Nederländerna och Förenade kungariket. I dessa länder tar special- lagstiftningen för behandling av stora informationsmängder främst sikte på förvärv av stora dataset från internet och regleras på liknande sätt som signalspaning, se avsnitt 4.5.3 och 4.6.3.

Det är mycket svårt att i lag peka ut vilken typ av information som bör få registreras i en särskild uppgiftssamling. Hoten mot Sveriges säkerhet varierar över tid och de miljöer där hoten förekommer är rörliga. Dessutom kan en lagstiftning som inte är teknikneutral snabbt bli obsolet. Vi anser att det endast är Säkerhetspolisen som kan ha den överblick som krävs för att kunna avgöra vilken slags information och från vilka källor som det är relevant för myndig- heten att ha tillgång till över tid. Förändringar av hot och behovet av att kartlägga dessa sker snabbare än processen att genom författ- ning peka ut vissa källor eller viss typ av information.

De gränsdragningsfrågor och den osäkerhet som skulle upp- komma i samband med att ny teknik introduceras skulle med all säkerhet påverka möjligheten att utnyttja lagstiftningen för sina syften. Samtidigt kan det med fog ifrågasättas om det är möjligt att på förhand peka ut vissa källor som mer känsliga än andra. I Norge,

582

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

där lagstiftningen begränsats till behandling av öppet tillgänglig in- formation, har det påpekats att det finns mycket stora integritets- risker även i denna informationsmiljö. Den begränsningen träffar exempelvis inte endast information som den enskilde valt att publi- cera eller på ett eller annat sätt har kontroll över. Även information som olovligen publicerats, exempelvis efter ett dataintrång eller för- tal och lögner om en person som publicerats av annan, kommer kunna behandlas enligt lagen, se vidare i avsnitt 4.4.3.

Olika innehållsbegränsningar, som exempelvis kommunikations- innehåll, kan många gånger ge en falsk bild av att integriteten skyddas. Det har ansetts att behandling av annan kommunikationsdata, exem- pelvis vilka som kommunicerat, hur länge och var, kan vara tillräck- lig för att teckna en intim bild av en person; en bild lika skyddsvärd som innehållet i kommunikationen.5 Detta särskilt om uppgifter från olika källor kan kombineras med varandra för att komplettera bilden.6 Integritetsskyddet bör av dessa skäl byggas på annan grund än att i lagen peka ut viss typ av information som godtagbar. Vi återkommer till sådana skyddsmekanismer.

Ska det krävas förhandstillstånd för registrering?

Vi har även övervägt förhandstillstånd för registrering från en själv- ständig funktion inom Säkerhetspolisen, från en självständig myn- dighet eller från en domstol. Ett system med förhandsprövning inne- bär samtidigt en stor förskjutning i förhållande till behandling av personuppgifter enligt säpodatalagen. Utgångspunkten för lagen är att intrånget i enskildas fri- och rättigheter är som störst när uppgifter tas fram och inte när de registreras. De känsligaste inhämtningsmeto- derna är dessutom särskilt reglerade och underkastade förhandspröv- ning från en självständig aktör i form av till exempel domstolsprövning.

Det framstår sammantaget som att effektiviteten i systemet skulle riskeras om registrering skulle vara föremål för förhandsprövning av exempelvis åklagare eller domstol. Det bör därför vara Säkerhets- polisen som ansvarar för att registrering av uppgifter med stöd av lagen är proportionerlig och i övrigt författningsenlig. Registre- ringarna kommer vara föremål för tillsyn.

5Se bland annat EU-domstolens dom den 6 oktober 2020 i mål C 511/18 m.fl., La Quadrature du Net, p. 117.

6Se Europadomstolens avgörande i målet Centrum för Rättvisa mot Sverige, p. 256.

583

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Säpodatalagens bestämmelse om proportionalitet är tillräcklig

Vi har i vårt förslag till säpodatalag föreslagit en generell proportio- nalitetsprincip som ska gälla för all personuppgiftsbehandling. Den gäller för insamling av uppgifter och bör gälla även för registrering.

Registrering ska få ske av uppgifter som inte kunnat granskas i detalj. Sådana registreringar sker för att möjliggöra framtida sök- ningar i materialet. Det är svårt att avgränsa storleken av en sådan uppgiftsmängd endast med tillämpning av ändamåls- och behovs- principen. Bedömningen måste kunna göras mot uppgiftsmängder och inte uppgifter. Det kan vara svårt att avgöra hur stor uppgifts- mängd som behövs för att uppnå ändamålet med registreringen.

Uppgiftsmängden som får registreras kommer därför främst be- gränsas av kravet på proportionalitet. Den föreslagna lagstiftningen är avsedd att täcka alla typer av behov att behandla stora informa- tionsmängder. Det är inte endast fråga om att reglera öppet tillgänglig information. En informationsmängd som inte är känslig ur integri- tetshänseende kan vara proportionerlig att behandla, även om den innehåller stora mängder personuppgifter. Det kan röra sig om en heltäckande lista av vilka ip-nummer som varje land förfogar över. Intrånget i andra intressen är i detta fall i det närmaste obefintligt. När det kommer till mer känslig information, som inhämtning från sociala medier, finns det skäl som talar i motsatt riktning. I dessa fall växer intrånget med antalet personuppgifter som behandlas.

En personuppgiftsbehandling är proportionerlig, om skälet för att utföra behandlingen överväger intrånget i de enskilda eller all- männa intressen som kan påverkas av den. Tanken är dock inte att varje personuppgift ska granskas. Till skillnad från inledande behand- ling sker dock registrering av uppgifter som, i vart fall översiktligt, går att granska innan behandlingsåtgärden vidtas. Det innebär att det under den inledande granskningen är möjligt att rensa insamlade uppgifter från onödiga, irrelevanta eller oproportionerligt känsliga uppgifter innan informationen registreras. Beroende på vilken data det rör sig om kan det ske på olika sätt.

Ett onödigt intrång i en fri- och rättighet kan aldrig vara propor- tionerligt. Det finns därför krav på att Säkerhetspolisen, i rimlig utsträckning, ska filtrera de informationsmängder som samlats in för att en registrering inte ska utgöra ett större intrång i fri- och rättigheter än vad som är befogat.

584

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.3.5Motiverade beslut om registrering

Förslag: Varje uppgift som registreras med stöd av lagen ska kunna spåras till ett skriftligt beslut. Av beslutet ska framgå

1.vad de registrerade uppgifterna i huvudsak avser och från vilken källa eller vilka källor de härrör,

2.vilket intrång i enskilda och allmänna intressen som behand- ling av uppgifterna kan antas medföra,

3.för vilket eller vilka ändamål uppgifterna registreras,

4.hur länge uppgifterna som längst får behandlas, och

5.de skäl och omständigheter i övrigt som föranlett registrer- ingen.

Krav på ett motiverat beslut om registrering

Vår utgångspunkt är att Säkerhetspolisen bör ha handlingsutrym- met att registrera de uppgifter som bedöms vara befogade för ett övergripande ändamål. Det ligger därmed ett mycket stort ansvar på Säkerhetspolisen att iaktta den proportionalitetsprincip som utgör grunden för dataskyddet vid behandling även av stora infor- mationsmängder.

Proportionalitetsprövningen är av sådan vikt att vi anser att det finns starka skäl för att i lagen ange närmare bestämmelser om hur denna prövning ska formaliseras. Att det finns formkrav för pröv- ningen bidrar till att den struktureras och tydliggörs. Detta är vik- tigt både för Säkerhetspolisens egen uppföljning men framför allt för tillsynsmyndighetens möjlighet att granska hur lagen tillämpas.

Ett skriftligt beslut manar också till reflektion och eftertanke. En strukturerad prövning har därför förutsättningar att bli bättre och mer rättssäker.

Vi anser av dessa skäl att det bör finnas ett krav på att Säkerhets- polisen ska fatta ett motiverat beslut i varje enskilt fall när uppgifter registreras i en särskild uppgiftssamling.

585

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Vad bör ett registreringsbeslut innehålla?

Endast den formalia som är nödvändig för tillämpning och tillsyn bör anges i lag

Det är svårt att prognostisera i vilken omfattning Säkerhetspolisen kommer att registrera stora informationsmängder med stöd av lagen. Det är dock viktigt att processen inte är onödigt formalistisk. Varje krav som ställs för en registrering bör motiveras av ett berättigat in- tresse. Lagen hindrar givetvis inte att Säkerhetspolisen av verksam- hetsskäl utvecklar registreringsprocessen med angivande av ytterlig- are information som kan behövas för att underlätta förståelsen eller nyttan av uppgifterna. De uppgifter som av dataskyddsskäl måste framgå av ett registreringsbeslut är de som behövs för en effektiv tillsyn och för tillståndsprövning vid framtagning. Det innebär att uppgifter som behövs vid proportionalitetsprövningen måste framgå.

Källa och informationsmängdens huvudsakliga innehåll

Redan vid inledande behandling krävs en proportionalitetsprövning. behovet av åtgärden måste väga tyngre än risken för intrång i den personliga integriteten eller andra enskilda och allmänna intressen. Efter inledande behandling ska uppgifter initialgranskas för att be- döma bland annat behov och proportionalitet av fortsatt behand- ling. I detta skede finns möjlighet att vidta olika behandlingsåtgärder för granskningsändamål.

Eftersom ett registreringsbeslut innebär att den information som registreras inte längre är tillgänglig, varken för Säkerhetspolisen eller tillsynsmyndigheten, är det viktigt att uppgiftsmängden som ska regi- streras beskrivs i tillräcklig utsträckning för att det ska vara möjligt att bedöma att registreringen skett på ett korrekt sätt. Granskningen av större uppgiftsmängder kan givetvis inte ske i detalj. Däremot måste uppgifter som samlats in genom inledande behandling över- siktligt kunna beskrivas för att uppgifterna ska kunna registreras i en särskild uppgiftssamling.

Som ett grundkrav bör källan tydligt anges. Exempelvis kan det anges att beslutet omfattar överskottsinformation från användan- det av ett tvångsmedel eller att det rör sig om information som in-

586

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

hämtats från öppna källor, som till exempel ett forum i en viss extre- mistmiljö.

Vid sidan av källa bör även informationsinnehållet övergripande beskrivas. I vissa fall följer innehållet redan av källan. Det är kan ex- empelvis vara uppenbart att om en referensdatabas avseende ip-num- mer registrerats, innehåller den just ip-nummer. I andra fall måste Säkerhetspolisen ange om informationsmängden består av exem- pelvis kommunikationsinnehåll, metadata eller öppen information från sociala medier. Om det rör sig om exempelvis videomaterial, kan det vara nödvändigt att ange om det rör sig om en rekryterings- video från en terroristorganisation eller material från en övervak- ningskamera.

I den övergripande beskrivningen måste även den kvantitativa omfattningen av de registrerade uppgifterna anges. Utifrån denna beskrivning måste det gå att sluta sig till den ungefärliga mängden personuppgifter och antalet registrerade som förekommer i infor- mationsmängden. Det är väsentligt för tillsynen över registrerings- beslutet att det går att sluta sig till om en registrering avser person- uppgifter från en väl avgränsad eller en bredare grupp. Ju känsligare uppgifter som registreringen avser, desto viktigare är det med upp- gifter om hur många individer som kan påverkas av intrånget.

Intrångsbedömning

Vid en proportionalitetsbedömning ska en avvägning göras mellan intresset av att utföra en åtgärd mot de andra skyddsvärda intressena som kan komma att påverkas av åtgärden. När det kommer till be- handling av stora informationsmängder, där detaljkunskaper om in- nehållet saknas, kan en sådan bedömning vara mycket svår att göra eftersom de intressen som påverkas av behandlingen bygger på an- taganden eller prognoser.

För att förenkla tillsynen över registreringen och ge förutsätt- ningar för att pröva proportionaliteten vid en framtagning bör en registrering kategoriseras i intrångshänseende. Lämpligen kan en in- trångskategorisering innebära att en informationsmängd som rör den privata sfären, som åtkommits genom avlyssning eller annan jämförbar åtgärd placeras i en hög kategori. Om känsliga person- uppgifter kan antas förekomma i högre utsträckning än normalt,

587

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

bör detta vara en annan riskfaktor som motiverar en hög intrångs- kategori. Det kan handla om uppgifter som rör uttryck för politisk uppfattning eller religiös övertygelse. En proportionalitetsavvägning ska göras mot både enskilda och allmänna intressen. Bland de all- männa intressena märks bland annat de positiva opinionsfriheterna.

Intrångskategorier behöver anges med tillräcklig differentiering för att ge en verklig vägledning för tillämpningen samtidigt som det ska vara hanterbart i verksamheten. Det kan i viss mån krävas en scha- blonisering vid bedömningen. Syftet med en intrångsbedömning av de uppgifter som registreras är bland annat att det ska vara möjligt att inrikta tillsynen mot de känsligaste uppgifterna eller att ge dom- stolen en möjlighet att begränsa de kategorier av uppgifter som får tas fram för ett visst ändamål.

Det är därför lämpligt att skapa ett system för kategorisering som medger att uppgifter jämförs med varandra. Med hänsyn till att inne- hållet inte kan granskas i sin helhet eller i detalj under den inledande granskningen måste det accepteras att bedömningen bygger på rim- liga antaganden. Hur detta system ska utformas är alltför komplext för att det ska vara lämpligt att göra i lag. Det bör därför i stället re- gleras i förordning eller genom myndighetens egna föreskrifter och interna riktlinjer.

Ändamålet

Att ändamålet med registreringen anges är helt avgörande för att de grundläggande principerna bakom dataskyddet ska kunna upprätt- hållas. Uppgifter får registreras för samma övergripande ändamål som för inledande behandling. För inledande behandling beskrivs detta som att ändamålet anges inom en verksamhet, men att en rättslig grund eller ett visst verksamhetsområde inte är tillräckligt specifikt. Det innebär att det exempelvis behöver anges vilken typ av brottslighet som ska kartläggas genom registreringen. De breda ändamålen bör kunna tillämpas på samma sätt som vid inledande behandling, se avsnitt 8.6.6.

588

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Skälen i övrigt

Vid sidan av de mer beskrivande delarna av ett registreringsbeslut bör även skälen anges. Beslutet att registrera uppgifter innebär att en proportionalitetsbedömning har gjorts och skälen för registre- ringen bör spegla denna avvägning. Skälen måste därför beskriva vilka fri- och rättigheter som påverkas av en registrering och skälen för att intrånget är nödvändigt i ett demokratiskt samhälle. I prak- tiken bör det av skälen för beslutet framgå på vilket sätt uppgifterna är befogade att registrera för ändamålet. Det kan exempelvis handla om att beskriva de indikatorer som talar för att det i en viss uppgifts- mängd kan vara befogat att söka efter uppgifter som har att göra med terrorrekrytering.

Skälen för en registrering är en viktig del av att göra det möjligt att utöva tillsyn över registreringen av personuppgifter. Det får där- för inte vara en alltför schabloniserad motivering, särskilt inte om det gäller registreringar av mer känslig art. Det kan däremot antas att många registreringar kommer ha likartade bedömningar, eftersom de avser liknande uppgifter som registreras för samma ändamål. Det kan exempelvis gälla vid registrering av vissa referensdatabaser.

Spårbarhet

Lagen är endast tillämplig för behandling av personuppgifter som registrerats i en särskild uppgiftssamling. Inga personuppgifter ska alltså få förekomma i en särskild uppgiftssamling, om de inte regi- strerats med stöd av ett beslut.

Omvänt kan sägas att alla uppgifter som behandlas i en särskild uppgiftssamling måste kunna spåras tillbaka till ett registreringsbe- slut. Detta förhållande bör följa av lag. Det bör därför krävas att alla personuppgifter som behandlas även rent tekniskt måste kunna härledas till det beslut som föranlett lagringen. Det innebär att om ett beslut förfaller eller upphävs måste alla uppgifter som lagrats med stöd av beslutet ofelbart och omedelbart kunna raderas.

589

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.3.6Vem ska vara behörig att fatta registreringsbeslut?

Förslag: Ett beslut om att registrera personuppgifter ska få fattas endast av medarbetare som har de särskilda kunskaper och den erfarenhet som krävs för att göra bedömningen.

Skälen för förslaget

I det föregående har vi beskrivit vad som krävs för att en uppgifts- mängd ska få registreras och hur ett beslut ska utformas. De bedöm- ningarna kommer att förutsätta särskild kunskap och erfarenhet. Det krävs en viss kompetens för att kunna bedöma om både de materi- ella och de formella förutsättningarna för att fatta ett registrerings- beslut är uppfyllda. Vi har i avsnitt 8.12.4 beskrivit att det bör ställas vissa kompetenskrav på de personer som utför inledande granskning, vilket även föregår registrering i särskilda uppgiftssamlingar.

Frågan är om det bör ställas än högre krav på de medarbetare vid myndigheten som ska ha behörighet att besluta om registrering i en särskild uppgiftssamling. Den prövning som ska föregå en registrer- ing är på många sätt en svårare prövning än den som gäller frågan om fortsatt behandling enligt säpodatalagen. Det framstår som natur- ligt att ett beslut om att exempelvis registrera en databas innehållan- des hundratusentals personuppgifter ska vara förbehållet vissa ut- valda medarbetare. Proportionalitetsprövningen kan i många fall vara svår och kräva kunskaper inom flera rättsområden.

Även om det är självklart att myndigheten måste begränsa behö- righeten att registrera uppgifter till vissa medarbetare föreslår vi att det därutöver ska finnas ett uttryckligt krav i lagen avseende kom- petens och allmän lämplighet för att få utföra prövningen. Det ska krävas att en beslutsfattare har de särskilda kunskaper och erfaren- het som krävs för att kunna göra de bedömningar som ska föregå en registrering.

9.3.7Referensdatabaser

En särskild typ av informationsmängder utgörs av det som kan be- tecknas som referensdatabaser. En referensdatabas utgörs av person- uppgifter som sammanställts för ett visst syfte. Ett exempel är en

590

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

elektronisk telefonkatalog. Många myndigheter använder sig av olika referensdatabaser i sitt dagliga arbete. Det kan handla om databaser som tillhandahålls av kommersiella aktörer och som finns öppet tillgängliga, eller om stängda databaser som den egna myndigheten eller andra myndigheter ansvarar för.

Säkerhetspolisens verksamhet kräver emellertid en mycket stor försiktighet när det kommer till att exponera sitt intresse för vissa personer eller företeelser utåt. Det går inte att utesluta att andra aktörer, som Säkerhetspolisen är beroende av, brister i informations- säkerheten. En annan aspekt är att Säkerhetspolisen inte ska behöva vara beroende av en annan aktör för uppgifter som är viktiga för verk- samheten. Öppet tillgängliga databaser kan exempelvis överbelastas eller på andra sätt saboteras. Det finns därför behov för Säkerhets- polisen att förvärva och lagra vissa referensdatabaser i sin helhet för att kunna genomföra sökningar i en säker miljö.

Både Försvarsmakten och FRA har liknande behov att inom myn- dighetens väggar behandla uppgifter som finns allmänt tillgängliga. I 2 kap. 10 § i Försvarsmaktens personuppgiftslag respektive 2 kap. 9 § FRA:s personuppgiftslag anges att myndigheterna får behandla personuppgifter som utgör allmänt tillgänglig information, om det är nödvändigt för något av respektive lags uppräknade ändamål. Den särskilda regleringen för allmänt tillgänglig information tar i första hand sikte på att upprätta interna referensdatabaser. Det kan röra sig om uppgifter som finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika länder som FRA behöver kunna behandla i sin verksamhet. Se vidare om FRA:s och Försvarsmaktens möjlighet att behandla bland annat allmänt tillgänglig information i referensdatabaser i avsnitt 3.6.2

Säkerhetspolisen behov av referensdatabaser bör hanteras inom denna lagstiftning

Säkerhetspolisens behov av att kunna behandla personuppgifter i referensdatabaser bör kunna tillgodoses genom den nya lagen. En referensdatabas är ofta mycket omfattande. en katalog över världens ip-adresser omfattar i dagsläget över fyra miljarder personuppgifter, om än av mycket lågt integritetsvärde. En helt komplett telefon- katalog för Sverige skulle omfatta nästan 30 miljoner nummer. Sett endast till mängden personuppgifter är sådana referensdatabaser

591

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

lämpliga att hantera inom den särskilda lagens tillämpningsområde. Det kan dock ifrågasättas om det strikta dataskydd som omgärdar denna lag är anpassat efter sådana referensdatabaser, som främst behandlas av informationssäkerhetsskäl. Det kan, särskilt i förhål- lande till FRA och Försvarsmaktens lagstiftning, framstå som ett alltför omfattande dataskydd.

Det skulle dock vara svårt att särreglera mer harmlösa referens- databaser inom säpodatalagens tillämpningsområde så att de omfat- tas av ett mindre krävande regelverk men samtidigt behålla den strikta regleringen av sådana databaser som kan vara mer känsliga. För att undvika att begrepp som exempelvis ”allmänt tillgänglig informa- tion” får en alltför vid tillämpning, vid sidan av det avsedda området, krävs en legaldefinition av vilka uppgifter som får behandlas. Den teknikneutralitet vi eftersträvar skulle då gå förlorad. Risken är att definitionen är alltför snäv för att kunna följa teknikutvecklingen eller alltför vid för att utgöra ett adekvat dataskydd för uppgifterna. Dessutom bör även referensdatabaser som inte är allmänt tillgäng- liga kunna behandlas.

Vår slutsats är därför att denna lag bör användas för att ge Säker- hetspolisen större möjligheter att lokalt lagra olika referensdatabaser. Registrering av dessa ska ske enligt samma principer som gäller för andra uppgifter. Av detta följer bland annat att även referensdata- baser ska vara befogade att behandla för ett ändamål och beskrivas till sitt innehåll och karaktär.

Någon särskild reglering av referensdatabaser krävs därmed inte i förhållande till andra slags informationsmängder.

Referensdatabaser bör kunna uppdateras kontinuerligt

I normalfallet ska varje registrering vara föranledd av ett separat be- slut. När det gäller referensdatabaser som avser exempelvis telefon- nummer, adresser eller ip-nummer, är de endast relevanta om de hålls uppdaterade.

Det är då möjligt att göra en prövning av referensdatabasen som sådan, innefattande kontinuerliga uppdateringar. Kontinuerlig in- hämtning och uppdatering av uppgifter bör då kunna ske med stöd av ett och samma registreringsbeslut. Frågan om ändamål, behov

592

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

och proportionalitet görs för databasen som ska inhämtas och inte för databasens exakta innehåll vid tidpunkten för beslutet.

Lagen bör utformas så att den tillåter ett beslut som innebär både att en viss databas ska registreras i en särskild uppgiftssamling och att databasen sedan dagligen ska uppdateras med förändringar i databasen.

9.4Särskilda uppgiftssamlingar

9.4.1Hur ska registrerade personuppgifter benämnas?

Förslag: Personuppgifter som registreras ska fortsätta att behand- las i särskilda uppgiftssamlingar.

Uppgifter ska behandlas i särskilda uppgiftssamlingar

Efter att uppgifter har registrerats ska de bevaras i någon form av it-miljö. Som framgår av avsnitt 9.2 är lagen endast tillämplig vid automatiserad behandling av personuppgifter. Uppgifter som regi- strerats kommer underkastas ett särskilt dataskydd. Det dataskydd som omfattar registrerade ska vara att uppgifterna, som huvudregel, inte ska få tas fram, se avsnitt 9.3.1 ovan. Vi har valt att använda be- greppet särskild uppgiftssamling för att benämna de uppgifter som behandlas efter att ha registrerats med stöd av den föreslagna lagen. Begreppet uppgiftssamlingar förekommer i flera andra personupp- giftslagar. I den nuvarande säpodatalagen finns exempelvis särskilda regler som gäller uppgiftssamlingen för bearbetning och analys.

Till skillnad mot hur begreppet tidigare använts och används i annan lagstiftning är en särskild uppgiftssamling enligt denna nya lag omgärdad av mycket omfattande restriktioner i fråga om tillgång. Informationen som lagras i en särskild uppgiftssamling är därför inte att jämställas med till exempel ”gemensamt tillgängliga uppgifter”. De särskilda uppgiftssamlingarna kan snarare sägas vara motsatsen till gemensamt tillgängliga uppgifter.

Informationen i en särskild uppgiftssamling kännetecknas även av att den kan vara ostrukturerad och det ställs lägre krav för att uppgifterna ska få behandlas, så länge de inte tas fram. Ändamålet med att uppgifterna förekommer i samlingen är att de på en mer aggregerad nivå är befogade för Säkerhetspolisens verksamhet. Det

593

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

kan med säkerhet sägas att inte alla personuppgifter i den särskilda uppgiftssamlingen behövs för verksamheten.

I Förenade kungariket finns ett rättsligt ramverk för att hantera stora informationsmängder. Där definieras det som där benämns ”bulk personal dataset” bland annat av att informationsmängdens karaktär är sådan att majoriteten av individerna som förekommer

i den inte är, och sannolikt inte kommer att bli, av intresse för under- rättelsetjänsten. Se avsnitt 4.5.3. Vi anser inte att vår definition bör innehålla ett krav på att en särskild uppgiftssamling ska innehålla uppgifter som inte berör brottslig verksamhet eller liknande. Redan av kraven för registrering följer att det inte krävs att varje uppgift ska behövas för ett särskilt ändamål.

9.4.2Vad är en särskild uppgiftssamling?

Förslag: En särskild uppgiftssamling ska utgöras av uppgifter som registrerats med stöd av lagen.

En särskild uppgiftssamling är ett juridiskt begrepp

Begreppet särskild uppgiftssamling är ett juridiskt begrepp, inte ett tekniskt. Det finns inte skäl att uppställa några krav på hur uppgif- terna rent tekniskt ska bevaras, så länge lagens krav om åtkomst- begränsning upprätthålls.

Det bör därmed vara möjligt att hålla uppgifterna logiskt åtskilda genom åtkomstbegränsningar i ett system som används för andra ändamål likväl som att behandla dem i ett eller flera särskilda, tekniskt åtskilda system. Det krävs dock att säkerheten i åtkomstbegräns- ningen är tillräckligt stark för att säpodatalagens krav på tekniska och organisatoriska åtgärder ska vara uppfyllda. Säkerhetspolisen ansvarar för att det inte ska vara möjligt att ta fram de personupp- gifter som finns registrerade i en särskild uppgiftssamling.

Trots att begreppet uppgiftssamling används i singularis finns det inte något krav på att det ska röra sig om ett sammanhållet sy- stem. Det juridiska begreppet bör kunna omfatta flera olika register, databaser, dataset eller andra slags samlingar av personuppgifter.

594

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Endast personuppgifter omfattas av begreppet

Lagen reglerar endast personuppgiftsbehandling, vilket innebär upp- gifter om fysiska personer som är i livet. Åtkomstbegränsningen avser därför endast de personuppgifter som registrerats. Större data- mängder utgörs ofta av både personuppgifter och annan slags infor- mation. Även det senare slaget av uppgifter bör utan hinder av lagen kunna registreras, trots att det inte uppställs något krav på särskilda åtkomstbegränsningar för dem. Det krävs med andra ord inte att andra uppgifter än sådana som utgör personuppgifter tas bort för att ett visst material i sin helhet ska få registreras i en särskild upp- giftssamling.

9.4.3Hur ska uppgifterna skyddas?

Förslag: Tillgången till personuppgifter som registrerats i en sär- skild uppgiftssamling ska vara begränsade genom tekniska eller organisatoriska åtgärder.

Effektiv åtkomstbegränsning är en förutsättning

De särskilda uppgiftssamlingarna kan potentiellt komma att inne- hålla en stor mängd personuppgifter om personer som aldrig annars skulle ha fångat Säkerhetspolisens intresse och som utan den nu föreslagna lagstiftningen inte heller skulle förekomma bland de uppgifter myndigheten behandlar. För att ett sådant system ska vara förenligt med skyddet för grundläggande fri- och rättigheter krävs ett mycket starkt dataskydd för de uppgifter som registrerats.

Ett sådant krav som vi föreslår är att de uppgifter som registrerats i en särskild uppgiftssamling ska vara förbjudna att ta fram. Undan- tag från detta förbud ska regleras särskilt och innebär ett krav på för- handstillstånd. Förbudet mot framtagning utgör en förutsättning för de relativt låga krav som ställs för registrering. Det innebär att förbudet måste efterlevas på ett sätt så att det är effektivt i praktiken.

595

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Tekniska eller organisatoriska åtgärder

Vi har i avsnitt 8.20.3 förklarat att de nuvarande kraven på tekniska och organisatoriska åtgärder bör gälla även enligt vårt förslag till säpodatalag. Det innebär bland annat att det i Säkerhetspolisens be- handlingssystem som regel inte ska vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål. Vidare har vi ansett att de nuvarande reglerna om tillgång till personuppgifter ska fortsätta att gälla, se avsnitt 8.21.2. Det med- för bland annat att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Även regleringen om säkerhetsåtgärder i nuvarande lag kommer att föras över till den nya lagen, se avsnitt 8.21.3. Detta krav innebär att Säkerhetspolisens ansvarar för att skydda de personuppgifter som behandlas mot bland annat obehörig eller otillåten behandling.

Det finns därmed redan regler som ska tillförsäkra att det inte ska vara möjligt att behandla personuppgifter på ett otillåtet sätt. Det behövs inte någon särskild regel om hur framtagningsförbudet ska upprätthållas. Det bör däremot framgå av definitionen att Säker- hetspolisen ansvarar för att möta de tekniska och organisatoriska krav som ställs upp i lagen.

Att Säkerhetspolisen upprätthåller kraven på tekniska och orga- nisatoriska åtgärder genom datatekniska åtgärder och intern kon- troll står under tillsyn. Tillsynsmyndigheternas uppdrag innefattar att kontrollera och kontinuerligt följa upp hur Säkerhetspolisen skyddar uppgifterna i särskilda uppgiftssamlingar.

9.4.4Absolut sekretess bör gälla alla uppgifter i en särskild uppgiftssamling

Förslag: Uppgifter som är registrerade i en särskild uppgiftssam- ling ska omfattas av sekretess. För uppgift i en särskild uppgifts- samling ska sekretess gälla till förmån för enskilds personliga och ekonomiska förhållanden samt för Säkerhetspolisens underrät- telseverksamhet.

Sekretessen ska vara absolut och gälla i högst 70 år.

596

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Enskildas personliga förhållanden måste skyddas

Den här föreslagna lagen innebär att det finns ett dataskyddsrätts- ligt hinder mot att behandla personuppgifter genom att ta fram dem. Detta särskilda behandlingsförbud är riktat mot Säkerhetspolisen som personuppgiftsansvarig men ska gälla all behandling. Syftet med behandlingsförbudet är att de registrerade inte ska få sin per- sonliga integritet kränkt genom att andra ska kunna läsa eller på annat sätt ta del av de registrerade uppgifterna. Vi anser inte att syf- tet med att någon tar del av de registrerade uppgifterna är avgörande för frågan om det utgör ett intrång i den personliga integriteten. Det generella förbudet mot att ta fram personuppgifter är i de registre- rades intresse och utgör enligt oss en förutsättning för att behand- lingen som helhet ska kunna tillåtas.

Registrerade uppgifter är allmänna handlingar

Uppgifter som registreras i särskilda uppgiftssamlingar utgör all- männa handlingar enligt 2 kap. 3 § tryckfrihetsförordningen. Efter- som lagen endast är tillämplig för automatiserad behandling kommer de registrerade uppgifterna att utgöra upptagningar. En upptagning är en handling som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Denna särskilda kategori av handlingar utgörs inte av dokument i traditionell mening utan av sak- ligt och logiskt sammanhängande uppgifter. Ett exempel på detta är de uppgifter som finns samlade i en digital akt.

Upptagningar regleras särskilt i 2 kap. 6 § tryckfrihetsförord-

ningen. Där anges att en upptagning anses förvarad hos en myndig- het, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Säkerhetspolisen kommer sannolikt endast att behandla personupp- gifter som är läsbara eller på annat sätt kan göras tillgängliga för myndigheten, även om uppgifterna inte får tas fram utan tillstånd. Att myndigheten saknar tillstånd till framtagning innebär sannolikt att upptagningen ändå ska anses tillgänglig enligt bestämmelsen.

Så länge det rör sig om upptagningar bestående av sakligt och logiskt sammanhängande uppgifter utgör de handlingar enligt tryck- frihetsförordningen. När det gäller att sammanställa uppgifter ur en

597

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

upptagning för automatiserad behandling, som exempelvis resultaten av en sökning, finns särskilda regler. En sammanställning av uppgif- ter ur en upptagning för automatiserad behandling ska anses förvarad hos myndigheten endast om myndigheten kan göra sammanställ- ningen tillgänglig med rutinbetonade åtgärder. Det får förutsättas att Säkerhetspolisen kommer ha tämligen avancerade möjligheter att utföra sökningar och sammanställningar i särskilda uppgiftssamlingar.

Däremot har den så kallade begränsningsregeln i 2 kap. 7 § tryck- frihetsförordningen betydelse i detta sammanhang. Den anger att en sammanställning inte ska anses vara förvarad hos myndigheten, om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställ- ningen tillgänglig.

Begränsningsregeln träffar begäran om utlämnande av allmän handling som innebär att en myndighet måste bryta mot ett sök- förbud i sin personuppgiftslag. Den av oss föreslagna lagen innebär att Säkerhetspolisen kommer att sakna befogenhet att göra samman- ställningar tillgängliga. Sammanställningar som omfattas av det gene- rella förbudet mot framtagning kommer därför inte att utgöra all- männa handlingar. Däremot kommer begränsningsregeln inte att träffa färdiga elektroniska handlingar, som exempelvis meddelanden eller fotografier som finns registrerade i särskilda uppgiftssamlingar. Trots att sådana uppgifter inte får behandlas utgör de sannolikt all- männa handlingar som anses förvarade hos Säkerhetspolisen.

Sekretess för uppgifter i särskilda uppgiftssamlingar

Eftersom de särskilda uppgiftssamlingarna består av allmänna hand- lingar har som huvudregel, enligt 2 kap. 1 § tryckfrihetsförordningen, var och en rätt att ta del av dem. Som nämnts är sådan tillgång mot- satsen till vad vi vill åstadkomma.

Enligt 2 kap. 2 § tryckfrihetsförordningen får rätten att ta del av allmänna handlingar begränsas för vissa syften. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i offentlighets- och sekretesslagen. Frågan är om det finns sådana bestämmelser och om de är tillräckliga för att tillgodose integritetsskyddsaspekten av den föreslagna ordningen.

598

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Sekretess till förmån för enskilds personliga förhållanden

Enskildas personliga integritet skyddas i förhållande till andra än den myndighet som behandlar uppgiften genom sekretess. Enligt

35 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för en- skilds personliga och ekonomiska förhållanden, om uppgiften före- kommer bland annat i förundersökning i brottmål, angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksam- het för att förebygga brott. Paragrafen skyddar även uppgifter som rör säkerhetsprövning enligt säkerhetsskyddslagen (2018:585).

I Säkerhetspolisens verksamhet enligt utlännings och medborgar- skapslagstiftningen kan även sekretess enligt 37 kap. 1 § offentlighets- och sekretesslagen aktualiseras. Den gäller för uppgift om en enskilds personliga förhållanden i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap.

Sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men.

Sekretess till förmån för Säkerhetspolisens verksamhet

Vi har uppfattningen att många uppgifter i en särskild uppgiftssam- ling kommer att omfattas av den nuvarande sekretessbestämmelsen i 18 kap. 2 § offentlighets- och sekretesslagen. Den så kallade under- rättelsesekretessen gäller uppgift som hänför sig till bland annat Säker- hetspolisens verksamhet att förebygga, förhindra eller upptäcka brottslig verksamhet.

Sekretessen gäller med ett omvänt skaderekvisit vilket innebär att sekretess gäller, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Hänvisningen till säpo- datalagens underrättelseändamål innebär att även behandling enligt den särskilda regleringen i den här föreslagna lagen kommer att omfattas. Det är nämligen verksamheten som skyddas, oavsett om den regleras av säpodatalagen eller annan lagstiftning.

Att underrättelsesekretessen skyddar ”den framtida verksamheten” innebär att uppgiften i sig inte behöver vara känslig. Om uppgiften avslöjar vilka källor Säkerhetspolisen förfogar över, kan uppgiften skada den framtida verksamheten. Uppgiften om en person före-

599

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

kommer eller inte förekommer i Säkerhetspolisens register omfattas normalt av sekretess, eftersom denna fråga kan avslöja myndighetens underrättelseförmåga.

Sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer

Frågor som rör Säkerhetspolisens förmåga kan även omfattas av försvarssekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen. Vissa uppgifter som skulle störa Sveriges mellanfolkliga förbindelser, eller på annat sätt skadar landet om de röjs, omfattas även av utrikes- sekretess enligt 15 kap. 1 §.

Enligt båda dessa bestämmelser gäller ett rakt skaderekvisit.

Det behövs absolut sekretess för uppgifter i särskilda uppgiftssamlingar

Många av de uppgifter som kan förväntas finnas i en särskild upp- giftssamling kommer vara sekretessreglerade enligt en eller flera av de ovan nämnda sekretessbestämmelserna. Dessa regler innebär dock inte att sekretess råder för uppgiften. För att bedöma det ska utläm- nandet prövas mot de olika skaderekvisiten.

Det bör inte vara möjligt att på andra sätt, med stöd av annan lag, få åtkomst till personuppgifter från en särskild uppgiftssamling. Syftet med den här föreslagna lagen är att uttryckligen förbjuda att uppgifter ens görs tillgängliga. Det bör exempelvis inte vara möjligt för en enskild att med stöd av tryckfrihetsförordningen ta del av en registrerad uppgift som allmän handling. Det ska inte heller vara möj- ligt för Säkerhetspolisen att ta del av de registrerade uppgifterna för att pröva ett utlämnande.

Eftersom de registrerade personuppgifterna utgör upptagningar och därmed allmänna handlingar, måste möjligheten att inskränka rätten att ta del av dem ske genom en bestämmelse om sekretess.

Det är inte lämpligt med olika slags sekretess för olika uppgif- ter. Om vissa uppgifter skulle omfattas av överförd sekretess och andra av primär sekretess, går systemet inte att upprätthålla enligt våra intentioner. Det krävs därför en särskild sekretessbestämmelse för alla uppgifter i en särskild uppgiftssamling. Integritetsintrånget

600

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

är mycket högt, både med hänsyn till mängden uppgifter som kan komma att behandlas och på grund av syftet med behandlingen. Vi anser att det bästa sättet att tillförsäkra uppgifterna ett tillräckligt skydd är att införa en absolut sekretessbestämmelse för uppgifter som är registrerade i en särskild uppgiftssamling. Samma skäl moti- verade bland annat absolut sekretess för Skatteverkets urvals- och analysdatabas.7

Genom absolut sekretess finns inte skäl att göra en sekretess- prövning, vilket skulle förutsätta tillgång till det material som ska sekretessprövas. Att Säkerhetspolisen får tillgång till handlingar, för att pröva om de ska lämnas ut, strider mot intentionerna i den lag vi föreslår, som innebär att personuppgifterna ska skyddas av ett framtagningsförbud.

Två nya sekretessbestämmelser

Sekretess för enskildas personliga förhållanden

Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § första stycket tryckfrihetsförordningen begränsas endast om det krävs med hänsyn till vissa intressen, bland annat skyddet för enskildas personliga eller ekonomiska förhållanden eller intresset av att före- bygga eller beivra brott.

Den sekretess vi föreslår är i första hand motiverad av samma skäl som skyddet av personuppgifter. Det innebär att bestämmelsen är motiverad av skyddet för enskild. Avdelning fem i offentlighets- och sekretesslagen samlar de kapitel som avser skyddet för enskildas personliga eller ekonomiska förhållanden. I kapitel 35 finns de be- stämmelser som gäller i verksamhet som syftar till att förebygga brott. En sekretessbestämmelse bör därför lämpligen införas i detta kapitel. Bestämmelsen bör införas som en ny paragraf i anslutning till 1 § där sekretess i samband med förundersökning och annan brottsförebyggande verksamhet regleras.

7Se prop. 2022/23:41 s. 47 f.

601

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Sekretess för att skydda Säkerhetspolisens verksamhet

Utöver det primära intresset med sekretessbestämmelsen, som är att värna enskilds personliga integritet finns ytterligare ett skydds- intresse: Säkerhetspolisens underrättelseverksamhet. En uppgift som är registrerad i en särskild uppgiftssamling och som inte rör enskilds personliga förhållanden behöver också ett skydd. I princip bör alla uppgifter i särskilda uppgiftssamlingar som kan avslöja Säkerhets- polisens underrättelseförmåga bör vara sekretessbelagda. Uppgifter om vilken tillgång till information Säkerhetspolisen har kan vara avslöjande för bland annat verksamhetens inriktning, samarbets- partners och tekniska förmåga.

Den bestämmelse som gäller underrättelsesekretess enligt 18 kap. 2 § offentlighets- och sekretesslagen är också tillämplig på dessa förhållanden. Denna bestämmelse har ett omvänt skaderekvisit som förutsätter att sekretessen prövas i varje enskilt fall. Tidigare rådde absolut sekretess för sådana uppgifter. De skäl som anfördes mot den absoluta sekretessen har inte samma bärkraft för uppgifter i särskilda uppgiftssamlingar. Den absoluta sekretessen avskaffades för att den inneburit att intresset av insyn och kontroll åsidosatts, vilket ansågs förtroendeskadligt.8 Vi lämnar förslag som innebär goda möjligheter för en effektiv tillsyn. Dessutom kommer varken registreringsbeslut, tillstånd eller framtagna uppgifter att omfattas av absolut sekretess. För sådana uppgifter gäller andra sekretess- bestämmelser, som 15 kap. 2 § eller 18 kap. 2 § offentlighets- och sekretesslagen.

Vi anser att en absolut sekretessbestämmelse till skydd för Säker- hetspolisens verksamhet ska införas. Bestämmelsen bör införas i anslutning till underrättelsesekretessen i 18 kap. 2 § offentlighets- och sekretesslagen. Bestämmelsen bör vara utformad så att den inte endast gäller uppgifter som direkt avslöjar en förmåga utan även uppgifter som, tillsammans med andra uppgifter, kan bidra till att kartlägga underrättelseverksamheten.

8Prop. 1997/98:97 s. 64.

602

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Hur länge ska sekretessen gälla?

Sekretess för uppgifter i en särskild uppgiftssamling måste gälla under hela den tid de får behandlas operativt där. När en uppgift inte längre är del av en särskild uppgiftssamling kommer den här föreslagna sekretessbestämmelsen inte längre att gälla. Det innebär att när behandlingstiden löpt ut för behandling i en särskild upp- giftssamling kommer uppgiften omfattas av annan reglering. Där- med kan tiden bestämmas så att den omfattar den tid en uppgift som längst kan behandlas. Sekretessen bör gälla högst sjuttio år, vilket är detsamma som för underrättelsesekretess enligt 18 kap.

2 § offentlighets- och sekretesslagen. Eftersom uppgifter i princip inte kommer kunna behandlas så länge i särskilda uppgiftssamlingar, kommer den faktiska sekretesstiden att vara kortare.

När upphör sekretessen?

Den absoluta sekretessen vi föreslår kommer gälla vid sidan av be- handlingsförbudet som innebär att uppgifter inte får tas fram från särskilda uppgiftssamlingar.

Som vi redogör i det följande kommer sekretessen därmed att gälla endast så länge uppgifterna inte har tagits fram med stöd av ett tillstånd. När en uppgift är framtagen kommer den inte längre att omfattas av den föreslagna lagens tillämpningsområde, se av- snitt 9.2. Det innebär att en sekretessbestämmelse som hänvisar till uppgifter som behandlas med stöd av den här föreslagna lagen endast gäller för uppgifter som Säkerhetspolisen inte har tagit fram. Framtagna uppgifter kommer i stället att omfattas av de sekretess- bestämmelser som i övrigt gäller i Säkerhetspolisens verksamhet.

603

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.5Framtagning och annan behandling av personuppgifter

9.5.1Vilka behandlingsåtgärder bör begränsas?

Förslag: Framtagning av personuppgifter ska inte vara tillåtet. Att en uppgift tas fram innebär att uppgifter tillgängliggörs på ett sätt som innebär att innehållet i eller innebörden av person- uppgifter avslöjas.

Framtagning av uppgifter bör begränsas

Enligt vår tolkning av Europadomstolens praxis sker det största intrånget i grundläggande fri- och rättigheter när personuppgifter behandlas på så sätt att de finns tillgängliga för mänskliga ögon. Först då kan behandlingen föranleda åtgärder från myndigheten eller delas till andra. Vår uppfattning är därför att det är framtag- ningen av de personuppgifter som har registrerats som utgör den mest kritiska behandlingsåtgärden.

En framtagning kan bestå av en eller flera behandlingsåtgärder som innebär att olika urvalskriterier tillämpas på en större mängd uppgifter. Därefter tillgängliggörs de personuppgifter som träffas av dessa selektorer.

Den behandlingsåtgärd som lagstiftningen ska reglera är att per- sonuppgifter från en särskild uppgiftssamling sammanställs enligt särskilda kriterier och visas. Ett exempel är att en selektor i form av ett personnamn används för att söka i en särskild uppgiftssamling. Om personnamnet förekommer där, kommer de uppgifter som finns registrerade om denne att tas fram och vara tillgängliga för den tjänste- man som utfört sökningen. Mer komplexa kriterier kan bestå av alla personuppgifter som relaterar till inlägg på sociala medier som upp- fyller vissa selektorer kännetecknande för terrorisminnehåll. Att resultatet från en sådan sökning eller sammanställning presenteras på något sätt, utgör en framtagning.

Det finns givetvis mycket mer avancerade urvalskriterier och selektorer som kan tillämpas för att ta fram personuppgifter och denna teknik utvecklas ständigt. Algoritmiska sökningar och mjuk- vara som bygger på maskininlärning kan möjliggöra att personupp-

604

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

gifter tas fram efter en avancerad analys av ett stort material. Sådan automatiserad behandling av personuppgifter innebär stora möjlig- heter för en säkerhetstjänst men också stora risker.

För att kunna tillåta en omfattande inledande behandling och lagring av personuppgifter krävs enligt vår uppfattning att särskilda skyddsåtgärder omgärdar framtagning av dessa. Registrerade upp- gifter kan därför inte vara åtkomliga på samma sätt som andra upp- gifter som Säkerhetspolisen har tillgång till. De begränsningar vi anser vara nödvändiga att införa rör framtagning av personuppgifter.

I de jämförda länder som har reglerat behandling av stora infor- mationsmängder finns exempel på strikta begränsningar för att få utföra sökningar i materialet och ta fram information. I Förenade kungariket krävs ministertillstånd som underställs ett oberoende domstolsliknande organ innan sökningar får göras och information tas fram, se avsnitt 4.5.3. I Nederländerna kan tjänstemän inom underrättelsetjänsterna göra binära sökningar, som endast ger resul- tatet träff eller inte träff, i stora uppgiftssamlingar. För att få ta del av informationsinnehållet från en sökning krävs att en motiverad ansökan beviljas av högre tjänstemän, se avsnitt 4.6.3. I Norge finns däremot inte några särskilda förfaranden för att säkerhetstjänsten ska kunna söka i stora informationsmängder annat än särskilda ända- målsbestämmelser. Detta fanns bland de skäl som de norska tillsyns- myndigheterna framförde i frågan om den lagstiftning är förenlig med Europakonventionen, se avsnitt 4.4.3.

En framtagning innebär att uppgiftens innehåll avslöjas

Genom att uppgifterna tas fram möjliggörs underrättelseanalys och andra åtgärder. Vi bedömer att det är i detta skede som det mest be- tydande intrånget sker i privatlivet för de personer vars uppgifter presenteras. Enligt de principer som vi anammat för denna lagstift- ning utgör behandling i form av att uppgifter selekteras och tas fram det tredje steget i intrångstrappan, se avsnitt 9.1. Det fjärde steget innebär att uppgifter används operativt, exempelvis genom att behandlas i en underrättelseanalys.

Att uppgifter tas fram behöver emellertid inte nödvändigtvis vara detsamma som att uppgiften skrivs ut i klartext. Ett binärt svar på en ställd fråga kan enligt vår mening avslöja lika mycket som att upp-

605

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

giften finns läsbar. Exempelvis kan en selektor vara frågan om ett personnamn förekommer i en viss informationsmängd. Beroende på vilken informationsmängd det handlar om kan svaret ja eller nej vara mycket betydelsefullt, trots att det inte avslöjas var eller på vilket sätt namnet förekommer. Det ligger även nära till hands att den tekniska utvecklingen inom informationshantering redan nu eller inom kort kommer resultera i att den manuella granskningen av en analytiker får stå tillbaka till förmån för automatiserad analys.

En automatisk analys kan kringgå behovet av att behöva ta del av informationen som finns lagrad. Om lagen endast begränsade visning av uppgifter, skulle förbudet kunna kringgås på olika sätt. Med användning av AI-teknik kan det potentiellt vara möjligt att få svar om innehållet i en särskild uppgiftssamling utan att någon del av det presenteras.

De skyddsåtgärder som ska gälla framtagning måste därför om- fatta alla tänkbara sätt att få information om vilka personuppgifter som finns i en särskild uppgiftssamling. Vi anser att det bör innefatta att innehållet i en registrerad personuppgift likväl som innebörden av den presenteras eller på annat sätt avslöjas. Det innebär att det inte på något sätt ska gå att sluta sig till vilka personuppgifter som finns i uppgiftssamlingen och inte heller uppgifternas innebörd eller innehåll.

9.5.2Behandlingsåtgärder som inte innebär en framtagning bör vara tillåtna

Förslag: Annan personuppgiftsbehandling än registrering och framtagning ska kunna ske för databastekniska ändamål, för regis- tervårdande ändamål eller för ett särskilt, uttryckligt angivet och berättigat ändamål.

Olika skydd för olika åtgärder

Moderna personuppgiftslagstiftningar är teknikneutrala på så sätt att begreppet personuppgiftsbehandling omfattar både existerande och framtida sätt att hantera information med hjälp av tekniska hjälpmedel. Det innebär att kraven för behandling enligt exempel-

606

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

vis säpodatalagen gäller både insamling och bevarande av uppgifter. Kraven träffar även sökningar i och sammanställningar av informa- tionen liksom åtgärder som att radera eller sortera personuppgifter.

I det system vi här föreslår krävs att det dras en gräns mellan sådan personuppgiftsbehandling som ska begränsas (framtagning) och andra behandlingsåtgärder. Vår uppfattning är nämligen att det inte är nödvändigt att underkasta alla tänkbara behandlingsåtgärder lika starka dataskyddsmekanismer. Det bör exempelvis vara möjligt för Säkerhetspolisen att ägna sig åt mer eller mindre automatisk re- gistervård även i särskilda uppgiftssamlingar. Det finns inga data- skyddsskäl som talar för att radering av en persons personuppgifter efter en viss tid eller enligt vissa villkor skulle innebära ett intrång som motiverar några särskilda skyddsåtgärder.

Behandlingsåtgärder som inte innebär en framtagning

Att behandla andra uppgifter än personuppgifter bör inte vara begrän- sat. Det gäller även uppgifter som förekommer i anslutning till per- sonuppgifter utan att träffas av definitionen. Det kan exempelvis handla om filformat eller storlek på lagrade filer, källkod eller andra liknande uppgifter som det kan finnas behov av att bevara tillsam- mans med personuppgifter. Så länge den information som avslöjas varken direkt eller indirekt utgör personuppgifter bör det inte finnas några särskilda begränsningar när det gäller att läsa eller ta del av sådana uppgifter. Sådana uppgifter omfattas inte av något dataskydds- regelverk. Att dessa uppgifter däremot kan omfattas av absolut sek- retess och därmed inte får lämnas ut är en annan sak. Definitionen av vad som utgör en personuppgift bör givetvis vara detsamma som i övrig lagstiftning.

För att kunna behandla stora mängder uppgifter krävs att vissa databastekniska åtgärder kan vidtas. Det kan bland annat röra sig om indexering eller optimering av uppgifter för att göra dem sökbara eller på annat sätt kompatibla med viss programvara. Ett annat ex- empel är att strukturera eller jämföra data för att undvika att flera kopior av samma information finns registrerade. Det kan även röra sig om andra tekniska åtgärder som kan underlätta fortsatt behand- ling av uppgifter utan att det för den delen utgör en framtagning. Att personuppgifter säkerhetskopieras, indexeras, tillförs metadata

607

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

eller struktureras på olika sätt omfattas visserligen av det behand- lingsbegrepp som alla moderna personuppgiftslagar delar, men inte av de skyddsintressen som dessa lagar värnar. De exemplifierade behandlingsåtgärderna syftar till att förbereda data på olika sätt.

Vidare innebär exempelvis att personuppgifter raderas efter att behandlingstiden löpt ut en behandlingsåtgärd. Sådan registervår- dande behandling måste givetvis vara tillåten att vidta även i särskilda uppgiftssamlingar.

Personuppgifter behandlas i olika databastekniska och register- vårdande syften i alla verksamheter. Det innebär inte att uppgifter fritt får behandlas för databastekniska eller registervårdande ända- mål. Det innebär endast att vissa tekniska eller registervårdande be- handlingsåtgärder, som inte utgör en framtagning, får vidtas med personuppgifterna utan ytterligare krav. Det är inte möjligt att han- tera information i en databas utan att alls ha möjlighet att ta del av informationen i syfte att göra exempelvis felsökningar. Genom att informationen tillgängliggörs blir behandlingen dock att bedöma som en framtagning som kräver ett tillstånd. Vi ser inte något skäl till att undanta sådana åtgärder från tillståndsplikt.

Bör någon annan behandlingsåtgärd omfattas av särskilda skyddsåtgärder?

De ställningstaganden som vi gjort i det föregående avser register- vård och andra åtgärder som avser att säkerställa och optimera funk- tionen i olika datasystem. Det kan även finnas behov av att utföra olika slags automatiserade analyser.

Vissa sådana behandlingsåtgärder innebär att information på olika sätt förändras, exempelvis genom översättning eller transkri- bering. Andra behandlingar tillför information till personuppgifter exempelvis genom att biometriska uppgifter eller taggar för bildigen- känning skapas. Vi anser inte heller att sådana åtgärder i sig utgör ett större intrång än att behandla uppgifterna i sin ursprungsform. Däremot kan sådana åtgärder vara en förutsättning för att kunna utföra en önskad selektering; finns inte biometriska uppgifter i en bildsamling går det inte heller att utföra sökningar mot sådan data. En framtagning som bygger på biometriska uppgifter eller en auto- matisk översättning skulle kunna anses mer känslig eftersom data förändrats, med ökad risk för felkällor och att uppgifter tillförs som

608

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

den enskilde inte på något sätt kan kontrollera. En person kan ex- empelvis ha kontroll över vad denne skriver eller säger, men inte över hur detta kan komma att översättas. Vi anser ändå inte att det finns skäl att särskilt reglera sådana rutinmässiga åtgärder som för- bereder data för att kunna användas på ett meningsfullt sätt genom en framtagning. Det ökade intrång i de registrerades grundläggande fri- och rättigheter som sådan bearbetning av personuppgifter med- för uppstår inte förrän uppgifterna tas fram.

Vid sidan av sådana behandlingsåtgärder, vars huvudsakliga syfte är att möjliggöra, effektivisera eller förenkla framtagningar, finns emellertid behandlingar som innebär en mer kvalificerad analys av personuppgifter. Sådana behandlingsåtgärder kan bland annat inne- bära att personuppgifter används för att försöka förutse en händelse- utveckling eller för att kartlägga nätverk. Att möjliggöra sådan auto- matisk analys är ett av skälen till att det överhuvudtaget finns ett behov av att behandla stora informationsmängder.

Till skillnad mot klassisk underrättelseanalys som sker av upp- gifter som förfinats till underrättelser blir automatisk analys ofta bättre ju större uppgiftsmängden är. Att en persons personuppgif- ter ingår i en automatisk analys får anses utgöra ett större fri- och rättighetsintrång än att uppgifterna endast finns registrerade. Den granskning av en persons personuppgifter som en sådan analys inne- bär kan i någon mån anses utgöra övervakning och kartläggning av enskildas personliga förhållanden. Så länge resultatet av analysen inte är tillgänglig eller behandlingen avslöjar innehållet i några registrerade personuppgifter anser vi dock inte att åtgärderna är av sådant slag att de utgör ett betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen.

Givetvis gäller förbudet mot automatiskt beslutsfattande, se av- snitt 8.19.1, även uppgifter i särskilda uppgiftssamlingar. På så sätt förhindras att automatisk analys ensamt leder till ett beslut som på- tagligt påverkar en enskild persons ställning. Däremot kan automa- tiserad analys, som med hjälp av maskininlärningsprogramvara kan detektera mönster och skeenden, i framtiden vara ett hjälpmedel vid aggregerad terrorhotsbedömning, för att bedöma påverkans- kampanjer eller liknande. Sådana behandlingar kan utföras utan att uppgifter tas fram. Mot bakgrund av att sådan behandling i någon mån kan sägas utgöra en kartläggning, bör dock den behandlingen vara underkastad vissa dataskyddsprinciper. Den slags behandling

609

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

som det här är fråga om bör endast få ske om det behövs för ett konkret ändamål. Tröskeln för åtgärden är därmed densamma som för personuppgiftbehandling enligt säpodatalagen och innebär att ändamål och behov måste prövas tillsammans med proportionalitet, innan en sådan behandling utförs. Kravet på konsekvensanalys, för- handssamråd och tekniska och organisatoriska åtgärder gäller även behandling av uppgifter i särskilda uppgiftssamlingar.

De överväganden vi gjort bör komma till uttryck genom att det i lagen anges att annan behandling än framtagning får ske för att tek- niskt möjliggöra, effektivisera och förenkla en framtagning (databas- tekniska skäl), för att upprätthålla författningsenlighet exempelvis genom att radera uppgifter i rätt tid (registervård) eller om det be- hövs för ett särskilt, uttryckligt angivet och berättigat ändamål. De förra fallen avser rudimentära eller rutinbetonade bearbetningar och registervård. Det senare avser andra behandlingsåtgärder, som bland annat kan innebära automatisk analys. All behandling med stöd av dessa regler förutsätter att behandlingen kan ske utan att person- uppgifter i någon form tillgängliggörs. För framtagning uppställs krav på tillstånd.

9.5.3Olika alternativ för att begränsa framtagning

Det finns flera metoder att begränsa vilka personuppgifter som får tas fram. Ett sätt är att ge anvisningar i lag avseende vilken informa- tion som får behandlas, vilka behandlingsåtgärder som får utföras och för vilket ändamål. Det skulle kunna föreskrivas att sökning i de särskilda uppgiftssamlingarna får ske endast på visst sätt, baserad på vissa data och för vissa uttryckliga ändamål. Exempelvis skulle det kunna anges att uppgifter från hemliga tvångsmedel endast får behandlas genom översättning, transkribering och sökning för ända- mål som är förenliga med det ursprungliga insamlingsändamålet. En annan metod är att, i likhet med vad som gäller vid signalspaning, begränsa de sökbegrepp som får användas i en särskild uppgiftssam- ling som är direkt hänförliga till en viss fysisk person till fall av syn- nerlig vikt. Ett annat sätt kan vara att, som i Norge, begränsa regi- strering till ”allmänt tillgänglig information” och behandlingen till ”automatisk analys” i syfte att bidra till en viss slags underrättelser, se avsnitt 4.4.3. I Förenade kungariket finns ett relativt komplext

610

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

regelverk för stora informationsmängder. Där gäller olika regler för var och en av de metoder som får användas för att samla in uppgif- terna, se avsnitt 4.5.3.

Fördelar med att direkt i lag ange hur insamlad information får vidarebehandlas är att systemet är transparent och ger medborgare en möjlighet att förutse hur insamlade personuppgifter kan komma att användas. Att bedömningen av vilka ändamål som är godtagbara och på vilket sätt uppgifter får användas sker i parlamentarisk ord- ning ger systemet legitimitet och möjliggör även ett demokratiskt ansvarsutkrävande.

Ett sådant lagbundet system riskerar emellertid att bli stelbent och med tiden teknikberoende. Särskilt i kontexten nationell säker- het kan nya företeelser och hot uppkomma utan förvarning. Om nya situationer inte täcks av lagens förutsättningar, kan Säkerhetspolisens möjlighet att reagera vara begränsad. Det kan exempelvis komma att ske en teknisk utveckling som innebär att vissa källor eller visst slags information inte längre med säkerhet kan anses omfattas av ett rekvisit. Även om tillämpningen inom lagens kärnområde kan ske effektivt riskerar den att förlora i flexibilitet och teknikneutra- litet.

Avgränsningsfrågor om vad som avses med ett visst snävare ända- mål, en källa eller en behandlingsåtgärd kan medföra att tillämp- ningen med tiden försvåras av osäkerhet om en behandlingsåtgärd är laglig eller inte. För att särskilda legala begränsningar ska fylla någon integritetsstärkande funktion måste de även begränsas till de situationer där det i lagstiftningsögonblicket står klart att behovet av åtgärden överväger de andra intressena. Lämnas för stort hand- lingsutrymme åt den verkställande myndigheten riskerar systemet enligt vår bedömning att stå i strid med Europakonventionen. Den tekniska utvecklingen kan leda till att vissa behandlingsmetoder helt enkelt inte bör få användas.

Ett annat sätt, som är mer flexibelt, är att ställa upp mer gene- rella begränsningar i lag. Lämpligen i form av en proportionalitets- prövning inför varje behandlingsåtgärd. Ett sådant system skulle mot- svara FRA:s och Försvarsmaktens behandling av allmänt tillgänglig information. FRA och Försvarsmakten har i praktiken mycket stora möjligheter att behandla allmänt tillgänglig information, som exem- pelvis inhämtats från internet. Dessa myndigheter har emellertid ett betydligt mer avgränsat uppdrag och för försvarsunderrättelse-

611

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

verksamheten, en begränsande lagstiftning och en specifik inrikt- ning beslutad av regeringen. En motsvarande reglering för Säkerhets- polisen skulle sakna dessa komponenter. Det skulle kunna anses oförenligt med Sveriges internationella åtaganden enligt Europa- konventionen att begränsa behandlingen endast genom hänvisning till det breda uppdraget som följer av polislagen och Säkerhetspolisens myndighetsinstruktion. Det krävs sannolikt en mer funktionell och tydligare begränsning av myndighetens handlingsutrymme.

En annan metod är att reglera framtagning genom interna före- skrifter eller krav på ett beslut av vissa befattningshavare. För att upprätthålla ett sådant system som vilar på interna förhandspröv- ningar och samtidigt göra det förenligt med Europakonventionens krav på ”end-to-end safeguards” skulle det behöva kompletteras med en förstärkt tillsyn. Det skulle kunna ske genom att tillsynsmyndig- heten ges ett motsvarande uppdrag som de Judicial Commissioners som i Förenade kungariket utövar tillsyn över varje enskilt beslut som rör särskilt integritetskänslig personuppgiftsbehandling. Ett sådant system skulle exempelvis kunna regleras genom obligatoriskt förhandssamråd med en tillsynsmyndighet.

Det finns flera fördelar med att förankra personuppgiftsbehand- ling med en oberoende tillsynsmyndighet. Tillsynsmyndigheten kan i dessa fall bevaka att tillämpningen inte står i strid med lagstiftarens intentioner och en intensiv tillsyn skulle kunna medföra att frågor om personlig integritet och andra fri- och rättigheter får ännu högre prioritet i verksamheten. Det finns givetvis både praktiska och juri- diska komplikationer med att involvera tillsynsmyndigheten på detta sätt i det dagliga arbetet. Bland annat skulle tillsynsmyndigheten be- höva ha tillräckliga befogenheter för att ett sådant system skulle utgöra en tillräckligt stark kontrollmekanism. Om ett samråd därför i praktiken skulle behöva avslutas med ett godkännande eller ett förbudsbeslut, är det snarast att likna vid ett tillståndsförfarande. Det är något som vi, av skäl som utvecklas nedan, anser lämpligen bör anförtros ett annat organ än tillsynsmyndigheten.

612

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.5.4Ett tillståndsförfarande för personuppgiftsbehandling bör införas

Förslag: De personuppgifter som finns registrerade i en särskild uppgiftssamling ska endast kunna tas fram efter tillstånd.

En europarättslig utgångspunkt

Den europarättsliga utgångspunkten som vi anammat innebär att vi anser att behandling av stora informationsmängder över tid ur rättig- hetsintrångshänseende har likheter med hemlig avlyssning eller sig- nalspaning. Det är därför naturligt att vända sig till Europadomsto- lens praxis för vägledning angående skyddsmekanismer även när det kommer till att avgöra vilket skydd som ska gälla framtagning av uppgifter. Europadomstolen återkommer med ett skäl som gäller både signalspaning9 och hemliga tvångsmedel:10

Review and supervision of secret surveillance measures may come into play at three stages: when the surveillance is first ordered, while it is being carried out, or after it has been terminated. As regards the first two stages, the very nature and logic of secret surveillance dictate that not only the surveillance itself but also the accompanying review should be effected without the individual’s knowledge. Consequently, since the individual will necessarily be prevented from seeking an effective remedy of his own accord or from taking a direct part in any review proceedings, it is essential that the procedures established should them- selves provide adequate and equivalent guarantees safeguarding his rights. In addition, the values of a democratic society must be followed as faith- fully as possible in the supervisory procedures if the bounds of necessity, within the meaning of Article 8 § 2, are not to be exceeded. In a field where abuse is potentially so easy in individual cases and could have such harmful consequences for democratic society as a whole, it is in principle desirable to entrust supervisory control to a judge, judicial control offering the best guarantees of independence, impartiality and a proper procedure.

Ett tillståndsförfarande inför en opartisk och oberoende domstol är därmed den modell som Europadomstolen i första hand förespråkar för att upprätthålla ett system med ”end-to-end safeguards” när det gäller hemlig övervakning. Enligt vår uppfattning är den prövning

9Se Centrum för Rättvisa mot Sverige p. 250, Big Brother Watch m.fl. mot Förenade kungariket p. 336

10Se Klass m.fl. mot Tyskland p. 55–56 och Roman Zakharov mot Ryssland p. 233.

613

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

som ska göras inför en framtagning ur en särskild uppgiftssamling likartad med den prövning som föregår hemliga tvångsmedel eller signalspaning, se avsnitt 7.2.3 och 9.1.3.

Tillstånd är den mest effektiva skyddsmekanismen för framtagning

Den särskilda lagstiftning vi här föreslår för att hantera stora infor- mationsmängder är avsett att utgöra ett verktyg för underrättelse- verksamhet. Som vi tidigare konstaterat, i bland annat avsnitt 3.3.2, är Säkerhetspolisens underrättelseverksamhet särpräglad i förhållande till övriga brottsbekämpande myndigheter. Den sker med en större bredd än vad som normalt gäller för kriminalunderrättelseverksam- het, men är inriktad mot ett fåtal mycket samhällsfarliga brott. För att skydda de registrerades personuppgifter är förhandstillstånd enligt oss den mest effektiva skyddsmekanismen.

Enskilda kommer inte kunna bevaka sin egen rätt. Det är givet- vis uteslutet att Säkerhetspolisen skulle informera personer som är av intresse för underrättelseverksamheten om att deras personupp- gifter behandlas. Avsaknaden av rättsmedel för enskilda måste där- för kompenseras genom ett motsvarande rättssäkerhetsskydd. Det bästa sättet att få till stånd ett sådant skydd är att underkasta varje framtagning en tillståndsprövning.

Det finns flera andra fördelar med ett tillståndsförfarande. Till skillnad mot andra sätt att reglera tillgången till de uppgifter som registrerats enligt lagen ger förhandstillstånd inför en framtagning fördelen av teknikneutralitet och flexibilitet samtidigt som ett starkt, rättsstatligt integritetsskydd kan upprätthållas. Om exempelvis en ny kraftfull teknik utvecklas för att analysera data kan tekniken användas så länge den anses proportionerlig i förhållande till det ändamål som den ska användas för. Riskerna med en teknikneutral lagstiftning minskar om ny teknik genomgår en oberoende pröv- ning innan den sjösätts. Samtidigt krävs inte ny eller ändrad lagstift- ning för att använda nya behandlingsmetoder. Det går inte heller att utesluta att vissa framtida tekniker kommer att prövas av Europa- domstolen eller omfattas av något för Sverige bindande internatio- nellt instrument. En teknikneutral lagstiftning med förhandspröv- ning är i dessa fall mer flexibel än en lag som särskilt anger vissa behandlingsmetoder.

614

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Krav på tillstånd kompenserar för undantag

Genom att tillåta behandling av stora datamängder på det sätt vi före- slår görs flera avsteg från dataskyddskonventionens bestämmelser. Det är bestämmelser som huvudsakligen syftar till att skydda den enskildes personliga integritet och andra angelägna allmänna intres- sen. Sådana undantag är tillåtna bland annat för att upprätthålla nationell säkerhet, så länge lagstiftningen respekterar kärnan av de grundläggande fri- och rättigheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle (se artikel 11 i dataskyddskonventionen 108+).

Att tillföra en förhandsprövning av en oberoende domstol som bland annat ska pröva om en viss slags personuppgiftsbehandling är förenlig med grundläggande fri- och rättigheter är en mycket stark rättssäkerhetsmekanism. Vår uppfattning är att en sådan prövning är ett lämpligt sätt att hantera de många och komplexa frågor som kan uppkomma vid tillämpningen av den föreslagna lagstiftningen. Genom att vi ersätter vissa principer som gäller annan behandling av personuppgifter med ett oberoende och självständigt tillstånds- förfarande anser vi att de grundläggande fri- och rättigheter som dataskyddet avser att upprätthålla inte urholkas. Kärnan i rättig- heterna består.

9.6Vilket prövningsorgan bör lämna tillstånd till framtagning?

9.6.1En domstol ska lämna tillstånd

Bedömning: Förhandstillstånd till framtagning ska lämnas av en domstol.

Vi föreslår ett system med förhandskontroll innan uppgifter från en särskild uppgiftssamling får tas fram. Europadomstolen har vid upprepade tillfällen påtalat att åtgärder som kan innebära ett sub- stantiellt intrång i de fri- och rättigheter som skyddas av Europa- konventionen med fördel ska prövas av en oberoende och opartisk domstol. En sådan rättslig kontroll innebär enligt Europadomsto- len den bästa garantin för oberoende, opartiskhet och ett korrekt

615

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

förfarande. Som ett alternativ kan även tillstånd lämnas av ett annat organ än domstol, så länge detta organ är oberoende och självstän- digt i förhållande till den exekutiva myndigheten.

Vid val av prövningsorgan har flera alternativ övervägts. En dom- stolsprövning är att föredra framför ett domstolsliknande organ av flera vägande skäl. För det första har Europadomstolen i sin praxis tydligt angett att domstolsprövning utgör det starkaste skyddet för den enskildes rättigheter vid hemliga tvångsmedel och signalspaning. I målet Centrum för rättvisa mot Sverige framhöll domstolen att ”judicial control offers the best guarantees of independence, impar- tiality and a proper procedure”. Även om Europadomstolen accep- terar alternativa mekanismer, betraktas dessa som sekundära alter- nativ med ännu högre krav på oberoende och självständighet.

För det andra finns ingen befintlig nämnd eller annat domstols- liknande organ i Sverige som har den expertis som krävs för uppgif- ten. En nyinrättad nämnd skulle ställas inför samma utmaningar som en ny domstol vad gäller rekrytering av kvalificerad personal, säkerhetsklassning och uppbyggnad av rutiner, men utan de konsti- tutionella garantier för oberoende som omgärdar domares ställning.

För det tredje ger regeringsformen särskilda konstitutionella garantier för domstolars och domares oberoende som saknar mot- svarighet för nämnder och andra förvaltningsmyndigheter. Domare utnämns med fullmakt och åtnjuter ett särskilt skydd mot avsättning, vilket stärker deras oberoende ställning. Detta är särskilt värdefullt när det gäller avvägningar mellan olika skyddsvärda intressen.

Sammanfattningsvis finns det starka systematiska, konstitutio- nella och praktiska skäl för att välja en domstolsprövning framför alternativa modeller.

9.6.2Vilken domstol ska väljas?

Bedömning: Det finns tre huvudalternativ för hur den obligato-

riska domstolsprövningen kan organiseras: inrättande av en ny specialdomstol, att ge Försvarsunderrättelsedomstolen ytter- ligare en uppgift eller en särskild domstol som, likt mark- och miljödomstolarna, integreras i en befintlig domstolsstruktur.

616

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Tre huvudsakliga alternativ

Den första frågan är om prövningen kan och bör inordnas i den be- fintliga domstolsstrukturen med allmänna domstolar och allmänna förvaltningsdomstolar. Uppgiften att pröva om framtagning ska ske är en mycket särpräglad domstolsuppgift som inte följer av något annat dataskyddsregelverk än det föreslagna. Det ställer höga krav på säkerhet när det gäller alltifrån personal till lokaler och verksam- hetsstöd. Vår bedömning är redan av det skälet att det inte är möj- ligt att inordna prövningen i det ordinarie domstolsväsendet.

Vi har identifierat tre huvudsakliga alternativ för domstolspröv- ningen:

1.Underrättelsedomstolen: En helt ny domstol, Underrättelsedom- stolen, skulle kunna inrättas enbart för uppgiften att pröva fram- tagning av uppgifter från särskilda uppgiftssamlingar. En sådan domstol skulle från grunden kunna utformas specifikt för denna uppgift.

2.Försvarsunderrättelsedomstolen: Uppgiften att pröva framtagning av uppgifter skulle kunna läggas direkt på den redan existerande Försvarsunderrättelsedomstolen, som i dag prövar tillstånd till signalspaning enligt lagen (2008:717) om signalspaning i försvars- underrättelseverksamhet.

3.Särskild domstol som inrättas i annan domstol: En tredje möjlig- het är att skapa en lösning liknande den som gäller för mark- och miljödomstolarna, där en särskild domstol skapas och inordnas i en befintlig domstol (till exempel Försvarsunderrättelsedom- stolen). Det skulle innebära att en domstol med särskild samman- sättning utses för prövningen, men utan att formellt vara en separat specialdomstol.

Valet mellan dessa alternativ behöver göras med hänsyn till flera faktorer, såsom kostnadseffektivitet, säkerhet, kompetens och långsiktig hållbarhet för prövningssystemet.

617

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Ny specialdomstol kräver starka skäl

Att inrätta en helt ny specialdomstol för prövningen skulle innebära att det går att utforma domstolens organisation och arbetssätt helt efter de aktuella behoven. En sådan domstol skulle från grunden kunna anpassas för mål om framtagning från särskilda uppgiftssam- lingar.

Nackdelarna med detta alternativ överväger dock tydligt förde- larna. Det har sedan lång tid funnits en strävan i Sverige att undvika att inrätta specialdomstolar om det inte finns ytterst tungt vägande skäl. Flera specialdomstolar har avskaffats. För att motivera att in- föra en ny specialdomstol ska behovet i princip inte kunna tillgodo- ses på annat sätt. I detta fall finns det som framgått alternativ. Om behoven kan tillgodoses på annat sätt, talar det starkt emot att in- rätta en ny specialdomstol.

Det vore vidare mycket resurskrävande att bygga upp en ny dom- stol. Det skulle behöva rekryteras nya domare och ledamöter med särskild kompetens, utforma lokaler med högt säkerhetsskydd samt utveckla nya rutiner för hantering av sekretessbelagda respektive säkerhetsskyddsklassificerade uppgifter. Alla dessa uppbyggnadsåt- gärder skulle ta tid och resurser i anspråk. Dessutom förväntas mål- tillströmningen vara förhållandevis begränsad, vilket gör en helt ny domstolsorganisation ineffektiv att upprätthålla. Detta talar med styrka emot alternativet att inrätta en ny, liten domstol.

Frågan är därmed närmast om något av de andra alternativen är tillräckligt goda för att undvika att tillskapa en ny domstol.

9.6.3Försvarsunderrättelsedomstolen bör väljas

Förslag: Försvarsunderrättelsedomstolen är den mest lämpliga instansen för att pröva frågor om tillstånd till framtagning från särskilda uppgiftssamlingar. Domstolen har nödvändig kompetens och erfarenhet. Domstolen har vidare redan etablerade säkerhets- rutiner kring bland annat medarbetare, lokaler och arbetssätt.

618

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Försvarsunderrättelsedomstolen är mest lämpad för tillståndsgivningen

Försvarets radioanstalt ska enligt 4 a § signalspaningslagen ansöka om tillstånd för signalspaning hos Försvarsunderrättelsedomstolen. Tillstånd får enligt 5 § signalspaningslagen endast lämnas om upp- draget är förenligt med lagen (2000:130) om försvarsunderrättelse- verksamhet och signalspaningslagen, syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt, uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan innebära, de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas är för- enliga med 3 § signalspaningslagen samt ansökan inte avser endast en viss fysisk person, se avsnitt 3.6.2.

Försvarsunderrättelsedomstolen gör alltså i andra sammanhang en prövning som har likheter med den som blir aktuell vid en pröv- ning av en ansökan om tillstånd att ta fram uppgifter från särskilda uppgiftssamlingar.

Tanken på att utvidga Försvarsunderrättelsedomstolens uppdrag är inte heller ny. I samband med remitteringen av betänkandet Data- lagring och åtkomst till elektronisk information (SOU 2023:22) upp- kom frågan om vilken instans som skulle ansvara för överprövning av Säkerhetspolisens beslut om så kallad nationell säkerhetsdatalag- ring. I betänkandet föreslogs att en särskilt inrättad nämnd skulle stå för överprövningen. Försvarsunderrättelsedomstolen påtalade

i sitt remissvar att sambandet mellan inre och yttre säkerhet är mer direkt än tidigare till följd av globaliseringen. Även inre hot mot den nationella säkerheten har således ofta en internationell dimen- sion. Försvarsunderrättelsedomstolen ansåg sig därför ha kompe- tens att bedöma hot mot den nationella säkerheten och att pröva integritetsskyddsaspekter, även vad gäller den nationella säkerhets- lagringen. Åklagarmyndigheten framhöll i samma ärende att För- svarsunderrättelsedomstolen har betydande kunskaper när det gäller de aktuella frågorna om hot mot Sveriges säkerhet. Regeringskans- liet har mot denna bakgrund remitterat ett utkast till lagrådsremiss med förslag att Försvarsunderrättelsedomstolen får uppdraget att överpröva Säkerhetspolisens beslut om nationell säkerhetsdatalag- ring.11

11Utkast till lagrådsremiss och remissvar finns i Regeringskansliets dnr Ju2024/02286.

619

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Historiskt har det funnits en tveksamhet kring att blanda försvars- underrättelseverksamhet (militär underrättelse, till exempel signal- spaning) med den nationella säkerhetstjänsten (Säkerhetspolisens verksamhet). Ambitionen har varit hålla isär försvarsmyndigheternas underrättelsearbete och säkerhetspolisens uppdrag. Mandatet för försvarsunderrättelseverksamheten har emellertid över tid anpas- sats från kartläggning av ”yttre militära hot” till ”yttre hot”, vilket bland annat innebär att även internationell terrorism och grov grän- söverskridande brottslighet med säkerhetspolitiska konsekvenser kan omfattas av försvarsunderrättelseverksamheten.

Försvarsunderrättelsedomstolen har sedan lång tid byggt upp gedigen kompetens och erfarenhet av att bedöma hot mot nationell säkerhet. Dess huvuduppgift sedan tidigare är att hantera tillstånd till signalspaning enligt signalspaningslagen, vilket innebär att dom- stolen är väl förtrogen med att pröva ärenden som rör nationens säkerhet och integritetsskyddsfrågor.

Domstolens ledamöter – både juristdomare och särskilda leda- möter – har kunskap inom relevanta områden som underrättelse- verksamhet, säkerhetsfrågor och tekniska aspekter av informations- inhämtning. Denna breda kompetens är direkt överförbar till de uppgifter som skulle bli aktuella enligt den nya lagen. Därmed finns en upparbetad förståelse för de svåra avvägningar som måste göras mellan effektivitet i underrättelsearbete och skyddet för individers rättigheter.

De likheter som finns mellan signalspaning och framtagning av uppgifter från särskilda uppgiftssamlingar understryker att en gemen- sam prövningsordning är naturlig:

1.Båda verksamheterna avser inhämtning och bearbetning av stora informationsmängder.

2.Båda prövningarna balanserar nationella säkerhetsintressen mot skyddet för enskildas integritet och övriga allmänna intressen.

3.Båda verksamheterna kräver en teknisk förståelse för att kunna göra korrekta rättsliga bedömningar.

Av detta framgår att det finns mycket starka skäl att låta Försvars- underrättelsedomstolen pröva frågor enligt den nya lagen. Vi lämnar därför ett sådant förslag. Nästa fråga är emellertid vilken lagteknisk lösning som bör väljas.

620

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.6.4Försvarsunderrättelsedomstolen pekas ut i den nya lagen

Förslag: Försvarsunderrättelsedomstolen ska pröva frågor om tillstånd till framtagning av personuppgifter från särskilda upp- giftssamlingar. Detta ska framgå av den nya lagen om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssam- lingar. I den lagen ska även de särskilda processreglerna för prövningen finnas.

Det bästa alternativet vore en förändring av lagen om försvarsunderrättelsedomstol

Vårt förslag innebär att Försvarsunderrättelsedomstolens verksam- het kommer att stå på flera ben. Det kommer att vara en domstol med bredare inriktning mot underrättelseverksamhet. Domstolen borde därmed rätteligen benämnas Underrättelsedomstolen. Det naturliga vore i detta läge att ersätta lagen (2009:966) om Försvars- underrättelsedomstol med en ny lag om Underrättelsedomstol. I den lagen skulle en gemensam del kunna behandla frågor som domstolens uppdrag, sammansättning, domförhetsregler, sekretess, förhandlings- offentlighet med mera. Det kunde sedan följa separata kapitel för den prövning som ska ske inom de olika områden som domstolen har att hantera (till exempel signalspaning, nationell säkerhetsdata- lagring och framtagning från särskilda uppgiftssamlingar). En sådan lösning skulle även vara flexibel för eventuella framtida uppdrag för domstolen.

Vi har emellertid inte ansett att det ligger inom vårt mandat att föreslå så stora förändringar i lagen om Försvarsunderrättelsedom- stol. Förändringar i den lagen skulle komma att antingen påverka även signalspaningsmål eller kräva större strukturella förändringar av lagen. Om regeringen anser att uppdraget, som vi föreslår, ska läggas på Försvarsunderrättelsedomstolen bör det dock övervägas att i särskild ordning ta fram beredningsunderlag för en samord- ning av de processuella reglerna i en gemensam lag.

621

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Försvarsunderrättelsedomstolen bör pekas ut direkt i den nya lagen

Våra slutsatser hittills gör att det återstår två lagtekniska alternativ. En möjlighet är att föreslå en lag om underrättelsedomstol, som blir en särskild domstol, och sedan i författning peka ut att Försvars- underrättelsedomstolen ska vara underrättelsedomstol. Det andra alternativet är att direkt i den föreslagna lagen om behandling av personuppgifter i särskilda uppgiftssamlingar peka ut Försvarsunder- rättelsedomstolen. De processuella reglerna skulle då finnas i den materiella lagen.

Ett av alternativen är som framgått att inrätta en särskild dom- stol som sedan inordnas i en befintlig domstol. Detta är en känd konstruktion på vissa områden. Som exempel kan nämnas mark- och miljödomstolarna och patent- och marknadsdomstolen. Ofta drivs denna konstruktion fram av en vilja att skapa särskilda samman- sättningsregler och ofta med särskilda personalkategorier som inte finns i domstolen i övrigt, till exempel tekniska råd och patentråd.

Det är en tämligen komplicerad konstruktion och skapar vissa inlåsande effekter. Som framgått anser vi att ett bättre alternativ i detta fall vore att mer genomgripande förändra lagen om Försvars- underrättelsedomstol. Det saknas även för de fall som nu är aktu- ella behov av andra sammansättningsregler än de som redan gäller för prövning i Försvarsunderrättelsedomstolen. Skulle lagstiftaren i framtiden vilja justera regelverket i linje med vad vi skisserat tidigare, blir det svårare om en konstruktion med särskild domstol har valts.

En fristående lösning är enklare att anpassa vid framtida lagänd- ringar, medan en mark- och miljödomstols-liknande modell kan medföra att förändringar kräver mer omfattande omstrukturering. Vi lämnar därför inte något sådant förslag.

Efter att ha vägt alternativen framstår det således som att det bästa alternativet är att Försvarsunderrättelsedomstolen pekas ut direkt i lagen. Det innebär att de processuella reglerna också bör framgå av lagen. Att Försvarsunderrättelsedomstolen därmed kom- mer att ha att tillämpa processregler dels i lagen om Försvarsunder- rättelsedomstol och i signalspaningslagen, dels i den lag vi här före- slår är inte något unikt. Motsvarande situation förekommer relativt frekvent i förvaltningsprocessen.

622

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.6.5Anpassning av lagen om Försvarsunderrättelsedomstol

Förslag: Försvarsunderrättelsedomstolens uppdrag justeras till att omfatta tillstånd till framtagning från särskilda uppgiftssam- lingar.

Sammansättningsreglerna ändras så att domstolen kan bestå av högst två ordförande, högst två vice ordförande samt minst två och högst tio särskilda ledamöter.

Det föreslås även vissa följdändringar för att anpassa lagstift- ningen till att det kan finnas flera ordföranden i domstolen och att en av dem ska vara chef för domstolen.

Skälen för förslaget

Eftersom valet faller på Försvarsunderrättelsedomstolen behöver lagstiftningen justeras för att ge domstolen det nya ansvaret. Vi har strävat efter att göra detta på ett sätt som minimerar komplexiteten och undviker onödigt omfattande lagändringar.

Den huvudsakliga ändringen är en utvidgning av domstolens upp- gifter. I lagens inledande paragraf bör en ny punkt läggas till, som anger att domstolen ska pröva frågor om tillstånd till framtagning enligt den nya lagen. Detta är den enklaste lösningen för att ge dom- stolen ytterligare en uppgift. Det motsvarar även den metod som används i utkastet till lagrådsremiss angående nationell säkerhets- datalagring. Domstolen kan alltså potentiellt ha tre uppgifter när alla nu aktuella lagförslag är hanterade.

Försvarsunderrättelsedomstolen kommer att behöva vissa resurs- förstärkningar för att klara av den ökade arbetsbördan som tillstånds- prövningen av framtagning från särskilda uppgiftssamlingar medför. Detta behandlas närmare i avsnitt 12.5.4. Det är förstås svårbedömt vad den nya uppgiften kommer att kräva i form av dömande och administrativ personal. Det är dock uppenbart att det efter en tid kan visa sig för lite med endast en ordinarie domare i domstolen och maximalt sex särskilda ledamöter. Lagstiftningen bör därför medge en utökning av antalet möjliga ledamöter i domstolen.

Samtidigt finns det goda konstitutionella skäl att inte medge ett alltför högt antal möjliga domare i domstolen.

623

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Vi föreslår därför att Försvarsunderrättelsedomstolen ska kunna ha upp till två ordförande (varav en är chef för domstolen), upp till två vice ordförande samt mellan två och tio särskilda ledamöter. Detta ska jämföras med nuvarande ordning där domstolen har en ordfö- rande, högst två vice ordförande och två till sex särskilda ledamöter.

9.7Tillståndet

9.7.1Förutsättningar för att lämna tillstånd

Förslag: Tillstånd till framtagning får endast lämnas om

1.åtgärden står i överensstämmelse med lag och Sveriges inter- nationella åtaganden,

2.åtgärden kan antas vara nödvändig för ändamålet, och

3.det står klart att intresset av åtgärden överväger andra enskilda och allmänna intressen.

Vi har ansett att framtagning ska vara den behandlingsåtgärd som ska vara tillståndspliktig. Prövningen ska avse frågan om det ska göras ett undantag från förbudet att ta fram uppgifter som registrerats. Det generella förbudet utgör en stark dataskyddsmekanism. Att det är en domstol som ska besluta om undantag från detta förbud har vi motiverat bland annat av att det utgör det starkaste skyddet för personuppgifter, samtidigt som Säkerhetspolisen kan behandla stora informationsmängder.

Domstolen bör pröva om en framtagning utgör ett berättigat undantag från skyddet av den personliga integriteten, rätten till pri- vatliv och de allmänna intressen som aktualiseras. Det innebär att domstolen ska pröva om ett tillstånd kan lämnas utifrån kraven på legalitet, nödvändighet och proportionalitet. Dessa krav är förutsätt- ningar för att begränsa grundläggande fri- och rättigheter enligt både regeringsformen och Europakonventionen. Enligt dataskyddskon- ventionen 108+ är en förutsättning för undantag, enligt artikel 11 att de sker med respekt för grundläggande fri- och rättigheter och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle, bland annat för att skydda nationell säkerhet.

624

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Tillståndsprövningen bör omfatta alla de krav som ställs på att begränsa en fri- och rättighet.

För det första krävs att åtgärdens laglighet prövas. Det innebär ett krav på rättslig grund för behandlingen samt författningsenlig- het i övrigt. En framtagning måste vara förenlig med en rättslig grund för personuppgiftsbehandling, det vill säga ett av myndig- hetens författningsreglerade uppdrag. Kravet på laglighet bör även innefatta en prövning av att framtagningen står i överenstämmelse med Sveriges internationella åtaganden. För det andra måste åtgär- dens nödvändighet prövas. Det innebär att behandlingen ska behö- vas för ändamålet och detta behov ska inte vara möjligt att uppnå med mindre ingripande medel. Slutligen ska proportionaliteten prövas, genom att skälen för åtgärden vägs mot de andra intressen som kan påverkas.

Kraven är därmed i praktiken desamma som gäller för annan personuppgiftsbehandling, med den skillnad att den görs efter en ansökan från Säkerhetspolisen i det enskilda fallet.

9.7.2Varje enskild framtagning eller framtagningar av ett visst slag?

Det finns i praktiken två sätt att se på tillståndsplikten. Antingen ska varje enskild framtagning tillståndsprövas eller också vissa typer av framtagningar. Det förra synsättet innebär att Säkerhetspolisen ska söka om tillstånd för vissa, uttryckliga sökkriterier och dom- stolen ger tillstånd för att dessa och inga andra får användas vid ett eller flera behandlingstillfällen. En sådan process skulle innebära att domstolen får en stor insyn i de behandlingar som utförs och ett starkt inflytande över underrättelseverksamheten. Det är emellertid ett mycket tungt prövningsförfarande som inte heller respekterar ansvarsfördelningen mellan myndighetsutövning och rättsskipning. Det kan förväntas att Säkerhetspolisen kommer behöva använda ett stort antal sökkriterier vid många tillfällen varje dag. En tillstånds- process för varje enskild framtagning skulle därför inte heller vara möjlig att administrera på ett rimligt sätt.

Utgångspunkten måste därför vara att tillstånd ska kunna gälla en viss typ av framtagningar som får utföras under en viss begränsad tid. Sökkriterierna måste därför kunna anges med ett visst mått av abstraktion. Det innebär att det ska vara möjligt att exempelvis göra

625

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

sökningar efter aktörer där det finns kända underrättelsemisstankar eller framtagningar som sker efter att en viss, närmare angiven, auto- matisk analysmetod har tillämpats.

Tillståndsprövningen bör vara likartad den som gäller för signal- spaningsmyndigheten enligt signalspaningslagen. Enligt denna lag- stiftning ges tillstånd för ett visst tidsbegränsat inhämtningsuppdrag, där de sökbegrepp eller kategorier av sökbegrepp som får användas vid inhämtningen anges.

För trådbunden signalspaning omfattar ett inhämtningsuppdrag vissa signalbärare. För den tillståndsprocess vi här föreslår bör till- stånd till framtagning avse vissa källor eller vissa kategorier av upp- gifter. Rättighetsintrånget beror i stor utsträckning på vilken typ av information som framtagning sker från. Det är givetvis stor skill- nad om en sökning görs mot en elektronisk telefonkatalog, från sociala medier, från överskottsinformation från hemlig avlyssning eller från dekrypterade kommunikationstjänster. Det kan därför finnas skäl att formulera tillstånden till framtagning olika beroende på vilken slags uppgifter som ska behandlas.

Om tillståndet avser framtagningar av visst slag, kommer även frågan om tillståndet ska avse endast de personuppgifter som finns registrerade vid tillfället för ansökan eller om även framtida regi- streringar ska omfattas. Det finns både praktiska och systematiska skäl som talar för att det senare ska vara fallet. Många av de källor som kommer att finnas registrerade avser uppgifter som behöver hållas uppdaterade. Sökningar och framtagning ur sådana källor måste kunna ske löpande och inte kräva nya tillstånd dagligen. Vidare avser prövningen en riskbedömning. Det är inte känt för vare sig dom- stolen eller Säkerhetspolisen exakt vilka uppgifter som registrerats.

Säkerhetspolisen bör därför ha möjlighet att inom tillståndets ramar göra de sökningar, sammanställa och framtagningar från det innehåll som uppgiftssamlingarna har vid varje given tidpunkt. Om de särskilda uppgiftssamlingar som omfattas av tillståndet ändras påtagligt efter det att tillståndet har meddelats, bör saken uppmärk- sammas av Säkerhetspolisen eller tillsynsmyndigheten i samband med en eventuell ansökan om förlängning av tillståndet.

626

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.7.3Tidsbegränsning

Förslag: Ett tillstånd till framtagning ska gälla i viss tid.

För tillstånd till signalspaning har sedan länge gällt en tidsgräns om sex månader. Detta trots att de företeelser som gäller exempelvis mili- tära förhållanden i vårt närområde kan vara av intresse under mycket lång tid. Tidsbegränsningen är därför inte avsedd att markera hur länge verksamheten får bedrivas utan säkerställer att behovet om- prövas med tillräcklig regelbundenhet.

Vi anser att det är självklart att beslut om framtagning måste vara tidsbegränsade. Den största integritetsvinsten med tillståndsförfa- randet kommer av att domstolen har möjlighet att regelbundet följa upp hur ett meddelat tillstånd har tillämpats. Vi anser däremot inte att det finns skäl att föreskriva en yttersta tidsgräns. Det finns inte skäl att ompröva ett tillstånd som endast avser exempelvis framtag- ning ur en elektronisk telefonkatalog eller liknande lika ofta som mer känsliga tillstånd, exempelvis sådana som sker med ny teknik. Det är därför tillräckligt att föreskriva att tillstånd ska vara tids- begränsade.

9.7.4Uppgiftsminimering

Förslag: En framtagning får inte förväntas leda till att fler per- sonuppgifter än vad som är nödvändigt för ändamålet behandlas.

Vi har i avsnitt 9.3.3 kommit till slutsatsen att principen om uppgifts- minimering står i motsats till syftet med att kunna behandla person- uppgifter i särskilda uppgiftssamlingar.

Det finns däremot möjlighet att tillämpa principen vid framtag- ning. Vid en proportionalitetsprövning ingår frågan om att intrånget inte ska vara större än vad som behövs för ändamålet. Det bör även komma till uttryck genom att inte fler uppgifter än vad som behövs ska kunna tas fram med stöd av ett tillstånd. Ett sådant krav marke- rar att den viktiga dataskyddsprincipen om uppgiftsminimering ska inverka på prövningen.

627

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.8Tillståndsprocessen

9.8.1Processregler i den nya lagen

Bedömning: De närmare processreglerna för prövning av fram- tagning av uppgifter från särskilda uppgiftssamlingar bör införas den nya lagen. De nya reglerna ska så långt möjligt ansluta till motsvarande regler vid prövning av mål om signalspaning.

Förslag: Lagen om Försvarsunderrättelsedomstol ska hänvisa till den lagen om särskilda uppgiftssamlingar.

Skälen för bedömningen och förslaget

De processuella bestämmelserna som gäller för tillståndsprövning av frågor som rör signalspaning är utformade för att möjliggöra ett effektivt och rättssäkert förfarande. Det finns, som nämnts, skäl att göra så små förändringar som möjligt i den nuvarande ordningen. De processuella bestämmelserna för tillstånd till framtagning bör därför ansluta till det existerade regelverket där det är lämpligt.

De processregler som ska gälla endast för mål om tillstånd till framtagning ska införas i den föreslagna lagen om särskilda upp- giftssamlingar. De flesta reglerna i lagen om Försvarsunderrättelse- domstol kommer således endast att gälla i mål om signalspaning.

I lagen om Försvarsunderrättelsedomstol bör det införas en upplys- ningsbestämmelse som klargör att det i den föreslagna lagen finns särskilda processregler för en prövning av en ansökan om framtag- ning.

9.8.2Hur bör ansökan vara utformad?

Förslag: Säkerhetspolisen ska i ansökan om tillstånd till fram- tagning av information i särskilda uppgiftssamlingar ange

1.vilka kategorier av uppgifter framtagningen ska avse och från vilka typer av källor framtagning ska ske,

2.det särskilda ändamålet med och behovet av framtagningen,

628

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

3.vilka sökbegrepp, kategorier av sökbegrepp eller andra urvals- kriterier som är avsedda att användas vid framtagningen och, om det finns skäl, med vilken teknik urvalet ska ske,

4.vilken tid tillståndet ska gälla, och

5.de skäl och omständigheter i övrigt som myndigheten vill åberopa till stöd för sin ansökan.

Vad syftar ansökan till?

En ansökan avser att ge förutsättningar för en rättssäker framtagning som respekterar kärnan i de grundläggande fri- och rättigheterna som påverkas av den personuppgiftsbehandling som sker med stöd av den föreslagna lagen. Som framgår av avsnitt 7.1.3 är vår uppfatt- ning att lagregleringen ska vara begränsad till vad som är nödvändigt för lagens syften. Endast de uppgifter som är nödvändiga för pröv- ningen bör därför formaliseras i lag.

Det krävs därmed att Säkerhetspolisen bidrar med den informa- tion som behövs för att pröva legalitet, nödvändighet och propor- tionalitet. Att en ansökan är formaliserad och att det i lagen anges hur den ska vara utformad skapar en ram för denna prövning. I det följande utvecklas kraven som vi anser bör ställas på innehållet i en ansökan.

Kategorier av uppgifter och källor för framtagningen

För att kunna göra en proportionalitetsprövning kan det finnas ett behov att bedöma omfattningen av de uppgifter som kommer att behandlas genom en framtagning. En framtagning innebär att upp- gifter prövas mot olika urvalskriterier eller selektorer. Vilket under- lag som dessa selektorer kommer att appliceras på kan påverka hur stort intrång som sökningen och framtagningen innebär.

Som en del av principen om uppgiftsminimering ska ansökan inte omfatta fler uppgifter än nödvändigt. Eftersom det redan av ett registreringsbeslut ska anges vilken slags uppgifter som registreras, kan det vara möjligt att göra ett urval av kategorier eller källor som är relevanta genom att hänvisa till denna beskrivning. Ett annat sätt

629

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

kan vara att peka ut vissa källor eller att begränsa ansökan till upp- gifter som registrerats under en viss tidsperiod.

I mål enligt signalspaningslagen prövar domstolen vilka så kallade signalbärare som ska omfattas av signalspaningen. Enligt den pröv- ningen ska beskrivningen av signalbärarna göras på ett sådant sätt att domstolen kan bedöma omfattningen av det integritetsintrång som kan bli följden av att tillgång ges till signalbärarna.12 Det finns anledning att se på kategorier och källor för framtagning på ett lik- nande sätt. Det bör dock som framgått inte finnas något hinder mot att en ansökan omfattar källor som inte ännu har registrerats.

Ändamål och behov

Ändamålet med framtagningen är helt centralt för proportionalitets- prövningen. Ändamålet måste givetvis vara särskilt, i den mening som avses i säpodatalagen, vilket innebär att det inte är tillräckligt med det breda ändamål som kan föranleda inledande behandling eller registrering. Att ändamålet anges i en ansökan innebär att det är uttryckligt angivet. Domstolen prövar om ändamålet är berättigat.

Att behovet ska anges är på samma sätt centralt för prövningen. Det krävs för att det ska stå klart att undantaget från skyddet av personuppgifter, som en framtagning innebär, är nödvändigt i ett demokratiskt samhälle.

Sökbegrepp och teknik

Sökbegrepp är en central del av Försvarsunderrättelsedomstolens prövning enligt signalspaningslagen. Den erfarenhet och kompe- tens som domstolen förvärvat inom ramen för den verksamheten kommer kunna utnyttjas för att bedöma sökbegrepp även för fram- tagning.

Sökbegrepp, selektorer och andra urvalskriterier har en nära an- knytning till ändamålet med framtagningen. Genom sökbegreppen kan domstolen bilda sig en uppfattning om ändamålet kommer att kunna uppnås och om urvalskriterierna riskerar att medge framtag- ning av uppgifter som inte behövs för ändamålet.

12Prop. 2008/09:201 s. 52.

630

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Att vi anser det nödvändigt att i vissa fall redogöra för och till- ståndspröva den teknik som ska användas utgör en skyddsmekanism mot att lagen utnyttjas på ett sätt som inte varit förutsett. Det är mycket svårt att förutse vilka möjligheter som kommer finnas att göra en selektion av personuppgifter om, eller när, nya AI-förmågor kan tillämpas. Vissa nya tekniker kommer att föra med sig olika risker. Vi anser därför att det är viktigt att domstolen kan begränsa teknik som utgör en risk som inte står i proportion med nyttan.

Skäl och övriga omständigheter

Det kan krävas både en bakgrund och en redogörelse för den bredare underrättelsebilden för att domstolen ska ha en möjlighet att bedöma en åtgärds proportionalitet. Det kan handla om generella hotbilder, förändringar i olika miljöer eller framväxten av nya företeelser.

Den proportionalitetsbedömning som Säkerhetspolisen har gjort kan behöva motiveras både rättsligt och sakligt. Genom att uppställa ett krav på skäl och övriga omständigheter ges också en möjlighet för domstolen att begära komplettering i de avseenden som dom- stolen finner nödvändigt.

9.8.3Rent ansökningsförfarande eller en kontradiktorisk process?

Bedömning: Ansökningsprocessen bör ha kontradiktoriska in- slag. Det finns skäl att uppgifter som framkommit vid tillsynen även ska kunna utgöra underlag vid tillståndsprövning.

Olika alternativ för förfarandet

En tillståndsprocess kan utgöra ett ansökningsförfarande som endast innefattar Säkerhetspolisen och domstolen. Det är även möjligt att involvera någon ytterligare aktör vars syfte är att bistå med viss kom- petens eller belysa frågan från ett annat perspektiv. Slutligen kan en process, som då innebär faktisk kontradiktorisk rättsskipning, inne- fatta två eller fler parter som är fria att vidta rättshandlingar och dis- positioner i processen. Det går även att utforma ett kvasikontradik-

631

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

toriskt system där exempelvis en ytterligare aktör har rätt att klaga på ett beslut och vara part i överrätt eller där en aktör har yttrande- rätt, utan att vara part.

Vi har i avsnitt 9.6.3 lämnat förslag om att det är Försvarsunder- rättelsedomstolen som ska vara prövningsorgan. Det mest naturliga är därför att ta inspiration från den ansökningsprocess som gäller för signalspaning.

Ett rent ansökningsförfarande?

Ett rent ansökningsförfarande innebär att Säkerhetspolisen ansöker hos domstolen om en åtgärd. Ett sådant enpartsförfarande har inte de drag som är utmärkande för den domstolsprocess som enligt Europa- domstolen utgör den bästa garanten för ett självständigt, opartiskt och korrekt förfarande. Däremot kan ett rent ansökningsförfarande hos ett domstolsliknande organ ge tillräckliga konstitutionella rätts- säkerhetsgarantier. Då Försvarsunderrättelsedomstolen utreddes an- sågs domstolens sammansättning kunna kompensera för att endast en part deltog som sökande i mål rörande signalspaning. Bland dom- stolens ledamöter skulle nämligen finnas personer med erfarenhet och kunskap om underrättelseverksamhet jämte ledamöter med särskild förmåga att belysa integritetsskyddsintresset. I stället för att bevakningen av integritetsskyddsintresset skulle läggas utanför rätten ansågs detta ansvar integrerat i domstolens uppgift genom att de ledamöter som utses har förmåga att ta nödvändiga integri- tetshänsyn.13

Regeringen beaktade dock den remisskritik mot förslaget som bland annat innebar att prövningen inte i tillräcklig grad motsvarar den som i övrigt förekommer vid domstolar, framför allt med avse- ende på partsställningen.14

Vi delar bedömningen att de aktörer som förekommer i en dom- stolsprocess har betydelse för hur rättssäker prövningen blir. En domstol utmärks av att processen tillåter att olika perspektiv bryts mot varandra och att en parts uppfattning inte står oemotsagd. Det är svårt att upprätthålla den dynamiken i ett rent ansökningsförfa-

13Ds 2009:1 s. 78–79.

14Prop. 2008/09:201 s. 70.

632

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

rande. Även om det är tillåtet med en sådan process, är en reell dom- stolsprövning att föredra.

En kontradiktorisk process?

Det svårt att hitta någon naturlig motpart till Säkerhetspolisen i en kontradiktorisk process. Vid en framtagning har varje individ som kan tänkas vara registrerad och omfattas av framtagningskriterierna potentiellt andra intressen än Säkerhetspolisen. Dessa personer kan emellertid inte företräda sina intressen i processen, naturligtvis inte direkt, men inte heller indirekt. Det är nämligen inte möjligt att alla gånger veta vilka som kan omfattas av en framtagning.

En framtagning är inte begränsad till sökningar på kända person- uppgifter utan kan lika gärna ske efter kriterier som syftar till att hitta tidigare okända aktörer. Det kan därför aldrig bli fråga om en äkta kontradiktorisk process.

De personer som potentiellt kan omfattas av framtagningskri- terierna kan visserligen antas bestrida ansökan, men kan varken själva eller genom ombud ges talerätt.

Offentliga ombud eller integritetsombud?

Bakgrunden till ombudssystemet

Inom annan övervakningslagstiftning, som hanteras av de allmänna domstolarna, finns offentliga ombud. Offentliga ombud ska bevaka enskildas integritetsintressen i ärenden hos domstol om bland annat hemlig avlyssning av elektronisk kommunikation och hemlig kamera- övervakning. Ett offentligt ombud har rätt att ta del av det som före- kommer i ärendet, yttra sig i ärendet och överklaga rättens beslut.

I mål hos Försvarsunderrättelsedomstolen som rör tillstånd till signalspaning förekommer i dag så kallade integritetsskyddsombud som ska bevaka enskildas integritetsintresse i mål vid domstolen. Ombudet har rätt att ta del av det som förekommer i målet och att yttra sig. Till skillnad mot vad som gäller för hemliga tvångsmedel finns ingen möjlighet att överklaga Försvarsunderrättelsedomstolens domar och integritetsskyddsombudens roll är därmed mer begrän- sad. Det förslag om ett prövningsförfarande för nationell säkerhets-

633

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

datalagring, som föreslås träda i kraft den 1 mars 2026, innebär att ett särskilt offentligt ombud för nationell säkerhetslagring ska be- vaka enskildas intressen.

Gemensamt för dessa ombud är att de ska ha hög juridisk kom- petens och att de utses av regeringen för en viss tid på förslag från Domarnämnden och Sveriges advokatsamfund. Dessa ombud har inte tillgång till annat material än domstolen och deras roll är där- med begränsad till att argumentera för de intressen som de är satta att ta tillvara och, för de offentliga ombuden vid de allmänna dom- stolarna, att överklaga tveksamma fall.

Synen på dessa ombud har skiftat över tid. Lagstiftaren var tidi- gare mycket skeptisk till om ombuden fyllde någon reell funktion då denna var hänvisad till samma utredning som sökanden åberopade till stöd för ansökan.15 SÄPO-kommittén gick så långt att beskriva ett system med allmänt ombud i det närmaste som en skenprocess.16 Under 2000-talet omprövades dock den tidigare uppfattningen och flera fördelar med en oberoende ombudsroll som har till särskild uppgift att bevaka enskildas intressen lyftes fram. Offentliga ombud infördes därför i tillståndsprocessen för de hemliga tvångsmedlen. Genom införandet av ett system med offentliga ombud skapas enligt regeringen ett slags kontradiktorisk process som ger bättre förut- sättningar för en allsidig belysning av saken.17 Då signalspanings- lagen reformerades under slutet av 2000-talet fick integritetsfrågorna ett stort utrymme. Domstolsprövning med endast en sökande som part ansågs inte i tillräcklig grad motsvara den prövning som i övrigt förekommer vid domstolar. Systemet med integritetsskyddsombud infördes för att ge prövningen en tydligare kontradiktorisk karaktär med ett ombud som representerade det intresse som står i motsats- förhållande till den ansökande myndighetens.18 Det offentliga om- bud för nationell säkerhetslagring föreslås att, vid sidan av enskildas integritetsintresse, även ha till uppdrag att bevaka det ekonomiska intresset hos de företag som ska tillhandahålla datalagring.19

15Prop. 1988/89:124 s. 53 f.

16SOU 1990:51 s. 176 f.

17Prop. 2002/03:74 s. 22–24.

18Prop. 2008/09:201 s. 70–71.

19Utkast till lagrådsremiss, Datalagring och tillgång till elektronisk information, s. 52.

634

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Vilken roll har ombuden i tillsynssystemet?

Det finns ett europarättsligt krav på effektiva skyddsmekanismer genom hela processen, inbegripet tillstånd och tillsyn. De offent- liga ombudens roll är att förstärka tillståndsprocessen. Varken i tvångsmedelslagstiftningen eller signalspaningslagen har de offent- liga ombuden någon roll att spela i den efterföljande tillsynen av hur tillstånden följs.

Ombudens roll sträcker sig inte längre än processen för att pröva tillståndet. Ombudet kan därmed inte få reda på vilka konsekvenser eller vilken effekt tillståndet haft för de intressen som ombudet ska värna. Den efterföljande tillsynen sköts av myndigheter som i sin tur inte har någon del i tillståndsprocessen. Det råder även en mycket sträng sekretess för alla uppgifter som förekommer, både vid tillstånd och tillsyn. Det är därför knappast möjligt för tillsynsmyndigheten att vända sig till ett offentligt ombud eller ett integritetsskyddsom- bud för att framföra synpunkter på hur tillståndet tillämpas i verk- samheten.

På så sätt får inte heller domstolen med säkerhet reda på om till- stånden är välavvägda eller tillräckligt avgränsade i förhållande till andra intressen än sökandens. Det är nämligen endast sökanden som känner till både vad som förekommit vid tillståndsförfarandet och vilka eventuella synpunkter tillsynsmyndigheten haft på hur tillståndet utnyttjats.

Ett sätt att berika processen med erfarenheter från tillsynen skulle kunna vara att föreskriva att ett eventuellt offentligt ombud eller lik- nande deltar i processen och ska samråda med tillsynsmyndigheten eller på annat sätt inhämta underlag i samband med processen. Det skulle då kunna vara en tillkommande roll för ombudet, vid sidan av att självständigt representera de intressen som står i motsats till sökandens.

En annan lösning skulle vara att ersätta ombudets roll i processen med tillsynsmyndigheten, företrädesvis i form av Säkerhets- och integritetsskyddsnämnden. Denna lösning framstår som mer effektiv.

635

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.8.4Säkerhets- och integritetsskyddsnämnden ska yttra sig i samband med ett tillståndsförfarande

Förslag: Den särskilda tillsynsmyndigheten ska ges tillfälle att yttra sig över ansökan.

Integritetsskyddsombud ska endast användas i mål om signal- spaning och inte när det gäller andra måltyper i Försvarsunder- rättelsedomstolen.

Kan Säkerhets- och integritetsskyddsnämnden få en roll i tillståndsprocessen?

Den process som ska tillgodose kraven på ett rättssäkert förfarande för framtagning bör vara så robust som möjligt. De två viktigaste länkarna i den kedjan är domstolen och tillsynsmyndigheten. Vi anser att betydande rättsäkerhetsvinster skulle kunna uppnås om tillsynsmyndigheten, som har förutsättningar att få kännedom om hur besluten verkställs även har en möjlighet att förmedla detta till domstolen. Detta får sägas vara ett särskilt uttalat behov för en så pass teknikneutral och flexibel lagstiftning som vi här föreslår.

Det kan i många fall vara svårt att förutse hur omfattande integ- ritetsintrång en viss framtagning faktiskt kan resultera i. Givetvis kan den verkställande myndigheten välja att redovisa detta till domstolen om ett tillstånd söks på nytt, men det kontradiktoriska momentet som tillsynsmyndigheten kan bidra med får anses medföra ett betyd- ligt större rättighetsskydd. Viljan att belysa brister i tillståndet till men för andra intressen än verksamhetens får antas vara lägre hos den verkställande myndigheten än hos tillsynsmyndigheten. I vissa fall kan det visa sig att ett tillstånd inte är proportionerligt först efter att det börjat tillämpas. Så kan exempelvis vara fallet då det rör sig om att tillämpa ny teknik eller nya metoder.

Generellt har en kontradiktorisk process stora fördelar i förhål- lande till ett rent ansökningsförfarande. En motpart som företräder andra intressen än sökanden berikar både det material som domstolen ska ta ställning till och den rättsliga diskussionen. Det finns goda skäl ge även en röst till samhällsintressen som indirekt eller direkt står i motsatsförhållande till de intressen som föranleder ansök- ningen. Ett offentligt ombud kan ges ett tydligt intresse att bevaka

636

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

i processen, vilket inte på samma sätt låter sig göras för en annan myndighet under regeringen. Det går dock inte att bortse från skill- naden i styrkeförhållanden mellan den ansökande myndigheten och en representant för allmänheten, som ofta utgörs av en pensionerad domare eller advokat. För att bedöma en ansökan om framtagning och på ett relevant sätt lämna synpunkter på den kommer det ofta att krävas ett inte obetydligt mått av tekniskt kunnande.

Tillståndsförfarandet syftar bland annat till att möjliggöra och samtidigt kontrollera införandet av ny teknik som skulle kunna ut- göra en fri- och rättighetsrisk. Det pågår en mycket snabb och svår- bedömd teknisk utveckling inom detta område. Det finns en risk att en allmän juridisk skicklighet inte längre är tillräcklig för att kunna göra välavvägda bedömningar i de frågor som avhandlas i en ansökan om tillstånd. Den specialistkunskap som kommer krävas inom detta specifika område är ovanlig och svårrekryterad.

Vår bedömning är att de farhågor som tidigare angetts angående offentliga ombud kan sägas vara särskilt framträdande i den process

vinu reglerar. Ombudet riskerar att vara i händerna på sökanden och kan få allt svårare att överblicka de komplexa juridiska och tek- niska aspekterna som ansökan avser. Ett ombud bör också komplet- tera domstolens kompetens på något sätt, vilket i dagsläget kan vara svårt att se.

Alternativet med att låta den särskilda tillsynsmyndigheten, Säkerhets- och integritetsskyddsnämnden, ha en del i tillståndspro- cessen är enligt oss att föredra. Även Integritetsskyddsmyndigheten skulle kunna ha denna roll. Av de båda tillsynsmyndigheterna är det dock nämnden som har mest erfarenhet och kunskap inom Säker- hetspolisens verksamhetsområde.

Att föra in en annan myndighet i processen har som nämnts inte den fördelen att processen får det kontradiktoriska momentet att parterna kan sägas representera motsatta intressen. Däremot kan den särskilda tillsynsmyndigheten bevaka att lagens syften upprätthålls. Säpodatalagen syftar, vilket vi redogör för i avsnitt 8.1.1, till att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhets- polisen kan behandla personuppgifter på ett ändamålsenligt sätt. Tillsynsmyndigheten kommer av naturliga skäl i första hand att ha anledning att bevaka det förstnämnda syftet.

637

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Säkerhets- och integritetsskyddsnämnden har bland annat i upp- gift att ur ett rättssäkerhets- och integritetsskyddsperspektiv utöva tillsyn över viss brottsbekämpande verksamhet. Det är en myndig- het under regeringen men med en särskild parlamentarisk anknyt- ning. Nämndens ledamöter utses av regeringen efter nominering från riksdagens partigrupper. Att det är nämnden som agerar i pro- cessen kan, enligt vårt tycke, utgöra en lämplig ersättare för den roll som ett offentligt ombud spelar. Säkerhets- och integritetsskydds- nämndens ledamöter utgörs till största del av representanter för allmänheten.

Säkerhets- och integritetsskyddsnämnden ska yttra sig i processen

Det framstår inte som lämpligt att Säkerhets- och integritetsskydds- nämnden ska vara motpart i processen. Nämnden har inte något eget intresse i saken och kommer därför inte kunna vidta några rättshand- lingar för egen del. Detsamma gäller för integritetsskyddsombuden.

Ett integritetsskyddsombud har, enligt 5 § lag om Försvarsunder- rättelsedomstol rätt att ta del av det som förekommer i målet och att yttra sig.

Det är lämpligt att Säkerhets- och integritetsskyddsnämnden ska ha motsvarande ställning i processen.

Bestämmelserna om integritetsskyddsombud ska endast gälla mål om signalspaning.

Eftersom den särskilda tillsynsmyndigheten ska yttra sig i proces- sen finns inte tillräckliga skäl att även använda ett integritetsskydds- ombud. Det ska därför anges i lagen om Försvarsunderrättelsedom- stol att integritetsskyddsombud endast ska användas i mål som rör signalspaning. Detta förslag till lagändring har även lämnats i det tidigare nämnda utkastet till lagrådsremiss, Datalagring och tillgång till elektronisk information.

638

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.8.5Sekretessfrågor i samband med att nämnden uppträder i domstol

Förslag: Det ska införas bestämmelser om överföring av sekre- tess i samband med att nämnden uppträder i domstol.

En sekretessbrytande bestämmelse för uppgifter som behövs för domstolens prövning av en tillståndsfråga ska införas i offent- lighets- och sekretesslagen.

Sekretess hos Säkerhets- och integritetsskyddsnämnden

Sekretess hos Säkerhets- och integritetsskyddsnämnden regleras särskilt i 42 kap. 5–8 §§ offentlighets- och sekretesslagen. Sekretess- bestämmelserna där avser nämndens tillsynsverksamhet enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

När nämnden får en sekretessreglerad uppgift från en myndig- het i sin tillsynsverksamhet gäller, enligt 42 kap. 8 § offentlighets- och sekretesslagen, att sekretessbestämmelsen blir tillämplig på upp- giften även hos nämnden. I 42 kap. 6 och 7 §§ finns bestämmelser om vad som gäller för uppgifter som nämnden fått från en enskild respektive uppgift som lämnats till nämnden från en utländsk myn- dighet eller en mellanfolklig organisation.

Beträffande uppgifter som nämnden fått del av och som inte kan hänföras till tillsynsverksamheten kan emellertid andra bestämmel- ser om sekretess vara tillämpliga. Den så kallade underrättelsesekre- tessen i 18 kap. 2 § offentlighets- och sekretesslagen gäller för upp- gift som hänför sig till vissa utpekade verksamheter, vilket innebär att sekretessen följer med uppgiften när den överlämnas till en annan myndighet.20 Utrikessekretessen och försvarssekretessen enligt

15kap. 1–2 §§ offentlighets- och sekretesslagen gäller generellt hos alla myndigheter där uppgiften förekommer.

20Se prop. 2023/24:117 s. 158–159.

639

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Sekretess för uppgifter som nämnden tar del av i domstol

I tillståndsprocessen kommer i många uppgifter att omfattas av under- rättelsesekretess enligt 18 kap. 2 § offentlighets- och sekretesslagen, som gäller för uppgiften även hos nämnden. Det kan dock inte ute- slutas att även uppgifter som omfattas av någon annan sekretessbe- stämmelse kan förekomma vid sammanträde eller i ansökan.

Eftersom det kan vara otydligt vad som gäller för sekretessbe- lagda uppgifter som förekommer i mål om framtagning bör detta särskilt regleras. I likhet med vad som gäller sekretessreglerade upp- gifter i tillsynsverksamheten bör sekundär sekretess gälla för alla sekretessreglerade uppgifter som förekommit i mål om framtag- ning. Detta bör regleras särskilt i 42 kap. offentlighets- och sekre- tesslagen.

Sekretessbrytande bestämmelse för yttrande till domstolen

Ett av skälen till att den särskilda tillsynsmyndigheten ska få en ställ- ning i processen är att myndigheten har kunskap om förhållanden och som domstolen kan behöva för sin prövning. Särskilt om sådant som har framkommit vid nämndens tillsyn, men som inte annars skulle utgöra en del av utredningen i målet. Det kan exempelvis handla om frågor som rör granskning av tidigare tillstånd där samma tek- nik för framtagning använts, eller myndighetens bedömning av hur känsliga de uppgifter som tagits fram har varit.

Får nämnden i sin tillsynsverksamhet en sekretessreglerad upp- gift från en myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos nämnden. Får nämnden en uppgift från en en- skild och skulle en sekretessbestämmelse till skydd för enskilds per- sonliga förhållanden ha varit tillämplig på uppgiften hos den myn- dighet som ärendet får anses avse, blir den sekretessbestämmelsen tillämplig på uppgiften även hos nämnden. Detsamma gäller, för alla sekretessbelagda uppgifter, som nämnden får från en utländsk myndighet eller mellanfolklig organisation.

Sekretessen som gäller för uppgift hos nämnden gäller även i förhållande till domstolen.

Ett skäl för att Säkerhets- och integritetsskyddsnämnden före- slås yttra sig under tillståndsprocessen i domstolen är att nämnden ska kunna berika processen med andra uppgifter än sådant som sökan-

640

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

den åberopar och som nämnden tagit del av genom sin tillsyns- verksamhet eller på annat sätt. Eftersom domstolen och nämnden utgör två delar av samma tillsynssystem bör inte sekretess hindra att de uppgifter som behövs ska kunna lämnas till domstolen. Ett skaderekvisit i en sekretessbestämmelse kan i vissa fall hindra att nämnden lämnar uppgifter till domstolen.

Vi föreslår därför att det ska införas en sekretessbrytande bestäm- melse mellan den särskilda tillsynsmyndigheten och Försvarsunder- rättelsedomstolen för uppgifter som lämnas till domstolen under processen. Bestämmelsen bör gälla generellt, det vill säga att sekretess som gäller för en uppgift hos nämnden inte ska hindra att den lämnas till domstolen i ett mål om framtagning. Det bör varken ställas krav på att uppgiften ska vara nödvändig för domstolens prövning av målet eller att utlämnandet ska vara nödvändig för att nämnden ska kunna utföra sina uppgifter. Sådana hinder skulle annars kunna innebära att uppgifter som är viktiga för domstolens förståelse för verksam- heten, som tillstånden reglerar inte fritt skulle kunna lämnas.

Då måste sekretessgenombrottet regleras i offentlighets- och sekretesslagen och inte som en uppgiftsskyldighet i processbestäm- melserna. Bestämmelsen bör införas i anslutning till den ovan före- slagna bestämmelsen om överförd sekretess för uppgifter som lämnas i mål om framtagning.

Vi anser inte att det finns några principiella skäl för att uppgifter som nämnden har tillgång till och som omfattas av sekretess till skydd för allmänna intressen inte ska kunna lämnas till domstolen. Däremot bör den sekretessbrytande bestämmelsen inte omfatta uppgifter till skydd för enskildas personliga eller ekonomiska för- hållanden.

9.8.6Sammanträde

Förslag: Ansökningar ska prövas efter sammanträde dit Säker- hetspolisen och Säkerhets- och integritetsskyddsnämnden ska kallas.

Som huvudregel ska sammanträdet inte vara offentligt.

641

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Sammanträde ger det bästa och säkraste underlaget inför en prövning

De principer om muntlighet, omedelbarhet och koncentration som ligger till grund för rättegångsbalkens regler om huvudförhandling gäller inte förvaltningsprocessen där ett skriftligt förfarande utgör huvudregeln. När lagen om Försvarsunderrättelsedomstol infördes gjordes bedömningen att ett sammanträde skulle gynna en effektiv handläggning och ge en förutsättning för ett meningsfullt yttrande från integritetsskyddsombudet. Det infördes därför särskilda regler för sammanträden avseende mål som rör tillstånd till signalspaning. I 12 § lagen om Försvarsunderrättelsedomstol anges bland annat att domstolen ska hålla sammanträde.

Vi anser att motsvarande regler som gäller för tillstånd till signal- spaning bör införas för tillstånd till framtagning. Domstolen bör därför hålla sammanträde dit Säkerhetspolisen och den särskilda tillsynsmyndigheten ska kallas.

Huvudregeln om förhandlingsoffentligheten ska inte gälla

I 2 kap. 11 § andra stycket regeringsformen anges att förhandling vid domstol ska vara offentlig. Denna grundprincip kommer till uttryck i 5 kap. 1 § första stycket rättegångsbalken, som även enligt 16 § förvaltningsprocesslagen (1971:291) gäller för mål som hand- läggs enligt den lagen. Från grundprincipen kan göras undantag om det kan antas att det vid förhandlingen kommer att förebringas upp- gift som omfattas av sekretess.

Rättegångsbalkens bestämmelser om offentlighet är inte direkt tillämpliga på specialdomstolarna. Då Försvarsunderrättelsedom- stolen inrättades framfördes att det vid sammanträde regelmässigt kommer att läggas fram uppgifter som omfattas av sekretess enligt 15 kap. 1 och 2 §§ offentlighets- och sekretesslagen. Dessutom ansåg regeringen att det kunde finnas behov av att låta sekretessen omfatta också uppgifter om vilka företrädare för signalspaningsmyndigheten och biträden från inriktande myndigheter som är närvarande vid sammanträdet. Sådan information kan i annat fall användas för att kartlägga nyckelpersoner inom svensk underrättelseverksamhet.21

21Prop. 2008/09:201 s. 76.

642

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Regeringen ansåg trots detta att den grundläggande principen om förhandlingsoffentlighet skulle gälla, men med utökade möjlig- heter till undantag. För att kunna säkerställa skyddet för sekretess- belagda uppgifter infördes därför en möjlighet för rättens ordförande att besluta att en förhandling ska hållas inom stängda dörrar, om det kan antas att det vid förhandlingen kommer att läggas fram en uppgift, för vilken det hos domstolen gäller sekretess. Regeringen framhöll att när det vid Försvarsunderrättelsedomstolen framläggs uppgifter som omfattas av sekretess är det sällan möjligt att hålla någon del av förhandlingen offentlig.

Den information vi fått till oss är att det aldrig hållits en förhand- ling vid Försvarsunderrättelsedomstolen där huvudregeln om för- handlingsoffentlighet har tillämpats. De skäl som talar för att tillämpa undantagsregeln om stängda dörrar framstår som lika starka i de mål som kommer röra Säkerhetspolisens ansökningar om framtagning. Det framstår därför som missvisande att föreskriva att förhandlingar ska vara offentliga när de i praktiken inte är det. Huvudregeln om för- handlingsoffentlighet bör därför inte gälla mål som rör framtagning. Däremot bör domstolen ha möjlighet att förordna om att förhand- lingen, helt eller delvis ska vara offentlig, om det står klart att det inte kommer läggas fram några uppgifter som omfattas av sekretess.

9.8.7Tillståndets innehåll

Förslag: Domstolens avgörande i sak ska ske genom dom där det ska anges

1.från vilka kategorier av uppgifter och från vilken typ av källor som framtagning får ske,

2.de sökbegrepp, kategorier av sökbegrepp eller andra urvals- kriterier som får användas vid framtagning samt, om det finns skäl, med vilken teknik urvalet får ske,

3.vilken tid tillståndet gäller,

4.de villkor i övrigt som behövs för att begränsa intrånget i enskilda eller allmänna intressen samt för att möjliggöra en effektiv tillsyn, och

5.de skäl som bestämt utgången.

643

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Tillstånd genom dom

En domstol bör avgöra saken som är föremål för prövning genom dom. En bestämmelse med det innehållet bör därför införas. Det motsvarar den praxis som gäller vid Försvarsunderrättelsedomsto- len i mål som rör signalspaning.

Utformningen av tillståndet syftar till att klargöra hur och vilka personuppgifter Säkerhetspolisen får ta fram ur en särskild uppgifts- samling. Tillståndet ska även möjliggöra tillsyn över lagen.

Den formalia som ska anges för ett tillstånd ska motsvara det som krävs för att uppnå dessa syften. Vi har i avsnitt 9.8.2 redo- gjort för vad som ska framgå av en ansökan. Motsvarande uppgifter ska framgå av en dom.

Uppgiftsminimering

När det gäller kategorier och källor som en framtagning ska ske från är det skillnad på vilket material som ska genomsökas och på det material som ska få tas fram. Begränsningen av vilka personupp- gifter som ska tas fram har att göra med hur sökresultatet ska kon- textualiseras. Om exempelvis sökning görs med en viss selektor i en källa som innehåller textmeddelanden från ett it-beslag, är det sällan tillräckligt att få fram att just denna selektor förekommer. Träffen i sig är inte det mest intressanta, utan det sammanhang som den före- kommer i. Samtidigt kan inte en sökträff medge framtagning av en alltför stor informationsmängd.

De kategorier och de sökbegrepp som ska tillåtas måste sträva efter en framtagning som är adekvat, relevant och inte för omfattande i förhållande till ändamålet. Hur ett tillstånd ska utformas för att uppnå detta är en fråga för rättstillämpningen.

Särskilda villkor

Det bör anges att domstolen även kan föreskriva särskilda villkor. Det kan handla om villkor som behövs för att begränsa intrånget i fri- och rättigheter exempelvis genom att inskränka de uppgifter som får tas fram på olika sätt. Att det i tillstånd är möjligt att före- skriva särskilda villkor är en allmän förvaltningsrättslig princip och

644

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

kräver inte lagstöd så länge villkoren ligger inom ramen för de syf- ten som ska tillgodoses genom tillståndsgivningen.22

Det finns dock skäl att särskilt upplysa om att villkor utgör en del av tillståndsgivningen för framtagning. Villkor kan användas för att begränsa intrånget i de registrerades fri- och rättigheter men även föreskrivas i tillsynsmyndighetens intresse.

Villkor ska därför kunna begränsa exempelvis hur ett tillstånd får användas och förhindra ändamålsglidning. Det ska också kunna röra sig om ett villkor som behövs för att efterlevnaden av tillståndet ska kunna granskas i efterhand, exempelvis krav på särskild loggning av sökningar eller bevarande av uppgifter under tid för att tillsyns- myndigheten ska kunna ta del av utfallet av en framtagning.

Tidsgräns

Vi har i avsnitt 9.7.1 redogjort för skälen till att ett tillstånd ska vara tidsbegränsat. Det finns skäl att särskilt beakta att nya tillstånd kan behöva omprövas efter kortare tid än sådana framtagningar som sker för rutinmässiga ändamål.

9.8.8Ändring av tillstånd

Förslag: Domstolen ska kunna ändra vad som föreskrivits i tillstånd.

Skälen för förslaget

Ett tillstånd till framtagning kan behöva omprövas under tiden till- ståndet löper. Det kan exempelvis handla om att något sökbegrepp måste justeras eller att det uppmärksammats något fel i samband med att en ansökan prövas som även har bäring på andra tillstånd. För att förhindra att ett tillstånd endast kan ändras genom en helt ny ansökan, bör domstolen kunna besluta om ändring.

I enklare fall bör rätten kunna bestå av en ordförande ensam.

22HFD 2020 ref. 18 p. 26 och 30.

645

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.9Interimistiskt beslut om framtagning

9.9.1Behovet av att kunna agera i kris

I 5 b § signalspaningslagen finns bestämmelser om brådskande för- farande. Om det kan befaras att inhämtande av Försvarsunderrättelse- domstolens tillstånd skulle medföra fördröjning eller annan olägen- het av väsentlig betydelse får tillstånd till signalspaningen ges av den befattningshavare vid signalspaningsmyndigheten som reger- ingen föreskriver.

Om tillstånd har lämnats ska åtgärden genast anmälas skriftligen till Försvarsunderrättelsedomstolen. I anmälan ska skälen för åtgär- den anges. Försvarsunderrättelsedomstolen ska skyndsamt pröva ärendet och, om den finner att det inte finns skäl för åtgärden, upp- häva eller ändra beslutet. Om Försvarsunderrättelsedomstolen ändrar ett brådskande beslut ska även sådan upptagning eller uppteckning av uppgifter som kan hänföras till ändringen omgående förstöras i den utsträckning upptagningen eller uppteckningen kan hänföras till ändringen.

Den särskilda bestämmelsen om brådskande fall av signalspaning avser att möjliggöra inhämtning om det föreligger plötsliga hot mot rikets säkerhet som en från utlandet härrörande omedelbart före- stående terroristattack i Sverige eller ett akut hot mot svensk trupp utomlands.23

Nyligen har Utredningen om översyn av lagen om signalspaning i försvarsunderrättelseverksamhet överlämnat sitt slutbetänkande till regeringen, Signalspaning i försvarsunderrättelseverksamhet – en modern och ändamålsenlig lagstiftning (SOU 2024:59). Där föreslås att för- budet mot signalspaning av signaler där både mottagare och avsändare befinner sig i landet ska förses med ett undantag. Enligt förslaget ska förbudet mot inhämtning av inhemsk trafik inte tillämpas i sådana brådskande situationer som innebär fara för människors liv eller hälsa eller för omfattande förstörelse av egendom. Den situation som avses med undantaget ska gälla försvarsunderrättelseverksam- het, innefattande kartläggning av strategiska förhållanden avseende bland annat internationell terrorism och annan grov gränsöverskri- dande brottslighet som kan hota väsentliga nationella intressen.

23Prop. 2006/07:63 s. 101.

646

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Undantaget är motiverat utifrån behovet av en ventil som kan användas vid nödliknande situationer. Utredningen ansåg att det handlar om en sådan situation där tjänstemän vid signalspanings- myndigheten antingen måste följa signalspaningslagstiftningen och då riskera människors liv eller att agera i strid med lagen. En annan aspekt som lyftes av utredningen är att allmänhetens förtroende för statens förmåga att skydda befolkningen skulle kunna påverkas nega- tivt om det skulle bli känt att till exempel ett terroristattentat hade kunnat förhindras och människoliv räddas.24 Undantaget från inhemsk signalspaning kräver tillstånd från Försvarsunderrättelsedomstolen. Med hänsyn till rekvisiten för att undantaget ska vara tillämpligt får det dock förutsättas att det interimistiska tillstånd som beskrivits ovan kommer att tillämpas parallellt med undantaget i de flesta fall.

I Sverige saknas generella bestämmelser om konstitutionell nöd. Det är därför nödvändigt att överväga om det finns behov av att, likt det nuvarande regelverket för signalspaning, införa särskilda regler för nödliknande situationer. Vi anser att det finns goda skäl att i Säkerhetspolisen verksamhet möjliggöra en effektiv informa- tionshantering i krissituationer. När vi nu inför ett tillståndsförfa- rande, som med nödvändighet kräver viss tidsutdräkt, finns skäl att införa en möjlighet att i brådskande fall kunna göra framtagningar utan domstolens tillstånd.

9.9.2Framtagning ska få ske utan domstolens tillstånd i vissa fall

Förslag: Om det kan befaras att ett inhämtande av domstolens tillstånd skulle medföra en fördröjning eller annan olägenhet som är av väsentlig betydelse för att avvärja en omedelbart före- stående fara för människors liv eller hälsa eller omfattande för- störelse av egendom, bör framtagning kunna ske utan domstolens tillstånd.

24SOU 2024:59 s. 167.

647

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Skälen för förslaget

Vi anser att det finns behov av att kunna använda den förmåga som vårt förslag innebär i kris, exempelvis om det krävs för att avvärja en överhängande risk för ett terroristattentat. Det finns anledning att formulera bestämmelsen efter förlaga från det som gäller för signal- spaning i brådskande situationer och det som föreslås avseende undan- tag för inhemsk inhämtning.

Vi anser att det inte finns anledning att ge en möjlighet till inte- rimistiska tillstånd i andra fall än då människoliv är i fara eller det finns risk för omfattande förstörelse av egendom. Givetvis måste situationen även vara så tidskritisk att ett tillstånd inte kan avvaktas.

Vi anser därför att reglerna ska utgå från att inhämtande av dom- stolens tillstånd skulle medföra en fördröjning eller annan olägen- het som är av väsentlig betydelse för ändamålet med framtagningen. Det motsvarar rekvisiten för interimistiskt beslut enligt 5 b § signal- spaningslagen. Ändamålet för framtagningen anser vi ska vara begrän- sat till de fall som avser en omedelbart förestående fara för männi- skors liv eller hälsa eller omfattande förstörelse av egendom. Detta krav motsvaras av det förslag om en ny 2 b § signalspaningslagen som lämnats i SOU 2024:59.

9.9.3Tillstånd i brådskande fall

Förslag: Av regeringen utpekade befattningshavare vid Säker- hetspolisen ska kunna lämna tillstånd i brådskande fall.

Särskilt utpekade befattningshavare vid Säkerhetspolisen ska kunna lämna tillstånd till framtagning i vissa fall

I likhet med vad som gäller i fråga om signalspaning enligt signal- spaningslagen bör ett undantag från den generella tillståndsplikten inte beslutas av de tjänstemän som arbetar direkt i den verksamhet där behovet uppmärksammats. Det bör endast komma i fråga att undantaget från domstolsprövning beslutas av högre tjänstemän i myndighetsledningen. Beslutet fattas under enskilt tjänsteansvar.

Regeringen bör föreskriva om de befattningshavare vid myndig- heten som är behöriga att fatta beslut.

648

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Ett interimistiskt beslut bör utformas med samma krav som gäller för tillstånd meddelat av domstol

För signalspaning gäller att ett beslut i brådskande fall (enligt 5 b § signalspaningslagen) ska utformas med samma krav som gäller för ett tillstånd som meddelats av domstol. Detsamma bör gälla för be- slut om interimistisk framtagning.

Det innebär att ett beslut om tillstånd ska uppfylla samma krav som vid redogjort för i avsnitt 9.7 och utformas som en tillstånds- dom, se avsnitt 9.8.6.

9.9.4Ett beslut om tillstånd till framtagning ska anmälas till domstolen

Förslag: Ett beslut om framtagning ska anmälas till domstolen och anses vara en ansökan om framtagning med samma innehåll.

Domstolen ska ha möjlighet att inhibera beslutet och besluta att framtagna personuppgifter inte längre får behandlas.

Den särskilda tillsynsmyndigheten ska underrättas om ett beslut om framtagning.

Ett beslut ska prövas av domstol

Då ett beslut om brådskande signalspaning fattas enligt 5 b § signal- spaningslagen ska åtgärden genast anmälas skriftligen till Försvars- underrättelsedomstolen. Domstolen ska skyndsamt pröva ärendet och, om den finner att det inte finns skäl för åtgärden, upphäva eller ändra beslutet. Om domstolen anser att beslutet varit felaktigt, ska de uppgifter som inhämtats omgående förstöras.

Det finns behov av liknande regler i den lag vi föreslår. Beslutet om framtagning bör därför anmälas till domstolen. En anmälan ska utgöra en ansökan om framtagning, med samma innehåll som det interimistiska beslutet. Samma processregler ska gälla för att pröva denna ansökan, vilket bland annat innebär att det som huvudregel ska hållas ett sammanträde.

En sådan prövning bör ske skyndsamt. Eftersom det inte alltid är möjligt att sammankalla en fullsutten rätt tillräckligt snabbt bör särskilda regler införas för att det även i en brådskande situation

649

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

ska finnas möjlighet att upprätthålla skyddet av grundläggande fri- och rättigheter i lagen. Domstolen bör därför ges befogenheter att inhibera beslutet. För att en sådan inhibition ska vara verksam bör det även omfatta ett förbud mot att fortsätta att behandla de upp- gifter som tagits fram med stöd av beslutet. Sådana beslut bör kunna fattas av en ordförande ensam.

När ett anmält beslut ska avgöras slutligt bör frågan handläggas på samma sätt som ett tillstånd, särskilt avseende den särskilda till- synsmyndighetens yttrande. Om domstolen, efter den slutliga pröv- ningen, anser att beslutet varit felaktigt bör det finnas en möjlighet att besluta om att alla de personuppgifter som tagits fram omedel- bart ska raderas.

Följden av att ett beslut inte underställs i rätt tid

Om ett beslut om interimistisk framtagning inte anmälts i rätt tid, kan det få konsekvenser för de befattningshavare eller tjänstemän vid myndigheten som är ansvariga för åtgärden. Det bör dock även finnas en regel som tydligt anger vad den formella bristen att inte anmäla ett beslut i tid får för konsekvenser för de registrerade.

Framtagningar som sker utan tillstånd har vi bedömt vara oför- enliga med det grundläggande skyddet för personuppgifter. Därför bör ett beslut som inte anmälts i tid inte få ligga till grund för fram- tagningar och de uppgifter som tagits fram med stöd av ett sådant beslut ska inte få behandlas.

Den särskilda tillsynsmyndigheten ska underrättas om beslutet

För att den särskilda tillsynsmyndigheten ska ha möjlighet att i efter- hand granska förfarandet kring ett interimistiskt beslut måste den ha kännedom om det. En underrättelseskyldighet underlättar sanno- likt även myndighetens inställelse och yttrande under prövningen

i domstolen. Det bör därför införas en underrättelseskyldighet i förhållande till den särskilda tillsynsmyndigheten i anslutning till att ett interimistiskt beslut har fattats.

650

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.10Hur ska framtagna uppgifter få användas?

9.10.1Framtagna uppgifter ska uppfylla kraven i säpodatalagen för att få användas

Bedömning: Tillståndsgiven framtagning ska betraktas som in- ledande behandling enligt säpodatalagen.

Fortsatt behandling sker med stöd av säpodatalagen vilket innebär att framtagna uppgifter ska undergå inledande gransk- ning innan de får behandlas för andra ändamål.

När ska behandling av personuppgifter övergå till att behandlas med stöd säpodatalagen?

På det sätt som särskilda uppgiftssamlingar är definierade kommer en framtagen uppgift inte längre omfattas av det begreppet. En särskild uppgiftssamling innebär att åtkomsten till uppgifterna är begränsad genom tekniska eller organisatoriska åtgärder och inte får tas fram utan tillstånd.

Efter att tillstånd medgetts och en uppgift tagits fram är uppgiften följaktligen inte längre en del av en särskild uppgiftssamling. Efter- som vi föreslår att lagens tillämpningsområde ska begränsas till upp- gifter som är registrerade i särskilda uppgiftssamlingar, kommer framtagna uppgifter inte längre att omfattas av lagen om särskilda uppgiftssamlingar som vi här föreslår.

En framtagning som medges för brottsbekämpande ändamål

kommer innebära att fortsatt behandling för det ändamålet ska ske enligt säpodatalagen. Detta är den avsedda effekten och kräver alltså ingen lagreglering.

Framtagning är inledande behandling enligt säpodatalagen

Vi har i avsnitt 8.6 föreslagit att säpodatalagen ska innehålla särskilda regler för inledande behandling. Trots att inledande behandling även föregått uppgifternas registrering i en särskild uppgiftssamling anser vi att framtagning ska utgöra sådan inledande behandling, se avsnitt 8.12.6.

651

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Eftersom denna lag innehåller kompletterande bestämmelser till säpodatalagen ersätter tillståndet de förutsättningar som annars gäller för inledande behandling. Om framtagningen behövs för det ända- mål som angetts i tillståndet krävs inte någon särskild prövning av om en framtagning även uppfyller kraven på att vara befogade för ett ändamål enligt säpodatalagen.

Ett interimistiskt beslut om framtagning kan kombineras med ett undantag från inledande granskning

I avsnitt 9.9 har vi föreslagit regler för interimistiska beslut om fram- tagning. I avsnitt 8.12.5 har vi därutöver föreslagit möjligheten att fatta beslut om undantag från kravet på inledande granskning.

Kraven är inte likalydande, en interimistisk framtagning får endast ske om det är av väsentlig betydelse för att avvärja en omedelbart förestående fara för människors liv eller hälsa eller omfattande för- störelse av egendom. Undantaget från granskningskravet får ske när det är absolut nödvändigt för att fullgöra en uppgift av synnerlig vikt. Granskningsundantaget är inte begränsat till fall som avser att avvärja allvarliga våldsbrott och liknande.

Det bör påpekas att undantagen är omgärdade av krav på omedel- bar anmälan till den särskilda tillsynsmyndigheten och att de är tids- begränsade. För framtagning enligt den här föreslagna lagen krävs också att beslutet anmäls till domstolen. Undantagssituationerna i de båda lagarna innebär inte heller tillsammans att kravet på exem- pelvis ändamål och proportionalitet efterges.

Vi bedömer att Säkerhetspolisen ska ha förmåga att agera effek- tivt i kris och att det ska finnas reglering som medger ett sådant agerande. De undantagsregler som vi föreslagit i de båda lagstift- ningarna är både nödvändiga för att i ett demokratiskt samhälle skydda nationell säkerhet och proportionerliga i förhållande till detta syfte.

652

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

9.10.2Framtagna uppgifter ska inte få användas i en förundersökning

Förslag: Uppgifter som tagits fram från en särskild uppgiftssam- ling ska inte få användas för att utreda brott.

Ett tillägg med den betydelsen ska göras i lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott.

Avvägning mellan rättssäkerhet och effektiv brottsbekämpning

Genom den här föreslagna lagstiftningen görs omfattande undan- tag från de principer som det europarättsliga dataskyddet vilar på. Många av de personer som registreras och vars uppgifter behandlas enligt denna lag kommer inte ha någon koppling till brottslig verk- samhet eller till någon annan grund som Säkerhetspolisen normalt får åberopa för personuppgiftsbehandling. Vi har intagit ställningen att stora informationsmängder, oavsett om de handlar om öppen information som kan hämtas exempelvis från sociala medier eller om det rör sig om förtrolig kommunikation som avlyssnats i hem- lighet, i dessa fall bör hanteras enligt samma grundläggande principer. Avgörande för intrånget är inte källan till informationen utan den sammanlagda mängden av information som behandlas och kan kom- bineras.

I Sverige har Säkerhetspolisen ett dubbelt uppdrag. Säkerhets- polisen är en säkerhetstjänst som bedriver polisverksamhet, vilket i västvärlden är relativt ovanligt. Denna dubbla roll medför att upp- gifter som behandlas inom myndighetens underrättelseverksamhet normalt sett kan leda till att en förundersökning inleds, med straff- processuella befogenheter.

I andra länder finns en rättstradition som tar avstånd från att ge myndigheter med polisiära befogenheter tillgång även till omfattande befogenheter i underrättelseverksamheten. Skälet är bland annat att undvika att en alltför omfattande maktkoncentration inom en och samma organisation. Vid sidan av denna aspekt, som inte har samma stöd i den nordiska rättstraditionen, finns betänkligheter angående den grundläggande rättsstatliga principen om rätten till en rättvis rättegång för de som blir föremål för en förundersökning där till-

653

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

ståndspliktig personuppgiftsbehandling utgör avgörande bevisning mot honom eller henne.

Mot dessa förbehåll av mer principiell natur står behovet av effek- tiva verktyg för att skydda nationell säkerhet och de grundläggande fri och rättigheterna i Sverige. Om det exempelvis finns informa- tion om ett nära förestående brott kan en användningsbegränsning innebära att myndigheter inte får förhindra brottet, trots att det funnits möjlighet till det. Det finns en stark förväntan om att Säker- hetspolisen effektivt ska kunna utreda och lagföra personer som begår allvarliga brott riktade mot Sveriges säkerhet eller terrorist- brott. Europadomstolen har också slagit fast att medlemsstaterna har positiva skyldigheter att utreda brott. Bland annat innebär det att materiella och processuella bestämmelser ska möjliggöra en effek- tiv brottsbekämpning genom utredning och lagföring av personer. Enligt Europadomstolen ska en avvägning göras mellan de olika intressena och rättigheterna som ska skyddas. Integritetsintresset ska inte självklart ska ha företräde gentemot intresset av att utreda brott.25

Underrättelser från FRA får inte användas i förundersökning

Det har tidigare gjorts överväganden om information från signal- spaning ska få användas vid brottsutredningar. Som en följd av dessa överväganden gäller numera ett förbud mot att använda sådan infor- mation för att utreda brott. Som en bakgrund till våra överväganden finns skäl att något redogöra för dessa regler.

Säkerhetspolisen och Nationella operativa avdelningen i Polis- myndigheten har möjlighet att inrikta signalspaning i försvarsunder- rättelseverksamhet.

Försvarsunderrättelseverksamhet ska, enligt lagen (2000:130) om försvarsunderrättelseverksamhet, bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartlägg- ning av yttre hot mot landet. I denna verksamhet får det inte vidtas åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för Polismyndighetens, Säkerhets-

25Se Europadomstolens domar, i mål 23452/94 den 28 oktober 1998, Osman mot Förenade kungariket, p. 115–116, i mål 39272/98, den 4 mars 2004, M.C. mot Bulgarien, p. 151, i mål 59320/00, den 24 juni 2004, Von Hannover mot Tyskland, p. 57–58 samt i mål 2872/02, den

2december 2008, K.U. mot Finland, p. 46.

654

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

polisens och andra myndigheters brottsbekämpande och brotts- förebyggande verksamhet.

Signalspaning får ske endast i försvarsunderrättelseverksamhet. Enligt 1 § signalspaningslagen, begränsas även möjligheten till signal- spaning till kartläggning av vissa uppräknade företeelser, bland dem strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga natio- nella intressen, utveckling och spridning av massförstörelsevapen och främmande underrättelseverksamhet mot svenska intressen.

Eftersom signalspaning endast får ske för försvarsunderrättelse- ändamål, och inte för att bekämpa brott, måste inriktningen ske för utrikes- eller säkerhetspolitiska behov. Försvarsunderrättelseverk- samheten får dessutom inte utövas på ett sådant sätt att den inrym- mer polisiära befogenheter såsom förundersökningsåtgärder. Skälet till det är att det inte ska vara möjligt att kringgå de regler som om- gärdar straffprocessuella tvångsmedel genom att inhämta samma information i försvarsunderrättelseverksamheten. Säkerhetspolisen inriktar signalspaning för strategisk underrättelseinhämtning i syfte att bland annat förebygga och förhindra bland annat terrorism och brott mot rikets säkerhet, som utgör direkta hot mot Sverige och det svenska samhället samt för att kunna motverka spridning av massförstörelsevapen.

När FRA rapporterar underrättelser till Säkerhetspolisen och Polismyndigheten kan dessa innehålla information som innebär kon- kreta brottsmisstankar. I dessa fall är myndigheterna enligt huvud- regeln skyldiga att inleda förundersökning. Förbudet mot att använda försvarsunderrättelser inom brottsbekämpningen innebar att FRA tidigare inte kunde fortsätta rapportera när en förundersökning in- letts. För att motverka att uppgifter som är av relevans för Polis- myndigheten och Säkerhetspolisens underrättelseverksamhet inte kunde rapporteras infördes den särskilda lagen (2019:547) om för- bud mot användning av vissa uppgifter för att utreda brott. Av den framgår att uppgifter i underrättelser som Försvarets radioanstalt rapporterat till en annan myndighet i enlighet med lagen (2000:130) om försvarsunderrättelseverksamhet inte får användas för att ut- reda brott.

Att personuppgifter behandlas för brottsutredande ändamål har i vissa sammanhang ansett utgöra ett större intrång i den personliga

655

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

integriteten än behandling för andra ändamål.26 Det är ett skäl till att signalspaning även i de flesta andra europeiska länder förbehålls underrättelseverksamhet. Integritetsintrånget anses i de flesta fall för stort om sådana metoder även kan användas polisiärt. Det journa- listiska källskyddet och andra viktiga yttrandefrihetsprinciper kan komma att påverkas i högre grad om sådana uppgifter tillåts leda till åtal.

Allmänt om behovet av att använda uppgifter som tagits fram i en förundersökning.

Som tidigare nämnts avvärjer Säkerhetspolisen ofta brottslig verk- samhet innan några åtalbara gärningar hunnit begås (se avsnitt 3.3.2). Detta innebär att Säkerhetspolisen brottsutredande verksamhet är förhållandevis liten. När Säkerhetspolisen väl bedriver förundersök- ning som leder till åtal rör det sig å andra sidan ofta om fall som är av stor betydelse för nationell säkerhet, som spionage eller terrorist- brott. Det är ofta mycket angeläget att personer som exempelvis olovligen delgett säkerhetsklassificerade uppgifter till främmande makt eller att terrorister lagförs och frihetsberövas under överskåd- lig tid. Detta för att förhindra dem att orsaka ytterligare skada mot samhället.

Med undantag för Finland har även de övriga nordiska länderna en polisär funktion inom säkerhetstjänsterna. I Norge har PST möj- lighet att samla in öppet tillgänglig information. Uppgifter som samlats in för detta ändamål är spärrad för all användning annan än sådan som är särskilt föreskriven. Bland de särskilt föreskrivna ända- målen finns utredning av de brott som PST ansvarar för. Det ska därmed, när lagen träder i kraft, vara möjligt för PST att vid sidan av sitt underrättelsearbete även göra sökningar i brottsutredande syfte i de förmodat mycket stora informationsmängder som kom- mer att ackumuleras. Dessa möjligheter att använda inhämtat och lagrad information motiveras i förarbetena med att det rör sig om öppet tillgängligt material som likväl hade kunnat återfinnas genom sedvanlig informationsinhämtning på internet. Då personuppgifts- skyddet är lika starkt för sökningar i det lagrade materialet som i PST:s verksamhet i stort har det ansetts motiverat att PST får möj-

26S. och Marper mot Förenade kungariket, p. 103.

656

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

lighet att utnyttja den lagrade informationsmängden även i sin övriga verksamhet. Flera remissinstanser har förhållit sig kritiska till detta uttalande eftersom personuppgiftsbehandling får ske i upp till fem- ton år, vilket ofta är längre än vad personuppgifter finns allmänt tillgängliga.

Danmark har i likhet med Sverige och Norge en säkerhetstjänst som även har ett brottsutredande uppdrag. Där finns i dagsläget inte någon lagstiftning som tillåter behandling av stora informations- mängder men den, i förhållande till övriga polisen, mer tillåtande personuppgiftslagstiftningen i PET-loven gäller både PET:s under- rättelse- och brottsutredande verksamhet som rör nationell säkerhet. PET har stora möjligheter att samköra uppgiftssamlingar, både från olika myndigheter och offentligt tillgängliga uppgifter.

Rätten till en rättvis rättegång

Enligt artikel 6 i Europakonventionen gäller att var och en vid pröv- ningen av en anklagelse för brott ska vara berättigad till en rättvis rättegång vilket innefattar vissa minimirättigheter. Bedömningen enligt artikel 6 i Europakonventionen ska, enligt Europadomstolens praxis, omfatta förfarandet som helhet snarare än enskilda inslag. Vad som utgör en rättvis rättegång kan emellertid inte fastslås genom en viss regel utan beror på domstolens utvärdering av omständig- heterna i det enskilda fallet. I varje enskilt fall bedömer domstolen om det straffrättsliga förfarandet som helhet varit rättvist. Det kan emellertid inte uteslutas att en viss omständighet kan vara så avgörande att det är möjligt för domstolen att bedöma om en kränkning skett utifrån denna enda omständighet. Exempelvis kan en åtgärd som vidtagits under det inledande förfarandet försvagat den misstänktes ställning i sådan utsträckning att alla efterföljande steg i förfarandet var orättvisa. Den kumulativa effekten av olika förfarandefel kan även leda till en överträdelse av artikel 6 även om varje fel i sig inte skulle ha övertygat domstolen om att förfarandet var orättvist.

Vid bedömningen av om förfarandet i sin helhet har varit rättvist kan dock hänsyn tas till allmänintresset av att det aktuella brottet utreds och bestraffas. Artikel 6 ska inte tillämpas på ett sådant sätt att det medför oproportionerliga svårigheter för polismyndigheterna att vidta effektiva åtgärder för att bekämpa terrorism eller andra

657

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

grova brott vid fullgörandet av sina skyldigheter enligt konventio- nen. En konventionsstat har en skyldighet även att skydda var och ens rätt till liv, skyddet mot omänsklig eller förnedrande behand- ling och rätt till frihet och personlig säkerhet. Sådana hänsyn kan dock aldrig motivera åtgärder som utsläcker själva kärnan i rätten till ett rättvist försvar.

Equality of arms och rätten till en kontradiktorisk process

Parternas likställdhet i processen utgör enligt Europadomstolen en fundamental beståndsdel av en rättvis rättegång. Den kräver att varje part ges en rimlig möjlighet att lägga fram sin sak under förhållanden som inte missgynnar honom eller henne i förhållande till motparten. Parternas likställdhet i processen kräver en rättvis balans mellan dem. En grundläggande del av denna princip är rätten att granska bevisning.

Vid sidan av att kunna granska och utvärdera den bevisning som åberopas till stöd för ett åtal har den tilltalade en rätt att själv, på samma villkor som åklagaren, föra egen bevisning i målet. För att kunna utnyttja denna rättighet krävs i regel att åklagaren lämnar ut all bevisning som denne förfogar över som är relevant både till för- mån och till nackdel för den misstänkte. Det kan röra sig om bevis- ning som används för att styrka den tilltalades skuld likväl som upp- gifter som kan göra det möjligt för den tilltalade att rentvå sig själv eller för att framföra förmildrande omständigheter. Den bevisning som är relevant i detta sammanhang är inte bara bevisning som direkt åberopas till styrkande av faktiska omständigheter, utan även annan utredning som kan avse tillförlitligheten och fullständigheten av sådan bevisning. Enligt praxis anses det inte tillräckligt att åklagarmyndig- heterna enligt lag är skyldiga att ta hänsyn till fakta som talar både för och emot den misstänkte.

Rätten att få tillgång till relevant bevisning är dock inte en abso- lut rättighet. I brottmål kan det finnas motstridiga intressen, som till exempel rör nationell säkerhet eller polisiära metoder, vilket måste vägas mot den tilltalades rättigheter. Endast sådana inskränkningar som är strängt nödvändiga är emellertid tillåtna enligt artikel 6. För att säkerställa att den tilltalade får en rättvis rättegång måste dess- utom de eventuella svårigheter som försvaret drabbas av genom en sådan begränsning vägas upp under processen.

658

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

Stora informationsmängder i förundersökning

Stora informationsmängder som analyseras med tekniska hjälpmedel i ett brottmålsförfarande har prövats av Europadomstolen i målet Sigurður Einarsson m.fl. mot Island.27 Målet handlade om eftermälet av finanskrisen som drabbade den isländska storbanken Kaupþing. Efter att banken tagits över av staten åtalades flera i den tidigare bo- lagsledningen för oegentligheter. Som ett led i utredningen beslag- tog åklagaren enorma mängder data från bankens it-system. Den in- formation som ingick i beslaget omfattade hundratusentals dokument.

För att kunna hantera informationsmängden och sortera i mate- rialet använde sig de brottsutredande myndigheterna av sök- och analysverktyget Clearwell. Materialet kunde delas upp i tre katego- rier, där den första utgjordes av hela den osorterade informations- mängden som genomsökts med programvaran, den andra av utred- ningshandlingar som åklagaren ansåg hade koppling till anklagelserna på något sätt och den tredje av bevis som åberopades i domstolen. Försvaret delgavs bevisen och hade möjlighet att få tillgång till ut- redningshandlingarna men gavs i den isländska processen ingen möj- lighet att ta del av det som låg utanför någon av dessa båda katego- rier: den osorterade informationsmängden.

Frågan i Europadomstolen var bland annat huruvida försvaret med stöd av principen om ”equality of arms” antingen hade rätt att göra sökningar i den osorterade informationsmängden med hjälp av samma analysverktyg som åklagaren använt, eller att ta del av de doku- ment som analysverktyget initialt pekat ut (taggat) som intressanta. Det fanns en stor mängd handlingar i den osorterade informations- mängden som taggats av Clearwell, men som efter manuell gransk- ning inte överförts till någon av kategorierna utredningshandlingar eller bevis.

Europadomstolen konstaterade, angående den första frågan, att det inte finns någon rättighet för försvaret att få tillgång till hela den osorterade datamängden, vars innehåll inte heller åklagaren hade någon kännedom om. Däremot ansåg domstolen att det är en viktig rättsäkerhetsmekanism att försvaret ges möjlighet att påverka urvals- kriterierna för när handlingar skulle taggas som intressanta för fort- satt manuell granskning.28

27Europadomstolens dom den 4 juni 2019 i mål 39757/15, Sigurđur Einarsson m.fl. mot Island.

28Se punkten 90.

659

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Den andra frågan handlade om försvarets tillgång till den data som analysverktyget Clearwell initialt flaggat upp som relevant, men som inte överförts till kategorin utredningshandlingar. Denna infor- mation hade genomgått ytterligare automatiserad och manuell ana- lys och åklagarsidan hade därmed faktiskt kännedom om innehållet och hade gjort bedömningen att det inte rörde åtalet. Europadom- stolen godtog inte att denna bedömning gjorts utan inblandning av försvaret. Försvarets tillgång till handlingar borde därför inte varit begränsad till kategorin utredningshandlingar. Domstolen ansåg att försvaret även borde ha fått tillgång till i vart fall en lista av de doku- ment som programvaran Clearwell initialt bedömt som relevant och en möjlighet att genomföra sökningar till vederläggande av åtalet i denna uppgiftsmängd.29

Det går att dra flera slutsatser av Europadomstolens argumenta- tion i detta mål. En av dessa är att försvaret bör få möjlighet att in- verka på analysen av stora informationsmängder, genom att exem- pelvis kunna påverka vilka sökkriterier som ska tillämpas. En annan slutsats som kan dras är att information som tagits fram från en auto- matiserad analys av ett stort material som regel ingår i de handlingar som försvaret ska ha rätt att ta del av, även om de från förundersök- ningens sida har bedömts som irrelevanta. Hur parternas likställdhet skulle bedömas i mål där vikten av att hemlighålla underrättelsein- formation är betydligt högre än i mål som rör ekonomisk brottslig- het är svårt att säga. Domstolen pekar under alla omständigheter ut vikten av att åklagarsidan inte får ha ett informationsövertag på be- kostnad av den tilltalades rätt till försvar. Det får betraktas som en möjlighet att försvaret även i mål som rör exempelvis terrorbrotts- lighet måste få en möjlighet att själv utföra vissa sökningar och ta del av överskottsinformation.

Uppgifter som tagits fram från en särskild uppgiftssamling bör inte få användas för att utreda brott

Vi anser att det finns likheter, både i materiellt och principiellt hän- seende, mellan underrättelser från signalspaningsmyndigheten FRA och framtagningar från en särskild uppgiftssamling. Behandling av

29Se punkten 91.

660

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

stora datamängder framstår som ett utpräglat underrättelseverktyg, på samma sätt som signalspaning.30

Bland de skäl som motiverat att underrättelser från FRA inte får användas i förundersökning finns den misstänktes insynsrätt. FRA:s signalspaningsförmåga riskerar att avslöjas i en rättegång. Samma problematik finns för behandling av stora informationsmängder i särskilda uppgiftssamlingar. Europadomstolen har påtalat att när stora uppgiftsmängder varit en del i en brottmålsprocess, bör för- svaret ha inflytande över urvalskriterier och selektering. Vidare kan det inte uteslutas att försvaret har rätt att ta del av de uppgifter som tagits fram som Säkerhetspolisen, även om de inte inkluderas i den aktuella förundersökningen. Denna rätt skulle kunna möjliggöra en kartläggning av vilka uppgifter som Säkerhetspolisen har tillgång till. Vår uppfattning är att behandling av personuppgifter i särskilda upp- giftssamlingar kommer vara en underrättelseförmåga av väsentlig betydelse för Säkerhetspolisen. Vilka uppgifter som ingår i denna för- måga bör inte riskeras att avslöjas genom den misstänktes insynsrätt.

Det finns en rad andra komplexa rättsliga frågor att ta ställning till om uppgifter som tagits fram från en särskild uppgiftssamling ska få användas i en rättegång. En försvarare har exempelvis ett be- rättigat intresse att kunna söka efter friande bevisning eller åtmin- stone att begära kompletterande utredningsåtgärder enligt principen om ”equality of arms”. Detta kan vara praktiskt svårt att genomföra i en så säkerhetskänslig verksamhet och inom ramen för ett noga reglerat tillståndsförfarande.

Vid sidan av de frågor om rättssäkerhet och rätten till en rättvis rättegång som kan uppkomma när särskilda uppgiftssamlingar används för att ta fram bevisning går det inte att bortse från att integritets- intrånget kan vara högre när det gäller uppgifter som används för att utreda brott jämfört med uppgifter som används i underrättelse- verksamhet. FRA:s signalspaningsförmåga utgör ett påtagligt integ- ritetsintrång. Det har motiverat att metoden är strängt reglerad, bland annat genom att signalspaning endast får ske i försvarsunderrättelse- verksamheten och endast för vissa, i lag utpekade, ändamål av mycket stor vikt. Vi har inte ansett att det finns skäl att begränsa Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssamlingar

30I tysk konstitutionell rätt finns exempelvis ett uttryckligt förbud mot sådan maktkoncen- tration enligt doktrinen ”den som kan känna till (nästan) allt bör inte ha möjlighet att göra

(nästan) allt; och den som kan göra (nästan) allt får inte ha möjlighet att veta (nästan) allt”, se Christoph Gusy, Grundrechte Und Verfassungsschutzrecht, 2011.

661

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

till ändamål som är av motsvarande karaktär. Även om integritets- intrånget av att uppgifter behandlas i särskilda uppgiftssamlingar inte är lika stort som det intrång som sker genom signalspaning, haltar jämförelsen mellan de två underrättelseförmågorna i detta avseende. Uppgifter som registrerats i särskilda uppgiftssamlingar får avse inrikes förhållanden och är inte begränsade till strategiska underrättelser avseende exempelvis spridning av massförstörelse- vapen eller internationell terrorism. Att dessutom tillåta att sådana uppgifter används för att utreda brott är, enligt vår uppfattning, ett stort kliv.

Det finns emellertid även starka skäl som talar i motsatt riktning: framför allt att lagstiftningen är motiverad av skyddet för nationell säkerhet. Landets inre säkerhet skyddas främst genom att säkerhets- hotande verksamhet är kriminaliserad och att de individer som ut- gör hot mot nationell säkerhet lagförs. Även om det finns många sätt att avvärja brottslig verksamhet, genom att exempelvis förhindra personer att resa in i landet eller genom att Säkerhetspolisen ger sig till känna och underrättar de misstänkta om att planerna är avslöjade, finns inget annat sätt att i en rättsstat frihetsberöva sådana personer än genom lagföring. Vissa verktyg är beroende av att en förunder- sökning inleds. Det finns därför i och för sig starka skäl som talar för att Säkerhetspolisen inte ska begränsas i sin uppgift att utreda brott. Om personuppgifter som tas fram ur en särskild uppgiftssam- ling inte får användas för att utreda brott, kan Säkerhetspolisen inte heller använda straffprocessuella tvångsmedel för att stärka miss- tankarna. I slutändan kan det uppkomma en situation som innebär att Säkerhetspolisen har kännedom om planer på ett brott, men saknar rättsliga förutsättningar att förhindra det.

Det finns således skäl som talar både för och emot att tillåta infor- mation från särskilda uppgiftssamlingar att användas för att utreda brott. Vid den slutliga avvägningen fäster vi avgörande vikt vid att det är fråga om en helt ny förmåga och att det är osäkert hur frågan skulle bedömas från ett konventionsrättsligt perspektiv. Vi har därför sammantaget stannat för att det i dagsläget finns övervägande skäl som talar för att personuppgifter som tagits fram från särskilda upp- giftssamlingar ska omfattas av samma förbud mot att användas för att utreda brott som underrättelser som FRA delger Säkerhetspolisen.

Ett förbud mot att använda personuppgifter som tagits fram med stöd av den föreslagna lagen för att utreda brott bör tillföras

662

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Dessutom bör ändamålet att utreda och lagföra brott inte tillåtas för vare sig registrering eller framtagning.

9.11Längsta behandlingstid

9.11.1Samma princip för behandlingstid som i säpodatalagen

Förslag: När Säkerhetspolisen registrerar personuppgifter, ska en proportionerlig behandlingstid för de registrerade uppgifterna bestämmas.

Skälen för förslaget

Vi har i avsnitt 8.18 lämnat förslag om att en behandlingstid ska be- stämmas vid registrering av uppgifter enligt säpodatalagen. Samma skäl som där förs fram kan göras gällande för uppgifter som registre- ras i särskilda uppgiftssamlingar. Det bör vara möjligt att bestämma en proportionerlig behandlingstid redan då uppgifter registreras. Det är dessutom i princip inte möjligt att omvärdera uppgifternas relevans kontinuerligt, eftersom det exakta innehållet i särskilda uppgiftssam- lingar förväntas vara okänt. Vi anser därmed att behandlingstiden ska anges redan i ett registreringsbeslut. Behandlingstiden ska följa principerna i den här föreslagna lagen, det vill säga. att uppgifterna ska vara befogade för ett ändamål under hela behandlingstiden. Där- utöver ska behandlingstiden återspegla en proportionerlig person- uppgiftsbehandling.

Det kommer inte vara praktiskt möjligt att separera personupp- gifter på ett sätt som medger att tiden bestäms från exempelvis den sista registreringen. Därför bör behandlingstiden alltid bestämmas från registreringsdatumet för uppgiften och sedan en viss bestämd tid därefter.

663

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

9.11.2Yttersta tidsgränser

Förslag: Behandlingstiden får inte bestämmas till längre än tio år. Om behandlingstiden bestäms till längre än fem år, ska detta motiveras och den särskilda tillsynsmyndigheten underrättas.

Skälen för förslaget

Vi föreslår vissa lagstadgade tidsfrister i säpodatalagen som innebär att uppgifter som regel inte får behandlas längre än 25 år, med undan- tag för uppgifter inom kontraspionaget eller utvecklingsverksamheten.

Det bör på motsvarande sätt införas en längsta behandlingstid för uppgifter som registrerats i särskilda uppgiftssamlingar. När det kommer till hur en sådan behandlingstid ska bestämmas anser vi att det ska beaktas att registrering enligt de lägre kraven vi föreslår i denna lag utgör ett undantag från flera av de sedvanliga dataskydds- mekanismerna. Ändamålet för att en persons personuppgifter före- kommer i en särskild uppgiftssamling kommer exempelvis inte ha den precision som kan förväntas i andra sammanhang och de flesta individer som är registrerade kommer sannolikt inte kunna relateras till detta ändamål. Det finns därför en betydande skillnad mot att en person är registrerad med stöd av säpodatalagens bestämmelser. Vi anser att detta motiverar en avsevärt kortare behandlingstid.

Samtidigt måste det finnas utrymme för flexibilitet i systemet där det kommer finnas en mycket stor skillnad i integritetsintrång mellan olika registreringar. Registreringar som avser exempelvis en katalog av ip-nummer eller offentliga adressuppgifter utgör ett lågt intrång på individnivå i jämförelse med exempelvis inhämtning från sociala medier. Det bör därför vara möjligt att bestämma behand- lingstiden inom ett visst spann.

I det norska lagförslaget om behandling av öppen tillgänglig in- formation finns en tidsgräns om fem år som kan förlängas med fem år i taget till maximalt femton år, se avsnitt 4.4.3. I den lagstiftning som gäller för ”bulk personal data” i Förenade kungariket finns ett tillståndskrav även för bevarande av stora uppgiftssamlingar. Sådana tillstånd löper på sex månader. Det innebär att de datamängder som behandlas måste omprövas var sjätte månad genom att nytt tillstånd söks, för fortsatt bevarande, se avsnitt 4.5.3.

664

SOU 2025:49

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

I båda dessa system får det antas att den längsta behandlingstiden är den tid som uppgifter i praktiken också behandlas. Vi har i vårt förslag till säpodatalag försökt undvika en sådan systematik. I stället ska Säkerhetspolisen kunna bestämma en proportionerlig behand- lingstid inom en yttre ram. Denna yttre ram ska representera det som kan tillåtas i de mest angelägna fallen, och inte den normala behandlingstiden. Vi anser att det samlade fri- och rättighetsintrånget av att behandla personuppgifter i särskilda uppgiftssamlingar kan bli mycket stort, beroende på den samlade informationsmängdens omfattning. Det finns därför goda skäl till att hålla nere behandlings- tiden. Bedömningen av om behandling är proportionerlig kommer behöva utgå från de personuppgifter som inte får behandlas enligt säpodatalagen. Det vill säga uppgifter om personer som inte kan förvänta sig att var kartlagda av Säkerhetspolisen och där behand- lingen, på individnivå, innebär ett undantag från behovs- och ända- målsprincipen.

Vår uppfattning är att det i många fall kan accepteras att person- uppgifter behandlas för underrättelseändamål i fem år. Denna tid kan dock vara för kort för att kunna teckna långsiktiga trender och kartlägga skeenden över tid. Det bör vara möjligt att redan vid regi- strering ange att uppgifter får behandlas i tio år. För att säkerställa att uppgifter inte behandlas under så lång tid om inte behovet starkt talar för det, bör den särskilda tillsynsmyndigheten underrättas om behandlingstiden överskrider fem år. Då kan tillsynsmyndigheten kontinuerligt få en uppfattning om i vilken omfattning behandlings- tiden bestäms i det övre spannet, och inleda tillsyn över dessa be- slut om det anses påkallat.

9.11.3Möjlighet till förlängning genom nytt registreringsbeslut

Förslag: Behandlingstiden för registrerade uppgifter ska kunna förlängas. Den sammanlagda behandlingstiden får överstiga 25 år endast om det finns synnerliga skäl.

665

En ny lag för Säkerhetspolisens hantering av stora informationsmängder

SOU 2025:49

Skälen för förslaget

I avsnitt 8.18.6 har vi redogjort för att det för behandling som sker med stöd av säpodatalagen bör finnas en möjlighet att förlänga den tid som angetts vid en registrering, om det alltjämt finns ett behov av uppgifterna därefter. Samma skäl talar för att det ska vara möjligt att förlänga tiden även för uppgifter som registrerats i en särskild uppgiftssamling.

En proportionell behandlingstid innebär att behovet av att be- handla uppgifterna måste ställas mot det intrång som registreringen innebär för enskilda och allmänna intressen. Behovet av fortsatt be- handling avtar ofta över tid. Intrånget däremot får anses vara relativt sett högre ju längre en uppgift finns bevarad hos en säkerhetstjänst, särskilt om uppgifterna är av känslig eller privat natur eller om de rör opinionsfriheterna. Då proportionalitet ska bedömas bör utgångs- punkten vara att för varje år en uppgift behandlas minskar behovet samtidigt som intrånget ökar. Vid den tidpunkt då axlarna skär varan- dra och intrånget överstiger behovet föreligger inte längre propor- tionalitet.

Om en tidigare bestämd behandlingstid förlängs är det viktigt att det görs genom en konkret omprövning och inte av slentrian. Vi anser därför att en omprövning som innebär att behandlingstiden förlängs ska göras genom att ett nytt registreringsbeslut fattas. Det innebär att behovet av den fortsatta behandlingen motiveras skriftligt.

Vi anser att det även om proportionalitet ska prövas krävs en tröskel för att förhindra att uppgifter behandlas för länge. I säpo- datalagen har vi föreslagit en yttersta tidsgräns på 25 år för de flesta uppgifter. Det avser uppgifter vars innehåll är känt och bedömt som adekvat och relevant för ett ändamål.

En längre behandlingstid i särskilda uppgiftssamlingar bör inte vara längre än den längsta tiden som anges i säpodatalagen annat än i mycket särpräglade fall. För att markera detta bör det i lagen framgå att det krävs synnerliga skäl för att den samlade behandlingstiden ska få tillåtas överstiga 25 år. Det innebär att en behandling som pågått längre än 25 år endast får ske för mycket angelägna ändamål. Det kan exempelvis handla om uppgiftssamlingar som har direkt rele- vans för kartläggning av främmande makts säkerhetshotande verk- samhet, där de framtagna uppgifterna får behandlas i upp till 60 år.

666

10 Tillsyn

10.1Inledning

Effektiv tillsyn är en central skyddsmekanism i ett demokratiskt samhälle, särskilt när det gäller myndigheter som har omfattande befogenheter att behandla personuppgifter. Tillsynen över Säkerhets- polisens personuppgiftsbehandling fyller en viktig rättssäkerhets- funktion och syftar till att säkerställa att enskildas grundläggande fri- och rättigheter respekteras.

Personuppgiftslagstiftningen utgör ett skyddsnät för många grundläggande fri- och rättigheter. I frånvaro av andra skydds- mekanismer, till exempel för nya informationskällor eller insam- lingsmetoder som ännu inte reglerats specifikt, kan en personupp- giftslag säkerställa ett grundläggande skydd mot otillåtna eller oproportionerliga intrång i enskildas integritet. Det är därför av stor rättsstatlig vikt att Säkerhetspolisens personuppgiftsbehandling står under en effektiv, robust och ändamålsenlig tillsyn.

De två lagstiftningar som vårt förslag innehåller ger Säkerhets- polisen utökade möjligheter att behandla personuppgifter för att utföra sitt uppdrag. Lagarna bygger på principen att detaljreglering i viss mån får stå tillbaka till förmån för kravet på proportionalitet. Det innebär att frågan om proportionalitet delvis förflyttas från lagstiftningsnivå till tillämpningen.

Europadomstolen har vid upprepade tillfällen konstaterat att personuppgiftsbehandling som utförs av en nationell säkerhets- tjänst nästan undantagslöst innebär ett intrång i enskildas rättig- heter. Även om intrånget kan vara mindre omfattande än vid exem- pelvis hemlig avlyssning, är det viktigt att uppmärksamma de risker som insamling, sammanställning och analys av uppgifter kan medföra.

Europadomstolen har återkommande använt sig av följande skäl för att beskriva riskerna med att ge en nationell säkerhetstjänst ett

667

Tillsyn

SOU 2025:49

omfattande mandat och vad som krävs för att statlig övervakning av medborgare i syfte att värna nationell säkerhet ska vara förenlig med Europakonventionens krav:

In view of the risk that a system of secret surveillance set up to protect national security (and other essential national interests) may under- mine or even destroy the proper functioning of democratic processes under the cloak of defending them, the Court must be satisfied that there are adequate and effective guarantees against abuse.1

Vi har ett stort förtroende för Säkerhetspolisens nuvarande verk- samhet och organisation. Vi har under utredningen återkommande uppmärksammat att myndigheten är noggrann med att följa gällande rätt och hellre avstår från en åtgärd än att riskera att kränka enskil- das fri- och rättigheter. Vi anser emellertid inte att detta kan vara ett skäl att avstå från att upprätthålla stränga krav på rättssäkerhets- och tillsynsmekanismer. Sådana mekanismer är avsedda att få till en ordning som är hållbar över tid och som tillser att intrånget i den personliga integriteten minimeras.

Det finns mot denna bakgrund skäl att överväga om det nuvarande systemet är tillräckligt eller om det finns anledning att bygga ut och förstärka tillsynen.

10.2Den parallella tillsynen bör kvarstå

Bedömning: Det finns inte skäl att ändra den nuvarande ord- ningen där tillsynen över Säkerhetspolisens personuppgifts- behandling sker av både Integritetsskyddsmyndigheten och Säkerhets- och integritetsskyddsnämnden. Det bör dock förtyd- ligas att det finns två tillsynsmyndigheter med olika uppgifter och befogenheter.

10.2.1Skälen bakom den nuvarande ordningen

Som framgår av avsnitt 3.5.9 utövas tillsyn över Säkerhetspolisens personuppgiftsbehandling av två olika myndigheter. Integritets- skyddsmyndigheten är den generella tillsynsmyndighet vars upp-

1Se bland annat Big Brother Watch m.fl. mot Förenade kungariket, mål 58170/13, 62322/14 och 24960/15, p. 339.

668

SOU 2025:49

Tillsyn

gifter och befogenheter framgår direkt av säpodatalagen. Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksam- het ska Säkerhets- och integritetsskyddsnämnden utöva särskild tillsyn över Säkerhetspolisens behandling av personuppgifter, i enlighet med de tillsynsbefogenheter som framgår av den lagen.

De befogenheter att granska och kontrollera behandlingen av personuppgifter som de båda lagstiftningarna var för sig medger är snarlika. Frågan är om det alltjämt bör vara två tillsynsmyndigheter som utövar parallell tillsyn eller om det finns anledning att kon- centrera resurserna till en av dem. I den nuvarande säpodatalagens förarbeten övervägdes alternativen tämligen ingående.2 Regeringens slutsats var att myndigheterna kompletterar varandra och att skälen för att låta den parallella tillsynen bestå övervägde skälen för att anförtro tillsynen åt antingen Säkerhets- och integritetsskydds- nämnden eller Integritetsskyddsmyndigheten.

10.2.2Det finns inte skäl att frångå parallell tillsyn

Sedan säpodatalagen beslutades år 2019 har det inte skett någon större förändring som talar mot regeringens tidigare ställnings- tagande i frågan. Enligt vår uppfattning talar utvecklingen snarare för att skälen för den parallella tillsynen har blivit starkare. Integri- tetsskyddsmyndigheten kommer sannolikt att få nya uppdrag med anledning av EU:s så kallade AI-förordning. Integritetsskydds- myndigheten kommer under alla omständigheter att behöva skaffa sig kompetens inom nya teknikområden som rör personuppgifts- behandling. Det bör vara möjligt att utnyttja denna kompetens även vid tillsyn över Säkerhetspolisen.

Även om Säkerhetspolisens verksamhet är särpräglad i förhål- lande till många andra myndigheters, finns det anledning att tro att vissa tekniska lösningar eller system kommer att vara desamma som hos andra myndigheter. Att Integritetsskyddsmyndigheten kan jämföra tillämpning och förmedla hur likartade situationer har bedömts tidigare kan vara värdefullt även vid tillsynen över Säker- hetspolisen.

Säkerhetspolisen samverkar med bland annat Polismyndigheten, den militära underrättelse- och säkerhetstjänsten och FRA. Polis-

2Se prop. 2018/19:163 s. 168–171.

669

Tillsyn

SOU 2025:49

myndigheten står på samma sätt som Säkerhetspolisen under sär- skild tillsyn av Säkerhets- och integritetsskyddsnämnden. Den försvarsunderrättelseverksamhet som bedrivs av bland annat För- svarsmakten och FRA står under särskild tillsyn av Statens inspek- tion för försvarsunderrättelseverksamheten. Utöver de särskilda tillsynsmyndigheterna för respektive verksamhet utövar Integritets- skyddsmyndigheten en generell tillsyn över samtliga dessa myndig- heters personuppgiftsbehandling.

Integritetsskyddsmyndigheten har därmed möjlighet att få en inblick i hur personuppgifter behandlas inom ramen för både den öppna polisens brottsbekämpning, Säkerhetspolisens verksamhet som rör nationell säkerhet och Försvarsmaktens uppgifter som rör försvar och säkerhet. Detta för Integritetsskyddsmyndigheten unika tillsynsmandat ger bland annat möjlighet att utöva tillsyn över samverkansprojekt som bedrivs eller kan komma att bedrivas myndigheterna emellan. Det skulle exempelvis kunna röra sig om ett utökat informationsutbyte eller gemensamma tekniska platt- formar. Integritetsskyddsmyndigheten är det enda organ som skulle vara behörig att utöva tillsyn över personuppgiftsbehandlingen hos alla inblandade myndigheter. De särskilda tillsynsmyndigheterna måste däremot stanna inom respektive tillsynsområde och lagstift- ning, vilket kan orsaka svårigheter vid tillsyn av behandling av upp- gifter som innebär att de överförs eller delas mellan olika rättsliga och tekniska system.

Säkerhets- och integritetsskyddsnämnden har å andra sidan – genom kontinuerlig och verksamhetsnära tillsyn över Säkerhets- polisens personuppgiftsbehandling – fått särskild insikt i och er- farenhet av den verksamhet som Säkerhetspolisen bedriver. Den lagstiftning som vi föreslår bygger i betydligt högre utsträckning än tidigare på att Säkerhetspolisens särskilda behov ska kunna till- godoses inom proportionella ramar. Bedömningen av vad som ut- gör en proportionerlig personuppgiftsbehandling och vad som faller utanför denna ram kräver just sådana insikter som Säkerhets- och integritetsskyddsnämnden besitter. En sådan, i många avseenden delikat, proportionalitetsbedömning anser vi med fördel kan anför- tros en nämnd med stark parlamentarisk anknytning. Nämndens särskilda sammansättning har ansetts utgöra dess styrka och vara särskilt viktig för att tillgodose allmänhetens insyn i verksamhet som omfattas av stark sekretess.

670

SOU 2025:49

Tillsyn

Till detta kommer de argument som framförts för att behålla den parallella tillsynen i förarbetena till den nuvarande ordningen.3 Sammantaget har vi därmed inte funnit några skäl som rubbar tidi- gare ställningstaganden om att Säkerhetspolisens personuppgifts- behandling bör stå under tillsyn av både Integritetsskyddsmyndig- heten och Säkerhets- och integritetsskyddsnämnden.

10.3Det bör framgå att Säkerhets- och integritetsskyddsnämnden utövar särskild tillsyn över personuppgiftsbehandlingen

Förslag: Det ska av den nya lagen framgå att det finns två myn- digheter som utövar tillsyn.

Den särskilda tillsynsmyndigheten införs som begrepp vid sidan av tillsynsmyndigheten.

Nuvarande säpodatalag innehåller en upplysning om att bestäm- melser om tillsyn även finns i lagen om tillsyn över viss brottsbekäm- pande verksamhet (7 kap. 2 §). Av den sistnämnda lagen framgår Säkerhets- och integritetsskyddsnämndens uppdrag och befogen- heter.

En utgångspunkt för vårt förslag är att det ska vara möjligt att ge tillsynsmyndigheterna de verktyg som behövs för en effektiv tillsyn. Säkerhets- och integritetsskyddsnämnden utövar tillsyn även över andra lagstiftningar och andra brottsbekämpande myn- digheters verksamhet. Lagen om tillsyn över viss brottsbekämpande verksamhet är generellt utformad och lämnar samma tillsynsbefogen- heter i förhållande till alla myndigheter som omfattas av tillsynen. Vi föreslår förändringar i regleringen av Säkerhetspolisens person- uppgiftsbehandling som på ett tydligt sätt separerar denna lagstift- ning från de lagar som har sitt ursprung i brottsdatadirektivet.

Vi anser att denna förändring motiverar att ge nämnden sär- skilda befogenheter, som inte är nödvändiga i förhållande till de andra brottsbekämpande myndigheterna. Dessa befogenheter bör därför lämpligen införas i den materiella lagstiftningen och inte

3Se prop. 2018/19:163 s. 168–171. Se även bland annat SOU 2016:65 s. 181–185.

671

Tillsyn

SOU 2025:49

som en särskild reglering i lagen om tillsyn över viss brottsbekäm- pande verksamhet.

För att kunna hänvisa till Säkerhets- och integritetsskydds- nämnden på ett konsekvent sätt i lagstiftningen bör den särskilda tillsyn som nämnden utför ges en beteckning i säpodatalagen. I nu- varande 7 kap. används begreppet tillsynsmyndigheten. Med detta avses Integritetsskyddsmyndigheten (se 2 a § andra stycket förord- ning, 2007:975, med instruktion för Integritetsskyddsmyndig- heten). Det finns inte skäl att ändra vilken myndighet som utpekas som tillsynsmyndigheten i den nya säpodatalagen.

För att särskilja Säkerhets- och integritetsskyddsnämnden från Integritetsskyddsmyndigheten bör i stället benämningen särskilda tillsynsmyndigheten införas i säpodatalagen. Denna beteckning an- ser vi motsvara Säkerhets- och integritetsskyddsnämndens tillsyns- uppdrag enligt både lagen om tillsyn över viss brottsbekämpande verksamhet och säpodatalagen. Genom denna beteckning finns inte heller någon risk för sammanblandning avseende vilka uppgifter och vilka befogenheter som tillfaller respektive myndighet enligt säpodatalagen och lagen om behandling av uppgifter i särskilda uppgiftssamlingar.

10.4Undersökningsbefogenheter

Bedömning: Det finns inte skäl att ändra Integritetsskydds- myndighetens nuvarande undersökningsbefogenheter. Det bör förtydligas att Säkerhets- och integritetsskyddsnämndens under- sökningsbefogenheter motsvarar Integritetsskyddsmyndighetens.

Personuppgiftsbehandling blir alltmer komplex genom inför- ande av ny teknik. För att säkerställa att den tekniska utveck- lingen inte hindrar, utan i stället gynnar, en effektiv tillsyn bör Säkerhetspolisen ha en skyldighet att i rimlig utsträckning an- passa tekniska system efter den särskilda tillsynsmyndighetens behov och skapa förutsättningar för att utnyttja dessa system för en effektiv och ändamålsenlig tillsyn.

672

SOU 2025:49

Tillsyn

10.4.1Vad krävs för en effektiv tillsyn?

Dataskyddskonventionen 108+ uppställer en rad krav som måste uppfyllas genom medlemsländernas lagstiftningar. Även om artikel 11 i konventionen medger vissa undantag från grundläggande principer för skyddet av nationell säkerhet, är det viktigt att notera att dessa undantag inte påverkar det grundläggande kravet på oberoende och effektiv granskning.

Konventionen fastslår tydligt att personuppgifter som behand- las för ändamål som rör nationell säkerhet och försvar alltjämt ska vara föremål för oberoende och effektiv granskning enligt nationell lagstiftning (artikel 11.3 andra stycket). Detta utgör en betydelse- full skillnad mellan den ursprungliga dataskyddskonventionen 108 och den uppdaterade konventionen 108+.

Tillsynsmyndighetens roll har förändrats i takt med att möjlig- heterna till automatiserad personuppgiftsbehandling har ökat ge- nom alltmer sofistikerad informationsteknik. Vi befinner oss i början av ett skifte där tillsynen över formell regelefterlevnad be- höver kompletteras med en djupare prövning av:

•Hur personuppgiftsbehandlingen faktiskt genomförs tekniskt.

•Vilka konsekvenser behandlingen får eller kan riskera att få.

•Behandlingens faktiska eller potentiella negativa effekter på grundläggande fri- och rättigheter.

Detta kräver en bredare och djupare tillsyn som omfattar både de formella förutsättningarna för personuppgiftsbehandling och de tekniska metoderna genom vilka behandlingen sker.

EU:s byrå för grundläggande rättigheter ger faktabaserade råd till EU och dess medlemsländers beslutsfattare i syfte att bland annat bidra till mer välgrundade lagar om grundläggande rättig- heter. Ett sådant råd berör medlemsstaternas nationella under- rättelsetjänster och de säkerhetsmekanismer som omgärdar statlig övervakning.4 Byrån lämnar ett antal rekommendationer till lag- stiftare i syfte att värna grundläggande rättigheter. Flera av dessa rekommendationer avser de resurser som krävs för en effektiv

4Europeiska unionens byrå för grundläggande rättigheter (FRA), Underrättelsetjänsters övervakning: skyddsåtgärder för grundläggande rättigheter och rättsmedel i Europeiska unionen

– Volym II – Sammanfattning, 2018.

673

Tillsyn

SOU 2025:49

tillsyn. Byrån har bland annat framhållit att tillsynsramverket ska vara kraftfullt och adekvat i förhållande till underrättelsetjänstens befogenhet och kapacitet. Tillsynsorganen bör ha tillräckliga resur- ser, vilket innefattar tekniskt kvalificerad personal inom olika fack- områden. Byrån har gjort undersökningar på plats i flera av EU:s medlemsstater. Vid dessa har man kunnat konstatera att det finns brister i tillgång till it-expertis och i teknisk förmåga bland tillsyns- myndigheterna, vilket identifierats som en stor utmaning. En av rekommendationerna är att EU:s medlemsstater genom lagstiftning bör ”säkerställa att tillsynsorganen har den tekniska expertis som krävs för att göra en oberoende bedömning av underrättelsetjäns- ternas ofta synnerligen tekniska arbete”.5

Sverige har i dag ett robust ramverk för tillsyn över Säkerhets- polisens personuppgiftsbehandling. Integritetsskyddsmyndighe- tens korrigerande befogenheter kompletteras av Säkerhets- och integritetsskyddsnämndens kontinuerliga och verksamhetsnära tillsyn.

De föreslagna lagändringarna och den tekniska utveckling som kan förutses ger dock anledning att överväga om vissa aspekter av tillsynen behöver förstärkas för att säkerställa att den förblir effek- tiv även i framtiden. Särskilt viktigt är att tillsynsmyndigheterna har tillräckliga befogenheter och resurser för att kunna granska allt- mer avancerade tekniska lösningar för personuppgiftsbehandling.

10.4.2Utökade skyldigheter för Säkerhetspolisen att bistå den särskilda tillsynsmyndigheten

Förslag: Säkerhetspolisen ska i skälig omfattning vidta de tek- niska åtgärder som är nödvändiga för att den särskilda tillsyns- myndigheten ska kunna utföra sina arbetsuppgifter på ett ända- målsenligt sätt.

5Ibid, s. 10, FRA:s yttrande 4.

674

SOU 2025:49

Tillsyn

Teknikutvecklingen kan försvåra en effektiv tillsyn

Vårt förslag till säpodatalag och lag om behandling av personupp- gifter i särskilda uppgiftssamlingar ger Säkerhetspolisen stora möj- ligheter att utnyttja ny teknik för en effektiv informationshantering. Vi har avstått från att försöka detaljreglera hur ny teknik ska få användas i verksamheten och i stället gett teknikneutrala förut- sättningar att behandla personuppgifter, så länge behandlingen är proportionerlig.

Det är svårt att förutse på vilket sätt ny teknik kan komma att påverka Säkerhetspolisens verksamhet. Det är däremot inte svårt att förutse att den kommer att göra det. Det finns en risk att tek- nikutveckling som sker för ett starkt verksamhetsintresse samtidigt försvårar för tillsynen. Alltmer komplexa behandlingsåtgärder kan bli svårare och svårare att undersöka och bedöma vid tillsyn. Algo- ritmiska sökningar, profilering och andra förutsägelser genom maskininlärning är exempel på förmågor som kan komma att bli viktiga för Säkerhetspolisen. En förutsättning för att använda tek- niker och metoder som kan påverka grundläggande fri- och rättig- heter är att de behövs och är proportionerliga. Särskilt frågan om proportionalitet kan vara svår att bedöma när behandlingen nått en sådan teknisk komplexitet att det börjar bli svårt att redogöra för processen som leder fram till ett visst resultat (black box-teknik).

Det är uteslutet att bakbinda Säkerhetspolisens möjligheter att utnyttja den tekniska utvecklingen i större utsträckning än vad som är nödvändigt. Samtidigt är det också uteslutet att tillåta att Säker- hetspolisens förmågor utvecklas utan möjligheter till en oberoende kontroll. I det teknikskifte som kan förutses i närtid är det därför viktigt att tillsynsmyndigheterna har goda förutsättningar att ut- vecklas i takt med att tillsynsuppdragets komplexitet ökar.

Tillsynsbefogenheter i en era av snabb teknisk utveckling

En grundförutsättning för att tillsynen ska kunna utvecklas och förstärkas är att det tillförs tillräckligt med resurser. Vi lämnar i avsnitt 12.5.3 förslag om sådana resursförstärkningar. En minst lika viktig del av tillsynen är emellertid att tillsynen utvecklas i takt den snabba tekniska utvecklingen. Lagens syfte, som närmare redogörs för i avsnitt 8.1.1, är dubbelt: att skydda fysiska personers grund-

675

Tillsyn

SOU 2025:49

läggande rättigheter och friheter och att säkerställa att Säkerhets- polisen kan behandla personuppgifter på ett ändamålsenligt sätt. Tekniska system och förmågor som byggs upp med stöd av denna lag ska återspegla detta dubbla syfte, bland annat genom krav på inbyggt dataskydd och dataskydd som standard. Sådana åtgärder sker inom ramen för den personuppgiftsansvariges skyldigheter.

De befogenheter som Säkerhets- och integritetsskyddsnämnden i dagsläget har tillgång till har tillkommit i en tid då förutsätt- ningarna att behandla personuppgifter såg väsentligt annorlunda ut. Nämndens utredningsbefogenheter är visserligen omfattande och innefattar rätt att få uppgifter, upplysningar och biträde. Regler- ingen omfattar alla uppgifter och handlingar som nämnden bedö- mer behövs för tillsynen, och biträde kan bestå i att tillsynsobjek- ten gör lokaler och system tillgängliga.

I takt med den tekniska utvecklingen uppstår dock nya utma- ningar. Komplexa system, automatiserade processer och AI-baserade analyser kräver nya tillvägagångssätt vid tillsyn. Det räcker enligt vår bedömning inte längre att få tillgång till lokaler och handlingar när personuppgiftsbehandling i allt större utsträckning sker i avan- cerade tekniska miljöer som kräver särskild kompetens och sär- skilda verktyg för att kunna granskas effektivt.

Lagens syfte är att både skydda grundläggande rättigheter och säkerställa att Säkerhetspolisen kan behandla personuppgifter ända- målsenligt. För att upprätthålla denna balans krävs en tillsyn som kan hålla jämna steg med den tekniska utvecklingen. Dagens re- glering är inte utformad för att möta de utmaningar som modern teknik medför för en effektiv tillsyn. Det krävs därför att nämn- dens befogenheter stärks i detta avseende.

Skyldighet att vidta tekniska åtgärder för effektiv tillsyn

Det är en central del av vårt förslag att Säkerhets- och integritets- skyddsnämnden ska kunna utföra en effektiv och kvalificerad till- syn över Säkerhetspolisens personuppgiftsbehandling. För detta krävs att Säkerhetspolisen samarbetar och biträder vid tillsynen. Dessutom anser vi att Säkerhetspolisen ska vara skyldig att vidta de tekniska åtgärder som är nödvändiga för att tillsynen ska kunna ske på ett ändamålsenligt sätt. Detta kan exempelvis innebära att:

676

SOU 2025:49

Tillsyn

•Särskilda informationsmängder tillgängliggörs för tillsynsmyn- digheten under en avgränsad tid

•Tillsynsmyndigheten ges möjlighet att analysera tvärsnitt av information i stället för att Säkerhetspolisen utför specifika sökningar

•Komplexa urvalsverktyg utvecklas för att hitta eller sålla bort information vid tillsyn

•Tillsynsmyndigheten får möjlighet att utnyttja AI och andra avancerade analysverktyg i sin granskande verksamhet

Avgörande är att de tekniska framsteg som möjliggör effektivare personuppgiftsbehandling i den operativa verksamheten även ska kunna utnyttjas för tillsyn.

Säkerhetspolisen måste givetvis själv ha full kontroll över sina egna tekniska system. Den möjlighet som vi nu föreslår måste därför formuleras som en skyldighet för Säkerhetspolisen. Det är Säkerhetspolisen som ska vara skyldig att vidta de tekniska åtgärder som behövs för att tillsynen ska kunna utföras på ett ändamåls- enligt sätt.

De tekniska funktioner och de syften som ska uppfyllas med dem måste formuleras av tillsynsmyndigheten. Det är endast till- synsmyndigheten som utifrån de rättsliga förutsättningarna ska ha befogenhet att bestämma behoven och inriktningen för tillsynen. Om det finns flera sätt att uppnå ett syfte, har Säkerhetspolisen möjlighet att vidta åtgärderna på ett så effektivt sätt som möjligt och på det sätt som är lämpligast. De praktiska formerna för sam- arbetet som krävs för att verkställa och utforma tekniska åtgärder får utarbetas myndigheterna emellan. Denna i vårt tycke viktiga, och förmodligen allt viktigare tillsynsmekanism, bör emellertid formaliseras som en skyldighet i lag.

Av de båda tillsynsmyndigheterna är det Säkerhets- och integri- tetsskyddsnämnden som utför den kontinuerliga och verksamhets- nära tillsynen. Det är därför naturligt att det är nämnden och inte Integritetsskyddsmyndigheten som ska ha den utökade undersök- ningsbefogenheten att begära biträde i form av tekniska åtgärder. Integritetsskyddsmyndigheten har förstås ändå inom ramen för sina undersökningsbefogenheter möjlighet att för sin tillsynsverk- samhet nyttja de anpassningar av system som görs.

677

Tillsyn

SOU 2025:49

Säkerhetspolisens skyldigheter att vidta tekniska åtgärder kan inte vara obegränsad. Det får betecknas som särpräglat att en myn- dighet på detta sätt åläggs att vidta resurskrävande åtgärder i en annan myndighets intresse. Hur långt skyldigheten ska utsträckas kan dock vara svårt att lämna ett generellt svar på.

Samtidigt är det viktigt att ha i åtanke att en effektiv tillsyn, en- ligt vår bedömning, är en faktisk förutsättning för Säkerhetspolisens verksamhet. Utan en tillräckligt robust tillsyn är den personuppgifts- behandling vi föreslår inte förenlig med Sveriges internationella åtaganden. Genom en tidig samverkan mellan Säkerhets- och integ- ritetsskyddsnämnden och Säkerhetspolisen i frågor som rör tekniska system bör nämndens behov kunna klarläggas. Säkerhetspolisen kan då ta med sig tillsynsperspektivet exempelvis inom ramen för en upphandling eller utveckling (se vidare avsnitt 10.9).

Säkerhetspolisens skyldigheter i nyssnämnda avseende bör be- gränsas till det som är skäligt. Säkerhets- och integritetsskydds- nämndens behov måste beaktas men får inte på ett påtagligt sätt påverka Säkerhetspolisens förmåga att lösa sitt uppdrag. Skyldig- heten innebär dock att det i vissa fall krävs att resurser läggs på funktioner som endast gagnar tillsynen. I system som är helt cen- trala kan det därför krävas att exempelvis utvecklingsresurser läggs på funktionalitet som ska användas för tillsynsändamål, förutsatt att det kan ske utan att gå ut över Säkerhetspolisens operativa förmåga.

10.4.3Undersökningsbefogenheter enligt säpodatalagen

Förslag: Tillsynsmyndighetens nuvarande undersökningsbefogen- heter bör överföras till den nya lagen.

Bedömning: I befogenheten för tillsynsmyndigheten att få den hjälp och den information som behövs för tillsynen ingår i skälig omfattning den tekniska fortbildning som krävs för att granska automatiserade behandlingsmedel som programvara och system.

678

SOU 2025:49

Tillsyn

De nuvarande undersökningsbefogenheterna

Integritetsskyddsmyndigheten har omfattande befogenheter att granska och utöva tillsyn över i princip alla myndigheter. Detta inkluderar den allra mest känsliga verksamheten som bedrivs i Sverige genom Försvarsmaktens, FRA:s och Säkerhetspolisens försorg. Integritetsskyddsmyndighetens tillsynsuppdrag och de befogenheter som följer av detta uppdrag är, ur ett internationellt perspektiv, mycket långtgående avseende dessa typer av verksam- heter.

Integritetsskyddsmyndigheten har under en längre tid, på grund av andra prioriteringar, inte utövat tillsyn över Säkerhetspolisens behandling av personuppgifter. Myndigheten har alltså inte bedrivit någon kontinuerlig tillsyn över Säkerhetspolisens personuppgifts- behandling. Inget har dock framkommit som ger oss skäl att ifråga- sätta att Integritetsskyddsmyndigheten har både den kompetens och organisation som behövs för att utföra sitt tillsynsuppdrag på ett bra sätt.

De undersökningsbefogenheter som framgår av 7 kap. 3 § säpo- datalagen ger Integritetsskyddsmyndigheten rätt att på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som Säkerhetspolisen eller personuppgifts- biträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.den hjälp och den information som behövs för tillsynen.

Dessa befogenheter kompletteras av en skyldighet för Säkerhets- polisen att, enligt 5 kap. 8 § säpodatalagen, samarbeta med tillsyns- myndigheten. Samarbetsskyldigheten innebär att Säkerhetspolisen inom rimlig tid och på lämpligt sätt ska ge Integritetsskyddsmyndig- heten tillgång till det material och de resurser som behövs för till- synen. Säkerhetspolisen måste även ställa personal till förfogande för att exempelvis utföra sökningar.6

6Prop. 2018/19:163 s. 254.

679

Tillsyn

SOU 2025:49

Vår uppfattning är att Integritetsskyddsmyndigheten har en långtgående möjlighet att granska Säkerhetspolisens personupp- giftsbehandling. Det har inte framförts några behov som inte till- mötesgås genom den nuvarande regleringen. Denna bör därför överföras till den nya lagen.

Tillgång till och utbildning i tekniska system

En effektiv tillsyn måste ha förmåga att granska den personupp- giftsbehandling som sker i en teknisk process. För en sådan gransk- ning kan krävas relativt ingående tekniska kunskaper. Den juridiska kompetens som finns inom tillsynsmyndigheten behöver därför kompletteras med personal som har förståelse för den bakomlig- gande tekniska strukturen. Vi är övertygade om att tillsynsmyndig- heterna kommer behöva förstärka sina respektive organisationer med någon form av teknisk kompetens.

Det kan knappast krävas en fullständig teknisk förståelse för varje enskilt system för att utföra en granskning eller utöva tillsyn. För att kunna ställa relevanta frågor och uppmärksamma brister eller risker krävs däremot många gånger en teknisk utbildning. Där- utöver krävs att varje enskilt system på något sätt görs tillgängligt för tillsyn.

De nuvarande undersökningsbefogenheterna omfattar tillgång till utrustning och andra medel för behandling av personuppgifter. Det innebär inte någon rätt för tillsynsmyndigheten att fritt använda Säkerhetspolisens utrustning och datasystem. Däremot innefattas en rätt för tillsynsmyndigheten att, med hjälp av Säkerhetspolisens personal, ta del även av den bakomliggande tekniken.

Säkerhetspolisen måste, inom rimliga ramar, kunna förklara och visa hur ett visst resultat uppnåtts då personuppgifter behandlas i olika datasystem eller mjukvaror. Säkerhetspolisen måste kunna redogöra för sina personuppgiftsbehandlingar på ett sätt som möj- liggör en meningsfull tillsyn, även när avancerade tekniska system används. När det gäller AI-system och maskininlärning finns en inneboende utmaning i att exakt förklara hur enskilda resultat upp- nås, eftersom dessa modeller ofta fungerar som en ”black box” där sambanden mellan indata och utdata inte är fullt transparenta.

680

SOU 2025:49

Tillsyn

Denna begränsning undantar dock inte Säkerhetspolisen från tillsyn. Myndigheten ska kunna:

1.Ge en ingående förklaring av systemets övergripande funktion, arkitektur och syfte

2.Redovisa vilka data som använts för träning av AI-modeller

3.Beskriva vilka testmetoder som använts för att validera syste- mets tillförlitlighet

4.Förklara vilka begränsningar systemet har och hur dessa hanteras

5.Redogöra för de processer och rutiner som finns för att bedöma och värdera de resultat som systemet levererar

Särskilt viktig är tillsynen över hur Säkerhetspolisen värderar, tolkar och använder de resultat som AI-systemen levererar i sin verksam- het. Detta omfattar även dokumentation av processen för hur be- slut fattas baserat på systemets resultat, samt vilka kompletterande bedömningar som görs.

Tillsynsmyndigheten ska ha rätt att granska samtliga dessa aspek- ter för att säkerställa att personuppgiftsbehandlingen förblir propor- tionerlig, rättssäker och förenlig med grundläggande fri- och rättig- heter, även när tekniskt komplexa system används.

Tillsynen bör med stöd av de nuvarande undersökningsbefogen- heterna kunna ske av tillsynsmyndighetens IT-specialister, med stöd av motsvarande personalgrupp vid Säkerhetspolisen.

Den nuvarande undersökningsbefogenheten som anger att till- synsmyndigheten har rätt till den hjälp och den information som behövs för tillsynen innefattar, enligt de nuvarande förarbetena, även information som inte har direkt anknytning till behandlingen av personuppgifter. Det är tillräckligt att tillsynsmyndigheten behöver informationen för tillsynen. Det kan exempelvis handla om verksam- hetsplaner som beskriver den verksamhet där behandlingen utförs.7

Vår uppfattning är att denna rätt rimligen även innefattar en allmän beskrivning av och utbildning i de tekniska system som används för personuppgiftsbehandling. Syftet är att tillsynsmyndig- heten ska ges förutsättningar till en effektiv tillsyn. Det kan inne- bära att Säkerhetspolisen måste bidra till kompetensutvecklingen

7Ibid. s. 254 f.

681

Tillsyn

SOU 2025:49

för de personer som ska utöva tillsyn över de specifika system som finns inom myndigheten. Säkerhetspolisen kan ha tekniska system skräddarsydda för verksamheten, som därmed inte är möjliga att lära sig utanför organisationen. Av informationssäkerhetsskäl kan det även vara en fördel om Säkerhetspolisen kan bidra till och vara ansvarig för den kompetensutveckling som krävs för att granska de system som används inom verksamheten.

Eftersom de nu diskuterade skyldigheterna för Säkerhetspolisen följer redan av gällande rätt, föreslår vi inte någon lagändring.

10.4.4Kompletterande undersökningsbefogenheter för Säkerhets- och integritetsskyddsnämnden

Förslag: Rätten till uppgifter, upplysningar, information och bi- träde som följer av lagen (2007:980) om tillsyn över viss brotts- bekämpande verksamhet ska kompletteras genom hänvisning till de undersökningsbefogenheter som tillsynsmyndigheten (Integ- ritetsskyddsmyndigheten) har enligt säpodatalagen.

Enligt 4 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet har nämnden rätt att av Säkerhetspolisen få de uppgif- ter och upplysningar, den information och det biträde som nämn- den begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de upp- gifter som den begär. Denna uppgifts- och biträdesskyldighet är inte formulerad på samma sätt som Integritetsskyddsmyndighetens undersökningsbefogenheter enligt säpodatalagen, men har till sitt innehåll getts en i huvudsak motsvarande innebörd hos myndig- heterna.

Det är viktigt att den reglering vi föreslår fungerar i alla situa- tioner. Vår uppfattning är att tillsynsmyndigheterna kan ha sin viktigaste uppgift under tider då samarbetet med tillsynsobjektet inte fungerar som önskvärt. För att undvika oklarheter i frågan om undersökningsbefogenheterna i något avseende skiljer sig åt mellan de båda tillsynsorganen bör den likformighet som redan anses före- ligga även komma till formellt uttryck. Vi föreslår därför att nämn- dens undersökningsbefogenheter enligt 4 § lagen om tillsyn över viss brottsbekämpande verksamhet ska kompletteras genom att det

682

SOU 2025:49

Tillsyn

i säpodatalagen framgår att nämnden även har de undersöknings- befogenheter som gäller för tillsynsmyndigheten.

10.4.5Samarbetsskyldigheten ska gälla även i förhållande till den särskilda tillsynsmyndigheten

Förslag: Säkerhetspolisen ska vara skyldig att samarbeta med alla myndigheter som utövar tillsyn över personuppgiftsbehand- lingen enligt säpodatalagen och anslutande förordning.

Samarbetsskyldighet är en förutsättning för effektiv tillsyn

Genom den nuvarande säpodatalagen infördes, i 5 kap. 8 §, en ut- trycklig samarbetsskyldighet med tillsynsmyndigheten. Syftet var att den personuppgiftsansvarige skulle underlätta för tillsynsmyn- digheten att utöva sina tillsynsbefogenheter på ett effektivt sätt.

I princip måste samtliga undersökningsbefogenheter utnyttjas genom att Säkerhetspolisen är behjälplig på olika sätt. Samarbets- skyldigheten ger därmed förutsättningarna för att tillsynsmyndig- heten på ett effektivt sätt ska kunna utöva sina rättigheter i sam- band med tillsynen.

Samarbetsskyldigheten aktualiseras endast när tillsynsmyndigheten utför sina uppgifter enligt lagen eller förskrifter som meddelats i anslutning till den. Det har inte ansetts möjligt för tillsynsmyndig- heten att med tvång utnyttja sina undersökningsbefogenheter vilket ytterligare motiverat att samarbetet ska formuleras som en skyldighet för den personuppgiftsansvarige.8

Den rätt till tillgång till uppgifter som finns för Integritets- skyddsmyndigheten, genom undersökningsbefogenheterna i säpo- datalagens nuvarande 7 kap. 3 §, kräver att myndigheten begär vissa uppgifter. Samarbetsskyldigheten uppfattar vi ger en bredare skyl- dighet för Säkerhetspolisen att vara behjälplig när tillsynsmyndig- heten utövar tillsyn, exempelvis genom att visa vilka möjligheter som finns att utföra sökningar eller hur system används i den ope- rativa verksamheten.

8Ibid. s. 142 och prop. 2017/18:232 s. 292.

683

Tillsyn

SOU 2025:49

Samarbetsskyldigheten bör även omfatta

Säkerhets- och integritetsskyddsnämnden

I gällande rätt finns endast en skyldighet för Säkerhetspolisen att samarbeta med Integritetsskyddsmyndigheten. Skälet till att be- stämmelsen i säpodatalagen formulerats så förefaller i första hand ha att göra med att det endast är tillsynsmyndigheten som utpekas i brottsdatadirektivet (artikel 26).

Vi har inte kunnat hitta något bärande skäl till att samarbets- skyldigheten begränsats till Integritetsskyddsmyndigheten. Ett aktivt och väl utfört samarbete innebär att Säkerhetspolisen ska underlätta för tillsynsmyndigheten exempelvis genom att berätta hur system fungerar och hjälpa till i utförandet av tillsynsuppgifter. Utan ett sådant aktivt samarbete kan det vara i princip omöjligt att ta fram personuppgifter och granska behandlingen av dem.

Säkerhets- och integritetsskyddsnämnden har rätt att få de upp- gifter och upplysningar, den information och det biträde som nämn- den begär. Dessa befogenheter har en likartad utformning som de undersökningsbefogenheter som tillkommer Integritetsskydds- myndigheten. Det innebär att Säkerhetspolisen är skyldig att lämna nämnden de uppgifter som den begär, även om det förutsätter viss efterforskning från myndigheternas sida. Rent utredningsarbete omfattas inte av skyldigheten.

Säkerhetspolisen är även skyldig att biträda nämnden. Sådant biträde kan bestå i att myndigheterna gör lokaler, databaser, regis- ter och andra handlingar som omfattas av ett tillsynsärende till- gängliga för nämnden och lämnar de uppgifter som nämnden be- höver för att klarlägga de förhållanden som tillsynen avser.9

De motiv som föranledde att Integritetsskyddsmyndighetens undersökningsbefogenheter kompletterades av en samarbetsskyl- dighet för Säkerhetspolisen gör sig i minst lika stor utsträckning gällande i förhållande till Säkerhets- och integritetsskyddsnämnden. Dessa skäl blir särskilt tydliga när vi föreslår att det uttryckligen ska anges att tillsynsmyndighetens undersökningsbefogenheter även gäller den särskilda tillsynsmyndigheten (se avsnitt 10.4.4 ovan)

Även om samarbetet fungerar tillfredsställande i dagsläget anser

viatt det finns skäl att införa en uttrycklig samarbetsskyldighet i förhållande till nämnden. Risken är annars att skillnaden i regler-

9Prop. 2017/18:269 s. 280 f. och prop. 2006/07:133 s. 81 f.

684

SOU 2025:49

Tillsyn

ingen kan motivera att myndigheterna bemöts på olika sätt vid tillsynen. Även om denna risk framstår som avlägsen i dagsläget finns inga skäl att särskilja regleringen i detta avseende. Om något så är det särskilt angeläget att skyldigheten att samarbeta är regle- rad i förhållande till den myndighet som regelbundet utövar tillsyn, nämligen Säkerhets- och integritetsskyddsnämnden.

Vi anser därför att en uttrycklig samarbetsskyldighet för Säker- hetspolisen ska införas i den nya lagen och omfatta även den sär- skilda tillsynsmyndigheten. Det förtydligar att den särskilda till- synsmyndigheten kan begära exempelvis att Säkerhetspolisen i skälig utsträckning bidrar med de resurser som krävs för att utöva en effektiv tillsyn, liksom att kontaktpersoner utses inom olika verksamhetsgrenar eller att tillsynsmyndigheten får egen tillgång till datorer eller annan utrustning.10

10.4.6Det krävs särskilda undersökningsbefogenheter för tillsyn över behandling i särskilda uppgiftssamlingar

Bedömning: Tillsynsmyndigheterna bör inte ha rätt att utan tillstånd ta del av personuppgifter som behandlas i särskilda upp- giftssamlingar.

Förslag: Säkerhets- och integritetsskyddsnämnden ska ha möj- lighet att för tillsynsändamål ansöka om framtagning från en särskild uppgiftssamling.

Inom ramen för ett enskilt fall bör även Integritetsskydds- myndigheten ha denna möjlighet.

Det krävs tillstånd för att ta fram personuppgifter för tillsynsändamål

Tillsyn över behandlingen enligt den föreslagna lagen om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssam- lingar kan exempelvis komma att bestå av att nämnden granskar de registreringsbeslut som fattats av ett visst slag eller under en viss

10En sådan möjlighet behöver utformas med beaktande av synen på när tillgången kan betraktas som direktåtkomst (jfr prop. 2017/18:232 s. 291).

685

Tillsyn

SOU 2025:49

tid. Nämnden kan ställa uppföljande frågor om det i något avse- ende framstår som otydligt varför en viss registrering gjorts eller vilka uppgifter registreringen omfattar. Sådan tillsyn kan ske med stöd av de nuvarande undersökningsbefogenheterna.

Lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar bygger på principen om att uppgifterna som är registrerade inte ska vara åtkomliga utan särskilt tillstånd. Denna princip är en viktig förutsättning för att den föreslagna lagen ska vara förenlig med skyddet för personlig integritet och andra grundläggande fri- och rättigheter. Att Säkerhetspolisen inte utan tillstånd får göra sökningar och framtagningar är motiverat bland annat av att en myndighet inte kan ges för stora befogenheter utan att det motsvaras av en tillräckligt effektiv skyddsmekanism. Frågan är om samma synsätt kan göras gällande för tillsynsmyndig- heters tillgång till personuppgifter som registrerats i en särskild uppgiftssamling.

Åena sidan kan det finnas skäl att se annorlunda på det intrång som en framtagning ska anses innebära när ändamålet är att kon- trollera att de registrerades rättigheter inte kränks. Det får anses vara mindre integritetskänsligt att ta fram personuppgifter i det syftet än att göra det för exempelvis brottsbekämpande ändamål. Det har exempelvis inte ansetts vara oförenligt med ett sökförbud om en sökning görs för tillsynsmyndighetens räkning. Å andra sidan är en viktig aspekt av det personuppgiftsskydd vi föreslagit att intrånget av att vara registrerad ska anses vara avsevärt högre när någon har möjlighet att ta fram uppgifter utan tillstånd. Risken att uppgifter sprids eller missbrukas är generell och gäller tillsyns- myndigheternas personuppgiftsbehandling likväl som andras. Även framtagningar för att exempelvis kontrollera systemens funktiona- litet eller för registervård där personuppgifter tas fram som utförs av tekniker vid Säkerhetspolisen har vi ansett kräva tillstånd. Vi anser att tillståndskravet för framtagning måste gälla generellt och därför omfatta även tillsynsmyndigheterna.

Tillsynsmyndigheternas befogenheter att få tillgång till alla de personuppgifter som behandlas kommer därmed inte att gälla dem som behandlas i särskilda uppgiftssamlingar. För att förtydliga detta bör ett uttryckligt undantag från dessa befogenheter införas

ilagen om Säkerhetspolisens behandling av personuppgifter i sär- skilda uppgiftssamlingar.

686

SOU 2025:49

Tillsyn

Det innebär att Säkerhets- och integritetsskyddsnämnden eller Integritetsskyddsmyndigheten inte kan begära att Säkerhetspolisen ska ta fram personuppgifter från en särskild uppgiftssamling, om det saknas tillstånd till detta. Ett sådant tillstånd får endast medges för vissa ändamål. Ett tillstånd till framtagning för ett brottsbekäm- pande ändamål omfattar inte framtagningar för tillsynsändamål. Det går därför inte att med stöd av ett sådant tillstånd, på tillsyns- myndighetens begäran, kontrollera om andra uppgifter än vad som kan anses vara befogade för ett registreringsändamål förekommer i en särskild uppgiftssamling eller om beskrivningen av ett registre- ringsbeslut överensstämmer med de uppgifter som det omfattar. Däremot hindrar den föreslagna ordningen inte att nämnden kon- trollerar en framtagning som redan skett på Säkerhetspolisens begäran. Tvärtom kommer det att vara en viktig del av tillsynen att Säkerhetspolisen håller sig inom domstolens tillstånd och de villkor som är förenat med tillståndet, vilket vi återkommer till nedan.

En effektiv tillsyn över särskilda uppgiftssamlingar måste dock på något sätt kunna inbegripa en tillsyn över de enskilda person- uppgifter som behandlas i en sådan. En möjlighet är att Säkerhets- polisen ska vara skyldig att ansöka om tillstånd för att tillgodose tillsynsbehov. Det skulle innebära att tillsynsmyndigheten först hemställer hos Säkerhetspolisen om att myndigheten ska ansöka om ett tillstånd hos domstolen men till förmån för tillsynsmyndig- heten. Vid sidan av att effektiviteten av ett sådant förfarande framstår som tveksam kan det ifrågasättas om ordningen fullt ut tillgodoser kravet på oberoende tillsyn. Förutsättningarna för tillsynen bör inte utgå från en sådan aktiv åtgärd från Säkerhetspolisen.

Tillsynsmyndigheterna ska ha möjlighet att ansöka om tillstånd till framtagning

Vi anser att det enklaste och mest effektiva är att ge möjlighet för tillsynsmyndigheten att själv, för tillsynsändamål, ansöka om till- stånd till framtagning. Domstolen får då pröva omfattningen av och syftet med åtgärden utifrån samma grundläggande krav som gäller då Säkerhetspolisen ansöker om tillstånd.

Tillsynen ska vara oberoende och det är självklart att det är den särskilda tillsynsmyndigheten som själv väljer inriktningen på till- synen. Integritetsriskerna är normalt mindre då en framtagning

687

Tillsyn

SOU 2025:49

sker för en tillsynsmyndighets räkning. Det avgörande för tillstånds- prövningen är att framtagningen bidrar till en ändamålsenlig tillsyn enligt nämndens valda inriktning samtidigt som den inte omfattar fler uppgifter än vad som behövs. De närmare förutsättningarna och vilka villkor som ska gälla vid ett sådant tillstånd bör vara en fråga för rättstillämpningen. Även i detta fall gäller det grundläg- gande kravet på proportionalitet mellan behovet och de andra in- tressen som kan påverkas.

Av de båda tillsynsmyndigheterna är det Säkerhets- och integri- tetsskyddsnämnden som utför den kontinuerliga och verksamhets- nära tillsynen. Nämnden uppträder i domstolen i samband med yttranden över Säkerhetspolisens ansökningar och har en organisa- tion som känner till verksamheten. Vi har i avsnitt 9.7.2 redogjort för att det kan finnas skäl att låta vissa tillstånd löpa under en längre tid och avse olika slags framtagningar som sker för samma ändamål. Det bör vara en möjlighet för nämnden att ansöka om tillstånd för att ta fram de personuppgifter som krävs för en kontinuerlig och verksamhetsnära tillsyn över tillämpningen av den föreslagna lagen.

Integritetsskyddsmyndigheten kan inte på samma sätt förväntas ha en kontinuerlig tillsyn över Säkerhetspolisens tillämpning av den föreslagna lagen. Integritetsskyddsmyndigheten förfogar dock över korrigerande tillsynsbefogenheter som även bör kunna tillämpas för behandling som sker enligt denna lag.

Integritetsskyddsmyndigheten kan starta tillsyn på eget initiativ eller efter en anmälan från Säkerhets- och integritetsskyddsnämnden. I båda dessa fall kan det finnas behov för myndigheten att ta del av registrerade personuppgifter genom framtagning. Myndigheten måste givetvis ha en fullgod utredning innan den beslutar om en korrigerande befogenhet som kan få betydelse för Säkerhetspolisen operativa förmåga.

Vi anser att det därför, i enskilda fall, bör finnas möjlighet även för Integritetsskyddsmyndigheten att ansöka om tillstånd till fram- tagning.

688

SOU 2025:49

Tillsyn

Övriga undersökningsbefogenheter avseende särskilda uppgiftssamlingar

Att tillsynsmyndigheterna inte utan tillstånd kan få del av de person- uppgifter som behandlas innebär inte att det saknas undersöknings- befogenheter i övrigt. Utan tillstånd kan tillsyn ske bland annat av de tekniska hjälpmedel som används för att utföra framtagning enligt tillstånd. Det innefattar exempelvis hur olika urvalskriterier som tillåts enligt ett tillstånd tillämpas eller tolkas.

Tillsynsmyndigheterna har också rätt att ta del av alla registrerings- beslut med stöd av lagen och exempelvis granska hur behandlings- tid bestäms eller hur besluten motiverats.

En av de viktigaste uppgifterna är att granska att tillståndet efterlevs och att inga andra personuppgifter tas fram än vad som följer av ett tillstånd. Eftersom det får förutsättas att det kontinu- erligt kommer att tas fram uppgifter med stöd av tillstånd är ut- gångspunkten att det i första hand kommer vara en tillsyn som utförs av Säkerhets- och integritetsskyddsnämnden. Inom ramen för tillståndsprövningen i domstol kommer nämnden kunna yttra sig om vad som framkommit vid tillsynen och bland annat föreslå vilka särskilda villkor som kan behövas för effektiv tillsyn och kon- troll, se avsnitt 9.8.4.

10.5Samverkan och samråd

10.5.1Samverkan mellan tillsynsmyndighet och verksamhetsutövare

Förslag: Säkerhetspolisen och den särskilda tillsynsmyndigheten ska löpande samverka i frågor som rör Säkerhetspolisens skyldig- heter enligt lag eller annan författning.

Tillsynsmyndighetens uppdrag att lämna råd och stöd samt dess förebyggande befogenheter ska överföras till den nya lagen.

689

Tillsyn

SOU 2025:49

Samverkan i dag

Integritetsskyddsmyndigheten

En stor del av Integritetsskyddsmyndighetens verksamhet går ut på att förebygga att fel begås, bland annat genom att lämna råd och anvisningar till den personuppgiftsansvariga myndigheten. I säpo- datalagen ges tydliga instruktioner till Integritetsskyddsmyndigheten att hjälpa den personuppgiftsansvarige att göra rätt och förebygga att denne behandlar personuppgifter i strid med lag. I 7 kap. 1 § säpodatalagen, där tillsynsmyndighetens uppgifter beskrivs, anges bland annat att tillsynsmyndigheten, när det är påkallat, ska ge råd och stöd beträffande Säkerhetspolisens skyldigheter enligt lag. Enligt 4 § i samma kapitel ska tillsynsmyndigheten agera med råd, rekommendationer eller påpekanden om den bedömer att det finns risk för att Säkerhetspolisen kan komma att behandla personupp- gifter i strid med lag. Tillsynsmyndigheten kan lämna rådgivning när den identifierar risker i pågående behandling eller om Säkerhets- polisen påkallar det. Rådgivning kan avse såväl formella som infor- mella samråd men Integritetsskyddsmyndigheten har inte någon skyldighet att lämna råd, vid sidan av den särskilt reglerade situa- tionen då Säkerhetspolisen påkallar förhandssamråd enligt 5 kap.

6 § andra stycket säpodatalagen. Som nämnts utövar Integritets- skyddsmyndigheten i dagsläget inte någon regelbunden tillsyn över Säkerhetspolisen, som inte heller har påkallat formella förhands- samråd i någon nämnvärd utsträckning. Det finns inte någon eta- blerad samverkan mellan Säkerhetspolisen och Integritetsskydds- myndigheten vid sidan av eventuella förhandssamråd.

Säkerhets- och integritetsskyddsnämnden

Den regelbundna och särskilda tillsynen över säpodatalagen utövas av Säkerhets- och integritetsskyddsnämnden, som genom sin till- syn får både en inblick i och en överblick över Säkerhetspolisens behandling av personuppgifter. Tillsynen ska ske genom inspek- tioner och andra undersökningar. Nämnden får uttala sig om kon- staterade förhållanden och sin uppfattning om behov av föränd- ringar i verksamheten och ska verka för att brister i lag eller annan

690

SOU 2025:49

Tillsyn

författning avhjälps (2 § lagen om tillsyn över viss brottsbekämpande verksamhet).

Det finns därmed inte något liknande uppdrag för nämnden, som innebär en skyldighet att ge råd och stöd till Säkerhetspolisen, som för Integritetsskyddsmyndigheten. I samband med att nämn- den ska utöva sin tillsyn sker viss samverkan mellan myndigheterna. Det kan röra praktiska frågor, som när inspektioner ska genom- föras eller att vissa frågor anmäls och förbereds på förhand. Det förekommer däremot i dagsläget inte någon regelbunden och åter- kommande samverkan på högre myndighetsnivå eller i mer över- gripande frågor.

Tillsynsmyndighetens samverkansskyldighet ska kvarstå

Den nuvarande ordningen innebär en relativt omfattande reglering av Integritetsskyddsmyndighetens skyldigheter att ge råd och stöd avseende Säkerhetspolisens skyldigheter som personuppgiftsansvarig. Samtidigt är det inte Integritetsskyddmyndigheten som är den av de båda tillsynsmyndigheterna som har bäst möjlighet att lämna råd i frågor som rör de lagar vi föreslår. Vårt förslag till ny säpodatalag avviker i många avseenden från de regelverk över vilka Integritets- skyddsmyndigheten i övrigt utövar tillsyn. Generella råd om per- sonuppgiftsbehandling kommer därför endast i undantagsfall gälla Säkerhetspolisens, eftersom sådana råd utgår från den EU-rätt som reglerar stora delar av samhällets personuppgiftsbehandling i övrigt. Det finns en annan inre logik i ett system som i sig utgör ett lång- sträckt undantag från skyddet av grundläggande fri- och rättigheter, i syfte att värna demokratin och den nationella säkerheten. Det är därför inte möjligt att dra självklara analogislut mellan närliggande lagstiftningar som bygger på andra grundläggande avvägningar och den säpodatalag vi föreslår. Vi anser dock att det i dagsläget inte finns några skäl att ta bort eller ändra på Integritetsskyddsmyndig- hetens uppdrag eller befogenheter som följer av nuvarande 7 kap.

1 och 4 §§. Myndigheten har en viktig roll att spela, både vad gäller tillsynen över Säkerhetspolisens specifika lagstiftning och i vissa generella frågor där myndigheten besitter särskild kompentens, se avsnitt 10.2.2. Det kan dock finnas skäl att överväga om rådgivning, stöd eller annan samverkan i frågor som rör Säkerhetspolisens skyl-

691

Tillsyn

SOU 2025:49

digheter som personuppgiftsansvarig ska regleras även avseende Säkerhets- och integritetsskyddsnämnden.

Samverkan bör regleras även avseende den särskilda tillsynsmyndigheten

Säkerhets- och integritetsskyddsnämnden har utifrån sin särskilda kompetens inom den sektorsspecifika lagstiftning som Säkerhets- polisen tillämpar goda möjligheter att diskutera specifika tillämp- ningsfrågor eller påpeka risker som identifieras under tillsynen. De lagar vi föreslår bygger på en relativt intrikat bedömning av behov, intrång och proportionalitet. Sådana proportionalitetsbedömningar har vi ansett vara frågor som med fördel kan prövas och bedömas av en nämnd med stark parlamentarisk anknytning. Eftersom Säkerhets- och integritetsskyddsnämnden utövar särskild tillsyn över lagen anser vi att det finns skäl att nämnden ska få en råd- givande roll som komplement till uppdraget att uttala sig i efter- hand, om konstaterade förhållanden.

Hur bör samverkan regleras?

Det är inte lämpligt med samma regler som för Integritetsskyddsmyndigheten

Det finns flera sätt att ge den särskilda tillsynsmyndigheten i upp- drag att lämna råd eller anvisningar och på andra sätt samverka kring Säkerhetspolisens skyldigheter som personuppgiftsansvarig enligt de nya lagar vi föreslår.

Det är exempelvis möjligt att lämna ett motsvarande uppdrag till Säkerhets- och Integritetsskyddsnämnden som gäller för tillsyns- myndigheten. Det skulle då kunna formuleras som att den särskilda tillsynsmyndigheten ska ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning. En sådan skyldighet kan innebära en abstrakt rådgiv- ning, om exempelvis innehållet i gällande rätt och olika rättsliga ställningstaganden. Med tanke på den höga kompetens som finns inom Säkerhetspolisen i frågor som rör personuppgiftsbehandling i allmänhet finns dock knappast något behov för sådan rådgivning.

692

SOU 2025:49

Tillsyn

Ett annat (eller kompletterande) sätt att få till stånd ett informa- tionsutbyte mellan myndigheterna är att ge Säkerhets- och integri- tetsskyddsnämnden motsvarande förebyggande befogenheter som tillsynsmyndigheten har i nuvarande 7 kap. 4 § säpodatalagen. Det skulle innebära att den särskilda tillsynsmyndigheten genom råd, rekommendationer eller påpekanden ska försöka förmå Säkerhets- polisen att vidta åtgärder för att motverka risken att personupp- gifter inte kommer att behandlas författningsenligt. I tidigare förarbeten har det emellertid ansetts angeläget att det inte ska upp- fattas som att nämnden kan godkänna ett förfarande på förhand.

Om nämnden på samma sätt som Integritetsskyddsmyndigheten skulle ges befogenhet att lämna de råd med mera som behövs för att motverka risker vid behandling av personuppgifter, skulle det innebära ett slags förhandsbesked. Eftersom nämndens tillsyn bygger på uttalanden om konstaterade förhållanden skulle det kunna bli otydligt när nämnden uttalar sig (enligt 2 § lagen om tillsyn över viss brottsbekämpande verksamhet) eller lämnar ett ”förebyggande råd”. De råd eller rekommendationer som kan lämnas av Integritetsskyddsmyndigheten kan följas upp med ett överklagbart beslut, om den personuppgiftsansvarige inte rättar sig. Säkerhets- och Integritetsskyddsnämnden kan endast följa upp ett förebyggande råd med ett uttalande om de förhållanden som där- efter kan konstateras. Att ge nämnden en motsvarighet till Integri- tetsskyddsmyndighetens förebyggande befogenheter enligt nu- varande 7 kap. 4 § bedömer vi sammantaget inte vara lämpligt.

Samverkan bör ske i frågor som rör den personuppgiftsansvariges skyldigheter

För oss framstår det som lämpligast att införa ett författningsreglerat krav på samverkan mellan Säkerhetspolisen och Säkerhets- och integ- ritetsskyddsnämnden.

I 8 § första stycket förvaltningslagen (2017:900) finns det en generell skyldighet för myndigheter att samverka med varandra. En myndighet avgör alltid själv i vilken utsträckning som resurser ska avsätts för att bistå den myndighet som begär assistans. Samverkan enligt bestämmelsen kan ske genom att myndigheter samråder och lämnar varandra upplysningar eller bistår med särskild sakkunskap

693

Tillsyn

SOU 2025:49

genom informella kontakter per telefon eller vid möten.11 Enligt 6 § andra stycket myndighetsförordningen (2007:515) ska myndigheter under regeringen verka för att genom samarbete med varandra och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.

Den generella samverkansskyldigheten mellan olika statliga myn- digheter ger förutsättningar för samverkan men lämnar frågan om med vem samverkan ska ske, vad den ska avse och hur omfattande den ska vara till regeringen eller till myndighetens ledning. För att få till stånd den samverkan som vi anser vara nödvändig i de frågor som rör personuppgiftbehandling på detta område krävs att ända- målet anges särskilt.

Vi anser att samverkan ska avse frågor som rör Säkerhetspolisens skyldigheter enligt lag eller annan författning. Det innebär givetvis endast lagar som den särskilda tillsynsmyndigheten utövar tillsyn över. Samverkan avser därmed Säkerhetspolisens skyldigheter som personuppgiftsansvarig. Vidare anser vi att bestämmelsen bör for- muleras som en skyldighet och inte en möjlighet. Det finns redan möjligheter till myndighetssamverkan utan särskilt författnings- stöd. Eftersom vi uppfattar att samverkan är en viktig del i en effek- tiv tillsyn anser vi att den bör formuleras som ett krav som riktar sig både till Säkerhetspolisen och den särskilda tillsynsmyndigheten. Slutligen anser vi att det finns skäl att markera att samverkans- skyldigheten inte ska avse ett enskilt fall utan ska vara en integrerad del i båda myndigheternas verksamheter. Det bör därför anges att skyldigheten ska avse en löpande samverkan.

En samverkan mellan två utpekade myndigheter under reger- ingen kan med fördel regleras i respektive myndighetsinstruktion. Säkerhets- och integritetsskyddsnämnden är inrättad genom lag som också anger vilka uppgifter som ingår i nämndens tillsyns- uppdrag. Det framstår därför som lämpligt att samverkansskyldig- heten också har lagform. Vi bedömer även att samverkan mellan den särskilda tillsynsmyndigheten och Säkerhetspolisen är av sådan vikt att det bör vara ett lagkrav.

11Prop. 2016/17:180 s. 293.

694

SOU 2025:49

Tillsyn

Vad innebär samverkan i frågor som rör Säkerhetspolisens skyldigheter?

Det finns risker med att lagstifta om obligatorisk samverkan mellan myndigheter. Samverkan kan komma att bli formalistisk och inne- hållslös, om en sådan skyldighet anses uppfylld endast genom något som bara i formell mening kan betecknas som samverkan.

Den samverkan som bör ske mellan verksamhetsutövare och

tillsynsmyndighet måste sträva efter att lagens syften, i bred mening, ska uppnås. Det innebär att samverkan ska syfta till att skydda enskildas grundläggande fri- och rättigheter genom att säkerställa att Säkerhetspolisen behandlar personuppgifter på ett ändamåls- enligt sätt. Lagens dubbla syfte har förstärkts med de förändringar som vi föreslår. Det är möjligt att vidta åtgärder som innebär ett större intrång än tidigare, men endast om det är motiverat av ett tillräckligt starkt verksamhetsskäl. Samverkan ska ske i frågor som handlar om att Säkerhetspolisen uppfyller sina skyldigheter att behandla personuppgifter författningsenligt.

De frågor som ska diskuteras bör vara framåtblickande och inte avse konstaterade förhållanden. Samverkan kan inte ersätta den granskning av regelefterlevnad som nämnden utför. Det är därför viktigt att poängtera att samverkan sker i syfte att de båda myndig- heterna ska kunna föra en dialog om övergripande frågor till skill- nad från den kommunikation som sker inom ramen för ett tillsyns- ärende.

Samverkan måste kunna ske på tjänstemannanivå för att vara effektiv. Det innebär att myndigheterna inte avger bindande eller slutliga uppfattningar i frågor. Tanken är snarare att ge möjlighet till perspektivförskjutningar och utbyta erfarenheter och uppfatt- ningar mellan medarbetare vid respektive myndighet. Någon gång kan medarbetare vid myndigheterna tolka nämndens position i en viss fråga på olika sätt och det bör finnas ett forum för att uppmärk- samma detta. Vår uppfattning är att det kan gynna en effektiv till- syn samtidigt som det kan skapa större förutsebarhet för Säker- hetspolisen.

Det är samtidigt viktigt att respektive myndighet bibehåller sin integritet och att samverkan inte kommer i konflikt med en obero- ende och opartisk tillsyn. Vi bedömer emellertid inte att riskerna i detta avseende ska överdrivas. Vid domstolar förekommer en rela- tivt omfattande samverkan i förhållande till bland annat parter och

695

Tillsyn

SOU 2025:49

partsombud. Erfarenheterna från sådan samverkan är att de resul- terar i att prövningen ofta sker mer effektivt och med en högre kvalitet. Det kan exempelvis handla om att aktörer kommer över- ens om åtgärder som gynnar en mer koncentrerad process eller att en part förklarar och ger sin syn på en fråga av mer övergripande art. Det förekommer dock, enligt vår erfarenhet, sällan att någon av parterna som ofta företräder helt motsatta intressen uppfattar att deras inbördes förhållande eller professionella distans rubbats genom sådan samverkan.

Vad kan samverkan utmynna i?

Integritetsskyddsmyndigheten har stora möjligheter att agera ge- nom olika tillsynsbefogenheter. Myndigheten kan exempelvis lämna ett råd eller anvisning. Därefter kan myndigheten utfärda en varning och slutligen ett föreläggande att inom viss tid åtgärda en brist. Om detta inte hjälper, kan tillsynsmyndigheten besluta om ett förbud mot fortsatt behandling. Samverkan eller samråd med Integritets- skyddsmyndigheten kan därför avslutas genom ett beslut. För nämn- den finns endast möjlighet att uttala sig om konstaterade förhållan- den. Det innebär att samverkan med nämnden kan komma att bli mer informell än med tillsynsmyndigheten. Det finns inte förut- sättningar att vare sig rättsligt eller slutligt avgöra frågor där sam- verkan skett. Däremot kommer det finnas goda möjligheter att i dialog mellan myndigheterna komma fram till rimliga slutsatser om vilka skyldigheter som åvilar Säkerhetspolisen i olika avseenden.

Under utredningen har frågan lyfts om det borde vara möjligt att eskalera frågor från samverkan på tjänstemannanivå, till ett formellt förhandsavgörande av nämnden. Detta trots att frågan inte rör konstaterade förhållanden, utan en abstrakt och hypotetisk fråga. Det skulle antingen kunna handla om att en viss oenighet kunnat konstateras under samverkan eller att en fråga inte har något klart svar eller är öppen för tolkning. Vi har därför övervägt om det bör införas en möjlighet för Säkerhetspolisen att lyfta en fråga till nämnden för ett formellt förhandsbesked.

Vi har sett tydliga fördelar med en sådan ordning. Det skulle sannolikt kunna leda till ett effektivare genomslag av lagstiftningen och underlätta en omprövning av tidigare ställningstaganden vid

696

SOU 2025:49

Tillsyn

förändrade förhållanden (till exempel ny teknisk utveckling). Men det finns också nackdelar med att införa en sådan prövning. Det finns farhågor kring bland annat vilket värde ett sådant förhands- besked skulle ha i praktiken och hur det skulle påverka nämndens roll i tillsynsprocessen. Vi har dragit slutsatsen att nackdelarna i dagsläget överväger fördelarna. Om en sådan möjlighet ska införas, bör frågan i stället utredas i särskild ordning. I så fall lämpligen när lagstiftningen varit i kraft en tid.

Sekretess hindrar inte samverkan

Samverkan utgör en del av Säkerhets- och integritetsskyddsnämndens tillsyn över säpodatalagen. I 42 kap. 5–8 §§ offentlighets- och sekretesslagen regleras den sekretess som gäller nämndens tillsyns- verksamhet. Om nämnden i sint tillsynsverksamhet får en sekretess- reglerad uppgift från en myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos nämnden. Uppgifter som nämn- den får del av inom ramen för samverkan kommer därför att om- fattas av samma sekretess hos nämnden som hos Säkerhetspolisen.

10.6Förebyggande befogenheter och förhandssamråd

Förslag: De nuvarande bestämmelserna om tillsynsmyndighetens förebyggande befogenheter ska överföras till den nya lagen.

Den nuvarande ordningen med konsekvensbedömning och förhandsamråd mellan Säkerhetspolisen och tillsynsmyndig- heten bör överföras till den nya lagen.

10.6.1Integritetsskyddsmyndigheten bör ha samma förebyggande befogenheter som i dag

Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att motverka risken Detta följer av de förebyg- gande befogenheterna i 7 kap. 4 § första stycket säpodatalagen.

697

Tillsyn

SOU 2025:49

Bestämmelsen innebär en skyldighet för tillsynsmyndigheten att agera förebyggande då en risk upptäckts. Medlen för det är i första hand muntliga eller skriftliga råd, rekommendationer och påpekan- den som inte är tvingande. Det kan vara tillräckligt att tillsyns- myndigheten upplyser om på vilket sätt personuppgiftsbehandling riskerar att strida mot regelverket. På vilket sätt en förändring ska åstadkommas är en fråga för den personuppgiftsansvarige. Tillsyns- myndigheten är skyldig att lämna skriftliga råd vid förhandssamråd. De förebyggande befogenheterna ska som regel prövas före till- synsmyndigheten tillämpar kraftfullare påtryckningsmedel.

Tillsynsmyndigheten ges i 7 kap. 4 § andra stycket, en möjlighet att utfärda en skriftlig varning om en planerad behandling riskerar att stå i strid med lag eller annan författning. En varning är avsedd att i ett enskilt fall markera allvaret i en situation och försöka förmå den personuppgiftsansvarige att ändra sig i fråga om planerad behand- ling. En varning som utfärdas inför en planerad behandling kan ses som ett förhandsbesked i hur behandlingen kan komma att bedö- mas när den genomförs. När en varning utfärdas angående en på- gående behandling innebär det närmast ett besked om att myndig- heten kommer att utfärda ett föreläggande eller förbud om det inte sker en frivillig rättelse. En varning kan aktualiseras om rådgivning eller påpekanden inte ger resultat men den behöver inte ha föregåtts av sådana mjukare styrmedel. En varning får dock anses vara en mer kvalificerad åtgärd än de som omnämns i paragrafens första stycke och kan ses som ett steg på vägen mot tillämpning av korrigerande befogenheter. En varning är inte möjlig att överklaga.12

Nuvarande 7 kap. 4 § säpodatalagen ger viktiga verktyg för till- synsmyndigheten när den ska utföra sitt uppdrag enligt 7 kap. 1 §. Det är viktigt att förtydliga att tillsynsmyndighetens roll i att före- bygga att fel begås ska ha företräde framför rollen att besluta om bindande åtgärder. Att tillsynsmyndigheten tillämpar korrigerande befogenheter ska vara förbehållet de fall då Säkerhetspolisen inte frivilligt rättar sig efter råd, anvisningar eller uttalanden. Det be- hövs därför en särskild bestämmelse om att tillsynsmyndigheten ska vara skyldig att använda sig av förebyggande tillsynsbefogen- heter, om det finns en risk för att personuppgifter kan komma att behandlas lagstridigt.

12Prop. 2018/19:163 s. 255 och prop. 2017/18:232 s. 294 f.

698

SOU 2025:49

Tillsyn

Det har inte framkommit några skäl till att ändra den nuvarande bestämmelsen, som därför bör överföras till den nya lagen.

10.6.2Fortsatt konsekvensbedömning och förhandssamråd

Finns det skäl att ändra nuvarande ordning?

I nuvarande säpodatalag finns, i 5 kap. 6 §, en skyldighet för Säker- hetspolisen att göra en bedömning av de risker som är förenade med att en ny typ av behandling, eller betydande förändringar av redan pågående behandling, genomförs. En sådan konsekvens- bedömning ska ske innan behandlingen utförs eller förändringar genomförs. Skyldigheten att genomföra en sådan konsekvensbe- dömning fanns inte tidigare utan infördes i och med brottsdata- lagen och är gemensam för alla brottsbekämpande myndigheter. Regeringen ansåg då att konsekvensbedömning fyller en viktig funktion ur ett integritetsperspektiv.13

Enligt 5 kap. 6 § andra stycket säpodatalagen ska Säkerhetspolisen samråda med Integritetsskyddsmyndigheten, om konsekvensbedöm- ningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång (förhandssamråd). Enligt 4 kap. 8 § säpodataför- ordningen ska riskerna med införande av ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Regler om förhandssamråd fanns redan under polisdatalagens tid men gällde då främst utveckling eller inköp av nya it-system.14 Då skulle samråd ofta ske parallellt med tillsynsmyndigheten och med Säkerhets- och integritetsskyddsnämnden. När säpodatalagen beslutades ifrågasattes denna ordning, eftersom det dubbla sam- rådsförfarandet riskerade resultera i motstridiga uppfattningar mellan de båda tillsynsmyndigheterna.15 Därför ersattes det paral- lella samrådet med att Säkerhets- och integritetsskyddsnämnden ska ges tillfälle att yttra sig om det är lämpligt (6 kap. 2 § säpodata- förordningen).

I avsnitt 10.2 har vi redogjort för vår uppfattning om att den parallella tillsynen, både genom Integritetsskyddsmyndigheten och

13Prop. 2018/19:163 s. 141.

14Se 2 § polisdataförordningen (2010:1155).

15Prop. 2018/19:163 s. 173.

699

Tillsyn

SOU 2025:49

Säkerhets- och integritetsskyddsnämnden, bör kvarstå. Där fram- går att vår uppfattning är att det finns flera skäl som talar för att behålla Integritetsskyddsmyndighetens tillsyn; bland annat att myn- digheten har en nationell och internationell överblick och är av en sådan storlek att flera kompetenser kan samlas där. Förhandssam- rådet är främst avsett att ge tillsynsmyndigheten en möjlighet att lämna råd innan nya tekniska system köps in eller utvecklas. Många gånger används samma tekniska system inom flera myndigheter eller av andra, motsvarande, myndigheter inom EU. I dessa fall kan Integritetsskyddsmyndighetens överblick och möjlighet att dra lärdom av andra tillsynsmyndigheters arbete vara mycket värdefullt.

Vår uppfattning är att Säkerhetspolisen befinner sig mitt i ett tekniksprång när det gäller att hantera information. Helt ny teknik innebär ofta en osäkerhet i förhållande till existerande regelverk och begreppsapparater. Exempelvis kan de behandlingsåtgärder som är möjliga att vidta med hjälp av maskininlärning och artificiell intelligens vara svåra att jämföra med regler anpassade efter existe- rande teknik. Just sådan osäkerhet kan förhindra, försvåra eller fördröja nödvändiga investeringar i ny teknik och utveckling eller implementering av nya metoder att hantera information. Det är därför viktigt att det ska vara möjligt att få författningsenligheten prövad genom förhandssamråd innan behandling påbörjas eller betydande förändringar genomförs.

Vi anser sammanfattningsvis att de nuvarande reglerna om en skyldighet att genomföra en konsekvensbedömning och samråda med tillsynsmyndigheten bör kvarstå. Reglerna har inte framhållits som problematiska av någon av myndigheterna. Säkerhetspolisen har sällan tillämpat reglerna om förhandssamråd. Det kan dock sannolikt komma att ändras eftersom vi uppfattar att samhället och med det även Säkerhetspolisen står inför ett potentiellt mycket stort teknikskifte. Maskininlärningstekniker har nått ett stadium då de kan appliceras operativt i större omfattning än förut. Det fram- står därför som naturligt att samordna prövningen av nya typer av behandlingar eller betydande förändringar av redan pågående be- handlingar, under samma myndighet som prövar motsvarande frå- gor enligt dataskyddsförordningen och brottsdatadirektivet. En sådan samordning innebär förstås inte att utfallet måste bli det- samma för Säkerhetspolisen som för andra myndigheter som om- fattas av EU-rätten.

700

SOU 2025:49

Tillsyn

Likt i dag bör Säkerhets- och integritetsskyddsnämnden infor- meras om och ha möjlighet att yttra sig under samrådet om det behövs. Rätten att få tillgång till underlaget för förhandssamrådet och tillsynsmyndighetens yttrande bör också vara oförändrad.

Våra ställningstaganden innebär att nuvarande regler bör föras över till den nya lagen.

Relation mellan förhandssamråd och samverkansskyldighet

Vi har i föregående avsnitt lämnat förslag om att Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden ska samverka i frå- gor som rör Säkerhetspolisens skyldigheter som personuppgifts- ansvarig. Det innebär att frågor som rör exempelvis nya behand- lingsåtgärder kan vara föremål för både samverkan med nämnden och samråd med tillsynsmyndigheten. Det som i tidigare förarbe- ten lyfts angående risken för olika budskap från de båda tillsyns- myndigheterna kan därför komma att återaktualiseras trots att förhandssamråd endast ska ske med Integritetsskyddsmyndigheten.

Denna risk ska emellertid inte överdrivas. Vi anser snarare att den löpande samverkan som vi föreslår mellan Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden kan vara till fördel i detta sammanhang. Exempelvis kan samverkan ske redan i frågan om samrådsskyldighet med Integritetsskyddsmyndigheten före- ligger. Om förhandssamrådet föregåtts av löpande samverkan mellan Säkerhets- och integritetsskyddsnämnden och Säkerhetspolisen, bör förutsättningarna vara goda för att eventuella oklarheter redan klarats ut. Under ett förhandssamråd förväntas exempelvis Säker- hetspolisen kunna presentera en teknisk lösning för Integritets- skyddsmyndigheten att ta ställning till.16 Om Säkerhets- och integ- ritetsskyddsnämnden genom mer informell samverkan kan ge sitt perspektiv på valet av teknisk lösning, bör integritets- och tillsyns- frågor kunna lyftas redan innan ett förslag presenteras för Integri- tetsskyddsmyndigheten. Det förhållandet att ett förhandssamråd föregåtts av viss samverkan mellan Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden kan sannolikt också bidra till att ett eventuellt yttrande från nämnden kan ske snabbare.

16Ibid. s. 141.

701

Tillsyn

SOU 2025:49

10.7Korrigerande befogenheter

10.7.1Integritetsskyddsmyndighetens befogenheter bör kvarstå

Förslag: Det finns inte skäl att göra någon ändring i vilka korri- gerande befogenheter som tillsynsmyndigheten har enligt nu- varande lagstiftning. Tillsynsmyndighetens befogenheter att besluta om förelägganden eller förbud ska därför överföras till den nya lagen.

Säkerhetspolisens personuppgiftsbehandling har sedan 1970-talet stått under tillsyn av Datainspektionen, som numera heter Integri- tetsskyddsmyndigheten. Tillsynsmyndigheten har samma korri- gerande befogenheter i förhållande till Säkerhetspolisen som till andra brottsbekämpande myndigheter, frånsett möjligheten att ge sanktionsavgift. Att den generella tillsynsmyndigheten har sådana befogenheter även avseende personuppgiftsbehandling som rör nationell säkerhet är ovanligt. Inom EU är det endast Finland, Österrike, Slovenien, Cypern och Sverige som har denna ordning.17

Om tillsynsmyndigheten konstaterar att Säkerhetspolisen eller ett personuppgiftsbiträde behandlar personuppgifter i strid med lag eller annan författning, får den utfärda föreläggande om att vidta åtgärder eller förbjuda fortsatt behandling om bristen är allvarlig (7 kap. 5 § säpodatalagen).

Förelägganden kan avse exempelvis rättelse, radering och be- gränsning av behandlingen. Tillsynsmyndigheten får även utfärda bindande förelägganden som tar sikte på att Säkerhetspolisen ska uppfylla andra skyldigheter, som att införa bättre säkerhetslös- ningar, fullgöra dokumentationsskyldighet eller att överlämna viss dokumentation. Motsvarande möjlighet för tillsynsmyndigheten finns även i brottsdatalagen.

Med förbud mot fortsatt behandling avses att någon behandling inte längre får förekomma. Förbud mot fortsatt behandling aktu- aliseras om Säkerhetspolisen på ett allvarligt sätt har åsidosatt sina skyldigheter och bristerna är sådana att de inte kan åtgärdas på annat sätt än att behandlingen upphör. Personuppgifter får dock

17EU:s människorättsbyrå (FRA), Surveillance by intelligence Services: Fundamental rights safeguards and remedies in the EU – 2023 update, s. 24 ff.

702

SOU 2025:49

Tillsyn

alltid behandlas för arkivändamål, om ett förbud annars skulle stå

istrid med 2 kap. tryckfrihetsförordningen.18 Tillsynsmyndigheten har därmed stora möjligheter att få till

stånd en korrekt och författningsenlig behandling genom bindande förelägganden eller förbud. Integritetsskyddsmyndigheten har, såvitt känt, inte tillämpat sina befogenheter i förhållande till Säker- hetspolisen.

Säkerhets- och integritetsskyddsnämnden har inte några korri- gerande befogenheter att tillgå när det gäller säpodatalagen. Nämn- den har i förhållande till Säkerhetspolisen endast möjlighet att ut- tala sig om konstaterade förhållanden. Nämnden har dock även, enligt 20 § förordning (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden, en skyldighet att i vissa fall föra vidare sina iakttagelser till tillsynsmyndigheten. I paragrafen anges bland annat att om nämnden bedömer att Säkerhetspolisen brister i sina skyldigheter vid behandling av personuppgifter på ett sådant sätt att korrigerande befogenheter kan aktualiseras, ska nämnden anmäla det till Integritetsskyddsmyndigheten. När anmälan har gjorts ska nämnden ge myndigheten det biträde som behövs. Integri- tetsskyddsmyndigheten har även rätt att ta del av nämndens under- lag i den utsträckning som det behövs.

Vi bedömer att nuvarande ordning är tillfredsställande och före- slår att den överförs till den nya lagen.

10.7.2Beslut om förelägganden eller förbud ska överklagas till Försvarsunderrättelsedomstolen

Förslag: Tillsynsmyndighetens beslut om föreläggande eller för- bud mot fortsatt behandling ska kunna överklagas till Försvars- underrättelsedomstolen. Domstolens avgörande ska inte få över- klagas.

18Prop. 2018/19:163 s. 177 f.

703

Tillsyn

SOU 2025:49

Beslut som rör kvalificerat hemliga uppgifter kan komma att prövas av fem olika instanser

Enligt 8 kap. 3 § säpodatalagen får tillsynsmyndighetens tillsyns- beslut överklagas till allmän förvaltningsdomstol. Det är Säkerhets- och integritetsskyddsnämnden som utför den specialiserade och löpande tillsynen över Säkerhetspolisens personuppgiftsbehand- ling. Ett tillsynsbeslut från Integritetsskyddsmyndigheten får där- för antas i de allra flesta fall ske efter en anmälan från Säkerhets- och integritetsskyddsnämnden. Redan innan ett beslut överklagas har därmed två, av varandra oberoende, förvaltningsmyndigheter uttalat sig i frågan. Därefter finns möjligheter till en, i praktiken, treinstansprövning i allmän förvaltningsdomstol med Förvaltnings- rätten i Stockholm som första domstolsinstans.

Frågan har väckts om den nuvarande ordningen är den mest lämpliga. Även om det historiskt varit mycket ovanligt att tillsyns- beslut aktualiserats, och än mindre att ett sådant beslut överklagas, finns det risker med det nuvarande systemet. Om en situation upp- kommer där Integritetsskyddsmyndigheten fattar ett tillsynsbeslut som därefter överklagas av Säkerhetspolisen får det antas röra en fråga av särskild vikt. Tillsynsmyndigheten ska endast fatta korri- gerande beslut efter att andra möjligheter uttömts. Säkerhetspoli- sen måste också göra flera svåra överväganden innan ett beslut över- klagas, exempelvis om det som finns att vinna med att överklaga ett beslut överväger riskerna att myndighetens förmåga avslöjas. Det skulle exempelvis kunna röra information som är mycket angelägen för Säkerhetspolisen att få behandla och där myndigheten inte delar tillsynsmyndighetens slutsatser om författningsenlighet. Ett annat exempel är ett föreläggande som kan leda till en betydande förmåge- sänkning. De uppgifter som behöver presenteras för att överpröva ett sådant tillsynsbeslut kommer på en aggregerad nivå sannolikt att nå upp till nivån hemlig eller kvalificerat hemlig enligt säkerhets- skyddslagen (2018:585).

Säkerhetsskyddslagstiftningen kommer därmed att aktualiseras på ett sätt som kan vara krävande för en vanlig domstol. Med hänsyn till den förmodat höga tröskeln för att Säkerhetspolisen över huvud taget skulle föra en fråga till domstol, är det sannolikt att beslutet kan komma under prövning i vart fall i ytterligare en instans. De domstolar som potentiellt ska hantera uppgifter av det

704

SOU 2025:49

Tillsyn

aktuella slaget behöver ha ett väl utvecklat säkerhetsskydd. Oavsett hur väl tilltaget säkerhetsskyddet är, finns det dock alltid ett mer- värde ur ett säkerhetsperspektiv i att begränsa antalet personer som får tillgång till uppgifter om Säkerhetspolisens verksamhet.

Mot bakgrund av känsligheten i de uppgifter som kan tänkas behöva avhandlas vid ett överklagande kan den nuvarande ord- ningen väcka vissa betänkligheter.

Prövningen av tillsynsbeslut bör begränsas till färre insatser

Det är något motsägelsefullt att uppgifter som kan vara mycket känsliga och som exempelvis kan utnyttjas för att kartlägga Säker- hetspolisens förmågor inom underrättelseverksamheten, kan komma att prövas i den nuvarande omfattningen med hänsyn till de till- kommande risker som detta innebär.

Som nämnts är det över huvud taget ovanligt att en generell tillsynsmyndighet som Integritetsskyddsmyndigheten har så vitt- gående befogenheter att begränsa hur personuppgifter får behand- las för ändamål som rör nationell säkerhet. Redan på grund av att konsekvenserna av ett felaktigt tillsynsbeslut kan påverka den nationella säkerheten, finns starka skäl för att, som i dag, tillåta en rättslig överprövning och förhindra omedelbar verkställighet.

Vi anser att antalet instanser bör begränsas av informations- säkerhetsskäl. Till att börja med kan konstateras att enskilda inte kan klaga på Integritetsskyddsmyndighetens beslut, som endast riktar sig mot Säkerhetspolisen. Rättssäkerhetskraven på beslut som rör myndigheters mellanhavanden bör inte anses vara lika uttalade som när en enskild överklagar.

Integritetsskyddsmyndigheten fattar beslut efter att ha inhämtat yttrande från Säkerhetspolisen. Underlaget kan också vara en moti- verad anmälan från Säkerhets- och integritetsskyddsnämnden. En sådan anmälan bygger i sin tur på nämndens ställningstagande om att viss behandling inte är författningsenlig; ett uttalande som givetvis föregåtts av kommunikation med Säkerhetspolisen. Efter- som ärendet redan är kommunicerat och i sak utrett, ofta av två myndigheter, framstår det inte som nödvändigt att beslutet ska överprövas av en underrätt. Vår uppfattning är att ett beslut om

705

Tillsyn

SOU 2025:49

föreläggande eller förbud bör överprövas direkt av överrätt eller en specialdomstol.

Försvarsunderrättelsedomstolen bör vara exklusivt behörig att pröva överklagade tillsynsbeslut

Tillsynsbeslut bör överklagas till Försvarsunderrättelsedomstolen

Om ett överklagat tillsynsbeslut ska överprövas av allmän förvalt- ningsdomstol, ligger det närmast till hands att utse Kammarrätten i Stockholm till exklusivt forum. Kammarrätten har beredskap för att hantera säkerhetsskyddsklassificerad information och har förut- sättningar att uppfylla säkerhetsskyddslagstiftningens krav. Genom rättens sammansättning finns förutsättningar till att överklagade frågor får en allsidig belysning och ge rättslig vägledning. Frågan är om det finns något alternativ till en prövning i kammarrätten.

Vi föreslår i detta betänkande att Försvarsunderrättelsedomstolen ska pröva vissa andra frågor som berör Säkerhetspolisens person- uppgiftsbehandling. Försvarsunderrättelsedomstolen utgör en specialdomstol inom underrättelseområdet som prövar förvalt- ningsrättsliga frågor. Försvarsunderrättelsedomstolen kommer därför att ha särskilda insikter inom Säkerhetspolisens verksamhets- område och vara välorienterad i de olika avvägningar som måste göras där.

Ingen allmän domstol kommer att kunna mäta sig med det fysiska säkerhetsskydd som Försvarsunderrättelsedomstolen redan har. Den instans som ska pröva dessa frågor måste av nödvändighet omgärdas av ett sådant skydd. Försvarsunderrättelsedomstolen förfogar exempelvis över en helt avlyssningssäker förhandlingssal och har även på andra sätt det säkerhetsskydd som krävs för att hantera kvalificerat hemlig information. Vi anser att informations- säkerhetsriskerna i samband med att en tillsynsfråga överklagas minskar betydligt genom att saken prövas av domare som ute- slutande handlägger frågor som rör säkerhetsskyddsklassificerade uppgifter, där kompetensen inom informationssäkerhet är på högsta nivå. Försvarsunderrättelsedomstolens särskilda sammansättnings- regler och de kvalifikationskrav som gäller för ledamöterna borgar också för att frågor kan få en allsidig belysning. Det möjliggör en

706

SOU 2025:49

Tillsyn

långsiktig praxisbildning som tar hänsyn till de intressen som vårt förslag till säpodatalag avser att tillgodose.

Vi anser sammantaget som att det framstår som lämpligt ur flera avseenden att Försvarsunderrättelsedomstolen tillförs även denna uppgift. Med hänsyn till hur ovanligt det kan förmodas vara att Integritetsskyddsmyndigheten fattar ett tillsynsbeslut tillgodoses möjligheten till en säker överprövning dessutom utan nämnvärda tillkommande kostnader.

Försvarsunderrättelsedomstolens avgörande av tillsynsfrågor bör inte få överklagas

Som tidigare nämnts kommer den första domstol som överprövar Integritetsskyddsmyndighetens föreläggande eller beslut om för- bud ofta ha en utredning där både Integritetsskyddsmyndigheten och Säkerhets- och integritetsskyddsnämnden tagit ställning i sak. Vi uppfattar att det ur ett rättssäkerhetsperspektiv då är tillräckligt med en överprövning i en instans. Det kan övervägas om Försvars- underrättelsedomstolens avgöranden bör kunna överklagas till kam- marrätten eller Högsta förvaltningsdomstolen. Vår uppfattning är att en sådan möjlighet inte är nödvändig. Övriga frågor som prövas av Försvarsunderrättelsedomstolen får inte överklagas. Det saknas bärande skäl för att undanta de nu aktuella besluten från denna prin- cip. Vårt förslag innebär att Försvarsunderrättelsedomstolen endast kan överpröva två former av beslut meddelade av Integritetsskydds- myndigheten med stöd av säpodatalagen: förelägganden och för- bud. Den praxis som en överinstans skulle bidra med skulle därför endast träffa ett mycket smalt rättsområde. De fördelar som kan vinnas med en möjlighet till överklagande, som en förhöjd rätts- säkerhet och mer kvalitativ rättsbildning, anser vi inte uppväga de olägenheter ur informationssäkerhetssynpunkt som är förenade med en sådan möjlighet.

707

Tillsyn

SOU 2025:49

10.7.3Säkerhets- och integritetsskyddsnämnden ska ges korrigerande befogenhet avseende personuppgifter som tagits fram ur en särskild uppgiftssamling

Förslag: Den särskilda tillsynsmyndigheten Säkerhets- och integ- ritetsskyddsnämnden ska kunna besluta om radering av uppgif- ter som tagits fram från en särskild uppgiftssamling utan att framtagningen är förenligt med ett tillstånd.

Bedömning: Integritetsskyddsmyndigheten ska ha samma före- byggande och korrigerande befogenheter för behandling av per- sonuppgifter i särskilda uppgiftssamlingar som enligt säpodata- lagen.

Vilka befogenheter bör Integritetsskyddsmyndigheten

ha vid tillsyn över behandling i särskilda uppgiftssamlingar?

I avsnitt 9.8 beskrivs det tillståndsförfarande som omgärdar fram- tagning av uppgifter ur särskilda uppgiftssamlingar. Det kommer av naturliga skäl att främst vara Säkerhets- och integritetsskydds- nämnden som ansvarar för tillsynen över personuppgiftsbehandling i de särskilda uppgiftssamlingarna. Vi har, i avsnitt 10.4.6, föreslagit att tillsynsmyndigheterna ska få nya undersökningsbefogenheter genom en möjlighet att ansöka om tillstånd till framtagning för tillsynsändamål. Nämnden kommer även att yttra sig i tillstånds- processen. Tillstånd till framtagning kan innehålla särskilda villkor för att underlätta tillsyn. Genom att vara delaktig i tillståndspro- cessen kommer nämnden löpande hållas underrättad om de till- stånd som är aktuella och kunna påverka deras innehåll.

Integritetsskyddsmyndigheten får förutsättas utöva en mindre verksamhetsnära tillsyn över den behandling som sker i särskilda uppgiftssamlingar. Frågan är om det finns skäl att frånta tillsyns- myndigheten några befogenheter då den utövar tillsyn över be- handling i särskilda uppgiftssamlingar?

Säpodatalagen och lagen om särskilda uppgiftssamlingar är nära sammanflätade. Uppgifter som tagits fram med stöd av tillstånd ska behandlas enligt säpodatalagen. Uppgifter som behandlas enligt säpo- datalagen kommer att kunna överföras till behandling i särskilda

708

SOU 2025:49

Tillsyn

uppgiftssamlingar. Att Integritetsskyddsmyndigheten har generella tillsynsbefogenheter över all personuppgiftsbehandling, oavsett vil- ken lagstiftning som den grundas på, har vi tidigare framhållit som en styrka och ett av skälen till att den parallella tillsynen bör bestå. Vi anser därför att det är viktigt att det inte riskerar att uppstå några glapp i fråga om tillsynsmyndighetens befogenheter. Integritets- skyddsmyndigheten bör därför så långt det är möjligt ha samma tillsynsbefogenheter för behandling som sker enligt den föreslagna lagen om Säkerhetspolisens behandling av personuppgifter i sär- skilda uppgiftssamlingar.

Vi anser därför att det inte finns några skäl att frånta Integritets- skyddsmyndigheten de förebyggande eller korrigerande befogen- heter som följer av säpodatalagen avseende behandling som sker med stöd av lagen om särskilda uppgiftssamlingar. På motsvarande sätt som tillsynen över säpodatalagen kommer Säkerhets- och integritetsskyddsnämnden att ansvara för den löpande tillsynen. Korrigerande befogenheter kommer därför ofta att aktualiseras först efter en anmälan från nämnden.

Vi föreslår således att de tillsynsbefogenheter som tillsynsmyn- digheterna har ska gälla även enligt lagen om särskilda uppgifts- samlingar (som framgått med undantag för rätten att utan dom- stolstillstånd ta del av uppgifterna i samlingarna).

Säkerhets- och integritetsskyddsnämnden bör ges korrigerande befogenhet avseende uppgifter som tagits fram utan tillstånd

Vi har återkommande gjort jämförelsen mellan den behandling av personuppgifter som kan ske i särskilda uppgiftssamlingar med FRA:s behandling av personuppgifter genom signalspaning. Be- dömningen är att intrånget är likartat och att motsvarande rätts- säkerhetsmekanismer därför krävs för att uppnå ett fullgott skydd mot kränkning av enskildas fri- och rättigheter genom behand- lingen. Det främsta medlet för att uppnå detta skydd är, som fram- går av avsnitt 9.5.4, det nya tillståndsförfarande som vi föreslår.

Tillstånd är en förutsättning för FRA:s signalspaning. Därutöver utövar Statens inspektion för försvarsunderrättelseverksamheten särskild tillsyn över verksamheten. I likhet med vad som gäller för Säkerhetspolisen utövar Integritetsskyddsmyndigheten generellt tillsyn över personuppgiftsbehandlingen vid sidan av den särskilda

709

Tillsyn

SOU 2025:49

tillsynsmyndigheten. Integritetsskyddsmyndigheten kan förelägga FRA eller personuppgiftsbiträdet att vidta åtgärder för att behand- lingen ska bli författningsenlig eller för att fullgöra andra skyldig- heter.19 Ett sådant föreläggande kan innebära att uppgifter begrän- sas eller förstörs.

Vid sidan av Integritetsskyddsmyndighetens befogenheter har Statens inspektion för försvarsunderrättelseverksamheten en möj- lighet till korrigerande beslut. Myndigheten får nämligen besluta att viss inhämtning ska upphöra eller att upptagning eller uppteck- ning av inhämtade uppgifter ska förstöras, om det vid kontroll framkommer att inhämtningen inte är förenlig med tillstånd.20 Det innebär att kontrollmyndigheten omedelbart kan föranstalta om radering av personuppgifter som inhämtats genom signalspaning, men som antingen saknar tillstånd eller där inhämtningen inte varit förenlig med det tillstånd som meddelats. Ett sådant beslut är inte överklagbart och ska därför verkställas när Statens inspektion för försvarsunderrättelseverksamheten så bestämmer.

Skälen bakom denna starka sanktionsmöjlighet var att reger- ingen ansåg att möjligheten skulle innebära ett förstärkt skydd för enskilda. Detta trots att regeringen ansåg det självklart att signal- spaningsmyndigheten ska rätta sig efter de anvisningar som Statens inspektion för försvarsunderrättelseverksamheten kan besluta om, som inte är bindande i formell mening.21

Det finns inte några utförliga motiv till den särskilda tillsyns- myndighetens befogenheter att besluta om upphörande och rader- ing. Konsekvensen av denna befogenhet får dock förmodas vara att den i någon mån utjämnar styrkeförhållandena mellan tillsynen och Försvarets radioanstalt. Befogenheten anvisar också vilken av de två myndigheterna som har tolkningsföreträde i den särskilda fråga som kan föranleda åtgärden. Försvarets radioanstalt ska givetvis ges möjlighet att ge sin syn på om inhämtning varit förenligt med till- stånd, vilket kan tänkas vara en tolkningsfråga. Ett beslut förut- sätter att myndigheten inte självmant vidtagit rättelse.

Mot bakgrund av vår bedömning avseende likheterna mellan Försvarets radioanstalts signalspaning och behandlingen av person- uppgifter i särskilda uppgiftssamlingar finns det anledning att över-

196 kap. 5 § FRA-datalagen.

2010 § andra stycket lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.

21Prop. 2006/07:63 s. 117 f.

710

SOU 2025:49

Tillsyn

väga om motsvarande korrigerande befogenhet ska införas för den särskilda tillsynsmyndigheten.

Vår uppfattning är att Säkerhets- och integritetsskyddsnämnden kommer ha ett större inflytande över de tillstånd som meddelas och en större insikt i domstolens skäl, genom att myndigheten normalt ska yttra sig och närvara vid förhandlingen. Det talar för att de eventuella brister i tillämpningen som nämnden uppmärk- sammat kan komma till domstolens kännedom och föranleda justering i de tillstånd som meddelas. Möjligheten att föreskriva sär- skilda villkor för att underlätta tillsyn kan även komma att underlätta nämndens tillsyn på olika sätt. Detta talar mot att nämnden behöver ytterligare befogenheter.

Samtidigt finns det ett krav på omfattande säkerhetsåtgärder när det gäller behandling som sker som ett undantag i förhållande till de principer som i övrigt gäller. Redan av det skälet finns anledning att förstärka tillsynen över personuppgiftsbehandlingen i särskilda uppgiftssamlingar. Frågan om en framtagning varit förenlig med ett meddelat tillstånd är typiskt sett svår för Integritetsskyddsmyndig- heten att ta ställning till. Myndigheten har inte närvarat vid för- handlingen och är inte heller insatt i domstolens praxis på samma sätt som Säkerhetspolisen och Säkerhets- och integritetsskydds- nämnden. En anmälan till Integritetsskyddsmyndigheten om behov av korrigerande befogenheter är vidare en process som får antas ske med viss tidsutdräkt. Om en framtagning skett i strid med med- delat tillstånd, kan uppgifterna innan Integritetsskyddsmyndig- heten utfärdat ett föreläggande eller förbud hunnit föranleda åt- gärder eller spridas utanför Säkerhetspolisen.

Vi anser därför att det finns skäl att förstärka Säkerhets- och integritetsskyddsnämndens tillsyn genom motsvarande befogenhet som Statens inspektion för försvarsunderrättelseverksamheten har enligt 10 § andra stycket lagen (2008:717) om signalspaning i under- rättelseverksamhet.

Den korrigerande befogenheten bör formuleras som en möjlig- het för nämnden att besluta att framtagna uppgifter ska förstöras, om det framgår att framtagningen inte varit förenlig med tillstånd. Det omfattar även uppgifter som tagits fram från en särskild upp- giftssamling helt utan tillstånd. Säkerhets- och integritetsskydds- nämndens bedömning bör endast avse om Säkerhetspolisens fram- tagning varit förenlig med det tillstånd som meddelats. Riktigheten

711

Tillsyn

SOU 2025:49

av domstolens avgörande som sådant ligger således utanför till- synen.

Statens inspektion för försvarsunderrättelseverksamhetens mot- svarande beslut kan inte överklagas. Det finns goda skäl för att även ett raderingsbeslut fattat av Säkerhets- och integritetsskydds- nämnden ska gälla omedelbart. Besluten är av sådan karaktär att omedelbar verkställighet är önskvärd, eftersom det avser en kränk- ning av enskildas rättigheter. Nämnden har en domstolsliknande sammansättning med en stark parlamentarisk koppling och det är inte heller uppenbart vart ett beslut fattat i sådan ordning skulle överklagas. Nämndens beslut kan inte heller i andra fall överklagas. Om Säkerhetspolisen inte håller med om nämndens bedömning, finns vidare goda möjligheter att föra frågan till domstolen genom en ny ansökan.

10.7.4Kontroll på begäran av enskild

Förslag: Säkerhets- och integritetsskyddsnämnden ska inte vara skyldig att på begäran av en enskild kontrollera om han eller hon varit föremål för personuppgiftsbehandling i en särskild upp- giftssamling.

Av 3 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet följer en skyldighet för Säkerhets- och integritets- skyddsnämnden att på begäran av enskild bland annat kontrollera om han eller hon varit föremål för personuppgiftsbehandling enligt säpodatalagen och om denna behandling i så fall varit författnings- enlig. Denna kontrollmöjlighet för enskilda brukar betecknas som indirekt insyn, eftersom den enskilda i normalfallet inte får reda på annat än att kontrollen utförts. Redan informationen om huruvida en persons personuppgifter förekommer eller inte omfattas regel- mässigt av sekretess.

Det har inte varit en del av denna utrednings uppdrag att göra någon särskild översyn över lagen om tillsyn över viss brottsbe- kämpande verksamhet. Vi har därför inte funnit skäl att närmare utreda utformningen av det nuvarande regelverket. Vi kan däremot konstatera att en stor mängd kontroller utförs och att rätten till indirekt insyn är väsentlig för att uppnå en tillräcklig skyddsnivå

712

SOU 2025:49

Tillsyn

enligt Europadomstolens praxis. Frågan är om denna rätt ska ut- sträckas även till vårt förslag om behandling av personuppgifter i särskilda uppgiftssamlingar.

Det är inte möjligt att i dagsläget bedöma hur vår föreslagna lagstiftning kommer att tillämpas och hur många personuppgifter som kommer förekomma i särskilda uppgiftssamlingar. Det är dock högst troligt att antalet personuppgifter som förekommer i sär- skilda uppgiftssamlingar, inom en snar framtid, kommer att vara större än de personuppgifter som behandlas med stöd av säpodata- lagen. Vi har ansett detta acceptabelt eftersom tillgången till upp- gifterna är strikt begränsad. Fri- och rättighetsintrånget av att vara registrerad i en särskild uppgiftssamling har vi mot denna bakgrund bedömt som relativt lågt. Redan av dessa skäl kan ifrågasättas om det finns ett behov av indirekt insyn avseende de särskilda uppgifts- samlingarna.

Att de uppgifter som endast behandlas i en särskild uppgifts- samling inte är tillgängliga, vare sig för Säkerhetspolisen eller för Säkerhets- och integritetsskyddsnämnden, innebär även att en kontroll är mycket svår att utföra. En kontroll skulle kräva att nämnden ansökte om tillstånd och att Säkerhetspolisen utförde framtagningen. Det skulle därmed vara först då en kontroll utförs som uppgifterna tillgängliggörs. Det skulle, något ironiskt, inne- bära att det fri- och rättighetsintrång som behandling av uppgif- terna innebär blir större när en kontroll utförs, och både Säkerhets- polisen och nämnden får reda på vilka uppgifter som behandlas om den enskilde.

Vidare kan konstateras att den lag som vi föreslår ska reglera de särskilda uppgiftssamlingarna medger behandling av många upp- gifter även om de inte, var för sig, behövs för ett ändamål. Att en enskilds personuppgifter förekommer i en särskild uppgiftssamling är därför i de flesta fall författningsenligt. Huruvida registrerings- beslutet är författningsenligt bör vara föremål för en mer syste- matisk tillsyn än vad som är möjligt genom de enskilda kontroll- ärendena.

Uppgifter som tas fram med stöd av tillstånd och är tillgängliga för Säkerhetspolisen behandlas därefter med stöd av säpodatalagen. Framtagna uppgifter kommer därför att omfattas av rätten till in- direkt insyn så länge de behandlas med stöd av säpodatalagen.

713

Tillsyn

SOU 2025:49

Vi har sammantaget funnit att nackdelarna med att låta den indirekta insynen omfatta de personuppgifter som behandlas i särskilda uppgiftssamlingar är betydligt större än fördelarna. Det finns enligt vår bedömning inte heller något sådant krav enligt Europakonventionen, då de rättssäkerhetsmekanismer som om- gärdar dessa uppgifter utgör tillräckligt dataskydd.

10.8Säkerhets- och integritetsskyddsnämndens uppdrag

10.8.1Säkerhets- och integritetsskyddsnämndens särskilda tillsynsfokus

Lagen om tillsyn över viss brottsbekämpande verksamhet anger över vilka verksamheter som Säkerhets- och integritetsskydds- nämnden ska utöva tillsyn. Av 1 § följer bland annat att nämnden ska utöva tillsyn över användandet av hemliga tvångsmedel och över den behandling av personuppgifter som utförs av Polismyn- digheten, Säkerhetspolisen och Ekobrottsmyndigheten i brotts- bekämpande syfte. I sista meningen i andra stycket framgår att tillsynen särskilt ska avse behandling enligt bland annat 2 kap. 9 § säpodatalagen. Bestämmelsen innehåller förbudet mot att behandla känsliga personuppgifter och undantag därifrån.

Att behandling av känsliga personuppgifter ska vara särskilt

tillsynsfokus har gällt allt sedan år 1996 då Säkerhets- och integri- tetsskyddsnämndens föregångare Registernämnden inrättades för att utöva tillsyn över Säkerhetspolisens behandling i det dåvarande SÄPO-registret. Det finns säkert flera anledningar till att det har uppfattats som särskilt angeläget att granska hur Säkerhetspolisen behandlar uppgifter om bland annat politiska sympatier. Vid sidan av de historiska skäl som var särskilt framträdande under 1990-talet, ställer även dataskyddskonventionen 108 krav på tillräckliga skydds- åtgärder för känsliga personuppgifter (artikel 6).

714

SOU 2025:49

Tillsyn

10.8.2Finns det skäl att ange särskilt tillsynsfokus i lag?

Förslag: Det bör inte längre anges i lag att Säkerhets- och integ- ritetsskyddsnämndens tillsyn särskilt ska avse Säkerhetspolisens behandling av känsliga personuppgifter.

Då den nuvarande säpodatalagen beslutades framhöll regeringen att tydliga regler för tillsynsverksamheten är en fördel för tillsynsmyn- digheten och tillsynsobjekten samt för enskilda som befarar att deras personuppgifter kan ha behandlats på ett otillåtet sätt. Det innebär att de får klarhet om vilka skyldigheter respektive rättig- heter de har och vilka resultat som kan förväntas av tillsynen. Sam- tidigt ansåg regeringen att det var lika viktigt att inte skapa detalj- regler som riskerar att begränsa tillsynsmyndighetens möjligheter att arbeta oberoende och att prioritera bland sina arbetsuppgifter på det sätt som den anser bäst gagnar tillsynsverksamheten som helhet. I avvägningen mellan att skapa tydliga regler och att inte åstadkomma ett regelsystem som riskerar att hämma tillsynsmyn- dighetens oberoende var regeringens utgångspunkt att en effektiv tillsyn bäst gagnas av att tillsynsmyndigheten får så stor frihet som möjligt att välja sina arbetsformer.

Den nuvarande regleringen innebär att Säkerhets- och integri- tetsskyddsnämnden måste utöva tillsyn över hur Säkerhetspolisen behandlar känsliga personuppgifter men i övrigt saknas regler om inriktningen. Det har medfört att cirka en tredjedel av de publice- rade uttalandena som rör Säkerhetspolisen avser frågan hur känsliga personuppgifter behandlas i myndighetens olika system. Frågan om hur sådana uppgifter behandlas berörs dock i princip i alla uttalan- den från nämnden.

I den lagstiftning vi föreslår ingår frågan om förekomsten av känsliga personuppgifter i den proportionalitetsprövning som ska göras innan en behandling sker. Det är ett annat sätt att se på käns- liga personuppgifter, där frågan inte längre endast avser om behovet är tillräckligt starkt, utan även om skälet för behandling överväger intrånget i motstående intressen. Denna prövning sker emellertid inte endast för uppgifter som tillhör den katalog som benämns som känsliga personuppgifter. Det finns förstås andra uppgifter som kan uppfattas som känsliga, till exempel att en myndighet har till- gång till privata meddelanden eller semesterfoton. Vi har föreslagit

715

Tillsyn

SOU 2025:49

att behandlingströskeln för känsliga personuppgifter ska vara den- samma som för andra uppgifter. Tillsynen av hur känsliga person- uppgifter generellt behandlas sammanfaller därför till stor del med frågan om behandlingen sammantaget är proportionerlig. Det finns enligt vår mening inte längre någon anledning att särskilt fokusera tillsynen på hur de känsliga personuppgifterna behandlas.

Det stärkta skydd för känsliga personuppgifter som vi föreslår handlar i större utsträckning om hur sådana uppgifter kan användas för att göra sökningar och urval bland personer. Sådan behandling av känsliga personuppgifter finns det särskild anledning att utöva tillsyn över. Det följer emellertid redan av förslaget till säpodatalag, genom de särskilda krav som uppställs för denna typ av behandling.

Vi delar den uppfattning som regeringen framförde vid införan- det av nuvarande säpodatalag. Varje särskilt uppdrag som åläggs tillsynsmyndigheten innebär att myndigheten beskärs från att för- dela sina resurser på det sätt som den själv anser bäst. Exempelvis kan det tänkas att Säkerhets- och integritetsskyddsnämndens till- syn över känsliga personuppgifter under det senaste decenniet medfört att Säkerhetspolisens behandling av sådana uppgifter ofta är författningsenlig. Även om Säkerhets- och integritetsskydds- nämnden skulle anse att riskerna i verksamheten kan identifieras främst inom andra områden innebär 1 § andra stycket sista meningen i lagen om tillsyn över viss brottsbekämpande verksamhet att nämnden, trots det, måste lägga resurser på fortsatta kontroller av behandlingen av känsliga personuppgifter.

Givet våra övriga förslag anser vi att det saknas skäl att i lag styra tillsynens inriktning. Vi anser att den personliga integriteten inte värnas i större utsträckning genom att lagstiftaren låst fast denna särskilda prioritering för tillsynen. Om det finns anledning till myndighetsstyrning, bör detta lämpligen göras genom att reger- ingen anger det i myndighetsinstruktion i stället för att det anges i lag. Vi har dock inte uppfattat att det finns något skäl att ifrågasätta att nämnden själv har bäst inblick i vilka frågor eller teman som bör granskas och undersökas. Följaktligen föreslår vi att det tillsyns- fokus som anges i Säkerhets- och integritetsskyddsnämndens sär- skilda lagstiftning bör utgå.

716

11Ikraftträdande och övergångsbestämmelser

11.1Ikraftträdande

Förslag: De nya författningarna – lagen om Säkerhetspolisens behandling av personuppgifter och lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar – ska träda i kraft den 1 januari 2027. Samma ikraftträdande ska gälla även för övriga författningsändringar.

11.1.1Skälen för förslaget

Både lagen om Säkerhetspolisens behandling av personuppgifter och lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar innebär omfattande förändringar av det regelverk som styr Säkerhetspolisens personuppgiftsbehandling. Den nuvarande lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter upphävs och ersätts av två nya lagar med delvis andra utgångspunkter och krav.

Det krävs både organisatoriska och tekniska åtgärder för att Säkerhetspolisen ska kunna tillämpa de nya regelverken på ett ända- målsenligt sätt. Myndigheten behöver göra anpassningar i sina tek- niska system, ta fram nya rutiner och arbetsmetoder samt utbilda personalen. De nya lagarna ställer andra krav på granskning och dokumentation av de uppgifter som behandlas. Det ställs bland annat krav på att behandling ska vara proportionell och behandling enligt den nya lagen om Säkerhetspolisens behandling av person- uppgifter i särskilda uppgiftssamlingar ska prövas och dokumen- teras på ett helt nytt sätt.

717

Ikraftträdande och övergångsbestämmelser

SOU 2025:49

I samråd med Säkerhetspolisen har vi bedömt att det är rimligt att de nya lagarna träder i kraft den 1 januari 2027. Denna tidpunkt ger Säkerhetspolisen tillräckligt med tid för att genomföra nödvän- diga anpassningar och förbereda sig för tillämpningen av de nya lagarna.

För den särskilda tillsynsmyndigheten och tillsynsmyndigheten medför de nya lagarna också nya uppgifter. Även dessa myndig- heter behöver tid för att anpassa sin verksamhet och utarbeta nya rutiner för tillsynen.

Alla övriga författningsförslag är en konsekvens av de två före- slagna nya lagarna och bör därför ha samma datum för ikraftträdande.

11.2Övergångsbestämmelser

11.2.1Lag om Säkerhetspolisens behandling av personuppgifter

Förslag: Personuppgifter som behandlas av Säkerhetspolisen vid ikraftträdandet får fortsätta att behandlas enligt äldre föreskrif- ter till och med den 31 december 2029. Efter denna tidpunkt ska all personuppgiftsbehandling ske i enlighet med de nya lagarna.

Äldre föreskrifter ska fortsätta att gälla för överklagande av beslut som meddelats före den nya lagens ikraftträdande.

Det finns förvisso starka skäl att den nya säpodatalagen tillämpas fullt redan när den träder i kraft. Att tillämpa äldre regler parallellt med nya innebär nämligen att både Säkerhetspolisen och tillsyns- myndigheterna måste förhålla sig till dubbla regelverk. Med hän- syn till att Säkerhetspolisen ofta har behov av att fortsätta behandla även äldre information är en sådan dubbel ordning på sikt inte möj- lig att upprätthålla. Säkerhetspolisens datavolymer är emellertid omfattande och innefattar personuppgifter som behandlas i myn- dighetens olika it-system. För att kunna behandla personuppgifter enligt den nya lagstiftningen måste Säkerhetspolisen bland annat göra proportionalitetsbedömningar och fastställa behandlingstiden för alla uppgifter som behandlas. Det är ett omfattande arbete (se även avsnitt 12.5.2). Vi har därför funnit att det är nödvändigt att införa en övergångsperiod.

718

SOU 2025:49

Ikraftträdande och övergångsbestämmelser

Den föreslagna övergångsbestämmelsen innebär att personupp- gifter som behandlas av Säkerhetspolisen vid ikraftträdandet får fortsätta att behandlas enligt äldre föreskrifter till och med den

31 december 2029, dvs. i tre år efter ikraftträdandet. Under denna tid måste Säkerhetspolisen successivt granska befintliga uppgifter och anpassa behandlingen till de nya reglerna. Detta innefattar bland annat proportionalitetsbedömningar enligt den nya lagen och be- dömningar av om behandlingen ska fortsätta enligt den ordinarie lagen eller om uppgifterna ska överföras till behandling enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

Övergångsbestämmelsen ger Säkerhetspolisen möjlighet att stegvis anpassa sin personuppgiftsbehandling till de nya reglerna utan att myndighetens förmåga att utföra sitt uppdrag äventyras. Efter den 31 december 2029 ska dock all behandling ske i enlighet med de nya reglerna, vilket innebär att Säkerhetspolisen senast vid denna tidpunkt måste ha genomfört alla nödvändiga anpassningar.

Eftersom den nuvarande lagen innehåller regler om överklagande som nu ändras måste det föreskrivas en övergångsbestämmelse även i denna del. Vi föreslår bland annat en ändrad instansordning för överklagande av vissa beslut. Den nuvarande lagen bör fortfarande tillämpas för överklagande av beslut som har meddelats före ikraft- trädandet av den nya lagen.

11.2.2Följdändringar

Förslag: Vissa följdändringar i andra lagar kräver att äldre föreskrifter fortsätter att tillämpas under en övergångsperiod.

I de lagar som hänvisar till den nuvarande säpodatalagen krävs över- gångsbestämmelser avseende den behandling som kan ske under övergångsperioden. Det gäller exempelvis lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, där det måste framgå att nämnden ska utöva tillsyn även över behandling som sker med stöd av övergångsbestämmelserna.

719

12 Konsekvenser

12.1Inledning

Enligt kommittéförordningen (1998:1474) ska en utredning redo- visa vilka konsekvenser som förslagen i ett betänkande kan få i olika avseenden. Nya bestämmelser trädde i kraft den 6 maj 2024, men eftersom denna utredning tillsattes före nämnda datum gäller

–enligt övergångsregleringen – i stället motsvarande bestämmelser i dess äldre lydelse.

Av dessa framgår bland annat att om förslagen påverkar kostna- derna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas.

Och om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska ut- redningen föreslå en finansiering. Vidare ska eventuella konse- kvenser för den kommunala självstyrelsen anges. Detsamma gäller eventuella konsekvenser för brottsligheten och det brottsförebyg- gande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensför- måga eller villkor i övrigt i förhållande till större företags, för jäm- ställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Om ett betänkande innehåller för- slag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges. Detta ska ske på ett sätt som mot- svarar de krav som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

721

Konsekvenser

SOU 2025:49

Enligt 6 § i denna förordning ska en konsekvensutredning inne- hålla

–en beskrivning av problemet och vad man vill uppnå,

–en beskrivning av vilka alternativa lösningar som finns för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd,

–uppgifter om vilka som berörs av regleringen,

–uppgifter om vilka kostnadsmässiga och andra konsekvenser regleringen medför och en jämförelse av konsekvenserna för de övervägda regleringsalternativen,

–en bedömning av om regleringen överensstämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen, och

–en bedömning av om särskilda hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speci- ella informationsinsatser.

Enligt utredningsdirektivet ska utredaren, utöver vad som följer av kommittéförordningen, noga analysera vilka konsekvenser de för- slag som lämnas har för den personliga integriteten. Utredaren ska också bedöma hur förslagen förhåller sig till Sveriges internatio- nella åtaganden om mänskliga rättigheter.

12.2Problembeskrivning och syfte

Säkerhetspolisen står i dag inför en komplex och breddad hotbild mot Sveriges säkerhet. Auktoritära stater som Ryssland, Kina och Iran bedriver omfattande säkerhetshotande verksamhet mot Sverige genom underrättelseinhämtning, påverkansoperationer, cyberangrepp och olovlig teknik- och kunskapsanskaffning. Samtidigt har hotet från våldsbejakande extremism förändrats, där extremistiska bud- skap får större spridning via digitala plattformar. Detta beskrivs i kapitel 5.

Den nuvarande säpodatalagen är inte anpassad efter dessa för- hållanden och begränsar Säkerhetspolisens förmåga att effektivt hantera omfattande informationsmängder. Lagen innehåller be-

722

SOU 2025:49

Konsekvenser

stämmelser som i stort överförts utan ändringar från tidigare lag- stiftning och härstammar från en tid då hoten mot Sveriges säker- het, den tekniska utvecklingen och informationsmängderna såg annorlunda ut. Detta beskrivs i kapitel 6.

Syftet med våra förslag är att ge Säkerhetspolisen mer ändamåls- enliga verktyg för att möta dagens hotbild, samtidigt som grund- läggande fri- och rättigheter skyddas genom lämpliga skyddsmeka- nismer.

12.3Förslag och alternativa lösningar

Våra förslag

Vi föreslår en genomgripande reform av regelverket för Säkerhets- polisens personuppgiftsbehandling genom:

•En helt ny säpodatalag som utgår från dataskyddskonventionen 108+ och Europakonventionen i stället för EU-rätten, se kapitel 8.

•En särskild lag om behandling av personuppgifter i särskilda upp- giftssamlingar, se kapitel 9.

•Förstärkt och förändrad tillsyn, se kapitel 10.

Den nya lagstiftningen bygger på:

•Proportionalitetsprincipen som grundläggande krav.

•Ändamålsenliga behandlingstider anpassade för underrättelse- verksamhetens långsiktiga behov.

•Teknikneutral utformning som möjliggör användning av moderna tekniker.

•Systeminriktad kontroll snarare än kontroll av enskilda person- uppgifter.

723

Konsekvenser

SOU 2025:49

Nollalternativet

Om ingen förändring genomförs kvarstår de nuvarande begräns- ningarna:

•En administrativt tung granskningsfunktion som skapar flask- halsar i informationsflödet, se avsnitt 6.1.1–2.

•Krav på konkret behov och ändamål för varje enskild person- uppgift, se avsnitt 6.1.3–4.

•För korta längsta tider för behandling givet inriktningen på Säkerhetspolisens verksamhet, se avsnitt 6.1.5.

•Begränsad möjlighet att behandla referensdatabaser eller att ut- veckla moderna tekniska verktyg, se avsnitt 6.1.6 och 6.2.6.

Nollalternativet skulle innebära att nuvarande lagstiftning fort- sätter att tillämpas. Det skulle leda till fortsatta svårigheter för Säkerhetspolisen att effektivt förebygga, förhindra och upptäcka säkerhetshot mot Sverige. Som framgår i kapitel 6 och 7 ser vi stora problem med den nuvarande ordningen.

Nollalternativet innebär att Säkerhetspolisens förmåga även fort- satt hindras av en personuppgiftslagstiftning som inte är anpassad till dagens förhållanden (se till exempel Riksrevisionens gransk- ningsrapport Säkerhetspolisens verksamhet, RiR 2024:24). Detta sker i en tid då hotbilden blir alltmer komplex och informations- mängderna ökar exponentiellt, se kapitel 5 och 6. Vi har bedömt att detta inte är ett godtagbart alternativ.

12.4Konsekvenser för den personliga integriteten

Bedömning: Förslagen medför ett ökat intrång i den personliga integriteten. Intrånget balanseras genom införandet av robusta skyddsmekanismer med tydliga proportionalitetskrav och för- stärkta rättssäkerhetsgarantier i form av förhandskontroll i dom- stol och förstärkt tillsyn.

724

SOU 2025:49

Konsekvenser

Skälen för bedömningen

Den personliga integriteten kan påverkas

Skälen till våra förslag är grundligt motiverade i de tidigare kapitlen. Där har vi genomgående analyserat vilka konsekvenser förslagen får för de grundläggande fri- och rättigheterna i Sverige.

I avsnitt 6.3 bedömer vi att Säkerhetspolisens behov av att be- handla personuppgifter är så stort att de åtgärder som krävs för att möta det kan medföra en risk för betydande intrång eller kränkning av mänskliga rättigheter. Rätten till privatliv och skyddet för den personliga integriteten påverkas av att personuppgifter samlas in och bevaras hos en säkerhetstjänst. Om enskilda uppfattar att olika former av opinionsyttringar kan medföra att Säkerhetspolisen regi- strerar dessa och behandlar dem över tid, kan det få en avhållande effekt på viljan att yttra sig offentligt.

I kapitel 7 redogör vi för inriktningen för våra förslag och hur riskerna ska mötas. De förslag vi lämnar i kapitel 8 och 9 möter i stora delar Säkerhetspolisens behov att kunna behandla personupp- gifter. Det samlade intrånget i den personliga integriteten kommer att bli större än tidigare, då fler personuppgifter kommer att regi- streras och behandlas under längre tid. Även andra grundläggande fri- och rättigheter, främst opinionsfriheten, skulle kunna påverkas.

Skyddsmekanismer för att motverka intrång i grundläggande fri- och rättigheter

För att balansera de utökade möjligheterna för Säkerhetspolisen att behandla personuppgifter innehåller våra förslag flera skyddsmeka- nismer:

•Grundläggande proportionalitetsprincip som kräver att varje behandlingsåtgärd ska vara proportionerlig i förhållande till ändamålet. Detta ger ett starkare skydd än nuvarande lagstift- ning, som främst utgår från Säkerhetspolisens behov och en prövning av om varje enskild uppgift behandlas korrekt utan att fullt ut beakta vilket faktiskt intrång behandlingen innebär.

725

Konsekvenser

SOU 2025:49

•Skydd för privilegierad information som innebär att Säkerhets- polisen inte får behandla meddelanden mellan en försvarare och en misstänkt eller uppgifter som skyddas av meddelarfriheten.

•Domstolskontroll för framtagning av uppgifter från särskilda uppgiftssamlingar, vilket ger en oberoende förhandsprövning.

•Användningsbegränsning: Uppgifter som tagits fram från en särskild uppgiftssamling får inte användas för att utreda brott, exempelvis i en förundersökning.

•Förstärkt tillsyn genom tydligare roller och utökade befogen- heter för tillsynsmyndigheterna, särskilt för Säkerhets- och integ- ritetsskyddsnämnden, som också tillförs betydande resurser.

•Samverkan mellan Säkerhetspolisen och tillsynsmyndigheterna i frågor som rör personuppgiftsbehandling.

•Tillsynsperspektiv vid teknikutveckling som innebär att Säker- hetspolisen åläggs att i skälig utsträckning vidta nödvändiga tekniska åtgärder för att möjliggöra effektiv tillsyn.

Samlad bedömning av integritetsintrånget

Vår bedömning är att risken för kränkning av grundläggande fri- och rättigheter inte har ökat genom förslagen, trots att fler person- uppgifter kommer att behandlas. De nya skyddsmekanismerna skapar en bättre balans mellan säkerhetsbehov och integritetsskydd än dagens lagstiftning.

Det finns inte skäl att återupprepa alla de överväganden som gjorts i dessa avseenden. I respektive avsnitt i betänkandet har vi gjort bedömningar om potentiella intrång i grundläggande fri- och rättigheter och hur dessa ska motverkas, kompenseras eller accep- teras. I kapitel 8 har vi återkommande redogjort för de avvägningar

vigjort mellan den personliga integriteten och det allmänna intres- set av att skydda nationell säkerhet i samband med att Säkerhets- polisen behandlar personuppgifter för brottsbekämpande ändamål. I kapitel 9 har vi lämnat förslag på undantag från dataskyddsrätts- liga grundprinciper. Dessa undantag har kompenserats med kraft- fulla alternativa skyddsmekanismer. Vi har föreslagit ett krav på skriftligt motiverade beslut för registrering av personuppgifter,

726

SOU 2025:49

Konsekvenser

krav på förhandstillstånd från en oberoende domstol för framtag- ning av personuppgifter, förbud mot att använda uppgifterna i förundersökningar och effektiva möjligheter för Säkerhets- och integritetsskyddsnämnden att utöva tillsyn.

Vår samlade bedömning är sammanfattningsvis att Sverige med god marginal kommer att hålla sig innanför de skyldigheter som följer av våra internationella åtaganden genom de förslag vi lämnar. Även denna bedömning görs genomgående i betänkandet i anslut- ning till respektive förslag.

12.5Konsekvenser för brottsligheten och det brottsförebyggande arbetet

Bedömning: Den nya säpodatalagen och lagen om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssam- lingar stärker tydligt Säkerhetspolisens förmåga att förebygga, förhindra och upptäcka brottslig verksamhet mot rikets säker- het eller terrorbrott. Förslaget till ny säpodatalag stärker även Säkerhetspolisens förmåga att utreda sådana brott.

12.5.1Skälen för bedömningen

Stärkt operativ förmåga

Genom att Säkerhetspolisen ges ökade möjligheter att behandla personuppgifter kommer myndighetens samlade operativa förmåga att öka. Våra förslag utökar inte möjligheterna till informations- inhämtning, men ger bättre möjligheter att bearbeta och analysera information över tid. Detta skapar synergieffekter med existerande förmågor. Dessa positiva effekter gäller för både underrättelseverk- samheten och den brottsutredande verksamheten.

Möjligheten att behandla stora informationsmängder i särskilda uppgiftssamlingar ger Säkerhetspolisen bättre förutsättningar att upptäcka mönster och sammanhang som annars skulle vara svåra att identifiera. Detta är särskilt värdefullt i komplexa underrättelse- ärenden där information som initialt verkar perifer senare kan visa sig ha avgörande betydelse.

727

Konsekvenser

SOU 2025:49

Effektivare resursanvändning

Den nya lagstiftningen minskar den administrativa bördan kring granskning av personuppgifter, vilket frigör resurser till operativt arbete. Efter en inledande implementeringsperiod kommer Säker- hetspolisen kunna arbeta mer effektivt genom bland annat minskad administrativ hantering kring varje enskild personuppgift och ända- målsenliga behandlingstider som inte innebär kontinuerlig behovs- prövning.

Den samlade effekten bedöms bli mycket positiv för Säkerhets- polisens möjlighet att utföra sitt uppdrag. Effekten kan dock inte kvantifieras.

12.6Ekonomiska konsekvenser för staten

12.6.1Bakgrund

Vi föreslår att de båda lagstiftningarna ska träda i kraft i sin helhet från den 1 januari 2027. Vi har därutöver föreslagit övergångsbestäm- melser som ska gälla under tre år.

Förslagen innebär i sig inte några ökade kostnader för de myndig- heter som påverkas. I huvudsak kommer de direkta konsekvenserna bestå i att Säkerhetspolisen ska tillse att de delvis nya kraven som lagarna uppställer, bland annat vad gäller proportionalitet och indi- viduellt bestämd behandlingstid, tillämpas korrekt efter att tiden för övergångsbestämmelserna löpt ut. Detsamma gäller de båda till- synsmyndigheterna som måste förhålla sig till helt ny lagstiftning.

Lagstiftningarna kommer att möjliggöra en ökad förmåga för Säkerhetspolisen, exempelvis genom att personuppgifter kan be- handlas för teknikutveckling och att stora informationsmängder kan behandlas i särskilda uppgiftssamlingar. Kostnader till följd av sådan behandling är emellertid inte en direkt konsekvens av denna lagstiftning, utan en fråga om prioriteringar inom existerande eller förhöjd anslagsram. Det kommer däremot att uppstå kostnader för tillsyn av sådana nya system och domstolen måste rustas för att kunna hantera ansökningar.

728

SOU 2025:49

Konsekvenser

12.6.2Sammanlagda ekonomiska konsekvenser

Vi har bedömt att de sammanlagda ekonomiska konsekvenserna för staten uppgår till cirka:

–45 miljoner kronor år 2027,

–36,3 miljoner kronor år 2028,

–28,5 miljoner kronor år 2029 och

–18,5 miljoner kronor per år från 2030.

De kostnader som uppstår i andra myndigheter än Säkerhetspolisen föreslås finansieras genom omfördelningar från Säkerhetspolisens ramanslag. De ekonomiska konsekvenserna ryms därmed inom be- fintliga ekonomiska ramar för statsbudgeten som helhet. I det föl- jande beskrivs dessa kostnader för respektive myndighet.

12.6.3Säkerhetspolisen

Bedömning: Förslagen innebär att Säkerhetspolisen måste om- fördela resurser under en genomförandefas men att personupp- gifter därefter kan behandlas mer effektivt.

Omfördelningen kan hanteras inom Säkerhetspolisens ram- anslag och det finns inte skäl att här lämna förslag om särskild finansiering. Om inte resurser tillförs engångsvis, kan det dock kortsiktigt påverka Säkerhetspolisens operativa förmåga.

Skälen för bedömningen

Nuvarande anslag

Säkerhetspolisen har i budgetpropositionen för år 2025 tilldelats 2,75 miljarder kronor. För 2026 beräknas anslaget öka med 233 mil- joner kronor och från och med 2027 med 300 miljoner kronor.

Mellan åren 2023 och 2027 beräknas myndighetens anslag ha ökat med cirka 1 miljard kronor, vilket motsvarar cirka 50 procent.

729

Konsekvenser

SOU 2025:49

En ny säpodatalag

Förslaget kommer att förändra Säkerhetspolisens informations- hantering och, enligt myndighetens egna beräkningar, bidra till en ökad effektivitet i det operativa arbetet på tre års sikt. Under en övergångsperiod på tre år kommer Säkerhetspolisen att behöva granska nuvarande information i enlighet med den föreslagna lag- stiftningen. Granskning och omprövning av informationen som behandlas enligt den nuvarande lagen kommer att behöva göras parallellt med att den nya lagen ska börja tillämpas för nya person- uppgifter som behandlas.

För att hantera övergången och för att dra nytta av den nya lag- stiftningens möjligheter att behandla personuppgifter, bedömer Säkerhetspolisen att en resursförstärkning krävs. En resursförstärk- ning krävs även för att omhänderta de stora utbildningsinsatserna för Säkerhetspolisens operativa personal i att kunna granska infor- mation enligt förslaget samt för att upprätta metodstöd och hand- böcker. Den nya lagstiftningen innebär ett större ansvar hos fler medarbetare än tidigare att säkerställa författningsenlig person- uppgiftsbehandling. Denna förflyttning från högt specialiserade personuppgiftsexperter till ett större ansvar hos fler medarbetare kommer att ge ökad effektivitet på sikt men innebär en kostnad under övergångsperioden.

Kostnaden för att förhindra en operativ förmågesänkning under övergångsperioden mellan den nuvarande och föreslagna säpodata- lagen bedöms vara 30 miljoner kronor år 2027 och därefter falla till 20 miljoner kronor 2028 och 10 miljoner kronor år 2029. Därefter bedömer Säkerhetspolisen att effektiviseringen av informations- hanteringen bidrar till en omfördelning av resurser som innebär att en ökad operativ förmåga inom befintlig budgetram.

Vår bedömning är att dessa kostnader kan hanteras inom Säker- hetspolisens anslag men noterar att detta oundvikligen kommer att medföra en viss operativ förmågesänkning under en period. Det är ytterst en politisk fråga om en sådan sänkning är acceptabel.

730

SOU 2025:49

Konsekvenser

Särskilda uppgiftssamlingar

Genom förslaget om Säkerhetspolisens behandling av personupp- gifter i särskilda uppgiftssamlingar tillkommer nya administrativa krav för bland annat registrering och ansökningar hos domstolen.

Det kommer att kräva att Säkerhetspolisen under en genomförande- fas utvecklar nya rutiner och genomför en organisationsförändring för de särskilda krav som ställs enligt den föreslagna lagen. Vidare tillkommer kostnad för utbildning, upprättande av interna riktlin- jer, manualer och vägledningar.

De direkta kostnaderna som uppkommer för Säkerhetspolisen genom förslaget bedöms till 10 miljoner kronor, under en genom- förandeperiod om ett år. Under genomförandeperioden kommer analytisk teknikkompetens behöva utökas och ytterligare resurser kan behöva tillföras, bland annat för att hantera den nya domstols- processen.

Säkerhetspolisen har själv bedömt att det efter genomförande- fasen inte uppkommer några direkta kostnader till följd av lagför- slagen, som då kan hanteras inom befintlig budgetram.

För att fullt ut utnyttja den nya förmågan krävs investeringar i teknik. Vid användning av tekniken uppstår vidare löpande kost- nader. Detta är dock inte direkta konsekvenser av lagförslagen och bör därför hanteras som prioriteringar inom den befintliga anslags- ramen eller genom tillskjutande resurser. Det kan emellertid kon- stateras att om lagstiftningens intentioner ska få fullt genomslag, torde det krävas resurssatsningar.

12.6.4Säkerhets- och integritetsskyddsnämnden

Förslag: Säkerhets- och integritetsskyddsnämnden kommer be- höva förstärka sin tillsynsverksamhet till följd av förslagen. Nämnden ska därför tilldelas ökat ramanslag med

–11 666 000 kronor år 2027,

–12 953 000 kronor år 2028, och

–15 194 000 kronor från år 2029 och framåt. Anslagsökningen finansieras genom att motsvarande summa förs över från Säkerhetspolisens ramanslag.

731

Konsekvenser

SOU 2025:49

Skälen för förslagen

Nuvarande anslag

Säkerhets- och integritetsskyddsnämnden har enligt budgetproposi- tionen för år 2025 ett anslag om cirka 42,7 miljoner kronor som beräknas öka till drygt 45 miljoner år 2026 och knappt 46 miljoner år 2027.

Regeringen har under år 2024 remitterat ett utkast till lagråds- remiss Datalagring och tillgång till elektronisk information (Ju2024/ 02286). I utkastet föreslås att Försvarsunderrättelsedomstolen övertar uppgiften som kontrollorgan från Säkerhets- och integri- tetsskyddsnämnden. Nämndens kostnader för kontrollorgansfunk- tionen beräknades öka med 3 miljoner kronor från år 2026 (se prop. 2023/24:1, Utgiftsområde 4, s. 73). Om uppgiften överförs enligt förslaget, kommer motsvarande medel att överföras från nämnden till Försvarsunderrättelsedomstolen.

Ny säpodatalag

Den nya säpodatalagen ger Säkerhetspolisen större möjligheter att behandla personuppgifter än idag, vilket påverkar tillsynsverksam- heten väsentligt. Bedömning av laglighet ska i större utsträckning göras med utgångspunkt i en proportionalitetsbedömning i stället för från precisa lagregler. Detta ställer högre krav på analys och bedömning i varje tillsynsärende. Att avgöra vad som utgör propor- tionerlig personuppgiftsbehandling kräver särskilda insikter och mer verksamhetsnära tillsyn. Att tillsynen kan stärkas är en viktig del för att säkerställa att den nya lagstiftningen även i praktiken uppfyller våra internationella åtaganden.

Kontroller på begäran av enskilda förväntas också bli mer kom- plexa. De synergieffekter som finns av att nämnden utövar tillsyn över likartade personuppgiftslagar minskar genom förslaget till ny säpodatalag.

För att möta dessa utmaningar behövs fler kvalificerade före- dragande. Nämnden bedömer behovet till tre nya föredragande, till en kostnad av 1 050 000 kronor per person och år (inklusive an- slutning till Försäkringskassans it-lösning). Total årlig kostnad blir därmed 3 150 000 kronor. Därtill kommer engångskostnader för

732

SOU 2025:49

Konsekvenser

inventarier, säkerhetsskåp och särskilt anpassad utrustning på totalt 477 000 kronor.

Den nya lagen ger Säkerhetspolisen möjlighet att utnyttja ny teknik för effektiv informationshantering. Personuppgiftsbehand- lingen kommer därmed att bli alltmer avancerad och komplex. För att kunna utöva tillsyn över nya komplexa behandlingsåtgärder krävs kvalificerad teknisk kompetens med fördjupade kunskaper för att förstå de bakomliggande strukturerna. För att möta de nya utmaningar som Säkerhetspolisens mer utvecklade tekniska lös- ningar medför, behöver nämnden därför rekrytera kvalificerad kompetens på området. Denna utmaning hänger samman även med tillsynen över särskilda uppgiftssamlingar. Konsekvenserna av detta bedöms samlat nedan

Särskilda uppgiftssamlingar

Nämnden har bedömt att tillsynen över lagen om särskilda uppgifts- samlingar kommer att kräva föredragande med lång erfarenhet av kvalificerat juridiskt arbete. Särskilt viktigt är detta för personal som ska ta fram underlag för, avge yttranden till eller företräda nämnden i domstol. Nämnden behöver också bygga upp beredskap för att med kort varsel kunna uppträda i domstol och själv ansöka om framtagning av uppgifter.

Initialt bedöms behovet uppgå till tre ytterligare föredragande. Nämnden har uppskattat den årliga kostnaden till 1 650 000 kronor per person och år, totalt 4 950 000 kronor årligen. Därtill kommer engångskostnader för inventarier och särskilt anpassad utrustning på sammanlagt 477 000 kronor.

Behovet av teknisk kompetens

Förslagen i utredningen möjliggör för Säkerhetspolisen att använda mer avancerad teknik för informationshantering. För en effektiv tillsyn måste teknisk kompetens finnas även hos tillsynsmyndig- heten. Nämnden behöver därför successivt bygga upp en teknisk kompetens, vid sidan av den juridiska.

Nämnden har bedömt att det finns behov av att rekrytera en per- son vid lagens ikraftträdande och ytterligare två till tre personer

733

Konsekvenser

SOU 2025:49

under de följande två åren. För detta ändamål beräknas kostnaden till 2 500 000 kronor år 1, ytterligare 2 300 000 kronor år 2 och ytterligare 2 300 000 kronor år 3. I dessa belopp ingår kostnader för specialanpassad hård- och mjukvara samt engångskostnader för in- ventarier.

Att denna tekniska kompetensuppbyggnad kan ske ser vi som en central del i tillsynen av den nya lagen.

Övriga faktorer

Nämndens nuvarande lokaler kan inte rymma den planerade perso- nalökningen utan ombyggnad för att skapa ytterligare fyra tjänste- rum. En överenskommelse om sådan utvidgning finns sedan tidi- gare med hyresvärden.

Förslagen kräver även att nämnden övergår till delvis nya arbets- sätt. Den mer omfattande proportionalitetsprövningen innebär att större informationsmängder kan behöva granskas, tillsammans med tekniska aspekter av behandlingen. Detta leder till mer omfattande föredragningar vid nämndens sammanträden, vilket sannolikt kräver fler möten. Kostnaden för extra möten beräknas till 28 000 kronor per tillfälle, främst för ledamöternas resor. Med fyra extra möten per år blir merkostnaden 112 000 kronor årligen.

Övriga delar av förslagen bedöms kunna hanteras inom ramen för befintliga budgetmedel.

Finansiering

De sammanlagda kostnader som redovisats ovan innebär att Säker- hets- och integritetsskyddsnämndens ramanslag behöver höjas med cirka 11 miljoner kronor från år 2027, 13 miljoner kronor från år 2028 och 15 miljoner kronor från år 2029. Till det kommer engångskost- nader framför allt år 2027 med cirka 1 miljon kronor.

Det är Säkerhetspolisen som får en verksamhetsnytta av att för- slagen genomförs. Det är därför naturligt att de ökade kostnaderna för tillsynen belastar Säkerhetspolisens anslag. Finansiering bör således ske genom att motsvarande summa överförs från anslags- post 1:2 Säkerhetspolisen till nämndens anlagspost. Med detta sagt bör betonas att lagförslagen inte leder till någon motsvarande kost-

734

SOU 2025:49

Konsekvenser

nadsbesparing för Säkerhetspolisen. Det innebär att förslaget kom- mer att leda till motsvarande operativ förmågesänkning. Det är ytterst en politisk fråga om en sådan sänkning är acceptabel.

Tabell 12.1 Säkerhets- och integritetsskyddsnämndens kostnader

Utgiftsområde 4 anslag 1:15

	År 1	År 2	År 3

Personalkostnader
– Föredragande säpodatalagen	3 150	3 150	3 150

– Föredragande särskilda uppgiftssamlingar	4 950	4 950	4 950
– Teknisk kompetens	2 441	4 682	6 923

Tillkommande nämndsammanträden	112	112	112
Engångskostnad (utrustning m.m.)	1 013	59	59
	11 666	12 953	15 194

12.6.5Försvarsunderrättelsedomstolen

Förslag: Försvarsunderrättelsedomstolen behöver öka antalet särskilda ledamöter till följd av förslagen. Det medför en årlig kostnadsökning med 250 000 kronor.

Därutöver krävs en förstärkning av domstolens kansli med två tjänster, till en kostnad av 3 100 000 kronor per år och en engångskostnad om 400 000 kronor. Detta under förutsättning att domstolens kansli inte förstärks i motsvarande mån genom att domstolen tilldelas rollen som kontrollorgan, enligt lagen om lagring av och tillgång till uppgifter om elektronisk kommu- nikation i syfte att skydda Sveriges säkerhet.

Kostnadsökningen ska finansieras genom att motsvarande summa överförs från Säkerhetspolisens ramanslag i utgiftsom- råde 4 till utgiftsområde 6.

735

Konsekvenser

SOU 2025:49

Skälen för förslaget

Nuvarande anslag

Försvarsunderrättelsedomstolen har enligt budgetpropositionen för år 2025 ett ramanslag om cirka 12 miljoner kronor.

Regeringen har under år 2024 remitterat ett utkast till lagråds- remiss Datalagring och tillgång till elektronisk information (Ju2024/ 02286). I utkastet föreslås att Försvarsunderrättelsedomstolen ska överta uppgiften som kontrollorgan. Om uppgiften som kontroll- organ överförs till Försvarsunderrättelsedomstolen enligt förslaget, kommer Försvarsunderrättelsedomstolen tilldelas ytterligare 3 mil- joner kronor från år 2026.

Nya uppgifter

Försvarsunderrättelsedomstolen föreslås få nya uppgifter till följd av våra förslag. Domstolen föreslås vara prövningsinstans för till- stånd som söks för framtagning från särskilda uppgiftssamlingar.

Vidare föreslår vi att tillsynsmyndighetens beslut som fattas med stöd av säpodatalagen ska överklagas till Försvarsunderrättelsedom- stolen. Den senare uppgiften, som torde vara sällsynt förekom- mande, bedömer vi kunna inrymmas inom befintligt anslag.

Som prövningsorgan enligt förslag till lag om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar behövs däremot en ökad resurstilldelning. Enligt domstolens egen bedöm- ning torde domarkapaciteten, i vart fall i ett inledningsskede, kunna upprätthållas med en ordförande, två vice ordföranden och tio sär- skilda ledamöter. Det innebär en ökning med fyra särskilda leda- möter jämfört med i dag. Tillkommande kostnader för de särskilda ledamöterna bedöms öka med 250 000 kronor per år. I beloppet ingår även kostnader för utbildning.

När det gäller domstolens kansli, bedömer domstolen att de till- kommande uppgifterna kräver två heltidsanställningar på kansliet. Personalkostnaden för dessa beräknas till cirka 3 000 000 kronor per år. Därutöver tillkommer cirka 100 000 kronor per år i löpande kostnader för bland annat telefoni, licenser samt kostnader hän- förliga till personal- och ekonomiadministration. Engångskostna-

736

SOU 2025:49

Konsekvenser

der i form av bland annat kontorsinredning, IT och säkerhets- skyddsåtgärder uppskattas till cirka 400 000 kronor.

Med en sådan bemanning kan verksamheten, genom en omdis- ponering, bedrivas i nuvarande lokaler och några ytterligare lokal- kostnader är då inte nödvändiga.

Om domarkapaciteten visar sig otillräcklig och en ytterligare

domare behöver anställas, bedöms den årliga kostnaden uppgå till ytterligare 2 000 000 kronor per år. I sådant fall finns även ett behov av utökning av nuvarande lokaler. Om sådana lokaler kan tillhanda- hållas av FOI i anslutning till nuvarande lokaler bedöms lokal- kostnaden öka med cirka 200 000 kronor per år. Om domstolen skulle behöva flytta till andra lokaler inom FOI, tillkommer höga kostnader för ett nytt sammanträdesrum. Därtill kommer engångs- kostnader för ombyggnation och andra anpassningar av lokalerna bedömt till cirka 1 000 000 kronor samt för återställandet av nuva- rande lokaler till cirka 800 000 kronor.

Finansiering

De sammanlagda kostnaderna för domstolen innebär ett behov av att öka ramanslaget från och med år 2027 med cirka 3 350 000 kronor per år. Därutöver tillkommer en engångskostnad om 400 000 kronor.

Som framgår ovan finns det förslag om att domstolen ska till- delas uppgifter även som kontrollorgan för datalagringsskyldig- heten i syfte att skydda nationell säkerhet, enligt tidigare nämnda utkast till lagrådsremiss. Om båda förslagen genomförs, kommer domstolens resursbehov dock inte att fördubblas. De handläggare som krävs för att utföra arbetsuppgifter enligt utkastets förslag kan sannolikt utföra uppgifter även till följd av våra förslag. Uppgifter- nas karaktär och den kompetens som krävs vid handläggningen torde i stora delar vara överlappande.

Om utkastet till lagrådsremissen genomförs, bör kostnadsök- ningen till följd av våra förslag inledningsvis kunna stanna vid för- stärkningen av antalet särskilda ledamöter och vissa engångskost- nader (250 000 kronor årligen plus 400 000 kronor engångsvis).

Det måste dock finns beredskap att tillskjuta ytterligare resurser till domstolen, om behovet av domarkapacitet visar sig större än beräknat.

737

Konsekvenser

SOU 2025:49

Den ökade kostnaden för domstolen är en följd av att Säker- hetspolisen får förmågan att behandla stora informationsmängder i särskilda uppgiftssamlingar. Därför bör domstolens kostnader finansieras genom en överföring från Säkerhetspolisens anslag (ut- giftsområde 4 anslagspost 1:2) till Försvarsunderrättelsedomstolens anslag (utgiftsområde 6 anslagspost 1:12).

Med detta sagt bör betonas att lagförslagen inte leder till någon motsvarande kostnadsbesparing för Säkerhetspolisen. Det innebär att förslaget kommer att leda till motsvarande operativ förmåge- sänkning. Det är ytterst en politisk fråga om en sådan sänkning är acceptabel.

12.6.6Övriga myndigheter

Bedömning: Integritetsskyddsmyndigheten kommer att påverkas av förslagen men bedöms kunna hantera konsekvenserna inom befintligt anslag. Polismyndigheten kommer att tillämpa säpodata- lagen endast i undantagsfall, vilket inte bedöms medföra några ekonomiska konsekvenser. Sveriges domstolar påverkas i margi- nell utsträckning, vilket inte medför några konsekvenser som inte inryms inom domstolarnas ordinarie ramanslag.

Skälen för bedömningen

Konsekvenser för Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten kommer att ha i stort sett samma uppdrag i förhållande till Säkerhetspolisen som i dag. Tillsynen kom- mer dock inte att kunna ske på samma sätt som den som utövas i förhållande till andra brottsbekämpande myndigheter. Det kommer därför att behövas särskilda utbildningsinsatser för tillsyn över säpo- datalagen. Att vårt förslag till säpodatalag avviker från den tidigare lagen kan inte anses utgöra en särskild konsekvens för Integritets- skyddsmyndigheten. Myndigheten utövar tillsyn över flera olika lagstiftningar, bland annat försvarsdatalagen och FRA-datalagen som i likhet med vårt förslag saknar EU-rättslig koppling. Tillsynen över den nya säpodatalagen är en uppgift som vi bedömer ryms inom myndighetens nuvarande anslag.

738

SOU 2025:49

Konsekvenser

Integritetsskyddsmyndigheten kommer att ges möjlighet att an- söka om tillstånd till framtagning. Det kan dock inte förväntas ske i sådan omfattning att det medför några särskilda ekonomiska kon- sekvenser.

Konsekvenser för Polismyndigheten

Polismyndigheten kommer att tillämpa den nya lagen i de fall myn- digheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Detta kommer dock att ske i ett mycket begränsat antal fall och bedöms inte påverka Polismyndighetens verksamhet i någon större omfattning. De kostnadsökningar som förslaget i denna del kan medföra för myndigheten bedöms margi- nella och kan hanteras inom myndighetens befintliga ram.

Konsekvenser för allmänna förvaltningsdomstolar

De förslag vi lämnar om att begränsa de rättsmedel som enskilda har att begära rättelse, komplettering eller radering, innebär att färre överklagbara beslut kommer att fattas. Tillsynsmyndighetens beslut om föreläggande eller förbud ska enligt vårt förslag inte längre överklagas till allmän förvaltningsrätt. Dessutom föreslår vi att beslut om att inte lämna ut registerutdrag eller att ta ut avgift ska överklagas till kammarrätt som första instans.

Våra förslag innebär att Förvaltningsrätten i Stockholm inte längre kommer att pröva några beslut enligt säpodatalagen. Det innebär dock inte annat än en mycket marginell förändring i dom- stolens sammanlagda målstock. Även för Kammarrätten i Stockholm innebär förändringen en mycket marginell justering i verksam- heten. Vi bedömer sammantaget att förslagen är kostnadsneutrala för Sveriges domstolar.

739

Konsekvenser

SOU 2025:49

12.7Övriga konsekvenser

Nationell säkerhet undantagen från EU:s dataskyddsreglering

Vårt förslag utgår från att skyddet av nationell säkerhet är en natio- nell angelägenhet som faller utanför EU:s kompetensområde. Lag- stiftningen baseras därför på dataskyddskonventionen och Europa- konventionen i stället för på EU-rätten. Detta är förenligt med artikel 4.2 i fördraget om Europeiska unionen, som fastslår att nationell säkerhet förblir varje medlemsstats eget ansvar. Förslaget innebär därmed inget åsidosättande av Sveriges åtaganden enligt EU-rätten.

Kommunala självstyret

Förslagen påverkar inte det kommunala självstyret, då de enbart berör statliga myndigheter och deras verksamhet.

Jämställdhet mellan könen

Förslagen förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män. Lagstiftningen är könsneutral och till- lämpas lika oavsett kön.

Barnkonventionen

Säkerhetspolisens verksamhet är av naturliga skäl främst inriktade mot vuxna. I den mån personuppgifter om barn behandlas, föreslår

viatt behandlingstiden ska anpassas för att särskilt beakta att barns personuppgifter ska omfattas av ett särskilt starkt dataskydd. Detta ger ett förstärkt skydd för barns integritet i förhållande till vuxnas och är i linje med principen om barnets bästa i barnkonventionen. Vårt förslag tillgodoser kraven i barnkonventionen.

740

13 Författningskommentar

13.1Förslaget till lag om Säkerhetspolisens behandling av personuppgifter

1 kap. Allmänna bestämmelser

Lagens syfte

1 § Syftet med lagen är att skydda fysiska personers grundläggande rättig- heter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla personuppgifter på ett ända- målsenligt sätt.

Av bestämmelsen, som motiveras i avsnitt 8.1.1, framgår lagens syften. Paragrafen motsvarar delvis 1 kap. 1 § i nuvarande lag.

Lagen syftar både till att skydda fysiska personers grundläg- gande fri- och rättigheter vid personuppgiftsbehandling och till att möjliggöra för Säkerhetspolisen att inom lagens tillämpnings- område behandla personuppgifter på ett ändamålsenligt sätt.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande verksamhet.

Lagen gäller även vid Polismyndighetens behandling av personuppgifter, när myndigheten har övertagit en uppgift från Säkerhetspolisen inom denna lags tillämpningsområde.

När Polismyndigheten har övertagit en uppgift enligt andra stycket, ska vad som i denna lag sägs om Säkerhetspolisen i stället gälla Polismyn- digheten.

Paragrafen anger, tillsammans med 3 och 4 §§, lagens tillämpnings- område och innebär endast förtydliganden och redaktionella änd-

743

Författningskommentar

SOU 2025:49

ringar i förhållande till nuvarande 1 kap. 2 § (jfr prop. 2018/19:163 s. 211). Överväganden finns i avsnitt 8.1.2.

Av första stycket framgår lagens tillämpningsområde. Lagen regle- rar behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande verksamhet. I princip all verk- samhet vid Säkerhetspolisen är i någon mån brottsbekämpande. Brottsbekämpning har samma betydelse som motsvarande begrepp i nuvarande lagstiftning.

Vad som utgör nationell säkerhet går inte att fullt ut bestämma på nationell nivå. Nationell säkerhet utmärks bland annat av att den syftar till att skydda statens grundfunktioner och samhällets grund- läggande intressen. Det krävs inte att ändamålet för varje enskild behandling går att koppla till skyddet av nationell säkerhet. Det är tillräckligt att behandlingen ingår som ett led i en verksamhet med det syftet. Av 1 kap. 1 § första stycket 3 lagen (2018:1693) om poli- sens behandling av personuppgifter inom brottsdatalagens område följer att Säkerhetspolisen i stället ska tillämpa den lagen, om behand- ling sker för brottsbekämpande syften som inte rör nationell säker- het.

Av andra stycket framgår att lagen gäller vid Polismyndighetens behandling av personuppgifter när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Lagen ska tillämpas när Säkerhetspolisen har lämnat över en arbetsuppgift som rör nationell säkerhet till Polismyndigheten enligt 15 § förord- ningen med instruktion för Säkerhetspolisen eller när Säkerhets- polisen begärt bistånd av Polismyndigheten med stöd av 25 § för- ordningen (2022:1718) med instruktion för Polismyndigheten. Av tredje stycket följer att det som sägs i lagen om Säkerhetspolisen då

i stället gäller Polismyndigheten.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen, som motsvarar nuvarande 1 kap. 3 § (jfr prop. 2018/19:163 s. 212) begränsar lagens tillämpningsområde till helt eller delvis auto- matiserad behandling av personuppgifter och personuppgifter som är strukturerade på ett sätt som gör att det är möjligt att söka eller

744

SOU 2025:49

Författningskommentar

sammanställa uppgifterna enligt särskilda kriterier. Lagen reglerar därmed sådan personuppgiftsbehandling som omfattas av dataskydds- konventionen 108+ (CETS 223). Av 1 kap. 5 § framgår vad som utgör en personuppgift och vad som utgör behandling av person- uppgifter. Lagen är endast tillämplig för sådan informationshan- tering som utgör behandling av personuppgifter. Det innebär bland annat att behandling av uppgifter om juridiska personer eller avlidna inte omfattas av lagens tillämpningsområde.

4 § Om en annan lag innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

I lagen (2026:000) om Säkerhetspolisens behandling av personuppgif- ter i särskilda uppgiftssamlingar finns bestämmelser om Säkerhetspolisens behandling av personuppgifter i vissa fall.

Paragrafen reglerar hur lagen förhåller sig till annan författning och motsvarar delvis nuvarande 1 kap. 4 §. De allmänna övervägandena görs i avsnitt 8.1.3.

Av första stycket framgår att lagen är subsidiär till avvikande be- stämmelser i andra lagar men, till skillnad mot nuvarande lag inte till förordning. Exempel på sådana avvikande regler finns i lagen (2017:496) om internationellt polisiärt samarbete.

I andra stycket upplyses om att personuppgifter som ska eller har registrerats i en särskild uppgiftssamling ska behandlas enligt särskilda regler i den lagen.

Definitioner

5 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination av åt-
	gärder som vidtas i fråga om person-
	uppgifter eller uppsättningar av
	personuppgifter, oavsett om det
	görs automatiserat eller inte, t.ex.
	insamling, granskning, registrering,
	organisering, strukturering, lagring,
	bearbetning eller ändring, framtag-
	ning, läsning, användning, utläm-
	nande, spridning eller tillhanda-

745

Författningskommentar

SOU 2025:49

	hållande på annat sätt, justering,
	sammanföring, begränsning, rader-
	ing eller förstöring.
Biometriska uppgifter	Personuppgifter som rör en per-
	sons fysiska, fysiologiska eller bete-
	endemässiga kännetecken, som
	tagits fram genom särskild teknisk
	behandling och som möjliggör eller
	bekräftar unik identifiering av per-
	sonen.
Genetiska uppgifter	Personuppgifter som rör en persons
	nedärvda eller förvärvade genetiska
	kännetecken och som härrör från
	analys av ett spår av eller ett prov
	från personen.
Inledande behandling	Behandling av personuppgifter som
	innebär att personuppgifter samlas
	in, hämtas in, tas emot eller på något
	annat sätt kommer Säkerhetspolisen
	till handa eller att personuppgifter
	nedtecknas, upprättas eller på något
	annat sätt skapas inom myndig-
	heten, eller att personuppgifter tas
	fram från en särskild uppgiftssam-
	ling enligt lagen (2026:000) om
	Säkerhetspolisens behandling av
	personuppgifter i särskilda uppgifts-
	insamlingar.
Känsliga personuppgifter	Biometriska uppgifter, genetiska
	uppgifter och uppgifter som av-
	slöjar ras, etniskt ursprung, politiska
	åsikter, religiös eller filosofisk över-
	tygelse eller medlemskap i fack-
	förening eller som rör hälsa, sexual-
	liv eller sexuell läggning.
Personuppgift	Varje upplysning om en identifie-
	rad eller identifierbar fysisk person
	som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsammans
	med andra bestämmer ändamålen
	med och medlen för behandlingen av
	personuppgifter.

746

SOU 2025:49Författningskommentar

Personuppgiftsbiträde	Den som behandlar personuppgifter
	för den personuppgiftsansvariges
	räkning.
Registrerad	Den fysiska person som personupp-
	giften gäller.

I paragrafen definieras olika uttryck som används i lagen. Vissa uttryck överförs från 1 kap. 5 § i nuvarande lag.

Behandling av personuppgifter

Uttrycket motsvarar nuvarande definition (jfr prop. 2018/19:163 s. 212).

Biometriska uppgifter

Biometriska uppgifter, som är känsliga personuppgifter, har samma betydelse som i nuvarande lag (jfr prop. 2018/19:163 s. 213). All- männa överväganden om begreppet görs i avsnitt 8.15.1.

Genetiska uppgifter

Uttrycket motsvarar nuvarande definition (jfr prop. 2018/19:163 s. 215).

Inledande behandling

Uttrycket, som är nytt, omfattar all sådan behandling som innebär att personuppgifter kommer till Säkerhetspolisen eller skapas inom myndigheten. Allmänna överväganden finns i avsnitt 8.6.5. Uppräk- ningen av de åtgärder som ingår i begreppet är inte uttömmande.

De behandlingsåtgärder som ingår i inledande behandling utgör även behandling av personuppgifter. Begreppet framtagning defi- nieras i 1 kap. 2 § lagen (2026:000) om Säkerhetspolisens behand- ling av personuppgifter i särskilda uppgiftssamlingar.

747

Författningskommentar

SOU 2025:49

Känsliga personuppgifter

Känsliga personuppgifter definieras inte i nuvarande 1 kap. 5 § men används, med samma betydelse i 2 kap. 11 §.

Känsliga personuppgifter är personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk överty- gelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Därutöver omfattas genetiska och biomet- riska uppgifter, som också har egna definitioner.

Uppgift om hälsa har samma innebörd som i nuvarande lag (jfr prop. 2018/19:163 s. 216).

Personuppgift

Uttrycket personuppgift definieras på samma sätt som i nuvarande lag (jfr prop. 2018/19:163 s. 214). Begreppet har samma betydelse som i annan personuppgiftslagstiftning och motsvarande uttryck i artikel 2 a i dataskyddskonventionen 108+.

Personuppgiftsansvarig

Uttrycket återfinns i nuvarande lagstiftning (jfr prop. 2018/19:163 s. 215).

Personuppgiftsbiträde

Uttrycket återfinns i nuvarande lagstiftning (jfr prop. 2018/19:163 s. 215).

Registrerad

Uttrycket återfinns i nuvarande lag (jfr prop. 2018/19:163 s. 215).

Personuppgiftsansvar

6 § Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

748

SOU 2025:49

Författningskommentar

Den personuppgiftsansvarige är ansvarig för all behandling av person- uppgifter som utförs under dennes ledning eller på dennes vägnar.

Bestämmelsen om personuppgiftsansvar motsvarar 1 kap. 6 § i nuvarande lag (jfr prop. 2018/19:163 s. 216 f). Att Polismyndig- heten är personuppgiftsansvarig när myndigheten tillämpar lagen följer av 2 § andra stycket.

2 kap. Behandling av personuppgifter

Grundläggande krav på behandling

Proportionalitet

Av paragrafen framgår den grundläggande principen om att den personuppgiftsbehandling som sker med stöd av lagen ska vara proportionerlig. Bestämmelsen följer av artikel 5.1 i dataskydds- konventionen 108+ och saknar motsvarighet i nuvarande lag. De allmänna övervägandena görs i avsnitt 8.

Av första meningen följer att all behandling av personuppgifter ska vara proportionerlig. Denna princip får sitt närmare innehåll i andra meningen. Att proportionalitetsprincipen gäller all behand- ling innebär att den gäller såväl för varje enskild behandlingsåtgärd som för den samlade behandlingen av personuppgifter som sker inom myndigheten över tid. Det är därmed inte tillräckligt att varje behandlingsåtgärd var för sig varit proportionerlig, om den slutliga effekten inte är det.

Av andra meningen följer att proportionalitetskravet innebär en avvägning mellan det allmänna intresset av att utföra behandlingen och de enskilda eller allmänna intressen som kan påverkas av den.

Innebörden är att en behandlingsåtgärd, exempelvis att samla in och lagra personuppgifter under viss tid, inte får utföras om resul- tatet av behandlingen innebär en oproportionerlig påverkan på andra intressen. Det innebär också att tungt vägande skäl för att behandla personuppgifter kan motivera betydande intrång i en- skilda och allmänna intressen. Bestämmelsen ger uttryck för prin-

749

Författningskommentar

SOU 2025:49

cipen att målet med behandlingen ska vägas mot de intressen som åtgärderna påverkar eller inskränker.

Proportionalitetsprövningen ska göras först då det kunnat kon- stateras att behandlingsåtgärden i och för sig uppfyller ett behov. Det kan aldrig vara proportionerligt att behandla personuppgifter om det inte behövs (se 11 §) eller inte är befogat (se 8 §) för något ändamål.

Skälet för att utföra behandlingen utgörs av ändamålet med per- sonuppgiftsbehandlingen. Vilken tyngd som ska tillmätas intresset av att utföra behandlingen beror på vilket ändamål det handlar om. När skälet för att utföra behandlingen ska bedömas kan det exem- pelvis vara aktuellt att besvara frågan om hur allvarligt och hur aktu- ellt hotet som behandlingen syftar till att förebygga är. Skälet för att utföra en behandling som syftar till att avvärja ett nära förestå- ende terrorbrott väger därmed mycket tungt och kan motivera en omfattande personuppgiftsbehandling. Det kan också finnas ett tungt vägande skäl för personuppgiftsbehandling som syftar till att förebygga säkerhetshot på lång sikt. Så kan vara fallet när det hand- lar om behandling som syftar till kartläggning och klarläggning av antagonistiska aktörer som anammar konspirativa beteenden för att dölja sin verksamhet och bygger förmåga på lång sikt. Det gäller exempelvis främmande makts informationsinhämtning riktad mot Sverige och svenska intressen. Konsekvenserna av säkerhetshoten som bland annat bekämpas inom kontraspionage och säkerhets- skyddet kan ha betydelse mycket långt fram i tiden eller vara av ett sådant slag att varje enskild åtgärd som främmande makt vidtar inte får omedelbara eller direkta följder. Den samlade konsekvensen av den brottsliga verksamheten inom båda dessa områden kan dock vara att Sveriges territoriella integritet, demokratiska statsskick eller andra grundläggande samhälleliga intressen äventyras. Det kan även röra sig om kartläggning av exempelvis framväxten av nya våldsbejakande miljöer som inte tidigare existerat. Även sådana fenomen eller strömningar kan avse säkerhetshot som inte är omedelbara, men som kan ge allvarliga konsekvenser på lång sikt. De långsiktiga konsekvenserna kan i dessa fall återspeglas i skälen för att utföra olika behandlingsåtgärder.

Med de enskilda eller allmänna intressen som avvägningen ska göras mot avses i första hand de grundläggande medborgerliga fri- och rättigheterna. Med enskilda intressen avses i första hand den

750

SOU 2025:49

Författningskommentar

personliga integriteten som skyddas av 2 kap. 6 § andra stycket regeringsformen och rätten till privatliv som garanteras av artikel

8.1Europakonventionen. Dessa rättigheter är ett enskilt intresse som påverkas i olika grad av all personuppgiftsbehandling. När Säkerhetspolisen behandlar personuppgifter i sin operativa verk- samhet måste utgångspunkten vara att det rör sig om ett intrång i rättigheten, i vart fall om den registrerade på något sätt kan anses vara kartlagd, övervakad eller misstänkliggjord genom åtgärden. Styrkan av den enskildes intresse av att inte få sina uppgifter behand- lade kan bero på hur integritetskänsliga uppgifterna är eller om be- handlingen av andra skäl innebär ett betydande ingrepp i den en- skildes privata sfär (jfr prop. 2009/10:80 s. 250). Även betydande ingrepp kan motiveras, men endast om skälen för behandlingen har tillräcklig tyngd. Behandling av allmänt tillgänglig information som den enskilde delat med sig av frivilligt, exempelvis på internet, ut- gör till exempel inte ett lika stort intrång i rätten till privatliv som behandling av uppgifter som inhämtats genom avlyssnade, förtro- liga samtal efter beslut om hemliga tvångsmedel. Behandling av känsliga personuppgifter utgör ofta ett större intrång i rätten till privatliv än behandling av andra uppgifter. Intrånget i den person- liga integriteten uppkommer även om den enskilde inte är eller någonsin kommer bli medveten om personuppgiftsbehandlingen i fråga. Vid sidan av den personliga integriteten kan behandling med- föra påverkan på andra enskilda intressen. Vid utlämnande av per- sonuppgifter till andra länder måste exempelvis risken för att den registrerade utsätts för förföljelse eller tortyr beaktas.

Hur känslig en personuppgift är ur ett fri- och rättighetsperspek- tiv måste bedömas utifrån den kontext inom vilken uppgiften be- handlas. En uppgift om exempelvis sexuell läggning är avsevärt mycket mer känslig i ett samhälle där homosexualitet är kriminali- serat eller där HBTQI-personer riskerar förföljelse. Detsamma kan gälla exempelvis uppgifter om politisk uppfattning eller religiös övertygelse. Behandling av en uppgift som framstår som harmlös i ett sammanhang kan utgöra ett stort intrång i ett annat. Detta gäller alla uppgifter, även de som inte tillhör kategorin känsliga personuppgifter.

Även allmänna intressen ska beaktas vid prövningen. Redan av regeringsformens portalstadgande följer att den fria åsiktsbildningen är en av pelarna som bär upp den svenska demokratin. Den fria

751

Författningskommentar

SOU 2025:49

åsiktsbildningen skyddas bland annat genom de grundläggande fri- och rättigheterna som framgår av 2 kap. 1 § regeringsformen: yttrandefrihet, informationsfrihet, mötesfrihet, demonstrations- frihet, föreningsfrihet och religionsfrihet. Motsvarande skydd för grundläggande rättigheter finns i Europakonventionen. I tryckfrihets- förordningen och yttrandefrihetsgrundlagen finns ytterligare be- stämmelser som ska främja den fria åsiktsbildningen. Det finns en risk att dessa grundläggande fri- och rättigheter på olika sätt påver- kas genom att Säkerhetspolisen behandlar personuppgifter. Det sker en påverkan om exempelvis information samlas in om vilka som deltagit i en demonstration eller i en religiös sammankomst, även om det kan finnas goda skäl för denna åtgärd. Att en säker- hetstjänst behandlar eller ges stora möjligheter att behandla person- uppgifter om dem som utnyttjat sin opinionsfrihet kan ha en av- hållande effekt. Sådan avhållande effekt på den fria åsiktsbildningen och enskildas vilja att utöva sina grundläggande fri- och rättigheter måste vägas in i prövningen. Avvägningen måste göras mot en befarad eller potentiell risk att individer avhåller sig från att utnyttja sina fri- och rättigheter på grund av åtgärden. Det finns inget krav på att en avhållande effekt faktiskt ska ha uppkommit.

Det finns ofta en naturlig koppling mellan påverkan på enskilda och allmänna intressen. I många fall utgör en behandling en påver- kan på båda dessa intressen om än på olika sätt och i olika grad.

Även om en enskild frivilligt har delat med sig av uppgifter, exem- pelvis på internet, kan en omfattande behandling av sådana upp- gifter utgöra ett betydande intrång i yttrandefriheten.

Proportionalitetsprövningen utgör en central del av personupp- giftsskyddet vid inhämtning av uppgifter som inte är särskilt reg- lerad. Det är därför viktigt att prövningen får genomslag vid avgräns- ningen av de uppgifter som samlas eller hämtas in. För hemliga tvångsmedel och framtagning enligt lagen (2026:000) om Säker- hetspolisens behandling av personuppgifter i särskilda uppgifts- samlingar, är proportionalitet en förutsättning som prövas i sär- skild ordning. En proportionalitetsprövning enligt denna lag ska dock göras även för sådana uppgifter.

Proportionalitetsprövningen ska utgöra en del av alla bedöm- ningar som följer av denna lag, till exempel när principen om upp- giftsminimering tillämpas (se kommentaren till 2 kap. 14 §) och när behandlingstid bestäms (se kommentaren till 4 kap. 1 §). Prövningen

752

SOU 2025:49

Författningskommentar

kan resultera i att behandlingen måste justeras till sin omfattning för att få utföras. Ett exempel är att om det finns ett tungt vägande behov som motiverar behandling av en stor mängd personuppgifter, kan behandlingstiden behöva förkortas (i förhållande till behovet) för att minska intrånget i de allmänna och enskilda intressen som påverkas.

Rättslig grund

2 § Personuppgifter får endast behandlas för att bedriva verksamhet som följer av lag, förordning, internationella åtaganden eller särskilt beslut av regeringen.

I paragrafen anges den yttre ramen för när behandling av person- uppgifter är tillåten. De allmänna övervägandena görs i avsnitt 8.3. Bestämmelsen innebär att personuppgifter endast får behandlas för ändamål som följer av en rättslig grund. Den rättsliga grunden följer inte av denna lag utan måste anges särskilt i lag eller förordning, följa av ett internationellt åtagande eller framgå genom ett särskilt regeringsbeslut. Den rättsliga grunden måste vara beslutad i enlig- het med regeringsformen och uppfylla Europakonventionens lega- litetskrav. En rättslig grund som står i strid med en överordnad norm kan inte berättiga en personuppgiftsbehandling. Av 12 kap. 10 § regeringsformen följer att om ett offentligt organ finner att en föreskrift står i strid med en bestämmelse i grundlag eller annan överordnad författning får föreskriften inte tillämpas. En regerings- instruktion som står i strid med exempelvis 2 kap. 21 § regerings- formen kan därför aldrig utgöra en berättigad rättslig grund.

Säkerhetspolisens uppgifter följer bland annat av polislagen (1984:387) och säkerhetsskyddslagen (2018:585), myndighetens instruktion och regleringsbrev. De krav som ställs på en myndighet att exempelvis diarieföra handlingar, samarbeta med andra myndig- heter och lämna ut allmänna handlingar utgör också rättslig grund för personuppgiftsbehandling. När det gäller en personuppgift som omfattas av sekretess, är det som sägs i sekretessbestämmelsen rätts- lig grund för hur uppgiften får behandlas för att lämnas ut (se vidare kommentaren till 3 kap. 1 §). Lagens tillämpningsområde begränsas emellertid, genom 1 kap. 2 §, till brottsbekämpande verksamhet som rör nationell säkerhet.

753

Författningskommentar

SOU 2025:49

I 2 kap. 4–7 §§ framgår de övergripande verksamheterna som lagen avser att reglera. Dessa bestämmelser förtydligar vad som följer av kravet på rättslig grund som anges i denna paragraf.

Författningsenlig och korrekt behandling

3 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

I paragrafen anges att personuppgifter alltid ska behandlas författ- ningsenligt och på ett korrekt sätt. Allmänna överväganden görs i avsnitt 8.5 Paragrafen motsvarar 2 kap. 6 § i nuvarande lagstiftning (jfr prop. 2018/19:163 s. 222 f.).

Verksamheter för behandling av personuppgifter

Underrättelse- och säkerhetstjänst

4 § I sin uppgift att förebygga, förhindra och upptäcka brottslig verk- samhet får Säkerhetspolisen behandla personuppgifter för att

1.kartlägga och klarlägga brottslig verksamhet, eller

2.vidta åtgärder som hindrar eller försvårar brottslig verksamhet.

Ändamålet i paragrafen syftar till att beskriva Säkerhetspolisens underrättelse- och säkerhetsverksamhet och saknar direkt motsvarig- het i tidigare lag. Motiven finns i avsnitt 8.4.4.

I första ledet av bestämmelsen hänvisas till Säkerhetspolisens uppdrag att förebygga, förhindra och upptäcka brottslig verksam- het. Den brottsliga verksamhet som Säkerhetspolisen ska bekämpa framgår i huvudsak av 3 § polislagen (1984:387) och förordningen (2022:1719) med instruktion för Säkerhetspolisen. I instruktionen framgår även att Säkerhetspolisen i egenskap av säkerhetstjänst bedriver underrättelse- och säkerhetsarbete (1 §).

Underrättelsearbete innebär att information samlas in, bearbetas och analyseras i syfte att identifiera och bedöma om det föreligger ett hot, när det ännu inte finns misstankar om att något konkret brott har begåtts. Underrättelseverksamhet är i huvudsak inriktad på att upptäcka om en viss, inte närmare specificerad brottslighet har ägt rum, pågår eller kan antas komma att begås. Säkerhetsarbete

754

SOU 2025:49

Författningskommentar

innebär att åtgärder vidtas för att på olika sätt förhindra att brott genomförs och för att avvärja hot som i förlängningen kan utvecklas till brott. Det kan till exempel omfatta uppgifter som Säkerhets- polisen utför enligt säkerhetsskyddslagstiftningen eller inom ramen för personskyddsverksamheten. Gränsdragningen mellan underrät- telse- och säkerhetsarbete är inte alltid tydlig utan sker ofta paral- lellt.

Första punkten anger att personuppgifter får behandlas för att kartlägga och klarlägga brottslig verksamhet. Det är betecknande för underrättelseverksamhet. Begreppen kartläggning och klarlägg- ning står inte i motsättning till varandra och inget hindrar att ett underrättelseändamål är att både kartlägga och klarlägga viss brotts- lig verksamhet.

Kartläggning av brottslig verksamhet inom Säkerhetspolisens ansvarsområde innebär ofta att personuppgifter som inte har någon tydlig koppling till en konkret brottslig gärning behöver behandlas. Kartläggningen kan avse sammanhang eller företeelser i sin helhet. För att kartlägga krävs i många fall att samtliga personuppgifter som förekommer i ett visst avgränsat sammanhang behandlas. Om exem- pelvis kartläggning sker av en våldsbejakande miljö, kan samma ända- mål omfatta samtliga personuppgifter som förekommer i samman- hanget. Ett sådant sammanhang kan exempelvis vara meddelanden från ett nätforum, kommunikation och fotografier från ett it-beslag eller överskottsinformation från ett ärende där hemliga tvångsmedel använts för inhämtning. Vid en kartläggning kan det finnas behov av samtliga uppgifter i ett sådant sammanhang. Exempelvis kan alla personuppgifter som finns i en mobiltelefon som beslagtagits från en person misstänkt för terrorism behövas för kartläggning av dennes nätverk.

Det krävs inte att varje enskild personuppgift går att koppla direkt till den brottsliga verksamheten som kartläggs. Kartläggningen utmärks av att varje enskild informationsdel inte behöver bedömas för sig, utan att bedömningen kan ske avseende en viss kontext eller källa.

Att klarlägga en brottslig verksamhet innebär att avslöja okända eller dolda förhållanden. Om en kartläggning syftar till att ge en översikt, innebär klarläggning att insatser fokuseras mot den del av den brottsliga verksamheten där misstankarna är mer konkretiserade. Ett exempel på ett klarläggande är när personuppgifter behandlas

755

Författningskommentar

SOU 2025:49

i samband med preventiv tvångsmedelsanvändning enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott. Andra exempel är olika spaningsåtgärder som vidtas i under- rättelseverksamhet i samband med att den inriktas mot vissa per- soner snarare än vissa företeelser eller miljöer.

Av andra punkten i paragrafen framgår att personuppgifter får behandlas för att vidta åtgärder som hindrar eller försvårar brottslig verksamhet.

Att hindra brottslig verksamhet innebär att åtgärder, som inte utgör förundersökning, vidtas för att förebygga att en brottslig gärning begås. Det kan exempelvis ske genom åtgärder enligt lagen (2022:700) om särskild kontroll av vissa utlänningar. Att Säkerhets- polisen på olika sätt agerar för att en åtalsimmun underrättelse- officer ska förklaras persona non grata innebär också att brottslig verksamhet hindras. Ett annat exempel på hindrande av brottslig verksamhet är det uppsökande arbetet som Säkerhetspolisen bedri- ver mot personer i vissa miljöer, genom bland annat avrådande sam- tal där myndigheten ger sig till känna för personer som befinner sig i risk för radikalisering.

Att försvåra brottslig verksamhet utgörs av olika brottsförebyg- gande åtgärder, personskyddsverksamhet och åtgärder enligt bland annat säkerhetsskyddslagen (2018:585). Säkerhetsskyddsarbete och andra åtgärder för att försvåra brottslig verksamhet kan ske trots att det inte finns kännedom om någon pågående brottslig verksam- het. Personuppgifter kan i dessa fall behöva behandlas inte endast avseende aktörer som hotar svensk säkerhet utan även avseende personer som riskerar att utsättas för eller vara föremålet för sådan brottslig verksamhet.

Trots att behovet av varje enskild personuppgift inte behöver motiveras vid personuppgiftsbehandling som sker i underrättelse- verksamhet krävs att behandlingen är proportionerlig, se kommen- taren till 2 kap. 1 §.

Brottsutredning och lagföring

5 § Personuppgifter får behandlas för att utreda och lagföra brott.

Paragrafen anger att personuppgifter får behandlas inom förunder- sökning och andra utredningar som sker enligt rättegångsbalken.

756

SOU 2025:49

Författningskommentar

Paragrafen motsvarar nuvarande 2 kap. 1 § 2 (jfr prop. 2018/19:163 s. 218) med den skillnaden att det inte längre hänvisas till vissa brott. Lagens tillämpningsområde begränsas emellertid, genom 1 kap. 2 §, till brottsbekämpande verksamhet som rör nationell säkerhet. Motiven till bestämmelsen finns i avsnitt 8.4.5.

Övrig verksamhet

6 § Personuppgifter får behandlas för annan verksamhet som bedrivs enligt 2 §.

Paragrafen motsvarar bestämmelsen i nuvarande 2 kap. 1 § 4 och 5 och ger förutsättningar för personuppgiftsbehandling inom lagens tillämpningsområde för ändamål som inte följer direkt av 4 eller 5 § (jfr prop. 2018/19:163 s. 219). Motiven finns i avsnitt 8.4.6.

Av paragrafen följer att det vid sidan av den brottsbekämpande kärnverksamheten kan finnas andra rättsliga grunder för Säkerhets- polisens personuppgiftsbehandling. Bestämmelsen förtydligar att det inte endast är inom de verksamheter som anges i 4 och 5 §§ som personuppgifter får behandlas.

I 2 § anges att uppdrag att bedriva viss verksamhet kan följa av lag, förordning, internationella åtaganden eller särskilt beslut av regeringen. Ändamålet måste alltså vara förenligt med den verksam- het som ska bedrivas enligt en rättslig grund. Olika uppdrag som rör brottsbekämpning avseende nationell säkerhet, i vid mening, följer av bland annat utlännings- och medborgarskapslagstiftningen eller den så kallade TCO-förordningen, (EU) 2021/784, som rör avlägsnande av terrorisminnehåll från internet. Paragrafen omfattar även exempelvis personuppgiftsbehandling till följd av informations- utbyte med motsvarande myndigheter i andra stater som sker till gagn för den utländska myndigheten (jfr prop. 2018/19:163 s. 219).

7 § Säkerhetspolisen får behandla personuppgifter för att fortlöpande utveckla den teknik och metodik som behövs inom denna lags tillämpnings- område (utvecklingsändamål).

Personuppgifter som behandlas endast för utvecklingsändamål får inte behandlas för något annat ändamål.

Paragrafen klargör att personuppgifter får behandlas för att utveckla teknik och metoder inom denna lags tillämpningsområde. Para-

757

Författningskommentar

SOU 2025:49

grafen saknar motsvarighet i nuvarande lag. Övervägandena finns i avsnitt 8.4.6.

Av första stycket framgår att Säkerhetspolisen får behandla per- sonuppgifter för att bland annat utveckla, testa och utvärdera tek- nik eller metodik som är avsedd för att bekämpa brott som rör nationell säkerhet. Teknisk utveckling kan handla om att texter av olika slag används för att utvärdera eller vidareutveckla översätt- ningstjänster eller att bildmaterial används för att träna mjukvara som kan identifiera vapen. Det kan även handla om att data används för att träna så kallade AI-modeller för att förbättra myndighetens tekniska förmåga i olika avseenden. Att personuppgifter får behand- las för utvecklingsändamål innebär att personuppgifter som inte har någon koppling till myndighetens brottsbekämpande uppdrag kan behandlas. En förutsättning är dock att den tekniska utveck- lingen sker för Säkerhetspolisens brottsbekämpande verksamhet som rör nationell säkerhet. Att personuppgifter får användas för metodutveckling innebär att det är möjligt att exempelvis behandla personuppgifter för att utföra simuleringar eller övningar.

Av andra stycket framgår att personuppgifter som behandlats endast för utvecklingsändamål inte får behandlas för något annat ändamål. Det innebär att inledande behandling för utvecklingsända- mål medför att personuppgifterna inte får behandlas inom under- rättelseverksamheten eller för att utreda brott. Av 5 kap. 6 § fram- går att tillgången till personuppgifter ska begränsas till vad var och en behöver för att utföra sina arbetsuppgifter.

Personuppgiftsbehandling måste som regel upphöra i samband med att utvecklingsändamålet har uppnåtts. Det innebär att så kallad träningsdata exempelvis inte får behandlas längre än vad som behövs för ändamålet. Om exempelvis en språkmodell har utvecklats med hjälp av personuppgifter, får modellen givetvis fortsätta att användas även efter att personuppgifterna inte längre får behandlas.

Av 12 § andra stycket 1 framgår att utveckling får ske även med hjälp av uppgifter som inledningsvis behandlats för något annat ändamål.

Vid tillämpningen av denna paragraf ska, i likhet med all behand- ling, en proportionalitetsprincip tillämpas, se 2 kap. 1 § och kom- mentaren till den paragrafen. Proportionalitetsprincipen begränsar bland annat vilket slag och hur många uppgifter som får behandlas, hur länge och på vilket sätt. Att intrånget i enskilda och allmänna

758

SOU 2025:49

Författningskommentar

intressen måste vägas mot ändamålet med behandlingen påverkar bland annat valet av uppgifter och hur många som får tillgång till dem. Anonymisering eller pseudonymisering av uppgifter är åtgär- der som måste övervägas vid denna prövning.

Det är viktigt att möjliggöra tillsyn av den behandling som sker för ändamål enligt denna paragraf. Det innebär bland annat att det kan krävas dokumentation och spårbarhet för personuppgifter som behandlas för teknisk utveckling, se kommentaren till 5 kap. 2 §.

Inledande behandling

8 § Inledande behandling av personuppgifter får ske, om det är befogat för ett ändamål inom någon av de verksamheter som anges i 4–7 §§.

Vid inledande behandling tillämpas inte 13–16 §§.

Paragrafen reglerar behandlingströskel och ändamål för inledande behandling. Paragrafen saknar motsvarighet i nuvarande lagstiftning. Inledande behandling definieras i 1 kap. 5 § och avser bland annat insamling av personuppgifter. Motiven till bestämmelsen finns i avsnitt 8.6.

Av paragrafens första stycke följer att inledande behandling endast får ske om det är befogat för ett eller flera ändamål inom de verk- samheter som anges i 4–7 §§. Behandlingströskeln, eller behovskri- teriet, för inledande behandling är att åtgärden ska vara befogad.

Befogat är ett lägre krav än behövs, som används i 11 §. Uppgifterna ska vara skäliga att behandla i förhållande till ändamålet för den inledande behandlingen. Att behandlingen av uppgifterna ska vara befogad innebär att det måste finnas något som ger stöd för att personuppgifterna som ska inhämtas är relevanta att behandla för ändamålet. Det krävs däremot inte någon sannolikhetsövervikt för att varje uppgift verkligen behövs. Det finns därmed inget krav på att det exempelvis ska finnas belagda misstankar om att någon för Säkerhetspolisen känd aktör förekommer bland de uppgifter som samlas in. Det är tillräckligt att det finns skäl att för det angivna ändamålet undersöka om någon känd aktör förekommer. Inledande behandling får också ske för att söka efter företeelser och hot som är okända men som antas existera. Det kan exempelvis vara befogat att inhämta en läckt databas för att undersöka dess innehåll i för- hållande till ett givet ändamål.

759

Författningskommentar

SOU 2025:49

Det uppställs inte något krav på ett särskilt och uttryckligt an- givet ändamål för inledande behandling. För inledande behandling är kravet på konkretion lägre än ett sådant ändamål som krävs för behandling enligt 11 §. Att behandlingsändamålet ska anges inom någon av de verksamheter som anges i 4–7 §§ innebär att verksam- heterna inte i sig är tillräckliga för att inleda behandling. Ändamålet måste inrymmas inom någon av de författningsreglerade verksam- heterna och det måste utifrån ändamålet vara möjligt att bedöma om den inledande behandlingen är befogad och om den är propor- tionerlig (se 1 §). För exempelvis underrättelseinhämtning kan ändamålet avse en viss slags brottslig verksamhet.

Ett mer specifikt ändamål kan emellertid ge förutsättningar till inledande behandling av en större mängd uppgifter, eller uppgifter av känsligare slag, i jämförelse med ett brett formulerat ändamål.

Om intrånget i motstående intressen är substantiellt krävs det vid proportionalitetsprövningen ett ändamål av viss tyngd, vilket endast är möjligt att konstatera om det är tillräckligt specifikt.

I andra stycket anges att vissa bestämmelser om personuppgifters kvalitet inte ska tillämpas vid inledande behandling. Däremot ska bestämmelserna i bland annat 17 § tillämpas även vid den inledande behandlingen.

I lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar finns regler om att uppgifter som vid inledande behandling har behandlats för ett ändamål under vissa förhållanden kan registreras i en särskild uppgiftssamling enligt samma krav.

Inledande granskning

9 § Efter inledande behandling ska personuppgifter granskas, om det behövs för att säkerställa författningsenlig behandling. Innan granskningen har genomförts får personuppgifterna behandlas endast för gransknings- ändamål.

Granskningen enligt första stycket ska ske så snart det är möjligt och får inte pågå längre än nödvändigt. Sådan behandling får pågå i högst sex månader.

Granskningen ska utföras av särskilt angivna tjänstemän som har till- räckliga kunskaper för uppgiften. Under granskningen ska tillgången till uppgifterna vara begränsad till vad var och en behöver för att fullgöra uppgiften.

760

SOU 2025:49

Författningskommentar

Paragrafen är ny och innehåller bestämmelser om den granskning av personuppgifter som ska ske efter inledande behandling. Motiven framgår av avsnitt 8.12. Inledande behandling definieras i 1 kap. 5 §.

Av första stycket framgår att det efter inledande behandling endast är tillåtet att behandla personuppgifter för att granska om uppgif- terna kan fortsätta att behandlas författningsenligt. Behandling för andra ändamål, inklusive ändamålet för den inledande behandlingen, är inte tillåtet förrän sådan granskning genomförts. Det innebär exempelvis att uppgifter inte får delges eller tillgängliggöras opera- tivt innan de granskats och det säkerställts att sådan behandling är författningsenlig. Se kommentaren till 11 §.

Av 8 § framgår att behandlingströskeln och kraven på ändamål är lägre för inledande behandling än för annan personuppgifts- behandling. Granskningen syftar till att fortsatt behandling endast sker av personuppgifter som uppfyller de högre kraven i 11 §. Kravet på granskning gäller endast om det behövs för att säkerställa för- fattningsenlig behandling. Om det är klart att den inledande behand- lingen är förenlig med de krav som ställs även för efterföljande behandling, behöver inte uppgifterna granskas. Så kan vara fallet exempelvis då inhämtning sker från databaser där uppgiftsinnehål- let till sin typ är känt och det står klart att fortsatt behandling är författningsenlig.

Av andra stycket framgår att granskning ska ske så snart som möjligt och inte pågå längre än nödvändigt. Det innebär att gransk- ningen både ska påbörjas och avslutas så snart det är möjligt. Hur länge granskning kan anstå beror bland annat på omständigheterna kring den inledande behandlingen. Om Säkerhetspolisen fått del av ett stort material från en samverkande tjänst eller genomfört ett stort beslag kan prioriteringar i verksamheten medföra att gransk- ning av vissa uppgifter kan behöva anstå en tid. För mer rutinbetonad inledande behandling bör det dock finnas kapacitet att löpande granska uppgifterna. Den yttre gränsen för behandling som sker för granskning är sex månader. Det finns inte några möjligheter att förlänga den tid som granskning får pågå.

Av tredje stycket framgår behörighetskraven för att granska upp- gifter och hur tillgången till uppgifterna ska begränsas till de som ska utföra granskning. Att granskning endast får ske av särskilt angivna tjänstemän innebär att det genom arbetsordningen framgår att behörigheten följer av viss tjänst eller att uppgiften kan delege-

761

Författningskommentar

SOU 2025:49

ras till en medarbetare genom särskilt beslut. Kravet på tillräckliga kunskaper innebär att granskning endast får utföras av de som har kompetens att utföra samtliga prövningar som krävs för att tillför- säkra att personuppgifter behandlas författningsenligt. Det innefat- tar bland annat proportionalitetsprövningen i 1 §.

Inledande behandling omfattar även personuppgifter som upp- rättas eller på andra sätt skapas inom myndigheten. Det innefattar exempelvis att en medarbetare nedtecknar personuppgifter i en promemoria. I dessa fall kommer granskningen inte att vara sepa- rerad från den inledande behandlingen. Vilka kompetenskrav som ställs för granskning beror på vad granskningen avser. Kraven är att medarbetaren har tillräckliga kunskaper för uppgiften. För person- uppgifter som medarbetaren själv upprättat, exempelvis genom att skriva en promemoria, är kravet på tillräckliga kunskaper lägre än för att granska insamlade eller inhämtade uppgifter.

Att det är särskilt angivna tjänstemän som ska utföra granskning innebär inte något krav på att endast ett fåtal eller en begränsad krets medarbetare får ha behörighet att utföra uppgiften. Det finns till exempel inget som hindrar att det är operativ personal som genom- för personuppgiftsgranskningen i samband med att uppgifterna analyseras. Detta förutsätter dock att kompetenskravet i paragrafen är uppfyllt för den medarbetaren. Kravet på att granskningen ska utföras av en tjänsteman innebär att det inte är möjligt med helt automatiserad granskning. Fortsatt behandling av personuppgifter efter granskningen sker därmed under individuellt tjänsteansvar. Det hindrar inte att olika verksamhetsstöd används av tjänsteman- nen för att granska uppgifterna, så länge beslutet om fortsatt be- handling inte sker helt automatiserat.

Av andra meningen följer att det under granskningen ska säker- ställas att tillgången till uppgifterna begränsas till de som faktiskt behöver tillgång för att utföra granskningen.

Behandling enligt första stycket får pågå i högst trettio dagar och till- gången till sådana personuppgifter ska vara strikt begränsad till vad var och en behöver för att fullgöra uppgiften.

Beslut enligt första stycket ska dokumenteras och omedelbart anmälas till den särskilda tillsynsmyndigheten.

762

SOU 2025:49

Författningskommentar

Paragrafen reglerar ett undantag från de begränsningar som följer av 9 § för behandling av uppgifter efter inledande behandling. Be- stämmelserna saknar motsvarighet i nuvarande lagstiftning. Över- vägandena finns i avsnitt 8.12.5.

De befattningshavare som regeringen föreskriver får, enligt första stycket, möjlighet att upphäva begränsningarna i 9 § om att uppgifter måste granskas av särskilt angivna tjänstemän innan de får behandlas operativt. Om det är absolut nödvändigt för att full- göra en uppgift av synnerlig vikt, får uppgifterna, behandlas för operativa ändamål även utan att de granskats. Detta får då ske direkt efter inledande behandling enligt 8 § och utan att tillgången begrän- sas till särskilt angivna tjänstemän. Det innebär att det är tillåtet att bland annat spara, överföra, bearbeta, analysera och delge uppgifter utan att personuppgifterna dessförinnan granskats och utan att uppgifterna prövats mot de strängare kraven angående bland annat behov och ändamål, som följer av 11 §. Däremot måste den behand- ling som görs av uppgifterna uppfylla kravet på proportionalitet i

1 §. Behandling får endast ske för det ändamål som motiverat undan- taget. Det innebär att exempelvis att alla inhämtade uppgifter får analyseras, men endast för det ändamål som motiverat undantaget.

Ändamålet måste avse en uppgift som är av synnerlig vikt. Att en uppgift är av synnerlig vikt innebär att behandling får ske för att exempelvis förhindra ett allvarligt och akut hot mot nationell säker- het. Det kan exempelvis handla om att det finns trovärdig informa- tion om ett nära förestående terrorbrott och att uppgifter som inhämtas på olika sätt omedelbart måste behandlas för att identi- fiera potentiella gärningsmän. Det kan också handla om att ett terrorbrott har genomförts och att uppgifter behöver inhämtas omedelbart för att identifiera och spåra gärningspersoner och eventuella medhjälpare, samt för att förhindra eventuella ytterligare nära förestående terrorbrott som har samband med det begångna terrorbrottet. Behandlingen ska vidare vara absolut nödvändig för att uppgiften ska kunna utföras. Det innebär att det inte ska vara möjligt att utföra uppgiften utan att behandla personuppgifterna med stöd av undantagsbestämmelsen. Det ska finnas en allvarlig risk för att inledande granskning av uppgifterna, enligt 9 §, skulle förfela ändamålet med behandlingen. Behovet av behandlingen ska därför vara tidskritiskt eller på annat sätt vara så angeläget att inle- dande granskning framstår som oförenligt med behovet av att ut-

763

Författningskommentar

SOU 2025:49

föra behandlingen. En sådan behandling kan vara att tillgängliggöra uppgifter till en vidare krets eller att överföra information till andra brottsbekämpande myndigheter eller samverkande tjänster.

Ett beslut enligt första stycket ska vara begränsat till de person- uppgifter som behövs för att fullgöra arbetsuppgiften. Däremot behöver de personuppgifter som ska behandlas inte finnas tillgäng- liga för Säkerhetspolisen då beslutet fattas. Ett beslut kan avse upp- gifter där inledande behandling ännu inte skett likväl som uppgifter som redan finns inom myndigheten. Undantaget avser den arbets- uppgift av synnerlig vikt som behandling ska ske för.

Av andra stycket framgår att undantag från granskning får pågå i högst trettio dagar. Om det inom denna tid är möjligt att i stället uppnå ändamålet genom att behandla uppgifter som granskats, ska undantagsbeslutet upphävas utan dröjsmål. Vidare framgår att till- gången till de personuppgifter som omfattas av undantaget ska vara strikt begränsad till de medarbetare som behöver dem för att utföra den uppgift som motiverat undantaget. Det kan exempelvis handla om att vissa analytiker får möjlighet att behandla en större mängd lagrad elektronisk kommunikation för att utföra vissa bearbetningar och analyser. När ändamålet är uppnått, eller det kan konstateras att det inte är möjligt att uppnå det, ska behandling av och tillgång till personuppgifterna som omfattas av undantagsbeslutet åter begrän- sas enligt 9 §.

Enligt tredje stycket ska beslutet avfattas skriftligt. Vidare fram- går att en anmälan omedelbart ska göras till den särskilda tillsynsm- yndigheten. Det innebär att den särskilda tillsynsmyndigheten ska underrättas om att beslut är fattat och vad som medges till följd av detta. Det finns däremot inte något krav på att beslutet ska expe- dieras. En anmälan kan därför ske muntligen. Av 7 kap. 8 § följer att det är Säkerhets- och integritetsskyddsnämnden som är den särskilda tillsynsmyndigheten.

Fortsatt behandling

11 § Efter inledande granskning får personuppgifter behandlas endast om det behövs för ett särskilt, uttryckligt angivet och berättigat ändamål.

Av paragrafen följer att fortsatt behandling av uppgifter som in- hämtats eller på annat sätt inkommit till myndigheten endast får

764

SOU 2025:49

Författningskommentar

ske om det behövs för ett konkretiserat ändamål. Bestämmelsen innehåller den generella behandlingströskeln för personuppgifts- behandling och fastställer att ändamålsprincipen ska gälla för sådan behandling. Paragrafen saknar direkt motsvarighet i nuvarande lagstiftning. Övervägandena finns i avsnitt 8.7.

Paragrafen anger en behandlingströskel som innebär att person- uppgifter som behandlas ska behövas för att myndigheten ska kunna utföra den arbetsuppgift som följer av ändamålet. Det innebär att det ska finnas ett konkret behov av de uppgifter som behandlas. Begreppet ”behövs” ska i denna bestämmelse ges en självständig betydelse i förhållande till begreppet ”nödvändigt” som återfinns

i dataskyddsförordningen och de lagar som genomför EU:s brotts- datadirektiv.

Prövningen av om personuppgifter behövs eller inte avgörs i stor utsträckning av för vilket ändamål de behandlas. I en förundersök- ning behöver i huvudsak personuppgifter som rör den brottslighet som utreds behandlas. I underrättelseverksamhet kan däremot alla personuppgifter som förekommer i ett visst avgränsat sammanhang behövas för kartläggningen av en viss brottslig verksamhet.

Av paragrafen följer även ändamålsprincipen. Efter inledande behandling krävs att uppgifterna behövs för ett särskilt, uttryckligt angivet och berättigat ändamål. Att ändamålet ska vara särskilt inne- bär att det måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen eller om för många per- sonuppgifter behandlas, se 14 §. Genom att ändamålet konkreti- serar nyttan med att behandla uppgifterna möjliggörs den propor- tionalitetsprövning som krävs enligt 1 §. Det ändamål som anges för efterföljande behandling är avgörande för proportionalitets- prövningen av bland annat registrering och fortsatt bevarande av uppgiften. Om sådan behandling är känslig ur integritetssynpunkt, krävs ett specifikt ändamål för att kunna genomföra prövningen och för att kunna komma till slutsatsen att detta ändamål väger över de intressen som påverkas. Om intrånget i andra skyddsvärda intressen är substantiellt, krävs det vid proportionalitetsprövningen ett ändamål av viss tyngd, vilket endast är möjligt att konstatera om det är tillräckligt specifikt. Även det särskilda ändamålet måste anges inom de verksamheter som anges i 4–7 §§. Kravet på att ändamålet ska vara särskilt innebär att det måste vara mer konkret och mer

765

Författningskommentar

SOU 2025:49

preciserat än vad som är fallet för inledande behandling enligt 8 §. Kravet på ett särskilt, uttryckligt angivet och berättigat ändamål för fortsatt behandling är därför kvalitativt högre än det ändamål som krävs för att få inleda behandling. Ändamålet får alltså inte vara så vagt eller vittomfattande att de prövningar som krävs enligt lagen i praktiken inte blir möjliga att utföra. Ett avgränsat underrättelse- arbete kan utgöra ett ändamål. Ett särskilt ändamål kan därmed exempelvis vara en kartläggning av ett visst terroristnätverk i Sverige eller utomlands eller en hotbildsbedömning av en utpekad skydds- person. Något hinder mot att ange flera parallella ändamål för be- handlingen finns inte. Samma krav ställs emellertid för varje ändamål som angivits. Det finns inget krav på att bedömningen ska doku- menteras.

Att ändamålet ska vara berättigat innebär att arbetsuppgiften

eller verksamhet som Säkerhetspolisen ska utföra måste ha en rätts- lig grund och att ändamålet ska ha en tydlig koppling till denna verksamhet. Ett berättigat ändamål ska vara förenligt med konstitu- tionella och andra rättsliga principer. Det innebär att den rättsliga grunden måste vara av den kvalitet som regeringsformen och Europa- konventionen uppställer för fri- och rättighetsintrång. Personupp- giftsbehandling grundat på ett beslut från regeringen måste exem- pelvis avse ett område inom regeringens kompetens.

Finalitetsprincipen

12 § Personuppgifter får inte behandlas för ett ändamål som är oförenligt med ändamålet för den inledande behandlingen.

Första stycket hindrar dock inte att personuppgifter som behandlas enligt 4–6 §§ behandlas för

1.utvecklingsändamål enligt 7 §,

2.vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde, eller

3.diarieföring, handläggning och liknande verksamhet inom denna lags tillämpningsområde.

Av paragrafen följer att den så kallade finalitetsprincipen ska tillämpas. Delvis motsvarande bestämmelse återfinns i 2 kap. 3 § andra meningen i nuvarande lag (jfr prop. 2018/19:163 s. 220). De allmänna över- vägandena görs i avsnitt 8.8.

766

SOU 2025:49

Författningskommentar

I första stycket anges huvudregeln att personuppgifter inte får behandlas för något nytt ändamål som är oförenligt med ändamålet för den inledande behandlingen. Av 8 § följer att ändamålet för inledande behandling inte behöver formuleras lika konkret som ändamål för fortsatt behandling. Inom Säkerhetspolisens brotts- bekämpande verksamhet kan behandling av personuppgifter för nya ändamål i de allra flesta fall anses förenlig med ändamålet för den inledande behandlingen. Den brottsbekämpande verksamheten som rör nationell säkerhet utmärks av att den i princip avser att skydda statens väsentliga funktioner och samhällets grundläggande intressen. Det innebär att behandling som inletts för ändamål inom exempelvis kontraspionaget är förenliga även med ändamål inom kontraterrorismverksamheten.

Av andra stycket framgår att personuppgifter får behandlas för utvecklingsändamål och vetenskapliga, statistiska eller historiska ändamål och administration utan hinder av första stycket.

Vad som avses med utvecklingsändamål enligt punkten 1 anges i 7 §. Personuppgifter som behandlas inom exempelvis kontra- terrorismverksamheten får användas även vid teknikutveckling.

Av punkten 2 följer att forskning får bedrivas på insamlade person- uppgifter. Det är endast vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde som omfattas av undan- taget i andra stycket. I punkten 3 förtydligas att den personuppgifts- behandling som sker för att uppfylla administrativa krav på en myn- dighet aldrig kan anses oförenlig med ändamålet för inledande behandling. Bestämmelsen motsvarar nuvarande 2 kap. 2 § (jfr prop. 2018/19:163 s. 219).

Vid sidan av prövningen om oförenliga ändamål ska en propor- tionalitetsprövning enligt 1 § göras för behandling som sker för nya ändamål. Även behandling för ändamål som är förenliga kan vara oproportionerlig, om konsekvensen för ett enskilt eller allmänt intresse inte är rimligt i förhållande till intresset av att behandla uppgifterna för det nya ändamålet.

767

Författningskommentar

SOU 2025:49

Personuppgifters kvalitet

Korrekta uppgifter

13 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Paragrafen motsvarar nuvarande 2 kap. 7 § första stycket (jfr prop. 2018/19:163 s. 223). Det nuvarande andra stycket har tagits bort utan att någon förändring i sak är avsedd, se kommentaren till 14 §. Förändringen motiveras i avsnitt 8.10.3.

Prövningen enligt denna paragraf sker vid inledande granskning, se 9 §. Om det i ett senare skede framgår att en uppgift inte är korrekt eller uppdaterad, ska det åtgärdas, se 5 kap. 1 §.

Uppgiftsminimering

14 § Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen.

Av paragrafen följer kravet på adekvans, relevans och principen om uppgiftsminimering. Bestämmelsen motsvarar delvis 2 kap. 8 § i nuvarande lagstiftning (jfr prop. 2018/19:163 s. 223 f). Den allmänna motiveringen återfinns i avsnitt 8.10.2.

Av första ledet framgår kravet på att endast adekvata och relevanta personuppgifter får behandlas. Det är i huvudsak ändamålen för behandling som avgör om en uppgift är adekvat eller relevant. Det innebär att bedömningen är olika om det rör sig om uppgifter som behandlas i en förundersökning, där ändamålet utgörs av misstanke om en konkret gärning, eller uppgifter inom underrättelseverksam- het där det inte är lika tydligt vari den brottsliga verksamheten eller säkerhetshotet består. Som angetts i kommentaren till 4 § kan upp- gifter vara adekvata och relevanta att behandla, eftersom de före- kommer i en viss kontext eller ett sammanhang som i sin helhet behövs för kartläggningen av viss närmare angiven brottslig verk- samhet. Bedömningen behöver i dessa fall inte ske för varje enskild personuppgift. När Säkerhetspolisen beskriver en persons utseende är det endast adekvat att det sker på ett objektivt sätt med respekt för människovärdet.

768

SOU 2025:49

Författningskommentar

Av sista ledet följer principen om uppgiftsminimering. Vid bedöm- ningen av mängden personuppgifter som får behandlas för ända- målet ska hänsyn inte tas enbart till behovet. Av 1 § framgår att det även ska beaktas att behandlingen utgör en rimlig balans mellan ändamålet för att behandla uppgifterna och andra intressen som påverkas. Även om en stor mängd personuppgifter i och för sig kan behövas, för att exempelvis kartlägga en brottslig verksamhet, kan proportionalitetsprövningen utmynna i att omfattningen måste begränsas för att uppnå proportionalitet. Om det exempelvis hand- lar om kommunikationsuppgifter från ett it-beslag, kan fortsatt behandling behöva begränsas till uppgifterna från en viss tidsperiod eller mellan vissa personer.

Omfattningen avser inte endast mängden uppgifter. I begreppet finns även en kvalitativ aspekt som innebär att uppgifter inte får vara mer känsliga ur ett fri- och rättighetsperspektiv än nödvändigt. Det innebär att uppgifter som utgör ett stort integritetsintrång inte får behandlas, om det är tillräckligt att behandla mindre känsliga uppgifter.

Ett tillräckligt konkret ändamål och som avser ett tungt vägande allmänintresse kan under vissa omständigheter möjliggöra behand- ling av en större mängd uppgifter. Exempelvis kan ett stängt diskus- sionsforum på internet för personer som planerar att resa för att ansluta sig till en terroristorganisation vara adekvat och relevant att behandla i sin helhet, även om varje personuppgift som före- kommer där inte går att koppla till någon känd brottslig verksamhet. Principen om uppgiftsminimering får i detta fall mindre betydelse än om det rör sig om sammanhang som inte har en lika tydlig kopp- ling till brottslig verksamhet.

I vissa fall kan inledande behandling ske av fler uppgifter än vad som behövs för ändamålet. Det kan exempelvis vara nödvändigt att inhämta en större mängd uppgifter för att inte direkt avslöja vilka individer som är av intresse för myndigheten. I dessa fall får fort- satt behandling endast ske för de uppgifter som är relevanta för ändamålet.

Prövningen enligt denna paragraf sker vid inledande granskning, se 9 §. Om det i ett senare skede framgår att en uppgift inte är ade- kvat eller relevant eller för omfattande i förhållande till ändamålet, ska behandlingen upphöra, se 5 kap. 1 §.

769

Författningskommentar

SOU 2025:49

Särskilda upplysningar

15 § Om det ändamål som personuppgifter behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.

Paragrafen motsvarar nuvarande 3 kap. 3 § med den skillnad att den gäller alla uppgifter och inte endast de som gjorts gemensamt till- gängliga (prop. 2018/19:163 s. 231 och 2009/10:85 s. 369 f). Den allmänna motiveringen finns i avsnitt 8.13.3.

Kravet på att den särskilda upplysningen ska tillföras gäller efter att inledande granskning enligt 9 § har avslutats. Upplysningen kan ofta avse samtliga uppgifter som förekommer i en kontext, om ända- målet inte framgår redan av sammanhanget.

Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.

Paragrafen är ny i förhållande till nuvarande lagstiftning. I 2 kap. 9 § brottsdatalagen (2018:1177) finns närliggande krav som gäller då Säkerhetspolisen behandlar personuppgifter med stöd av den lag- stiftningen och lagen (2018:1693) om polisens behandling av person- uppgifter inom brottsdatalagens område (jfr prop. 2017/18:232

s. 445 f.). Överväganden finns i avsnitt 8.13.6.

Bestämmelsen gäller endast uppgifter som behandlas för att utreda och lagföra brott. När personuppgifter behandlas i förundersök- ning följer ofta de olika kategorierna av registrerade av hur upp- gifterna struktureras i ärendet och av de krav som gäller enligt annan författning, exempelvis 21 § förundersökningskungörelsen (1947:948). Om uppgifter även behandlas för att exempelvis kartlägga brottslig verksamhet, gäller kravet endast när uppgifterna behandlas för att utreda och lagföra brott.

Bestämmelsen gäller så långt det är möjligt. Detta innebär till exempel att det beror på vilket systemstöd som de aktuella person- uppgifterna behandlas med. När personuppgifter behandlas i ett system där själva förundersökningsprotokollet genereras, är möjlig-

770

SOU 2025:49

Författningskommentar

heterna att särskilja roller goda och behovet stort. När uppgifter från ett it-beslag som inhämtats inom en förundersökning analy- seras med hjälp av ett analysprogram, är däremot möjligheterna att göra det ofta begränsade och det finns inte heller samma behov av att särskilja de olika rollerna i det systemet. Bestämmelsen riktar således in sig främst på uppgifter som behandlas i själva förunder- sökningsprotokollet.

Särskilda kategorier av personuppgifter

Känsliga personuppgifter

17 § Uppgifter om en person får inte behandlas enbart utifrån sådant som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa, sexual- liv eller sexuell läggning.

Första stycket hindrar inte behandling av personuppgifter som har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande.

Paragrafen har fått en ny utformning i förhållande till nuvarande 2 kap. 9 § och utgör en del av det förstärkta skyddet för känsliga personuppgifter. Bestämmelsen förbjuder personuppgiftsbehand- ling, exempelvis genom att föra register, på den grund att individen går att hänföra till en viss grupp inom de uppräknande kategorierna. Motiven till bestämmelsen finns i avsnitt 8.15.

Av första stycket framgår att det är förbjudet med behandling som sker enbart utifrån uppgifter som avslöjar exempelvis etniskt ursprung eller religiös övertygelse. Det är därmed inte tillåtet att exempelvis samla in och bevara uppgifter enbart på grund av att personen har viss etnicitet eller är medlem av en viss församling. Att sådan omständighet inte får vara skälet till att en persons per- sonuppgifter behandlas innebär inte att det är förbjudet att behandla sådana uppgifter. Säkerhetspolisen har ofta anledning att behandla uppgifter om bland annat politiska åsikter. Exempelvis avseende skyddspersoners partitillhörighet eller då våldsbejakande extremist- miljöer kartläggs. I dessa fall är inte de politiska åsikterna grunden för behandlingen. Inom personskyddet kan skyddspersonens parti- tillhörighet vara en del av hotbildsanalysen och i underrättelseverk- samhet kan en politisk grupperings våldskapital, förmåga och moti-

771

Författningskommentar

SOU 2025:49

vation utgöra ändamål för behandling inom verksamhetsgrenarna kontraterrorism eller författningsskydd.

Förbudet mot att utan samtycke antecknas i ett allmänt register enbart på grund av politisk åskådning följer även av 2 kap. 3 § reger- ingsformen. Förbjudet mot behandling enligt paragrafen är vidare än och omfattar även annan behandling än vad som anses ingå i regeringsformens förbud mot att antecknas i allmänt register och gäller även en person som inte är svensk medborgare.

Förekommer känsliga uppgifter som omfattas av paragrafen i ett sammanhang som i övrigt är relevant, får uppgifterna behandlas på samma sätt som andra uppgifter. Förekomsten av känsliga person- uppgifter innebär som regel ett större intrång i enskilda eller all- männa intressen, vilket får betydelse vid proportionalitetspröv- ningen enligt 1 §, se vidare kommentaren till den bestämmelsen och avsnitt 8.15.4. Se även kommentaren till 14 §.

När det gäller begreppet ras i bestämmelsen utgör det ett förtyd- ligande av att dataskyddskonventionens kategorisering av särskilt skyddsvärda personuppgifter gäller fullt ut. Där anges ras och etniskt ursprung som alternativa kategorier. För att undvika missförstånd anges ras i bestämmelsen trots att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk syn- punkt följaktligen inte heller någon grund för att alls använda ordet ras om människor (jfr prop. 2017/18:232 s. 151).

Av andra stycket framgår att det inte finns något hinder mot att vidta nödvändiga administrativa åtgärder med känsliga person- uppgifter som exempelvis lämnats in till Säkerhetspolisen (jfr prop. 2018/19:163 s. 225 f.). Om det inkommer exempelvis en lista med personer som är aktiva i ett politiskt parti får den diarieföras, trots att uppgifterna inte får behandlas för något annat ändamål.

Av 20 § framgår vad som ska gälla då känsliga personuppgifter behandlas genom sökning och sammanställning.

18 § Genetiska uppgifter får inte behandlas.

Paragrafen motsvarar nuvarande 2 kap. 10 § andra meningen (jfr prop. 2018/19:163 s.225). Genetiska uppgifter definieras i 1 kap. 5 §. Den allmänna motiveringen finns i avsnitt 8.15.1.

772

SOU 2025:49

Författningskommentar

Privilegierade uppgifter

19 § Säkerhetspolisen får inte behandla personuppgifter

1.för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförord- ningen eller 2 kap. 5 § yttrandefrihetsgrundlagen, eller

2.i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken.

Paragrafen är ny och förbjuder Säkerhetspolisen att behandla vissa uppgifter som omfattas av ett särskilt skydd enligt grundlag eller annan lag. Den allmänna motiveringen finns i avsnitt 8.16.

Förbudet omfattar enligt punkten 1 uppgifter för vilken tystnads- plikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsför- budet i 3 kap. 5 § tryckfrihetsförordningen eller 2 kap. 5 § yttrande- frihetsgrundlagen. De nyssnämnda bestämmelserna skyddar i huvud- sak så kallade meddelares rätt till anonymitet. Om Säkerhetspolisen får kännedom om vem som är meddelare, får uppgiften inte behand- las om det inte finns något tillämpligt undantag som gör att tystnads- plikten inte gäller. Av 3 kap. 4 § första stycket 3 samt 7 kap. 22 § första stycket 1 tryckfrihetsförordningen framgår att anonymitet inte gäller för meddelare som gör sig skyldig till bland annat uppror, högförräderi, spioneri eller landsförräderi. Motsvarande bestämmel- ser finns inom yttrandefrihetsgrundlagens tillämpningsområde i

2 kap. 4 § första stycket 3 respektive 5 kap. 4 § första stycket 1. Sådana uppgifter som undantas rätten till anonymitet omfattas följaktligen inte heller av denna paragrafs tillämpningsområde.

Efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförordningen respektive 2 kap. 5 § yttrandefrihetsgrundlagen gäller självständigt. Förbudet mot behandling av sådana uppgifter avser uppgifter som utgör bland annat överskottsinformation eller som Säkerhetspoli- sen behandlar på annan grund.

Enligt punkten 2 får Säkerhetspolisen inte heller behandla per- sonuppgifter som förekommer i meddelanden som avses i 27 kap. 22 § rättegångsbalken, mellan en misstänkt och dennes försvarare. De meddelanden som avses är sådan kommunikation mellan en misstänkt och dennes försvarare som sker inom ramen för försvarar- uppdraget (36 kap. 5 § tredje stycket). Förbudet gäller utan undan-

773

Författningskommentar

SOU 2025:49

tag. Hänvisningen till rättegångsbalkens regler avser tillämpnings- området för förbudet, det vill säga vilken kommunikation som om- fattas, men inte genom vilken metod inledande behandling skett. Bestämmelsen gäller således i första hand för personuppgifter som åtkommits på annat sätt än genom hemlig avlyssning av elektronisk kommunikation, som ska raderas redan med stöd av 27 kap. 22 § rättegångsbalken tredje stycket.

Prövningen enligt denna paragraf sker i första hand vid inledande granskning, se 9 §. Det krävs inte någon särskild utredning eller efterforskning för att fastställa att behandlingsförbudet inte är tillämpligt. Det är endast om det går att sluta sig till att personupp- gifter rör privilegierad kommunikation som ytterligare efterforsk- ning är nödvändig för att fastställa detta och eventuella undantag är tillämpliga. Om det i ett senare skede framgår att en uppgift omfattas av behandlingsförbudet, ska behandlingen genast upp- höra, se 5 kap. 1 §.

Sökbegränsningar

20 § Sökning i syfte att få fram ett urval av personer får grundas på käns- liga personuppgifter endast om skälen för att utföra behandlingen uppen- bart överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den.

Bestämmelsen motsvarar delvis nuvarande 2 kap. 12 § och utgör en del i det förstärkta skyddet för känsliga personuppgifter. Den all- männa motiveringen finns i avsnitt 8.15.5.

Känsliga personuppgifter definieras i 5 §. Där framgår att uttrycket omfattar både sådana uppgifter som anges av 17 § samt biometriska och genetiska uppgifter.

Bestämmelsen reglerar behandling som innebär att känsliga per- sonuppgifter används för att skapa sammanställningen av personer som grundas på känsliga personuppgifter. Det kan röra sig om upp- gifter som avslöjar etnicitet eller politiska eller religiösa kännetecken för att göra ett urval av personer. Bestämmelsen omfattar även kom- binationer av sökbegrepp där endast någon del utgör en känslig personuppgift.

Bestämmelsen omfattar sökningar som resulterar i ett urval av personer. Det innebär att paragrafen inte är tillämplig då känsliga

774

SOU 2025:49

Författningskommentar

personuppgifter används för att exempelvis göra sökningar efter vissa begrepp i ett dokument eller i en konversation. Bestämmelsen är tillämplig även om sökresultatet endast utgörs av en person, så länge urvalet gjorts utifrån flera personers personuppgifter. Bestäm- melsen gäller därmed även sökningar i ett bildmaterial grundat på biometriska uppgifter, trots att endast en persons biometri kan motsvara sökkriteriet. Den gäller dock inte när biometri exempelvis används för att bekräfta att en person är den som avbildats på foto- grafiet i en passhandling. I dessa fall utgörs behandlingen av en jämförelse och resultatet är inte ett urval. Begreppet sökning är teknikneutralt och innebär en tillämpning av urvalskriterier.

En sökning får grundas på känsliga personuppgifter endast om det vid en proportionalitetsprövning är uppenbart att intresset av att utföra sökningen överväger de intressen som påverkas. Av det följer att skälen för att utföra en viss typ av sökning uppenbart ska väga tyngre än de faktiska eller potentiella allmänna och enskilda intressen som påverkas. Det är därför inte tillräckligt att det finns ett starkt behov eller att det är absolut nödvändigt att göra ett urval grundat på känsliga personuppgifter.

Av rekvisitet uppenbart framgår att det inte får råda någon tvek- samhet vid prövningen. Det åligger Säkerhetspolisen att kunna visa att behandlingen är författningsenlig, se 5 kap. 2 §. Att en sökning är uppenbart proportionerlig kan antingen följa av att det allmänna intresset av att utföra sökningen väger särskilt tungt i det enskilda fallet eller att intrånget i de intressen som påverkas av sökningen inte är särskilt stort. Beroende på vilka uppgifter som ska grunda ett urval kan det allmänna intresset behöva ha olika tyngd. Det kan exempelvis anses som mer känsligt att göra ett urval som omfattar sökord typiska för etniska, sexuella eller religiösa minoritetsgrup- per än motsvarande sökningar som träffar en större andel av befolk- ningen eller det som kan betecknas som majoritetssamhället.

Att en känslig personuppgift ingår som ett av många urvalskri- terier utgör ett mindre intrång än om en känslig personuppgift ensam används för att göra ett urval. En sökning som innefattar religiösa kännetecken kan exempelvis omfatta kännetecken som är unika för en rörelse som ägnar sig åt religiöst motiverad vålds- bejakande extremism. I det fallet väger ändamålet att möjliggöra kartläggning ofta tyngre än intrånget i enskildas privatliv eller den potentiella påverkan på religionsfriheten. Om en sökning i stället

775

Författningskommentar

SOU 2025:49

omfattar religiösa kännetecken som inte är unika för en sådan rörelse, vilket innebär att samtliga utövare av en viss religion kom- mer kunna ingå i urvalet, måste ändamålet med sökningen vara betydande. Intrånget i religionsfriheten av att Säkerhetspolisen sammanställer personer efter trosuppfattning är påtagligt. Ända- målet med sökningen har också betydelse. En sökning vars ändamål är att förhindra brott riktade mot exempelvis utövare av en viss religion innebär inte samma intrång som en sökning som syftar till att upptäcka brottslig verksamhet som utövas av en viss grupp.

Paragrafen motsvarar nuvarande 4 kap. 5 § (jfr prop. 2018/19:163 s. 236 och prop. 2009/10:85 s. 348 f). Den allmänna motiveringen finns i avsnitt 8.15.1. Bestämmelsen hindrar inte att det framkom- mer att personen tidigare varit misstänkt, om personuppgifterna alltjämt behöver behandlas för något annat ändamål än utredande av det aktuella brottet.

Automatiserat beslutsfattande

22 § En persons personuppgifter får inte användas för att fatta automati- serade beslut som har en betydande påverkan för honom eller henne.

Paragrafen motsvarar artikel 9.1 a i dataskyddskonventionen 108+ men har ingen tidigare motsvarighet i nu gällande lag. Bestämmel- sen innebär att automatiserat beslutsfattande aldrig ensamt får an- vändas om beslutet påtagligt kan påverka den person som beslutet berör. Övervägandena finns i avsnitt 8.19.1.

Paragrafen hindrar inte att modern teknik används som besluts- stöd. Däremot får inte beslut fattas automatiskt, utan mänsklig inblandning. Den mänskliga inblandningen får inte heller reduceras till att rutinmässigt acceptera automatiserade beslutsförslag. Det krävs att den mänskliga handläggaren har den kompetens, den befogenhet och det underlag som krävs för att kunna fatta ett själv- ständigt beslut. Exempelvis kan en programvara användas för att matcha ett signalement mot övervakningsbilder för att identifiera

776

SOU 2025:49

Författningskommentar

en misstänkt person. Om identifieringen sker helt automatiskt och följden blir att en viss person blir misstänkt, måste en människa verifiera resultatet. Beslut om att exempelvis inleda förundersök- ning får inte ske automatiskt, eftersom det påtagligt påverkar den enskilde att vara föremål för en sådan.

Förbudet mot automatiserat beslutsfattande innebär exempelvis att det inte är tillåtet att efterlysa eller göra en brottsanmälan helt automatiskt. Det är inte heller tillåtet med helt automatiska bedöm- ningar för att förebygga eller förhindra brott, som att exempelvis neka en person tillträde eller förhindra någon att utöva sin tjänst. En registerkontroll enligt säkerhetsskyddslagen (2018:585) utgör inte ett automatiskt beslutsfattande.

3 kap. Informationsutbyte

Behandling för att tillhandahålla information

1 § Uppgifter som behandlas enligt 2 kap. 4–6 §§ får även behandlas för att tillhandahålla information

1. om uppgifterna behövs i

a)brottsbekämpande verksamhet hos en myndighet,

b)en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,

c)Försvarsmaktens militära säkerhetstjänst, eller

d)Försvarsmaktens eller Försvarets radioanstalts försvarsunderrät- telseverksamhet, eller

2. om uppgifterna behövs i

a)brottsbekämpande verksamhet hos en utländsk myndighet,

b)brottsbekämpande verksamhet hos en mellanfolklig organisation,

c)verksamhet hos utländsk underrättelse- eller säkerhetstjänst, eller

d)ett säkerhets- eller underrättelseorgan i en mellanfolklig organisation som Sverige är medlem i, eller

3. till riksdagen eller regeringen, eller

4. om det sker i överensstämmelse med lag eller förordning.

Paragrafen anger för vilka ändamål Säkerhetspolisen får behandla personuppgifter för att tillgodose behovet av information i annan verksamhet utan prövning enligt 2 kap. 12 §. Övervägandena i denna del finns i avsnitt 8.23.1.

Bestämmelsen motsvarar delvis nuvarande 2 kap. 4 § (jfr prop. 2018/19:163 s. 221 f). Kravet på att det ska finnas särskilda skäl för att behandla uppgifter för att tillhandahålla information

777

Författningskommentar

SOU 2025:49

som behövs för Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst och i Försvarets radioanstalts för- svarsunderrättelseverksamhet har tagits bort. Till de uppräknade verksamheterna har ett säkerhets- eller underrättelseorgan i en mellanfolklig organisation som Sverige är medlem i lagts till, som anpassning till Sveriges Nato-medlemskap.

Punkten 4 är ny och innebär att personuppgifter får behandlas för att lämnas ut om det sker i överensstämmelse med lag eller för- ordning. Det innebär att det måste finnas ett berättigat ändamål för utlämnandet men inte att det måste finnas en skyldighet att lämna uppgifter. Ett sådant ändamål kan följa av en sekretessbestämmelse i offentlighets- och sekretesslagen. När det finns en bestämmelse om sekretess, har lagstiftaren tagit ställning till att skyddet för per- sonuppgifter under vissa omständigheter får ge vika för ett allmänt intresse. Sekretessbestämmelsen utgör då den rättsliga grunden för behandlingen.

Till skillnad mot nuvarande reglering ska även den proportionali- tetsprövning som följer av 2 kap. 1 § tillämpas vid tillhandahållande, se vidare kommentaren under denna paragraf. När utlämnande sker enligt första stycket är det ofta för ett så angeläget ändamål att ett utlämnande är proportionerligt.

2 § Personuppgifter som behövs för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Paragrafen reglerar Säkerhetspolisens uppgiftsskyldighet till den myndighet som ansvarar för rättsstatistiken och motsvarar 2 kap. 15 § i nuvarande lag (jfr prop. 2018/19:163 s. 228). Bestämmelsen är till sin utformning sekretessbrytande.

Utlämnande av personuppgifter till annat land

3 § Om det är förenligt med svenska intressen, får personuppgifter som behandlas med stöd av 2 kap. 4–6 §§ lämnas ut

1.enligt 1 § 2, eller

2.till en annan utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

Utlämnande av personuppgifter enligt första stycket får bara ske till mottagare som kan garantera ett tillräckligt skydd för personuppgifterna.

778

SOU 2025:49

Författningskommentar

Paragrafen motsvarar delvis nuvarande 2 kap. 16 § (jfr prop. 2018/ 19:163 s. 228) och avser sekretessbrytande bestämmelser i förhål- lande till utländska myndigheter och mellanfolkliga organisationer, se 8 kap. 3 § offentlighets- och sekretesslagen (2009:400). Över- vägandena finns i avsnitt 8.23.2.

Första stycket hänvisar till de utländska myndigheter och mellan- folkliga organisationer som anges i 1 § 2, det vill säga sådana som antingen har brottsbekämpande uppdrag eller bedriver säkerhets- eller underrättelseverksamhet. Vidare anges att vissa andra utläm- nanden som följer av internationella överenskommelser omfattas av paragrafen. Till dessa myndigheter och organisationer får per- sonuppgifter enligt 8 kap. 3 § 1 offentlighets- och sekretesslagen lämnas utan hinder av sekretess. Däremot krävs att utlämnandet är förenligt med svenska intressen.

Andra stycket anger att överföring av personuppgifter till mot- tagare utomlands bara får ske om mottagaren kan garantera tillräck- ligt skydd för personuppgifter. Sverige är, i likhet med alla EU:s och EES:s medlemsstater, i dag bundet av dataskyddskonventionen 108, som i de flesta fall utgör en garanti för tillräckligt skydd. Kon- ventionen anger, i artikel 12.2, att de stater som är anslutna till kon- ventionen inte ska uppställa hinder för överföringar endast motive- rade av skyddet för personuppgifter. Enligt sin artikel 3.2 a kan vissa kategorier av personuppgifter undantas från konventionens tillämpningsområde, exempelvis de som rör brottsbekämpning. Det kan därför finnas anledning att studera huruvida en medlems- stat gjort undantag från konventionens bestämmelser avseende uppgifter som behandlas hos mottagaren. Om några undantag inte gjorts, bör en tillräcklig skyddsnivå anses föreligga.

För länder som inte tillträtt dataskyddskonventionen får ett tillräckligt skydd för personuppgifter antingen bedömas utifrån nationell lagstiftning (eller regler för den mellanfolkliga organi- sationen) eller genom avtal eller andra bindande rättsliga instru- ment för mottagaren. Ett avtal kan vara en del av ett villkor vid överföring av personuppgifter i det enskilda fallet eller utgöra en del av ett standardiserat avtal. Skyddet för personuppgifter måste vara effektivt och bindande för mottagaren. Se artikel 14.3 i data- skyddskonventionen 108+ och det tilläggsprotokoll till dataskydds- konventionen (ETS 181), som Sverige har tillträtt.

779

Författningskommentar

SOU 2025:49

Vid bedömningen bör Säkerhetspolisen i samma utsträckning som i dag även kunna beakta att den som ska behandla personupp- gifterna kommer att ha tystnadsplikt som omfattar de överförda uppgifterna eller att det garanteras att personuppgifterna inte kom- mer att behandlas för något annat ändamål än det för vilket de överförs. Även bindande åtaganden om att inte föra personupp- gifterna vidare eller att inte använda personuppgifterna efter en viss tidpunkt bör kunna beaktas (jfr prop. 2018/19:163 s. 197).

4 § Personuppgifter som behandlas med stöd av 2 kap. 4–6 §§ får i ett enskilt fall lämnas ut till annan utländsk mottagare än vad som anges i 3 § om

1.sekretess inte hindrar utlämnandet, och

2.skälen för att lämna ut uppgifterna uppenbart överväger intrånget

ide enskilda eller allmänna intressen som kan påverkas av utlämnandet.

Paragrafen motsvaras delvis av nuvarande 9 kap. 4 och 5 §§ (jfr prop. 2018/19:163 s. 262–264) och avser överföring av personupp- gifter i särskilda situationer. Paragrafen motiveras i avsnitt 8.23.3.

Enligt paragrafen får utlämnande ske till en annan mottagare än som anges i 3 §. Med det avses i huvudsak utlämnande till andra offentliga organ än brottsbekämpande myndigheter och underrät- telse- eller säkerhetstjänster samt till privata subjekt. En annan situa- tion som omfattas av paragrafen är utlämnande till en mottagare i ett annat land trots att denne inte kan garantera ett tillräckligt skydd för personuppgifterna. Att bestämmelsen endast får tillämpas i en- skilda fall innebär att det inte kan röra sig om ett kontinuerligt informationsutbyte.

Hänvisningen i första punkten, till att överföring endast får ske om inte sekretess hindrar det innebär att bestämmelsen inte är sekretessbrytande i förhållande till utländska myndigheter och mellanfolkliga organisationer enligt 8 kap. 3 § 1 offentlighets- och sekretesslagen (2009:400). Innan ett utlämnande får ske ska därför en sekretessprövning göras i det enskilda fallet.

Enligt andra punkten får utlämnande ske endast om skälen för att lämna ut uppgifterna uppenbart överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av utlämnandet. Se kom- mentaren till 2 kap. 1 om proportionalitetsprövningen och 2 kap. 20 § om uppenbarhetsrekvisitet. Utlämnanden med stöd av paragrafen kan ofta avse situationer där intrånget inte är så stort, exempelvis då

780

SOU 2025:49

Författningskommentar

Säkerhetspolisen efterfrågar uppgifter om personer från sociala medieplattformar baserade i utlandet. Vid proportionalitetspröv- ning måste risken för missbruk av personuppgifterna hos mottaga- ren särskilt beaktas. Finns det en risk för missbruk kan det krävas ett ändamål av betydande tyngd, så som att avvärja eller utreda konkret brottslig verksamhet eller avvärja omedelbar och allvarlig fara för allmän säkerhet (jfr prop. 2018/19:163 s. 262 f).

Elektroniskt utlämnande

5 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

Paragrafen motsvarar 2 kap. 19 § första stycket i nuvarande lag (jfr prop. 2018/19:163 s. 229). Någon ändring i sak är inte avsedd.

6 § Direktåtkomst får medges för personuppgifter som behandlas enligt

2kap. 4–6 §§ och som

1.Polismyndigheten behöver för att

a)förebygga, förhindra eller upptäcka brottslig verksamhet,

b)utreda eller lagföra brott, eller

c)fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar,

2. Försvarsmakten behöver i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst, eller

3. Försvarets radioanstalt behöver i sin försvarsunderrättelseverksamhet.

Bestämmelsen motsvarar i huvudsak nuvarande 3 kap. 5 och 6 §§ (jfr prop. 2018/19:163 s. 233 f). Någon saklig förändring är inte avsedd annat än att möjligheten till direktåtkomst inte begränsas till de uppgifter som är gemensamt tillgängliga. Den allmänna moti- veringen finns i avsnitt 8.23.2.

Möjligheten omfattar inte uppgifter som behandlas för ut- vecklingsändamål enligt 2 kap. 7 §. Att utlämnandet måste vara proportionerligt följer av 2 kap. 1 §.

1.som behandlas för att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar terrorbrott, och

2.om det behövs för samarbetet mot terrorism.

781

Författningskommentar

SOU 2025:49

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhets- tjänst ska Säkerhetspolisen informera regeringen.

Bestämmelsen motsvarar nuvarande 3 kap. 6 § (jfr prop. 2022/23:116 s. 209 och prop. 2018/19:163 s. 234.) Någon saklig förändring är inte avsedd annat än att möjligheten till direktåtkomst inte begrän- sas till de uppgifter som är gemensamt tillgängliga. Den allmänna motiveringen finns i avsnitt 8.23.2.

Möjligheten omfattar inte uppgifter som behandlas för utveck- lingsändamål enligt 2 kap. 7 §. Att utlämnandet måste vara propor- tionerligt följer av 2 kap. 1 §.

Sekretessbrytande bestämmelser

8 § Trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400) har

1.Polismyndigheten rätt att ta del av personuppgifter som behandlas med stöd av 2 kap. 4–6 §§, om myndigheten behöver uppgifterna för att

a) förebygga, förhindra eller upptäcka brottslig verksamhet, b) utreda eller lagföra brott, eller

c) fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar,

2.Försvarsmakten rätt att ta del av personuppgifter som behandlas med stöd av 2 kap. 4 eller 5 §, om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst, och

3.Försvarets radioanstalt rätt att ta del av personuppgifter som be- handlas med stöd av 2 kap. 4 eller 5 §, om myndigheten behöver uppgif- terna i sin försvarsunderrättelseverksamhet.

Paragrafen innehåller en sekretessbrytande uppgiftsskyldighet till de myndigheter som anges i bestämmelsen. Paragrafen motsvarar i huvudsak 2 kap. 16–18 § i nuvarande lag (jfr prop. 2018/19:163 s. 228f). De allmänna motiven finns i avsnitt 8.23.2.

Till skillnad mot nuvarande bestämmelser omfattas utlämnan- den som sker med stöd av en sekretessbrytande bestämmelse även av kravet på proportionalitet, se kommentaren till 2 kap. 1 §.

782

SOU 2025:49

Författningskommentar

Rätt att meddela föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomst enligt 6 och 7 §§ och om behörighet och säkerhet vid sådan åtkomst.

Regeringen kan också meddela föreskrifter om begränsning av möjlig- heten att lämna ut personuppgifter elektroniskt enligt 5 §.

I paragrafen finns en upplysning om att regeringen kan meddela föreskrifter angående direktåtkomst och om begränsning av möjlig- heterna att lämna ut personuppgifter elektroniskt. Bestämmelsen motsvarar nuvarande 3 kap. 8 § (jfr prop. 2018/19:163 s. 230).

4 kap. Längsta tid som personuppgifter får behandlas

Bestämmande av behandlingstid

1 § När personuppgifter registreras för ett ändamål eller börjar behand- las för ett nytt ändamål ska Säkerhetspolisen bestämma hur lång tid upp- gifterna får behandlas för det ändamålet.

Tiden enligt första stycket får inte vara längre än vad som behövs för ändamålet med behandlingen och inte vara längre än

1.sextio år, om ändamålet för behandlingen hänför sig till sådan säker- hetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt,

2.fem år, om uppgifterna behandlas endast för utvecklingsändamål,

och

3.tjugofem år, om uppgifterna behandlas för något annat ändamål enligt denna lag.

Paragrafen reglerar, tillsammans med 2 och 3 §§, längsta tid för behandling av personuppgifter. Motiven till bestämmelsen finns i avsnitt 8.18.

Av första stycket framgår att Säkerhetspolisen ska bestämma hur lång tid personuppgifter som längst får behandlas när uppgiften registrerats för ett ändamål eller börjar att behandlas för ett nytt ändamål. Det innebär att uppgifter under inledande granskning enligt 2 kap. 9 §, ska förses med en behandlingstid för det eller de

783

Författningskommentar

SOU 2025:49

särskilda ändamål som uppgiften behandlas för enligt 2 kap. 11 §. Detsamma ska gälla uppgifter som börjar behandlas för ett nytt ändamål, exempelvis uppgifter från en förundersökning som börjar behandlas för underrättelseändamål. Behandlingstiden måste vara möjlig för tillsynsmyndigheten att granska. Det ska därför vara möjligt att ta reda på och visa hur länge en uppgift har behandlats för ett ändamål och när behandlingstiden löper ut. Av tredje stycket framgår hur behandlingstiden ska räknas.

Av andra stycket framgår den längsta tid som får bestämmas enligt första stycket. Behandlingstiden får aldrig vara längre än vad som behövs för ändamålet. Det innebär exempelvis att uppgifter som regel inte får behandlas för ändamålet att utreda och lagföra brott efter att åtalspreskription inträtt. Uppgifter får inte heller behandlas längre än vad som är adekvat och relevant för ändamålet. Det innebär att ändamålet med behandlingen är avgörande för vilken behandlingstid som får bestämmas.

Enligt punkten 1 får behandlingstiden bestämmas till som längst sextio år för personuppgifter som behandlas för ändamål som rör säkerhetshotande verksamhet enligt 18 och 19 kap. brottsbalken och som utövas av främmande makt. Med det avses i första hand uppgifter som behandlas inom kontraspionageverksamheten som i nuvarande lagstiftning regleras i 4 kap. 9 § (jfr prop. 2018/19:163 s. 237). Bestämmelsen omfattar även annan brottslig verksamhet än spioneri som utövas av främmande makt.

Enligt punkten 2 får tid som uppgifter behandlas endast för ut- vecklingsändamål inte vara längre än fem år. Det gäller uppgifter där inledande behandling skett endast för utvecklingsändamål. Uppgifter som behandlas för andra ändamål får, enligt 12 §, även behandlas för utvecklingsändamål. Sådan behandling får ske så länge uppgifterna behandlas för sitt ursprungliga ändamål, och som högst i fem år därefter. Den längsta behandlingstiden enligt punkten 2 gäller så länge uppgifterna endast behandlas för ändamål inom ut- vecklingsverksamheten.

Av punkten 3 framgår att personuppgifter som behandlas för något annat ändamål inom lagens tillämpningsområde får behandlas i högst tjugofem år.

Av tredje stycket framgår att behandlingstiden inte behöver avse enskilda personuppgifter utan kan bestämmas gemensamt för alla uppgifter som är förenade av ett sammanhang. Det innebär att

784

SOU 2025:49

Författningskommentar

Säkerhetspolisen får ange en behandlingstid för samtliga person- uppgifter som förekommer i exempelvis ett dokument, i en film eller i ett avlyssnat samtal.

Vidare framgår att behandlingstiden kan anges på två olika sätt: viss tid eller tid från senaste registrering. En fast behandlingstid som gäller viss tid ska fastställas inom det spann som framgår av andra stycket. Av första stycket framgår att det kan ske då uppgif- ten behandlas första gången och då uppgiften behandlas för ett nytt ändamål. En löpande behandlingstid avser en viss tid från den senaste registreringen av en uppgift som avser personens anknytning till ändamålet för behandlingen. En sådan behandlingstid innebär att uppgifter som tillförs en person kan förlänga den löpande behand- lingstiden för samtliga uppgifter som behandlas om personen för det ändamålet. Säkerhetspolisen avgör vilken metod som ska tillämpas. Inget hindrar att vissa uppgifter om en person behandlas löpande och andra uppgifter behandlas med fast behandlingstid. Så kan exem- pelvis vara fallet om vissa personuppgifter registreras i en personakt som behandlas med löpande behandlingstid medan andra uppgifter, som förekommer i dokumentet tillsammans med andra personuppgif- ter, endast behandlas viss tid.

Av 2 kap. 1 § följer att all behandling av personuppgifter ska vara proportionerlig och innebära en rimlig balans mellan intresset av att utföra behandlingen och andra enskilda eller allmänna intres- sen. Den proportionalitetsavvägning som ska göras enligt 2 kap. 1 § utgör den materiella prövningen då behandlingstid ska bestämmas, inom de gränser som följer av 1 § andra stycket. Vid avvägningen ska behovet av att behandla uppgifterna under en viss tid vägas mot hur behandlingen påverkar andra intressen. Det mest framträdande av de intressen som påverkas är det enskilda intresset av att inte vara registrerad. Även andra intressen, som potentiell påverkan på opinionsfriheterna, måste beaktas vid prövningen.

Behandlingstiden får aldrig bestämmas till en längre tid än vad det finns behov av. Hur länge en uppgift behöver behandlas kan variera beroende på både vilket ändamål som uppgifterna behandlas för och vilken typ av uppgifter det är fråga om.

Rätten till privatliv och personlig integritet påverkas både av mängden uppgifter som behandlas och den tid som behandlingen pågår. Behandling av känsliga personuppgifter och uppgifter av särskilt integritetskänslig art utgör ett större intrång än mer allmänt

785

Författningskommentar

SOU 2025:49

hållen information. Den längsta tid som anges i andra stycket är avsedd för de mest angelägna fallen. Det finns därför inte någon pre- sumtion för att uppgifter alltid behöver behandlas under så lång tid.

Det finns inte något krav på att kontinuerligt följa upp det fort- satta behovet av en uppgift under den behandlingstid som bestäms. Det innebär att tiden ofta måste bestämmas utifrån en bedömning av det framtida behovet. För vissa uppgifter kan behovet vara uppen- bart under överskådlig tid, exempelvis när det gäller underrättelse- officerare eller personer som kan misstänkas för terrorism. Behovet är i dessa fall även så starkt att de motstående intressena som på- verkas får stå tillbaka. I andra fall, exempelvis när det gäller kart- läggning av en viss miljö i syfte att klarlägga en viss brottslig verk- samhet, kan ändamålets tyngd vad avser mer perifera element av denna miljö komma att avta snabbare. en registrering till följd av att en person endast befunnit sig i en viss krets, varit på en viss plats eller haft en viss bekantskap kan utgöra ett stort intrång i privat- livet och kan efter en tid te sig omotiverat. De behandlingstider som anges i andra stycket ger Säkerhetspolisen en möjlighet att be- stämma en funktionell och proportionerlig behandlingstid, men syftar alltså inte till att utgöra den generella tid personuppgifter be- handlas inom myndigheten. Den beslutade behandlingstiden måste kunna motiveras vid en eventuell granskning.

Behandlingens upphörande

2 § Personuppgifter får inte behandlas för något ändamål inom denna lags tillämpningsområde efter utgången av det kalenderår då behandlings- tiden enligt 1 § löper ut. Om behandlingstiden är kortare än ett år, får uppgifterna inte behandlas efter att den tiden löpt ut. Personuppgifter får inte heller behandlas om det framgår att uppgifterna inte längre behövs för ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att Säkerhetspolisen arkive- rar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Paragrafen reglerar följden av att den behandlingstid som bestämts enligt 1 § löpt ut. Motiven till bestämmelsen finns i avsnitt 8.18.8.

Paragrafens första stycke, reglerar hur behandlingstiden som an- getts enligt 1 § ska beräknas. Huvudregeln är att behandling av upp- gifterna ska upphöra senast vid årsskiftet det år då behandlingstiden

786

SOU 2025:49

Författningskommentar

löper ut. Om behandlingstiden angetts kortare än ett år, ska behand- lingen i stället upphöra direkt då tiden löper ut.

Vidare anges att behandling ska upphöra om det framgår att uppgifterna inte längre behövs för ändamålet med behandlingen. Att det måste framgå att behovet upphört innebär att Säkerhets- polisen måste agera på indikationer. Det krävs däremot inte någon kontinuerlig bedömning av behovet inom den beslutade behand- lingstiden. Om exempelvis misstankar om brottslig verksamhet helt kan avskrivas på grund av nya uppgifter, kan dessa nya uppgifter innebära att det framgår att behov saknas även för personuppgifter som registrerats dessförinnan.

Av andra stycket framgår att den behandlingstid som anges för ändamål inom lagens tillämpningsområde inte gäller arkivändamål som sker efter att behandling för brottsbekämpande ändamål upp- hört. Det finns inget hinder mot automatiserad behandling för arkiv- ändamål, se dock 5 §.

Förlängning av behandlingstid

3 § Säkerhetspolisen får i ett enskilt fall bestämma att personuppgifter får behandlas under längre tid än vad som följer av 1 § första stycket, om

uppgifterna fortfarande behövs för det ändamål som de behandlas för. Vid ett beslut enligt första stycket får behandlingstiden förlängas med

som längst den tid som anges i 1 § andra stycket.

Om den behandlingstid som bestäms enligt första stycket innebär att uppgifter behandlas längre än vad som anges i 1 § andra stycket, ska ett särskilt beslut fattas och den särskilda tillsynsmyndigheten underrättas om det.

Paragrafen innehåller regler för att förlänga behandlingstid i ett enskilt fall. Bestämmelsen motiveras i avsnitt 8.18.6.

Enligt första stycket är kravet för att förlänga behandlingstiden att uppgifterna fortfarande behövs för det ändamål som de behand- las för. Behovet kan ha förändrats efter att den första bedömningen gjordes, beroende på händelseutvecklingen som skett därefter. Om en person exempelvis utvandrat eller avtjänar ett längre fängelsestraff kan löpande behandlingstid behöva förlängas, eftersom avsaknaden av nya registreringar inte avspeglar hur relevant det är att alltjämt hålla personen under uppsikt.

787

Författningskommentar

SOU 2025:49

Av andra stycket följer att ett beslut om att förlänga behandlings- tiden som längst får ske med de tider som anges i 1 § andra stycket. Det innebär att behandlingstiden för de flesta uppgifter som längst får förlängas med tjugofem år.

Av tredje stycket framgår att den särskilda tillsynsmyndigheten, Säkerhets- och integritetsskyddsnämnden, ska underrättas om för- längningsbeslut som innebär att den tid som anges i 1 § andra stycket överskrids. Underrättelsen ska ske när beslutet fattas och inte när behandlingstiden faktiskt överskridit de tider som anges

i 1 §.

I kommentaren till 1 § utvecklas hur behandlingstiden ska be- stämmas utifrån behov och ändamål med behandlingen.

Bestämmande av behandlingstid för uppgifter om barn

4 § När Säkerhetspolisen bestämmer längsta tid för behandling av per- sonuppgifter enligt 1 och 3 §§, ska särskilt beaktas att personuppgifter som rör barn ska omfattas av ett särskilt starkt personuppgiftsskydd.

Paragrafen innehåller regler för att bestämma behandlingstid när personuppgifter rör barn. Bestämmelsen som saknar motsvarighet i nuvarande lag motiveras i avsnitt 8.18.4.

Av paragrafen följer att särskild hänsyn ska tas till personupp- gifter som rör barn (jfr 4 kap. 7 § andra stycket i nuvarande lag). Det finns inte några formella skillnader vad gäller den längsta be- handlingstiden för barn i förhållande till vuxna. Däremot framgår av paragrafen att barns uppgifter ska omfattas av ett särskilt starkt skydd. Det särskilt starka skyddet för personuppgifter avseende barn markerar att det enskilda intresset att inte vara registrerad väger särskilt tungt för dem. Belastande registrering som avser en ung person får anses utgöra ett större integritetsintrång än en mot- svarande registrering för en vuxen. Intrånget över tid får även anses öka i snabbare takt när det gäller registreringar som avser barn.

När det gäller mer perifera uppgifter om ett barn, som inte i nämnvärd utsträckning är belastande för barnet, saknas däremot ofta skäl att vid proportionalitetsprövning särskilja behandlings- tiden. Det särskilda skyddet gäller i första hand uppgifter som kan komma att påverka barnet negativt i framtiden. När det gäller upp- gifter om att ett barn har utsatts för brott eller befinner sig i samman-

788

SOU 2025:49

Författningskommentar

hang som kan vara skadliga, bör vid proportionalitetsavvägningen vägas in att det i dessa fall är till barnets bästa att myndigheten känner till denna omständighet.

Rätt att meddela föreskrifter

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål enligt 2 § andra stycket, och

2.begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.

Paragrafen upplyser om att regeringen kan meddela föreskrifter och den motsvarar nuvarande 4 kap. 11 och 12 §§ (jfr prop. 2018/19:163 s. 238).

5 kap. Säkerhetspolisens skyldigheter

Skyldighet att vidta åtgärder

Paragrafen innehåller registervårdande bestämmelser och den mot- svaras delvis av nuvarande 2 kap. 13–14 §§. Övervägandena finns i avsnitt 8.20.2.

Av första stycket följer att Säkerhetspolisen har en skyldighet att vidta åtgärder om det framgår att personuppgifter behandlas i strid med lag eller annan författning. Detsamma gäller om åtgärden krävs för att utföra en rättslig förpliktelse. Att personuppgifter behandlas felaktigt kan framgå på olika sätt. Det kan ske i samband med regi- stervårdande insatser, men felaktigheter kan även upptäckas då per- sonuppgifter behandlas operativt genom att exempelvis bearbetas eller delas. Skyldigheten innebär att felaktigheter som konstateras

789

Författningskommentar

SOU 2025:49

omedelbart ska rättas till. Om uppgifter inte är korrekta (jfr 2 kap. 13 §) kan en åtgärd vara att uppgifterna rättas eller uppdateras. Vilka åtgärder som är rimliga att vidta får bedömas mot bakgrund av om- ständigheterna i varje enskilt fall, som till exempel vilka konsekven- ser en felaktig eller ofullständig uppgift kan få för den enskilde om uppgifterna lämnas ut eller ligger till grund för en prövning. Om det kan konstateras att uppgifter inte längre behövs eller inte längre är adekvata eller relevanta (jfr 2 kap. 14 §), ska behandlingen upphöra. Detsamma gäller om det framgår att proportionalitetsprövningen som gjorts vid registreringen inte längre kan motivera fortsatt be- handling av personuppgifterna (jfr 2 kap. 1 §). Det kan exempelvis bero på förändringar i det allmänna säkerhetsläget eller i den hot- bild som legat till grund för behandlingen. Om det skulle uppmärk- sammas att det saknas rättslig grund för behandlingen (jfr 2 kap.

2 §), ska uppgifterna raderas.

Att de omständigheter som kan föranleda åtgärder enligt para- grafen ska framgå innebär att det inte krävs kontinuerlig gransk- ning av samtliga personuppgifter. Däremot följer det av 2 § att det kan krävas att Säkerhetspolisen har rutiner för registervård, vilket även kan innebära krav på mer systematiska åtgärder för bland annat rättelse, uppdatering och radering, se kommentaren till den bestäm- melsen.

Av andra meningen följer att en skyldighet att vidta åtgärder även kan följa av en rättslig förpliktelse. En rättslig förpliktelse kan följa av att tillsynsmyndigheten eller en domstol har förelagt Säker- hetspolisen att vidta en viss åtgärd eller en viss typ av åtgärd (se

7 kap. 6 §). En förpliktelse kan också framgå av annan lag eller för- ordning meddelad med stöd av lag. I vissa fall kan det finnas villkor för användning av uppgifter som lämnats till Säkerhetspolisen från en samverkande tjänst i annat land. Enligt 6 kap. 3 § lagen (2017:496) om internationellt polisiärt samarbete är sådana villkor om använd- ningsbegränsningar bindande för mottagaren, även om begräns- ningarna inte överensstämmer med vad som gäller enligt lag.

Av andra stycket följer att uppgifter som behövs som bevis inte ska raderas utan begränsas till detta ändamål. Det innebär att per- sonuppgifter som behandlas i strid med lag inte får raderas om de behövs som bevis. Bevisningen ska avse frågan om personuppgifts- behandlingen varit felaktig eller för att avgöra andra anknutna frågor, som exempelvis skadeståndsskyldighet enligt 6 kap. 3 §.

790

SOU 2025:49

Författningskommentar

Tekniska och organisatoriska åtgärder

2 § Säkerhetspolisen ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.

Paragrafen motsvarar 5 kap. 1 § i nuvarande lag (jfr prop. 2018/19:163 s. 238 f.).

Trots att paragrafen överförs från nuvarande lag ställs i vissa av- seenden andra krav vid tillämpningen. Den proportionalitetspröv- ning som ska göras måste säkerställas vid all behandling. Det kan exempelvis finnas skäl att utveckla nya verksamhetsstöd och hålla kontinuerliga utbildningar för denna prövning. Att Säkerhetspolisen ska kunna visa författningsenlighet och att de registrerades rättig- heter skyddas kan exempelvis kräva att personuppgiftsbehandling för maskininlärning dokumenteras och motiveras. Dokumentation kan i dessa fall vara nödvändigt för att förstå och kunna granska effekterna av behandlingen i efterhand, då personuppgifterna inte längre finns kvar i verksamheten, se även kommentaren till 8 och 9 §§ samt 7 kap. 8 §. Likt tidigare kan åtgärder som vidtas för att visa att behandlingen är författningsenlig utgöras av exempelvis dokumentation av it-system, behandlingar och vidtagna åtgärder samt teknisk spårbarhet genom loggning och logguppföljning.

3 § Säkerhetspolisen ska när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt data- skydd).

Paragrafen motsvarar 5 kap. 2 § i nuvarande lag (jfr prop. 2018/19:163 s. 239). Av 7 kap. 10 § följer en tillkommande skyldighet att i skälig omfattning vidta tekniska åtgärder för att den särskilda tillsynsmyn- digheten ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt.

791

Författningskommentar

SOU 2025:49

Paragrafen motsvarar 5 kap. 3 § i nuvarande lag (jfr prop. 2018/19:163 s. 240). Bestämmelsen får särskild betydelse exempelvis när det gäller de personuppgifter som behandlas för utvecklingsändamål och som inte får behandlas för andra ändamål, se 2 kap. 7 § andra stycket.

5 § Säkerhetspolisen ska säkerställa att det i automatiserade behandlings- system förs loggar över personuppgiftsbehandling i den utsträckning det behövs eller är särskilt föreskrivet.

För behandling som avses i 2 kap. 20 § ska loggar föras.

Paragrafen motsvarar i huvudsak 5 kap. 4 § i nuvarande lag (jfr prop. 2018/19:163 s. 240). I första stycket har ett tillägg gjorts om att loggar ska föras även om det behövs trots att det inte är särskilt föreskrivet.

I andra stycket, som är nytt, anges särskilt att loggning ska göras vid sökning som grundas på känsliga personuppgifter enligt 2 kap. 20 §.

Tillgången till personuppgifter

6 § Säkerhetspolisen ska se till att tillgången till personuppgifter begrän- sas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen motsvarar 5 kap. 5 § i nuvarande lag (jfr prop. 2018/19:163 s. 241).

Säkerhetsåtgärder

Paragrafen motsvarar 5 kap. 7 § i nuvarande lag (jfr prop. 2018/19:163 s. 242).

792

SOU 2025:49

Författningskommentar

Konsekvensbedömning

8 § Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska Säkerhetspolisen innan behand- lingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Paragrafen motsvarar, tillsammans med 9 §, nuvarande 5 kap. 6 § (jfr prop. 2018/19:163 s. 242). Den konsekvensbedömning som ska göras kan vara ett stöd vid den proportionalitetsprövning som enligt 2 kap. 1 § ska göras för varje behandling. Betydelsen och utformningen av konsekvensbedömningar kan därför vara annor- lunda än enligt nuvarande lag. Se även 7 kap. 9 § om samverkan mellan den särskilda tillsynsmyndigheten och Säkerhetspolisen.

En konsekvensbedömning kan i vissa fall behöva utföras innan inledande behandling av personuppgifter påbörjas med stöd av

2 kap. 7 §. När personuppgifter ska användas för teknisk utveck- ling måste konsekvensbedömningen även innehålla tillräcklig doku- mentation för att den ska vara möjlig att granska för tillsynsmyndig- heten. Om det exempelvis handlar om maskininlärningstekniker, kan det vara befogat att ange vilka personuppgifter som ska användas och varför.

Förhandssamråd

9 § Om konsekvensbedömningen visar att det finns en särskild risk för intrång i den registrerades personliga integritet, eller om typen av behand- ling innebär en särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (förhandssamråd).

Paragrafen motsvarar, tillsammans med 8 §, nuvarande 5 kap. 6 § (jfr prop. 2018/19:163 s. 242). Den samverkan som enligt 7 kap. 9 § ska ske mellan den särskilda tillsynsmyndigheten och Säkerhets- polisen kan röra bland annat frågor om särskilda risker för intrång. Då kan den särskilda tillsynsmyndigheten ha anledning att lämna synpunkter bland annat i frågan om det är befogat med samråd. Samverkan med den särskilda tillsynsmyndigheten ersätter dock inte kravet på förhandssamråd.

793

Författningskommentar

SOU 2025:49

Samarbetsskyldighet

10 § Säkerhetspolisen ska samarbeta med de myndigheter som utövar tillsyn över personuppgiftsbehandling enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Paragrafen reglerar samarbetsskyldigheten för Säkerhetspolisen i förhållande till de myndigheter som utövar tillsyn över tillämp- ningen av lagen och motsvarar i huvudsak nuvarande 5 kap. 8 § (jfr prop. 2018/19:163 s. 243). Motiven till bestämmelsen finns i avsnitt 10.4.5.

Utöver en skyldighet att samarbeta med tillsynsmyndigheten enligt 7 kap. 1 § tillämpas bestämmelsen även i förhållande till den myndighet som har särskild tillsyn över Säkerhetspolisens behand- ling av personuppgifter enligt lagen, se 7 kap. 9 §.

Dataskyddsombud

11 § Säkerhetspolisen ska inom myndigheten utse ett eller flera data- skyddsombud och anmäla till tillsynsmyndigheten och den särskilda till- synsmyndigheten när dataskyddsombud utses och entledigas.

Paragrafen motsvarar i huvudsak 5 kap. 9 § i nuvarande lag (jfr prop. 2018/19:163 s. 243). Allmänmotiven finns i avsnitt 8.20.4. Anmälan ska nu göras till både tillsynsmyndigheten och den myn- dighet som har särskild tillsyn över Säkerhetspolisens behandling av personuppgifter enligt lagen, se 7 kap. 9 §.

12 § Dataskyddsombud ska

1.självständigt kontrollera att Säkerhetspolisen behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Säkerhetspolisen och de som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.på begäran ge Säkerhetspolisen råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör Säkerhetspolisens behandling av personuppgifter, och

5.samarbeta med tillsynsmyndigheten och den särskilda tillsynsmyndig- heten och vara kontaktpunkt för dessa vid förhandssamråd och andra frågor som rör behandling av personuppgifter.

794

SOU 2025:49

Författningskommentar

Paragrafen motsvarar i huvudsak 5 kap. 10 § i nuvarande lag (jfr prop. 2018/19:163 s. 243 f). Allmänmotiven finns i avsnitt 8.20.4.

Till den nuvarande lydelsen har ett tillägg gjorts i punkten 5 som innebär att det i dataskyddsombudets uppgifter ingår att samarbeta även med den särskilda tillsynsmyndigheten i frågor som rör behand- ling av personuppgifter.

Personuppgiftsbiträden

13 § Säkerhetspolisen får, om det är lämpligt, anlita personuppgiftsbiträ- den för behandling av personuppgifter på myndighetens vägnar. Innan ett personuppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att bi- trädet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författnings- enlig och för att skydda registrerades rättigheter.

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse mellan Säker- hetspolisen och biträdet.

Paragrafen motsvarar 5 kap. 11 § i nuvarande lag (jfr prop. 2018/ 19:163 s. 245). Den allmänna motiveringen finns i avsnitt 8.22.

14 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgifts- biträde utan skriftligt tillstånd från Säkerhetspolisen.

Paragrafen motsvarar 5 kap. 12 § i nuvarande lag (jfr prop. 2018/ 19:163 s. 245). Den allmänna motiveringen finns i avsnitt 8.22.

15 § Ett personuppgiftsbiträde och de som arbetar under biträdets led- ning ska behandla personuppgifter i enlighet med instruktioner från Säker- hetspolisen.

Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.

Paragrafen motsvarar 5 kap. 13 § i nuvarande lag (jfr prop. 2018/ 19:163 s. 245). Den allmänna motiveringen finns i avsnitt 8.22.

16 § Det som sägs om Säkerhetspolisens skyldigheter i 2–8 §§ och 10 § gäller även för personuppgiftsbiträden.

795

Författningskommentar

SOU 2025:49

Paragrafen motsvarar 5 kap. 14 § i nuvarande lag (jfr prop. 2018/ 19:163 s. 246). Den allmänna motiveringen finns i avsnitt 8.22.3. Det ställs i princip samma krav på tekniska och organisatoriska åtgärder för ett personuppgiftsbiträde som för Säkerhetspolisen. Om ett personuppgiftsbiträde vid en konsekvensbedömning enligt 8 § ser en särskild risk för intrång i de registrerades personliga integ- ritet, måste Säkerhetspolisen påkalla samråd med tillsynsmyndig- heten.

6 kap. Den registrerades rättigheter

Rätt till registerutdrag

1.vilka personuppgifter om sökanden som behandlas,

2.varifrån personuppgifterna kommer,

3.den rättsliga grunden och ändamålen med behandlingen,

4.mottagare eller kategorier av mottagare av personuppgifterna, och

5.hur länge personuppgifterna får behandlas.

Uppgifter enligt första stycket, som den sökanden inte redan tagit del av, ska lämnas utan kostnad en gång per år. I andra fall får Säkerhetspoli- sen ta ut en rimlig avgift.

Paragrafen motsvarar nuvarande 6 kap. 2 § (jfr prop. 2018/19:163 s. 247 ff.). Första stycket har endast ändrats redaktionellt. Den allmänna motiveringen finns i avsnitt 8.19.3.

I andra stycket framgår att rätten till kostnadsfri information gäller endast sådana uppgifter som inte redan lämnats ut till sökan- den eller som den sökande på annat sätt kunnat ta del av. Handlingar som den sökande själv lämnat till myndigheten omfattas exempel- vis inte av den rätten att kostnadsfritt ta del av personuppgifter.

2 § Säkerhetspolisens skyldighet att lämna information enligt 1 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller annars framgår av beslut som har meddelats med stöd av författ- ning att uppgifter inte får lämnas ut till den registrerade.

Om förutsättningarna i första stycket är uppfyllda, är Säkerhetspolisen inte skyldig att lämna ut skälen för beslutet. Säkerhetspolisen ska i dessa fall informera sökanden om andra möjligheter att pröva om dennes per- sonuppgifter behandlas författningsenligt.

796

SOU 2025:49

Författningskommentar

Paragrafen gör undantag från Säkerhetspolisens informations- skyldighet och motsvarar i huvudsak nuvarande 6 kap. 3 § (jfr prop. 2018/19:163 s. 249). Bestämmelsen motiveras i avsnitt 8.19.4.

Bestämmelsens tredje stycke är nytt och innebär att Säkerhets- polisen ska upplysa den som begär information om möjligheten till kontroll enligt 3 § lagen (2007:980) om tillsyn över viss brottsbe- kämpande verksamhet.

Skadestånd

3 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av be- handling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Paragrafen motsvarar nuvarande 8 kap. 1 § (prop. 2018/19:163 s. 257 f). Den allmänna motiveringen återfinns i avsnitt 8.19.6. Rätten till skadestånd utgör även ett rättsmedel för enskild enligt artikel 9.1 f och 12 i dataskyddskonventionen 108+.

7 kap. Tillsyn

Tillsynsmyndighetens uppgifter

1 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling, och

2.vid förhandssamråd enligt 5 kap. 9 § och när det i övrigt är påkallat ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.

Paragrafen motsvarar 7 kap. 1 § i nuvarande lag (jfr. prop. 2018/19:163 s. 253 f). Av 2 a § andra stycket förordningen (2007:975) med instruk- tion för Integritetsskyddsmyndigheten framgår att det är Integritets- skyddsmyndigheten som är tillsynsmyndighet enligt lagen.

Undersökningsbefogenheter

2 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen och person- uppgiftsbiträdet på begäran få

1. tillgång till alla personuppgifter som behandlas,

797

Författningskommentar

SOU 2025:49

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som Säkerhetspolisen eller personuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.den hjälp och den information som behövs för tillsynen.

Paragrafen reglerar tillsynsmyndighetens undersökningsbefogen- heter och motsvarar nuvarande 7 kap. 3 § (prop. 2018/19:163 s. 254 f.). Motiven till bestämmelsen finns i avsnitt 10.4.3.

Genom hänvisning i 9 § andra stycket framgår att bestämmelsen även gäller den särskilda tillsynsmyndigheten. Den hjälp och infor- mation som följer av punkten 4 innebär att Säkerhetspolisen i skälig omfattning måste utbilda och instruera tillsynsmyndigheternas per- sonal i de tekniska system och lösningar som Säkerhetspolisen använder sig av. För att kunna möjliggöra tillsyn över hur person- uppgifter behandlas i tekniskt avseende kan det krävas att personal från tillsynsmyndigheten får del av samma utbildning som personal från Säkerhetspolisen.

Förebyggande befogenheter

3 § Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.

Paragrafen motsvarar nuvarande 7 kap. 4 § första stycket (prop. 2018/ 19:163 s. 255). Motiven till bestämmelsen finns i avsnitt 10.6.

Paragrafen motsvarar nuvarande 7 kap. 4 § andra stycket (prop. 2018/ 19:163 s. 255). Motiven till bestämmelsen finns i avsnitt 10.6.

798

SOU 2025:49

Författningskommentar

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att Säkerhetspolisen eller person- uppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får till- synsmyndigheten

1.genom sådana åtgärder som anges i 3 § försöka förmå Säkerhetspoli- sen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,

2.förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åt- gärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller

3.förbjuda fortsatt behandling om bristen är allvarlig.

Om ett föreläggande utfärdas, ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åt- gärder som ska vidtas.

Paragrafen innehåller de korrigerande befogenheterna och den mot- svarar nuvarande 7 kap. 5 § (prop. 2018/19:163 s. 255 ff.). Motiven till bestämmelsen finns i avsnitt 10.7.1.

6 § Tillsynsmyndighetens beslut får inte verkställas omedelbart.

Paragrafen utgör ett undantag från de möjligheter till omedelbar verk- ställighet som följer av 35 § andra och tredje stycket förvaltningslagen (2017:900) och den motsvarar nuvarande 7 kap. 6 § (prop. 2018/ 19:163 s. 257). Se 12 § angående överklagande av tillsynsmyndig- hetens beslut. Motiven till bestämmelsen finns i avsnitt 10.7.1.

Särskild tillsyn

7 § Bestämmelser om särskild tillsyn över Säkerhetspolisens behandling av personuppgifter finns i lagen (2007:980) om tillsyn över viss brottsbekäm- pande verksamhet.

Paragrafen upplyser om den särskilda tillsyn som Säkerhets- och integritetsskyddsnämnden utövar över Säkerhetspolisens person- uppgiftsbehandling. Paragrafen behandlas i avsnitt 10.3.

8 § Den myndighet som utövar tillsyn enligt 7 § (särskild tillsynsmyndig- het) och Säkerhetspolisen ska löpande samverka om frågor som rör Säker- hetspolisens skyldigheter enligt lag eller annan författning.

799

Författningskommentar

SOU 2025:49

Paragrafen saknar motsvarighet i den tidigare lagen och innebär en skyldighet att etablera och löpande upprätthålla samverkan mellan Säkerhets- och integritetsskyddsnämnden och Säkerhetspolisen. Samverkan ska avse frågor som rör Säkerhetspolisens skyldigheter som personuppgiftsansvarig. De allmänna övervägandena görs i avsnitt 10.5.

Skyldigheten att samverka i det angivna syftet är mer långtgående än den samverkan som avses i 8 § förvaltningslagen (2017:900). Sam- verkan syftar till att gemensamt försöka motverka att fel begås i verksamheten. Sådan samverkan skulle kunna innebära att Säker- hetspolisen informerar om organisatoriska, tekniska eller metodo- logiska förändringar i verksamheten som kan innebära en risk. Genom samverkan kan Säkerhets- och integritetsskyddsnämnden bidra med sin syn på olika frågor som rör Säkerhetspolisens skyldigheter.

Samverkan ska vara framåtsyftande och inte vara begränsad till konstaterade förhållanden.

Säkerhetspolisen har i samverkan en möjlighet att lyfta fram verk- samhetens behov och de avvägningar som görs mellan dessa behov och andra intressen som påverkas. Samverkan ger nämnden och Säkerhetspolisen en möjlighet att diskutera tillämpningsfrågor utan- för de enskilda tillsynsärendena. Hur samverkan ska utövas i det enskilda fallet kräver ingen reglering utan får utvecklas efterhand i samförstånd myndigheterna emellan.

9 § Säkerhetspolisen ska i skälig omfattning vidta de tekniska åtgärder som är nödvändiga för att den särskilda tillsynsmyndigheten ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt.

Den särskilda tillsynsmyndigheten har utöver de befogenheter som följer av särskild lagstiftning även de befogenheter som följer av 2 §.

Paragrafen, som motiveras i avsnitt 10.4.2 och 10.4.4 innehåller dels skyldigheter för Säkerhetspolisen dels kompletterande befogenheter för Säkerhets- och integritetsskyddsnämnden. Av 4 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet följer att nämn- den har rätt till de uppgifter och upplysningar, den information och det biträde som nämnden begär.

Av första stycket följer att Säkerhetspolisen har en skyldighet att i skälig omfattning vidta de tekniska åtgärder som är nödvändiga för att Säkerhets- och integritetsskyddsnämnden ska kunna utöva sitt tillsynsuppdrag på ett ändamålsenligt sätt.

800

SOU 2025:49

Författningskommentar

Tekniska åtgärder som kan vara nödvändiga kan exempelvis ut- göras av anpassningar av de it-system som Säkerhetspolisen använ- der i verksamheten. Den särskilda tillsynsmyndighetens behov kan skilja sig från Säkerhetspolisens operativa behov. I skälig omfatt- ning ska hänsyn alltså tas till den verksamhet som Säkerhets- och integritetsskyddsnämnden ska bedriva enligt lagen om tillsyn över viss brottsbekämpande verksamhet då systemen utvecklas, utfor- mas eller köps in. Det kan vidare även vara aktuellt att göra föränd- ringar i redan existerande system. Det kan handla om t.ex. sektio- nering av information på ett sätt som bättre svarar mot nämndens behov. Möjligheten att söka eller utnyttja automatiska analysverktyg för tillsynsändamål är en annan anpassning som kan komma i fråga. Nämnda åtgärder är endast exempel och ska inte ses som en uttöm- mande uppräkning av vilka åtgärder som kan komma i fråga. De tekniska funktioner och de syften som ska uppfyllas med dem for- muleras av tillsynsmyndigheten.

Att anpassningarna ska ske i skälig omfattning innebär att de inte på ett påtagligt sätt ska påverka den operativa verksamheten negativt. Samtidigt ska det beaktas att en effektiv tillsyn är en för- utsättning för att verksamheten alls ska få bedrivas. Att tillsyn i stort och de åtgärder som regleras i denna paragraf medför kost- nader och tar resurser i anspråk måste därför, i skälig omfattning, accepteras.

Av andra stycket följer att Integritetsskyddsmyndighetens under- sökningsbefogenheter enligt 2 § även gäller för Säkerhets- och integ- ritetsskyddsnämnden. Detta således i tillägg till de befogenheter som följer av lagen om tillsyn över viss brottsbekämpande verk- samhet. Se kommentaren till 2 §.

8 kap. Överklagande

Överklagande av den personuppgiftsansvariges beslut

1 § Beslut om att inte lämna information eller att ta ut avgift enligt 6 kap. 1 § får överklagas till kammarrätt.

Paragrafen motsvarar delvis 8 kap. 2 § i den nuvarande lagen (jfr prop. 2018/19:163 s. 258) och gäller beslut om att inte lämna ut

801

Författningskommentar

SOU 2025:49

information enligt 6 kap. 1 § eller att ta ut avgift. De allmänna övervägandena görs i avsnitt 8.19.7.

Enligt paragrafen ska överklagande av beslut om att inte lämna ut information om personuppgiftsbehandling ske i samma ordning som överklagande beslut enligt offentlighets- och sekretesslagen (2009:400), det vill säga till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

2 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till Försvarsunderrättelsedomstolen.

Paragrafen reglerar överklagande av tillsynsbeslut och skiljer sig från nuvarande lag. De allmänna övervägandena görs i avsnitt 10.7.2.

Försvarsunderrättelsedomstolen är exklusivt forum för överpröv- ning av tillsynsmyndighetens beslut. Denna ordning är motiverad av den känsliga verksamhet som Säkerhetspolisen bedriver och som kan vara föremål för tillsynsmyndighetens beslut.

Tiden för överklagande av tillsynsmyndighetens beslut följer av förvaltningslagen (2017:900).

3 § Vid prövning enligt 2 § ska Försvarsunderrättelsedomstolen tillämpa 2–8, 10–15, 17–26, 28–32 och 38–53 §§ förvaltningsprocesslagen (1971:291) i tillämpliga delar samt 9 §, 10 § första stycket 1 och 15 § lagen (2009:966) om Försvarsunderrättelsedomstol.

Muntliga förhandlingar i domstolen är inte offentliga. Rätten får besluta att en förhandling ska vara offentlig i de delar där det står klart att inga uppgifter för vilka det hos domstolen gäller sådan sekretess som avses i offentlighets- och sekretesslagen (2009:400) kommer att uppenbaras.

När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen. Den särskilda tillsynsmyndigheten ska beredas tillfälle att yttra sig i målet om det behövs.

Bestämmelsen, som är ny, innehåller de processregler som tillämpas vid prövning av överklagande tillsynsbeslut. De allmänna motiven finns i avsnitt 10.7.2.

Första stycket hänvisar till förvaltningsprocesslagens bestämmelser som ska tillämpas vid prövningen.

Av andra stycket framgår att muntlig förhandling i domstolen inte är offentlig om det inte står klart att inga uppgifter för vilken det hos domstolen gäller sådan sekretess kommer att uppenbaras.

802

SOU 2025:49

Författningskommentar

Så torde sällan vara fallet. Bestämmelsen motsvarar 4 kap. 11 § i lagen (2026:000) om Säkerhetspolisens behandling av personupp- gifter i särskilda uppgiftssamlingar.

Av tredje stycket framgår att tillsynsmyndigheten är motpart till Säkerhetspolisen i förfarandet. Säkerhets- och integritetsskydds- nämnden har inte partsställning men ska beredas tillfälle att yttra sig i målet om det behövs. När det överklagade beslutet föranletts av att Säkerhets- och integritetsskyddsnämnden anmält ett förhål- lande till Integritetsskyddsmyndigheten, bör nämnden yttra sig över de iakttagelser och överväganden som föranlett anmälan.

Överklagandeförbud

4 § Försvarsunderrättelsedomstolens avgöranden får inte överklagas.

De allmänna övervägandena görs i avsnitt 10.7.2. I likhet med övriga avgöranden som fattas av Försvarsunderrättelsedomstolen får inte heller domstolens avgöranden enligt denna lag överklagas.

5 § Övriga beslut enligt denna lag får inte överklagas.

Paragrafen innebär ett förbud mot att överklaga andra beslut enligt denna lag och motsvarar 8 kap. 4 § i den nuvarande lagen (jfr prop. 2018/19:163 s. 259).

Ikraftträdande och övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2027.

2.Genom denna lag upphävs lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.

3.För behandling av personuppgifter som påbörjats innan lagen trätt

ikraft får lagen (2019:1182) om Säkerhetspolisens behandling av person- uppgifter tillämpas fram till och med den 31 december 2029 i stället för den nya lagen.

4.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

Ikraftträdande- och övergångsbestämmelserna motiveras i kapitel 11. Enligt punkten 1 träder lagen i kraft den 1 januari 2027.

803

Författningskommentar

SOU 2025:49

Punkten 2 anger att lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter upphävs genom den nya lagen. Detta innebär att den äldre lagen, som bär samma namn som den nya, er- sätts i sin helhet av den nya regleringen.

I punkten 3 föreskrivs att personuppgifter som behandlas av Säkerhetspolisen vid ikraftträdandet får fortsätta att behandlas enligt äldre föreskrifter, det vill säga lagen (2019:1182) om Säker- hetspolisens behandling av personuppgifter, till och med den

31 december 2029. Denna övergångsperiod på tre år ger Säkerhets- polisen möjlighet att successivt anpassa sin personuppgiftsbehand- ling till de nya reglerna. Från den 1 januari 2030 ska all behandling ske i enlighet med den nya lagen, vilket innebär att Säkerhetspoli- sen senast vid denna tidpunkt måste ha genomfört alla nödvändiga anpassningar.

Övergångsbestämmelsen tar enbart sikte på personuppgifter som behandlas vid ikraftträdandet. För alla personuppgifter som Säkerhetspolisen börjar behandla efter ikraftträdandet ska den nya lagen tillämpas fullt ut.

I punkt 4 föreskrivs att äldre föreskrifter fortfarande ska gälla för överklagande av beslut inom denna lags tillämpningsområde som har meddelats före ikraftträdandet. Med äldre föreskrifter avses här lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter med tillhörande förordning. Punkten tar inte bara sikte på själva överklagandet utan också på till exempel vilken instans som ska överpröva ett beslut.

13.2Förslaget till lag om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

Vid tillämpning av denna lag ska följande bestämmelser i lagen om Säkerhetspolisens behandling av personuppgifter inte tillämpas

804

SOU 2025:49

Författningskommentar

–2 kap. 5, 11, 13–16, 20 och 21 §§,

–3 kap.,

–4 kap.,

–6 kap. 1 och 2 §§, samt

–7 kap. 2 § 1.

Paragrafen anger tillämpningsområdet för lagen och hur den för- håller sig till bestämmelser i lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter. De allmänna övervägandena finns i avsnitt 9.1.1 och 9.2.

Av första stycket följer att lagen innehåller kompletterande bestäm- melser till lagen om Säkerhetspolisens behandling av personuppgif- ter för uppgifter som registreras eller har registrerats i en särskild uppgiftssamling. Vad som avses med registrering och särskild upp- giftssamling följer av definitionen i 2 §. Bestämmelsen innebär att lagen ska tillämpas för behandling av personuppgifter som inled- ningsvis behandlats enligt lagen om Säkerhetspolisens behandling av personuppgifter och som därefter registreras i en särskild upp- giftssamling. Lagens tillämpningsområde omfattar registreringen och den efterföljande behandlingen i form av bland annat lagring och framtagning. Hänvisningen till lagen om Säkerhetspolisens be- handling av personuppgifter innebär vidare att lagen endast är tillämplig vid sådan personuppgiftsbehandling som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande verksamhet. Lagen är endast tillämplig vid automatiserad behandling, vilket innebär att personuppgiftsbehandlingen ska ske med datoriserade behandlings- medel.

I andra stycket anges de bestämmelser i lagen om Säkerhetspoli- sens behandling av personuppgifter som inte ska tillämpas parallellt med denna lag. Övriga bestämmelser i lagen om Säkerhetspolisens behandling av personuppgifter är tillämpliga även vid registrering och annan behandling av personuppgifter i särskilda uppgiftssam- lingar. Det innebär bland annat att de grundläggande kraven som följer av 2 kap. 1–3 §§ lagen om Säkerhetspolisens behandling av personuppgifter ska tillämpas även vid behandling enligt denna lag. Ändamålen för personuppgiftsbehandling enligt denna lag omfattar inte brottsutredning och lagföring i 2 kap. 5 § lagen om Säkerhetspolisens behandling av personuppgifter. Övervägandena i denna del görs i avsnitt 9.10.2. I lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott framgår att

805

Författningskommentar

SOU 2025:49

personuppgifter som tagits fram med stöd av denna lag inte får användas i förundersökningar.

Av 2 kap. 9 § lagen om Säkerhetspolisens behandling av person- uppgifter framgår att inledande behandling ska följas av att person- uppgifter granskas för att säkerställa författningsenlig behandling.

Kravet på granskning omfattar även de uppgifter som samlats in för att registreras enligt denna lag, men tar då sikte på förutsättningarna för registrering enligt denna lag. Se avsnitt 9.3.1 för de allmänna motiven i denna del.

De paragrafer i lagen om Säkerhetspolisens behandling av per- sonuppgifter som undantas vid behandling som sker enligt denna lag är sådana att de inte är praktiskt möjliga att tillämpa eller att de förfelar syftet med denna lagstiftning. Det gäller till exempel undan- taget från 7 kap. 2 § 1 lagen om Säkerhetspolisens behandling av personuppgifter. Någon möjlighet att ge tillsynsmyndigheter tillgång till uppgifterna i en särskild uppgiftssamling finns inte. Sådan tillgång förutsätter tillstånd från domstol, se 5 kap. 2 §.

Flera av de angivna paragraferna utgör undantag från bestäm- melser i dataskyddskonventionen 108+. Dessa undantag är nöd- vändiga för att skydda nationell säkerhet och de är proportionella i ett demokratiskt samhälle.

Vissa bestämmelser i lagen om Säkerhetspolisens behandling av personuppgifter som ska tillämpas vid behandling av personuppgif- ter i särskilda uppgiftssamlingar måste tolkas utifrån förutsättningarna i denna lag. Detta gäller 4 kap. 5 § lagen om Säkerhetspolisens be- handling av personuppgifter som innebär en skyldighet för Säkerhets- polisen att se till att det i automatiserade behandlingssystem som regel inte är möjligt att behandla andra personuppgifter än de som behövs för varje särskilt angivet ändamål med behandlingen (data- skydd som standard). Registrering enligt denna lag får ske för befogade ändamål, vilket får anses omfattas av kravet i bestämmelsen.

806

SOU 2025:49

Författningskommentar

Definitioner

2 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck	Betydelse
Särskild uppgiftssamling	En samling med uppgifter som inte
	får tas fram utan tillstånd och där
	tillgången till uppgifterna är begrän-
	sad genom tekniska eller organisa-
	toriska åtgärder.
Registrering	Införande av uppgifter i en särskild
	uppgiftssamling.
Framtagning	Tillgängliggörande av personuppgif-
	ter som innebär att innehållet i eller
	innebörden av dem avslöjas.

Paragrafen innehåller definitioner av vissa begrepp som används

i denna lag. Definitionerna ersätter hur motsvarande begrepp används i andra sammanhang och är inte avsedda att ha påverkan utanför denna lags tillämpningsområde. Allmänna överväganden görs i avsnitt 9.3.2.

Särskild uppgiftssamling:

Särskild uppgiftssamling är ett juridiskt begrepp. De allmänna moti- ven i denna del finns i avsnitt 9.4. Det finns inga krav på att uppgif- terna ska vara samlade i en viss databas eller på annat sätt tekniskt eller logiskt kopplade till varandra. Det som avgör om en uppgift ingår i en särskild uppgiftssamling är att personuppgiften inte får tas fram utan tillstånd.

En sådan åtkomstbegränsning ska ske genom tekniska och orga- nisatoriska åtgärder. Av 5 kap. 7 § lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter följer Säkerhetspolisens skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas mot bland annat obehörig eller otillåten behandling. Se även 18 kap. 2 a § och 35 kap. 1 a § offentlighets- och sekretesslagen (2009:400).

807

Författningskommentar

SOU 2025:49

Registrering:

En registrering är en behandlingsåtgärd som innebär att åtkomsten till personuppgifterna begränsas på så sätt att de omfattas av kraven som ställs på uppgifter i en särskild uppgiftssamling, begreppet av- handlas i avsnitt 9.3. Det kan ske på olika sätt exempelvis genom att uppgifter överförs till särskilda system eller genom att möjlig- heterna att ta fram personuppgifter på annat sätt begränsas.

Framtagning:

En framtagning innebär att personuppgifter tillgängliggörs. Ett tillgängliggörande avser en interaktion med en människa som inne- bär att personuppgifter exempelvis visas, används eller tolkas av en medarbetare vid myndigheten. Allmänmotiveringen avseende denna behandlingsåtgärd finns i avsnitt 9.5.

Det är inte en framtagning att flytta eller kopiera en uppgift

mellan teknisk hårdvara, plattformar eller system så länge inte upp- gifterna eller deras innebörd därigenom avslöjas för en människa. Innehållet eller innebörden av en personuppgift som är registrerad i en särskild uppgiftssamling kan avslöjas på olika sätt. En framtag- ning kräver inte att personuppgiften i sig visas för en människa. En sökning som resulterar i resultatet träff eller inte träff avslöjar exem- pelvis innehållet eller innebörden av en eller flera uppgifter i en särskild uppgiftssamling. Detsamma gäller olika automatiserade processer som använder personuppgifter för att göra förutsägelser, sammanfattningar eller andra analyser som därefter tillgängliggörs. Även om ingen personuppgift direkt tillgängliggörs i analysen kan resultatet indirekt avslöja innehållet eller innebörden av de analy- serade uppgifterna.

Uppgifter om exempelvis registreringsdatum, storlek, filtyp, lagringsplats, ursprung, åtkomstloggning och viss annan metadata utgör inte personuppgifter och kan därför tas fram och granskas utan tillstånd.

Radering, sammanställning, organisering, indexering, struktu- rering eller automatiserad översättning är exempel på behandlingar som inte utgör framtagningar så länge personuppgifter inte där- igenom tillgängliggörs. Detsamma gäller exempelvis sådan teknisk

808

SOU 2025:49

Författningskommentar

behandling som innebär att biometriska uppgifter skapas från bio- metriskt underlag.

2 kap. Registrering

Registreringsbeslut

Säkerhetspolisen ska utse de personer som får fatta beslut enligt första stycket. Sådana personer ska ha de särskilda kunskaper och den erfarenhet som uppgiften kräver.

Paragrafen anger att registrering sker genom beslut och reglerar vidare behandlingströskeln för registrering, de ändamål för vilka registrering får ske samt vilka som får fatta registreringsbeslut. Allmänna överväganden görs i avsnitt 9.3.2 och 9.3.6. Uttrycket registrering definieras i 1 kap. 2 §.

Av första stycket följer att registrering ska ske genom ett beslut. Vad ett sådant beslut ska innehålla framgår av 2 §. Vidare anges att personuppgifter får registreras om det är befogat för ett ändamål inom någon av de verksamheter som anges i 2 kap. 4, 6 eller 7 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgif- ter. Det är samma krav som gäller för inledande behandling enligt

2 kap. 8 § lagen om Säkerhetspolisens behandling av personuppgifter, se kommentaren till den bestämmelsen. Att kraven för inledande behandling och registrering är detsamma innebär att de uppgifter som varit befogade att samla in också kan få registreras. En förut- sättning är givetvis att behandlingarna, både den inledande behand- lingen och registreringen, uppfyller kravet på proportionalitet enligt 2 kap. 1 § lagen om Säkerhetspolisens behandling av personuppgifter. Prövningen av behov och proportionalitet görs mot den informa- tionsmängd som ska registreras och inte mot var och en av de där ingående uppgifterna.

Ett beslut innebär att personuppgifter ska registreras. Det inne- bär att personuppgifter som anges i beslutet ska omfattas av förbud mot framtagning. Det innebär även att ett beslut kan omfatta per- sonuppgifter som ännu inte har samlats in. Det kan exempelvis röra

809

Författningskommentar

SOU 2025:49

sig om ett beslut om att en hel databas ska registreras i en särskild uppgiftssamling och hållas uppdaterad genom att regelbundet häm- tas in.

Ett ändamål för registrering får inte följa av Säkerhetspolisens övergripande uppdrag att utreda och lagföra vissa brott enligt 2 kap. 5 § lagen om Säkerhetspolisens behandling av personuppgifter. Det beror på att framtagna uppgifter inte får användas i en för- undersökning, se 1 § andra stycket lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott.

Av andra stycket följer att registreringsbeslut endast får fattas av medarbetare vid Säkerhetspolisen som delegerats uppgiften. Vidare framgår att sådan delegation kräver att personen besitter de särskilda kunskaper och den erfarenhet som krävs för uppgiften. Kravet inne- bär att beslutsfattare måste ha de insikter och erfarenheter som krävs för att göra intrångsbedömningen och proportionalitetspröv- ningen. Ett registreringsbeslut kan innebära ett potentiellt intrång och en potentiell kränkning av de registrerades fri- och rättigheter. Det är därför viktigt att beslut fattas av kvalificerade medarbetare och att det finns en möjlighet till individuellt ansvarsutkrävande vid felaktig tillämpning. Det måste framgå eller vara möjligt att ta fram vem som varit beslutsfattare i varje enskilt fall.

Dokumentation

2 § Ett beslut enligt 1 § ska dokumenteras. Av ett registreringsbeslut ska framgå

1.vad de registrerade uppgifterna i huvudsak avser och från vilken källa eller vilka källor de härrör,

2.vilket intrång i enskilda och allmänna intressen som behandling av uppgifterna kan antas medföra,

3.för vilket eller vilka ändamål uppgifterna registreras,

4.hur länge uppgifterna som längst får behandlas (behandlingstid),

och

5.de skäl och omständigheter i övrigt som föranlett registreringen. Varje uppgift i en särskild uppgiftssamling ska kunna spåras till ett

beslut enligt första stycket.

Paragrafen anger den formalia som ska uppfyllas vid ett registrerings- beslut. Allmänna överväganden finns i avsnitt 9.3.5.

Av första stycket följer dokumentationskravet för registrerings- beslut. Att dessa uppgifter ska anges hindrar inte att Säkerhetspoli-

810

SOU 2025:49

Författningskommentar

sen kan utforma registreringsbeslut på det sätt som myndigheten finner lämpligt. Bestämmelsen innehåller däremot minikraven för ett sådant beslut och syftar bland annat till att möjliggöra en effek- tiv tillsyn.

Enligt punkten 1 ska det anges vad uppgifterna i huvudsak avser och från vilken källa eller vilka källor de härrör. Det kan röra sig om en beskrivning av vilka uppgifter eller vilken typ av uppgifter som kan förväntas återfinnas i den registrerade uppgiftsmängden och varifrån uppgifterna inhämtats. Exempelvis kan det anges att beslutet omfattar uppgifter från it-beslag från samverkande tjänst eller att det rör sig om information som inhämtats från vissa, när- mare angivna, öppna källor. Beskrivningen måste vara tillräckligt detaljerad och hålla sådan kvalitet att den kan tjäna som underlag vid en proportionalitetsbedömning av registreringen. Det hindrar emellertid inte att det inom myndigheten skapas mallar eller annan standardisering, så länge beskrivningen uppfyller sitt syfte.

Det bör utifrån beskrivningen vara möjligt för en lekman såväl som för en expert att sluta sig till vilken källa som uppgifterna här- rör ifrån. Det kan innebära att det i vissa fall krävs både en mer avancerad teknisk beskrivning och en beskrivande löptext. I andra fall kan beskrivningen hållas kort eftersom det är uppenbart vilken typ av uppgifter eller källa det rör sig om. Det krävs inte att in- ledande behandling av personuppgifterna som ska registreras redan skett då beslut fattas. Det innebär att ett beslut om registrering kan omfatta exempelvis en viss databas som uppdateras dagligen. Det måste då framgå av beskrivningen.

Punkten 2 innebär att Säkerhetspolisen ska bedöma och beskriva hur stort intrång registreringen innebär för enskilda eller allmänna intressen. Bedömningen är inte densamma som en proportionalitets- prövning, utan ska beskriva vilka grundläggande fri- och rättigheter som påverkas och i vilken grad. I denna bedömning ska ingen hän- syn tas till behovet av registreringen. Det finns inte något krav på att bedömningen i detalj ska redogöra för de registrerade uppgif- terna. Det är tillräckligt att det på ett mer schabloniserat sätt anges hur integritetskänsliga uppgifterna är. En sådan intrångsbedömning ska avse både enskilda och allmänna intressen. Det mest framträ- dande enskilda intresset som påverkas av en registrering är den personliga integriteten. Med allmänna intressen avses i huvudsak intrång i de positiva opinionsfriheterna, som yttrandefriheten.

811

Författningskommentar

SOU 2025:49

Bedömningen måste följa ett logiskt system som innebär att olika slags information kan relateras till varandra. Det kan exempelvis innebära att en skala eller en enhetlig begreppsapparat tillämpas. Både uppgiftsinnehållet och inhämtningsmetoden påverkar intrångsbedömningen. Den faktiska eller antagna förekomsten av

känsliga personuppgifter eller uppgifter som rör enskildas rent privata sfär innebär ett högre integritetsintrång än mer allmänt hållna uppgifter. Insamling av opinionsyttringar som offentlig- gjorts av den registrerade själv utgör typiskt sett inte ett lika stort integritetsintrång som exempelvis behandling av förtrolig kommu- nikation. Däremot kan en sådan insamling av öppet tillgänglig information i stället innebära ett intrång i yttrandefriheten eller andra opinionsfriheter.

Säkerhetspolisen väljer själv på vilket sätt intrånget ska graderas. Intrångsbedömningen syftar till att tjäna som underlag för att av- göra om en registrering, framtagning eller annan personuppgifts- behandling är proportionerlig, se kommentaren till 2 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Punkten 3 innebär att ändamålet för registreringen ska anges. Kraven på precision av ändamålet är detsamma som i 2 kap. 8 § lagen om Säkerhetspolisens behandling av personuppgifter, se kommentaren till den paragrafen.

Av punkten 4 framgår att behandlingstiden ska anges i ett regi- streringsbeslut. Närmare regler om behandlingstid framgår av 3 §.

Enligt punkten 5 ska de skäl och omständigheter i övrigt som föranlett registreringen anges. Med det avses en beskrivning av de behov som föranlett registreringen och den proportionalitetspröv- ning som gjorts. Det kan exempelvis handla om att beskriva de indikatorer som talar för att det i en viss uppgiftsmängd kan vara befogat att söka efter uppgifter som har att göra med terrorrekry- tering. Även avvägningen mot intrånget i de registrerades fri- och rättigheter bör beskrivas, om det inte är uppenbart. I vissa fall kan en enkel beskrivning av behovet vara tillräcklig, exempelvis om det rör sig om referensdatabaser som innehåller personuppgifter av mer harmlös karaktär eller om uppgifterna har en tydlig koppling till den säkerhetshotande och brottsliga verksamhet som Säkerhetspolisen har att bekämpa. Eftersom behandlingstiden utgör en viktig kom- ponent i proportionalitetsprövningen, kan det i vissa fall finnas

812

SOU 2025:49

Författningskommentar

anledning att ange motiven för hur den bestämts, se kommentaren till 3 §.

I andra stycket anges att varje personuppgift som registrerats i en särskild uppgiftssamling måste gå att spåra till ett registrerings- beslut. Syftet är att det alltid ska vara möjligt att kontrollera med stöd av vilket beslut en personuppgift registrerats. Det skapar förut- sättningar för en effektiv tillsyn. Bestämmelsen kompletterar de tekniska och organisatoriska åtgärder som Säkerhetspolisen är skyl- dig att vidta enligt 5 kap. 2–5 §§ lagen om Säkerhetspolisens be- handling av personuppgifter.

Behandlingstid

3 § Behandlingstiden i ett registreringsbeslut får inte bestämmas till längre än tio år.

Om behandlingstiden bestäms så att personuppgifter sammanlagt be- handlas längre än fem år, ska skälen till det anges särskilt. Den särskilda tillsynsmyndigheten ska underrättas om sådana beslut.

Paragrafen innehåller bestämmelser om behandlingstid för registre- rade uppgifter. De allmänna övervägandena görs i avsnitt 9.3.5 och 9.11.

Av 2 § 4 följer att med behandlingstid avses den längsta tid som registrerade uppgifter får behandlas. Tiden ska därmed räknas från registrering.

Av första stycket följer att den längsta behandlingstid som får

bestämmas genom ett registreringsbeslut är tio år. Behandlingstiden utgör en viktig komponent i den proportionalitetsprövning som ska göras vid registrering, se kommentaren till 4 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter. Det innebär att den maximala behandlingstiden som får bestämmas inte ska betraktas som den normala eller generella behandlingstiden.

Av andra stycket följer att den särskilda tillsynsmyndigheten ska underrättas om behandlingstider som sammanlagt överskrider fem år. Underrättelseskyldigheten infaller så snart ett beslut innebär att den samlade behandlingstiden överskrider fem år. Det innebär att vid en förlängning av behandlingstiden enligt 4 § ska den nya tiden slås samman med den tid som uppgifterna behandlats dessförinnan.

813

Författningskommentar

SOU 2025:49

Tiden ska räknas från när Säkerhetspolisen inledde behandlingen av uppgifterna.

Förlängd behandlingstid

4 § Säkerhetspolisen får besluta att förlänga behandlingstiden, om fort- satt behandling av uppgifterna är befogad för något ändamål som anges i 1 § första stycket.

Vid ett beslut om förlängning av behandlingstiden ska 2 och 3 §§ tillämpas.

Den sammanlagda behandlingstiden får överstiga tjugofem år endast om det finns synnerliga skäl.

Paragrafen ger möjlighet till förlängd behandlingstid. Allmänna över- väganden finns i avsnitt 9.11.3.

Av första stycket följer att den behandlingstid som, enligt 2 § 4, ska anges i ett registreringsbeslut får förlängas om det vid utgången av den tiden alltjämt kan anses befogat att behandla uppgifterna för något berättigat ändamål. Om uppgifterna har resulterat i relevanta framtagningar, kan det tala för ett fortsatt behov av att behandla uppgifterna. Omvärldsläget och den aktuella hotbilden kan också göra att det är befogat med en förlängd behandlingstid.

Enligt andra stycket ska en sådan förlängning ske genom att ett nytt registreringsbeslut fattas. Det innebär att inte endast skälen för fortsatt behandling ska anges utan även övriga uppgifter som följer av 2 §. Om framtagningar eller annan behandling skett, kan bland annat beskrivningen av de registrerade uppgifternas karaktär och intrångsbedömningen behöva revideras utifrån ny kunskap.

Hänvisningen till 3 § medför att ett enskilt förlängningsbeslut som längst får avse högst tio ytterligare år. Vidare följer av den hänvis- ningen att den särskilda tillsynsmyndigheten ska underrättas om beslutet innebär att den sammanlagda behandlingstiden blir längre än fem år.

Av tredje stycket följer att det krävs synnerliga skäl för att för- länga behandlingstiden till mer än sammanlagt 25 år. Synnerliga skäl kan vara att uppgifterna är centrala för Säkerhetspolisens för- måga i något avseende eller att de av annan anledning har ett mycket stort värde. Vad som utgör synnerliga skäl ska motiveras utförligt vid ett beslut som innebär att 25-årsgränsen överskrids. Utöver att det ska finnas synnerliga skäl, ska fortsatt behandling av uppgif-

814

SOU 2025:49

Författningskommentar

terna även vara proportionerligt enligt 2 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

3 kap. Framtagning och annan behandling

Framtagning

1 § Uppgifter som är registrerade i en särskild uppgiftssamling får tas fram endast efter tillstånd.

Av paragrafen följer den grundläggande premissen att registrerade uppgifter inte får tas fram om det inte finns ett tillstånd till det. Allmänna överväganden finns i avsnitt 9.5.3.

Vad som avses med att en uppgift tas fram följer av definitionen av framtagning i 1 kap. 2 §. Av 4 kap. 1 § följer att tillstånd lämnas av Försvarsunderrättelsedomstolen. I 3 § finns regler för när en sär- skilt utsedd befattningshavare vid Säkerhetspolisen får lämna till- stånd till framtagning i brådskande fall.

Bestämmelsen innebär att varken medarbetare vid Säkerhetspoli- sen eller någon annan är behöriga att läsa eller på annat sätt ta del av registrerade personuppgifter utan tillstånd. Säkerhetspolisens skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa detta följer av 5 kap. 2–7 §§ lagen (2026:000) om Säker- hetspolisens behandling av personuppgifter.

2 § Säkerhetspolisen får ansöka om tillstånd till framtagning, om det be- hövs för ett särskilt ändamål inom någon av de verksamheter som anges i 2 kap. 4, 6 och 7 §§ lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Paragrafen ger förutsättningar för Säkerhetspolisen att ansöka om tillstånd till framtagning. Denna fråga avhandlas i avsnitt 9.8. Vad som avses med att en uppgift tas fram följer av definitionen av fram- tagning i 1 kap. 2 §. Av 4 kap. 1 § följer att tillstånd lämnas av För- svarsunderrättelsedomstolen.

Säkerhetspolisen får ansöka om framtagning för ett ändamål inom någon av de verksamheter som anges i 2 kap. 4, 6 och 7 §§ lagen (2026:000) om Säkerhetspolisens behandling av personupp- gifter. Det innebär att framtagningen får ske för ändamål inom underrättelseverksamheten, utvecklingsverksamheten eller annan

815

Författningskommentar

SOU 2025:49

rättslig grund men inte för att utreda brott. Att framtagna uppgif- ter inte får användas för att utreda brott följer av 1 § andra stycket lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Av 4 kap. 2 § framgår vad ansökan ska innehålla.

Av 5 kap. 2 § följer att även tillsynsmyndigheterna kan ansöka om framtagning under vissa förhållanden.

Ett tillstånd enligt första stycket ska vara förenligt med 5 § och beslu- tet ska utformas enligt 4 kap. 6 §. Den särskilda tillsynsmyndigheten ska omedelbart underrättas om beslutet. Beslutet ska senast dagen efter att det fattats anmälas till domstolen.

Om ett beslut inte anmälts i rätt tid, får det inte ligga till grund för framtagning och personuppgifter som tagits fram med stöd av beslutet får inte längre behandlas.

Paragrafen ger en möjlighet för vissa befattningshavare vid Säker- hetspolisen att i brådskande och särskilt angelägna fall lämna tillstånd till framtagning. De allmänna övervägandena finns i avsnitt 9.9.

Av första stycket följer förutsättningarna för att interimistiskt lämna tillstånd till framtagning. Den första förutsättningen är att inhämtande av domstolens tillstånd skulle medföra en fördröjning eller annan olägenhet av väsentlig betydelse. I detta ligger att ända- målet med åtgärden riskerar att gå förlorat om domstolens tillstånd skulle avvaktas. Den andra förutsättningen är att framtagningen syftar till att Säkerhetspolisen ska kunna avvärja en omedelbart förestående fara för människors liv eller hälsa eller omfattande förstörelse av egendom. Med omedelbart förestående fara avses situationer där det föreligger en konkret fara i närtid. Faran ska avse förverkligande av brott mot liv och hälsa eller omfattande förstörelse av egendom, exempelvis genom terroristbrott. Reger- ingen utser den eller de befattningshavare vid Säkerhetspolisen som är behöriga att fatta beslut om tillstånd till framtagning.

I andra stycket anges, i första meningen, de regler som ska tillämpas för ett beslut enligt första stycket. Ett sådant beslut ska utformas på samma sätt som ett tillstånd från domstolen, se kommentaren

816

SOU 2025:49

Författningskommentar

till 4 kap. 5 §. För att lämna tillstånd måste dels förutsättningarna i första stycket vara uppfyllda, dels de som anges i 5 §. Möjligheten att fatta interimistiska beslut enligt paragrafen är avsedda för utpräg- lade undantagsfall.

Enligt andra meningen ska Säkerhets- och integritetsskydds- nämnden underrättas om att ett beslut fattats. Det kan ske antingen genom att beslutet skickas till nämnden eller genom att nämnden underrättas på annat sätt. Underrättelse ska lämnas omedelbart efter att beslutet fattats. Underrättelsen ska underlätta nämndens inställelse och yttrande till domstolen och en eventuell efterföl- jande granskning av hur beslutet har tillämpats. Vidare framgår att Säkerhetspolisen senast dagen efter att beslutet fattats ska anmäla det till domstolen. I lagen (1930:173) om beräkning av lagstadgad tid finns bestämmelser om vad som avses med nästföljande dag.

I 4 kap. 3 § finns bestämmelser om domstolens prövning av en sådan anmälan.

Av tredje stycket följer att ett beslut som inte anmälts i rätt tid, inte får ligga till grund för framtagning och att personuppgifter som tagits fram med stöd av beslutet inte får behandlas. Att per- sonuppgifter som tagits fram genom ett ogiltigt beslut ska raderas eller begränsas följer av 5 kap. 1 § lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter. Av 5 kap. 1 § följer att Säkerhets- och integritetsskyddsnämnden kan besluta om omedel- bar radering av uppgifter som tagits fram utan tillstånd.

Övrig behandling

4 § Annan personuppgiftsbehandling än registrering och framtagning får ske

1.för att tekniskt möjliggöra, effektivisera eller förenkla en framtagning,

2.om det behövs för att personuppgifter ska behandlas författnings- enligt och på ett korrekt sätt, eller

3.om det behövs för ett särskilt, uttryckligt angivet och berättigat ändamål.

Paragrafen anger under vilka förhållanden annan behandling än registrering och framtagning får ske av personuppgifter som om- fattas av lagens tillämpningsområde. Allmänna överväganden görs i avsnitt 9.5.2.

817

Författningskommentar

SOU 2025:49

Enligt punkten 1 får behandling alltid göras för att tekniskt möj- liggöra, effektivisera eller förenkla framtagning. Punkten 1 avser att träffa bland annat olika databastekniska åtgärder som krävs för att kunna söka och ta fram personuppgifter. De behandlingar som avses i punkten får ske för ändamålet att generellt förenkla framtagning. En sådan åtgärd behöver därför inte ha någon omedelbar koppling till ett specifikt tillstånd till framtagning. Exempel på de avsedda typerna av behandlingar är indexering av uppgifter i en databas eller konvertering av filer till annat format för att förenkla sökbarhet eller göra uppgifterna kompatibla med viss programvara. Andra behandlingsåtgärder skulle kunna vara att översätta text från främ- mande språk eller att transkribera ljud till text med hjälp av auto- matiserad behandling. En annan åtgärd kan vara att skapa biomet- riska uppgifter av bilder för att möjliggöra och förenkla biometriska sökningar. Sammanställning, organisering eller strukturering av registrerade personuppgifter är andra exempel.

Punkten 2 innebär att behandlingsåtgärder även får ske för att upprätthålla kraven på författningsenlig och korrekt behandling. Det innebär exempelvis att personuppgifter får raderas om de inte längre behövs eller att åtgärder får vidtas för att minska intrånget, som pseudonymisering eller anonymisering.

Av punkten 3 framgår under vilka omständigheter andra behand- lingsåtgärder än de som omfattas av föregående punkter får vidtas. Det kan exempelvis vara olika slags automatiserade analyser som inte sker för att förenkla en framtagning. Exempel på sådana behand- lingar kan vara olika slags profilering på individ- eller gruppnivå. Även andra mer aggregerade automatiserade analyser av bland annat aggressivitet, hotnivå eller påverkansförsök i vissa uppgiftsmängder kan ske med stöd av denna punkt. Att uppgifter används för maskin- inlärning eller annan teknisk utveckling är en annan sådan behand- ling. Under förutsättning att behandlingen inte utgör en framtag- ning får behandlingar ske om det behövs för ett särskilt, uttryckligt angivet och berättigat ändamål. Kraven är desamma som för behand- ling enligt 2 kap. 11 § lagen (2026:000) om Säkerhetspolisens be- handling av personuppgifter. För innebörden av begreppet behövs och vad som avses med ett särskilt, uttryckligt angivet och berät- tigat ändamål, se kommentaren till nyssnämnda paragraf.

De grundläggande kraven för behandling som följer av 2 kap. 1–3 §§ lagen om Säkerhetspolisens behandling av personuppgifter

818

SOU 2025:49

Författningskommentar

gäller även behandling enligt denna bestämmelse. Av det följer bland annat ett krav på proportionalitet.

Förutsättningar för tillstånd till framtagning

5 § Tillstånd till framtagning får lämnas endast om

1.behandlingen står i överensstämmelse med lag och Sveriges inter- nationella åtaganden,

2.behandlingen behövs för ändamålet, och

3.det står klart att skälet för att utföra behandlingen överväger in- trånget i de enskilda eller allmänna intressen som kan påverkas av den.

En framtagning enligt första stycket får inte förväntas leda till att fler personuppgifter än vad som behövs för ändamålet behandlas.

Ett tillstånd till framtagning ska gälla för viss tid.

Paragrafen reglerar de grundläggande förutsättningarna för tillstånd. Allmänna överväganden finns i avsnitt 9.7.

Av punkten 1 följer att tillstånd endast får lämnas om åtgärden är förenlig med svensk lag och för Sverige bindande internationella åtaganden. Europakonventionen är ett för Sverige bindande inter- nationellt åtagande som kan påverka förutsättningarna för att med- dela tillstånd enligt denna lag.

Av punkten 2 följer att framtagningen ska behövas för det ända- mål som angetts i ansökan. Det innebär att det måste göras en pro- gnos om att framtagningen kan antas leda fram till det resultat som eftersträvas. I prövningen ingår även en bedömning av om det efter- strävade resultatet lika gärna kan uppnås på något mindre ingripande sätt än vad som angetts i ansökan. En sökning i en särskild upp- giftssamling måste dock inte resultera i att personuppgifter tas fram för att anses vara nödvändig. Det kan finnas ett starkt behov att bekräfta att en uppgift inte förekommer likväl som att den före- kommer och kan tas fram.

Enligt punkten 3 ska det stå klart att skälet för att utföra behand- lingen överväger intrånget i de enskilda eller allmänna intressen som kan påverkas av den. Vid proportionalitetsbedömningen ska alla relevanta faktorer vägas samman och inte endast de som lyfts i ansökan. Se i övrigt kommentaren till 2 kap. 1 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Av andra stycket följer att ett tillstånd inte får förväntas medge framtagning av fler uppgifter än vad som behövs för ändamålet. Det

819

Författningskommentar

SOU 2025:49

innebär att framtagningen ska ske av uppgifter som är adekvata, rele- vanta och inte för omfattande för ändamålet. Det ligger i sakens natur att det inte går att på förhand föreskriva i detalj vilka uppgifter som får tas fram med stöd av ett tillstånd, eftersom resultatet i detta skede är okänt. Se även kommentaren till 4 kap. 6 § 4.

Av tredje stycket följer att alla tillstånd måste vara begränsade i tid. Det finns inte någon begränsning i lag av hur lång tid ett till- stånd får gälla. Av behovsprincipen följer dock att en åtgärd inte får pågå längre än nödvändigt. En alltför lång giltighetstid innebär också att domstolen inte har möjlighet att kontinuerligt följa upp om till- ståndet uppfyller sitt syfte.

4 kap. Handläggningen i domstol

Ansökan om framtagning

1 § Ansökan om tillstånd till framtagning görs hos Försvarsunderrät- telsedomstolen.

Paragrafen anvisar forum för tillståndsfrågor. De allmänna över- vägandena återfinns i avsnitt 9.6.

Försvarsunderrättelsedomstolen är exklusivt forum för prövning av ansökningar enligt denna lag. I lagen (2009:966) om Försvars- underrättelsedomstol framgår de närmare bestämmelserna om domstolen.

2 § I ansökan ska sökanden ange

1.vilka kategorier av uppgifter framtagningen ska avse och från vilka typer av källor framtagning ska ske,

2.det särskilda ändamålet med och behovet av framtagningen,

3.vilka sökbegrepp, kategorier av sökbegrepp eller andra urvalskriterier som är avsedda att användas vid framtagningen och, om det finns skäl, med vilken teknik urvalet ska ske,

4.under vilken tid tillståndet ska gälla, och

5.de skäl och omständigheter i övrigt som sökanden vill åberopa till stöd för sin ansökan.

Om sökbegrepp ska innehålla känsliga personuppgifter, eller om ur- valet av annan anledning förväntas ske utifrån sådana uppgifter, ska det anges särskilt.

I paragrafen återfinns kraven på en ansökan om tillstånd enligt lagen. De allmänna övervägandena finns i avsnitt 9.8.2.

820

SOU 2025:49

Författningskommentar

I första stycket anges de formella kraven för att en ansökan ska vara komplett. Syftet är att ge domstolen tillräckligt underlag för sin bedömning och ge den särskilda tillsynsmyndigheten underlag till sitt yttrande. Om domstolen inte anser att en ansökan uppfyller kraven i denna paragraf, får domstolen, enligt 5 § förvaltningsprocess- lagen (1971:291) förelägga sökanden att komplettera sin ansökan. En komplettering kan ske skriftligen eller vid sammanträde.

Av punkten 1 framgår att sökanden ska ange de kategorier av uppgifter och de källor som ansökan avser. Bestämmelsen innebär att sökanden kan begränsa framtagningen till att endast avse en eller flera kategorier av uppgifter eller uppgifter som härrör från vissa källor. En ansökan kan också omfatta alla källor. Mängden personuppgifter som behandlas vid en framtagning har betydelse vid den proportionalitetsavvägning som domstolen ska göra.

En kategori av uppgifter kan exempelvis bestå av uppgifter som är registrerade med stöd av vissa registreringsbeslut, men så behöver inte vara fallet. En kategori kan även avse personuppgifter av ett visst slag, exempelvis text, namn, adresser eller biometri. Av 2 kap. 2 § 1 framgår att det av ett registreringsbeslut ska framgå vad de registrerade uppgifterna i huvudsak avser. Denna beskrivning kan tjäna som underlag för att begränsa behandlingen till en eller flera kategorier av uppgifter. Framtagningen kan även begränsas på andra sätt, som att den endast avser uppgifter från eller till ett visst datum. Det finns inte något krav på att begränsa framtagning. Det är där- för möjligt att ange att framtagning ska ske från alla kategorier av uppgifter och alla källor. Det är även möjligt att endast undanta vissa kategorier, exempelvis på grundval av Säkerhetspolisens be- dömning av hur känsliga uppgifterna kan antas vara ur integritets- hänseende, se 2 kap. 2 § 2 och kommentaren till den bestämmelsen.

Avgränsningen av kategorier måste även vara sådan att domstolen kan förutse vad som kommer att tas fram vid en sökträff. En fram- tagning ur en databas kan ofta ske genom framtagning av en data- punkt eller en datarad. Framtagning från ostrukturerade data kan kräva att ett helt dokument eller en begränsad del visas. Om det rör sig om bild- eller videomaterial, kan varje enskild fil tas fram eller endast ett utsnitt. Vad som kan tas fram påverkas av vilka källor som ansökan omfattar.

Att källor eller typ av källor ska anges innebär att det är möjligt att inskränka en framtagning till relevanta källor. Om framtagningen

821

Författningskommentar

SOU 2025:49

avser att identifiera viss kommunikation, kan framtagningen exem- pelvis avse endast kommunikationsuppgifter. Ett annat exempel är att ansökan endast avser framtagningar från en viss referensdatabas. Av 3 kap. 5 § andra stycket framgår att domstolen ska sträva

efter att minimera mängden personuppgifter som tas fram till det som behövs för ändamålet. Uppgiftsminimering sker genom be- gränsningarna som följer av denna punkt tillsammans med de urvals- kriterier som ska anges i punkten 3.

Enligt punkten 2 ska det särskilda ändamålet och behovet av framtagningen motiveras. Kravet på särskilt ändamål är detsamma som ställs enligt 2 kap. 11 § lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter. Det uppställs därmed samma krav på konkretion som för fortsatt behandling enligt den lagen. I an- sökan uttrycks ändamålet och domstolen prövar om det är berät- tigat. Behovet måste motiveras bland annat för att domstolen ska kunna göra den proportionalitetsavvägning som krävs enligt 3 kap. 5 §. Det innebär bland annat att det operativa syftet och den före- teelse som ansökan avser att träffa måste anges i ansökan. Det kan exempelvis handla om att ändamålet med framtagningen är att kart- lägga en viss terroristmiljö genom att hitta kopplingar mellan indi- vider vilket motiveras av en hotbedömning som gjorts avseende den aktuella miljön. Ett annat exempel är att ändamålet är att ta fram uppgifter ur en inhämtad databas avseende ip-adresser, efter- som det behövs för att identifiera och spåra cyberangrepp utan att exponera sökningen utåt. Ändamålet kan även avse Säkerhetspoli- sens utvecklingsverksamhet. Exempelvis kan en programvara behöva tränas på ett stort bildmaterial för att identifiera skjutvapen och framtagning vara nödvändig för att utvärdera resultatet. Det kan även vara nödvändigt med tillstånd till framtagning för att kunna upprätthålla krav på registervård i särskilda uppgiftssamlingar.

Av punkten 3 följer att de sökbegrepp, kategorier av sökbegrepp eller liknande urvalskriterier som är avsedda att användas i en fram- tagning ska anges. Om det finns behov av det, ska även den teknik som ska användas vid framtagningen framgå.

Sökbegrepp eller andra urvalskriterier är det som resulterar i att uppgifter tas fram. Det är därför naturligt att särskild vikt läggs vid utformningen av dessa, så att inte fler uppgifter tas fram än vad som behövs för ändamålet. Det är tillräckligt att kategorier av sök- begrepp anges, till exempel att sökning kommer att ske på vissa

822

SOU 2025:49

Författningskommentar

typer av selektorer. En kategori kan innehålla ett stort antal olika sökord eller parametrar som avser att göra ett visst förutsägbart urval. Andra urvalskriterier än sökbegrepp kan bygga på maskin- inlärningsteknik eller algoritmiska sökningar. I dessa fall bör be- skrivningen omfatta både teknikens förutsättningar och begräns- ningar samt hur den är tänkt att användas vid ett urval. En ny och för domstolen tidigare oprövad teknik kan behöva förklaras i sam- band med ansökan. Ett specifikt ändamål och snäva urvalskriterier kan ofta ersätta behovet av andra särskilda villkor för att begränsa intrånget, se 6 § 4 och kommentaren till den bestämmelsen.

Av punkten 4 följer att Säkerhetspolisen ska ange en tid som ett tillstånd ska gälla. Alla tillstånd måste, enligt 3 kap. 5 § tredje stycket, vara tidsbegränsade. Tidsperiodens längd ska återspegla Säkerhets- polisens faktiska behov av åtgärden.

Av punkten 5 följer att ansökan ska motiveras. Det innebär att Säkerhetspolisen ska förklara vad den vill göra och varför. Vissa ansökningar kräver inte någon mer utförlig motivering då det redan av beskrivningen av ändamål och behov, i punkten 2, framgår varför ansökningen görs. I andra fall kan det krävas att domstolen får en bakgrund till ansökan, för att kunna bilda sig en uppfattning om förändrade behov, exempelvis vid förhöjt terrorhot eller säkerhets- politiska förändringar i omvärlden. De omständigheter som gör att Säkerhetspolisen anser att framtagningen är proportionerlig och i överensstämmelse med lag och Sveriges internationella åtaganden bör anges om det avser ett nytt tillstånd. Många gånger kan det krävas att ett tillstånd till framtagning förenas med särskilda villkor för att proportionalitet ska uppnås. Säkerhetspolisen kan lämna förslag på vilka sådana villkor som behövs och hur de bör vara ut- formade. Skäl och omständigheter i övrigt kan normalt utvecklas vid ett sammanträde men bör anges så utförligt som möjligt redan i ansökan. Detta för att ge den särskilda tillsynsmyndigheten möj- lighet att förbereda och utforma sitt yttrande.

Enligt andra stycket ska det särskilt anges om sökbegrepp eller urvalet av annan anledning förväntas ske utifrån känsliga person- uppgifter. Känsliga personuppgifter måste i vissa fall ingå som urvals- kriterier, exempelvis när det gäller religiöst eller politiskt motiverad terrorism. Andra fall är biometriska jämförelser. Det måste dock anges särskilt om känsliga personuppgifter utgör urvalskriterier eller om urvalet av annan anledning kan förväntas ske utifrån sådana

823

Författningskommentar

SOU 2025:49

kriterier. Det senare fallet innebär att det måste framgå av ansökan om urval kan ske utifrån uppgifter som i och för sig är harmlösa men som är avslöjande för andra, känsliga personuppgifter. Finns det inte något behov av att använda sökbegrepp som inbegriper känsliga personuppgifter kan domstolen föreskriva ett villkor som förhindrar sådana sökningar.

3 § Ett beslut om framtagning enligt 3 kap. 3 § som anmälts till dom- stolen ska anses vara en ansökan om framtagning. En sådan anmälan ska prövas skyndsamt.

Domstolen får bestämma att ett beslut som avses i första stycket inte får ligga till grund för framtagning. Domstolen får också besluta att person- uppgifter som tagits fram med stöd av ett anmält beslut inte längre får behandlas.

Domstolen får fatta beslut enligt andra stycket innan ansökan slutligen har prövats.

Paragrafen innehåller bestämmelser om domstolens prövningen av interimistiska beslut som Säkerhetspolisen har anmält. Allmänna överväganden görs i avsnitt 9. 9.4.

När Säkerhetspolisen anmält ett beslut om framtagning ska be- slutet, enligt första stycket, behandlas på samma sätt som en ansökan om tillstånd med samma innehåll. En sådan ansökan ska prövas skyndsamt, enligt de regler som gäller i övrigt för handläggning av ansökningar. Prövningen ska utgå från omständigheterna som är kända då domstolen avgör frågan och inte förutsättningarna som de framstod vid tidpunkten för det intermistiska beslutet.

Därutöver finns möjlighet för domstolen att, enligt andra stycket, upphäva beslutet som anmälts och förbjuda behandling av de upp- gifter som tagits fram. Om domstolen förbjuder fortsatt behandling, ska de personuppgifter som tagits fram raderas eller begränsas (se 5 kap. 1 § andra stycket lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter). De åtgärder som anges i andra stycket får beslutas då tillståndsfrågan slutligen avgörs, eller enligt tredje stycket.

Enligt tredje stycket får domstolen fatta beslut enligt andra stycket innan ansökan slutligen har prövats. Möjligheten att bestämma att ett anmält beslut inte får ligga till grund för framtagning och ett för- bud mot att behandla framtagna uppgifter kan begränsas till att avse tiden till dess att frågan om tillstånd prövats. Av 9 § 2 följer att en ordförande ensam kan fatta beslut enligt detta stycke.

824

SOU 2025:49

Författningskommentar

Sammanträde

4 § När en ansökan om framtagning har inkommit ska domstolen, om det behövs, hålla sammanträde. Till sammanträdet ska Säkerhetspolisen och den särskilda tillsynsmyndigheten kallas.

Paragrafen innehåller bestämmelser om att muntligt förfarande är huvudregeln i ansökningsprocessen. De allmänna övervägandena finns i avsnitt 9.8.6.

Av första stycket framgår att en tillståndsfråga som huvudregel avgörs efter muntligt sammanträde dit Säkerhetspolisen och den särskilda tillsynsmyndigheten ska kallas. Under sammanträdet får sökanden möjlighet att utveckla skälen för ansökan, svara på dom- stolens frågor och bemöta det som framkommit i ett skriftligt yttrande eller vid sammanträdet. Frågan om när ett sammanträde behövs får lämnas till rättstillämpningen. Om Säkerhetspolisen eller den särskilda tillsynsmyndigheten påkallar sammanträde, bör ett sådant i regel hållas.

Den särskilda tillsynsmyndighetens närvaro vid sammanträde är normalt inte en förutsättning för att pröva tillståndsfrågan när det är Säkerhetspolisen som ansökt om framtagning, se 5 §.

Den särskilda tillsynsmyndighetens yttrande

5 § Innan domstolen avgör en tillståndsfråga ska den särskilda tillsyns- myndigheten ges tillfälle att yttra sig, om det inte är obehövligt.

Paragrafen ger den särskilda tillsynsmyndigheten, Säkerhets- och integritetsskyddsnämnden, möjlighet att yttra sig innan en tillstånds- fråga avgörs. Allmänna överväganden görs i avsnitt 9.8.4.

Paragrafen innehåller inte någon anvisning angående vilka frågor som yttrandet ska avse. Nämnden får därför självständigt utveckla sin roll i ansökningsprocessen utifrån sitt övergripande uppdrag, som det kommer till uttryck i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden och myn- dighetens regleringsbrev. Nämndens yttrande kan vara såväl skriftligt som muntligt vid ett sammanträde. Enligt 6 § 4 ska domstolen i tillstånd ange de villkor som behövs för att begränsa intrånget i enskilda eller allmänna intressen samt för att möjliggöra en effektiv

825

Författningskommentar

SOU 2025:49

tillsyn. Behovet av och utformningen av sådana villkor kan vara ett område som nämnden bör bevaka genom yttrande. Exempel på sådant villkor kan vara att nämnden ska ha möjlighet att närvara vid en framtagning eller att framtagna uppgifter ska sparas under en tid för att utfallet av en framtagning och dess förenlighet med meddelat tillstånd ska kunna granskas.

Nämnden har, till skillnad från domstolen, genom sin tillsyn möjlighet att få insyn i tillämpningen av meddelade tillstånd. Det kan handla om att nämnden uppfattar att uppgifter tagits fram på ett sätt som inte är förenligt med syftet bakom ett tillstånd. Även andra konsekvenser som inte varit förutsägbara eller framgått av den ursprungliga ansökan kan kommuniceras genom yttrande då tillstånd söks på nytt eller liknande urvalskriterier används. Att nämnden utan hinder av sekretess kan lämna domstolen uppgifter som nämnden fått del av genom sin tillsynsverksamhet framgår av 42 kap. 4 e § offentlighets- och sekretesslagen (2009:400).

Nämnden är inte Säkerhetspolisens motpart i förfarandet och det finns därmed inte heller något krav på att nämnden ska avge sin inställning till ansökan. Om nämnden anser att en ansökan inte kan ligga till grund för en prövning eller om tillstånd av någon anledning inte bör beviljas eller bör förenas med villkor, är det dock lämpligt att nämnden redovisar detta till domstolen.

Domstolen kan avstå från att inhämta yttrande om det är obehöv- ligt. Så kan vara fallet exempelvis om nämnden tidigare yttrat sig i samma eller liknande frågor och förklarat sig inte ha något ytterli- gare att tillföra eller om det rör mindre ändringar i tidigare medde- lade tillstånd som nämnden redan yttrat sig om.

Tillstånd till framtagning

6 § Försvarsunderrättelsedomstolen får lämna tillstånd till framtagning. I tillståndet ska domstolen ange

1.från vilka kategorier av uppgifter och från vilken typ av källor som framtagning får ske,

2.de sökbegrepp, kategorier av sökbegrepp eller andra urvalskriterier som får användas vid framtagning samt, om det finns skäl, med vilken teknik urvalet får ske,

3.under vilken tid tillståndet gäller,

4.de villkor i övrigt som behövs för att begränsa intrånget i enskilda eller allmänna intressen samt för att möjliggöra en effektiv tillsyn, och

5.de skäl som bestämt utgången.

826

SOU 2025:49

Författningskommentar

Paragrafen anger vad som måste framgå av ett beslut om tillstånd. Allmänna överväganden finns i avsnitt 9.8.7.

Tillståndet är bindande för hur Säkerhetspolisen tar fram upp- gifter som registrerats i en särskild uppgiftssamling. Det är därför angeläget att tillståndet är så tydligt att det är verkställbart och att det är möjligt att utöva tillsyn över framtagningar som sker med stöd av det. Domstolen är inte bunden av ansökan eller vad som framkommit i yttranden under processen. Domstolen kan därför välja att inskränka tillståndet i förhållande till ansökan eller före- skriva de villkor som krävs för att kunna bevilja den.

Enligt punkten 1 ska de kategorier av personuppgifter som om- fattas av tillståndet anges, tillsammans med typen av källor. Ett tillstånd är som regel inte begränsat till framtagningar från de upp- gifter som finns registrerade vid ansökningstillfället. Den kategori och de källor som anges kan därför omfatta även uppgifter som ännu inte registrerats.

Av punkten 2 följer att de särskilda urvalskriterier för framtag- ningen som ansökan avser ska anges. Domstolen är inte bunden av ansökan och om det finns behov kan justeringar göras i de föreslagna urvalskriterierna. Av 2 § andra stycket framgår att sökanden ska ange om urvalet sker på grundval av känsliga personuppgifter. Om det finns skäl, får domstolen föreskriva eller förbjuda användandet av viss teknik vid framtagningen. Med teknik avses både utpekad mjuk- vara och en viss, närmare beskriven, teknik.

Av punkten 3 följer att tillståndets giltighetstid ska anges. Tiden bör anges mellan två bestämda datum och inte exempelvis som ett visst antal månader. Starttiden kan vara dagen för avgörandet eller senareläggas till annat datum. Tillstånd som avser helt nya framtag- ningar, exempelvis genom tillämpning av ny teknik eller tidigare oprövade sökbegrepp, kan lämpligen ges en kortare giltighetstid för att domstolen ska ha möjlighet att informera sig om och utvärdera dess effekter.

Enligt punkten 4 kan domstolen ange de särskilda villkor som behövs för att begränsa intrånget i enskilda eller allmänna intressen samt för att möjliggöra en effektiv tillsyn. En ansökan kan vara begränsad på så sätt att ytterligare villkor inte är nödvändiga. I andra fall kan det finnas anledning för domstolen att exempelvis förbjuda framtagning av vissa känsliga personuppgifter, barns personuppgif-

827

Författningskommentar

SOU 2025:49

ter eller uppgifter som är äldre än ett visst datum. Det kan ske genom att uppställa villkor om filtrering.

Säkerhetspolisen bör givetvis ha möjlighet att yttra sig i frågan om ett särskilt villkor är tekniskt möjligt och lämpligt att tillämpa. Det kan exempelvis finnas tekniska begränsningar i hur sökresultat kan filtreras. Är det inte möjligt att tillmötesgå kraven på villkor som bedöms nödvändiga, bör ansökan i stället avslås.

Säkerhets- och integritetsskyddsnämnden har i processen möj- lighet att föreslå både villkor för att begränsa intrång och villkor som syftar till att möjliggöra en ändamålsenlig tillsyn. När det gäl- ler villkor som syftar till att möjliggöra en effektiv tillsyn har den särskilda tillsynsmyndigheten ett särskilt ansvar, eftersom det endast är nämnden som vet vilka åtgärder som kan underlätta denna verk- samhet. Exempel på sådant villkor kan vara att nämnden ska ha möjlighet att närvara vid framtagning eller att framtagna uppgifter ska sparas under en tid för att utfallet av en framtagning ska kunna granskas.

Enligt punkten 5 ska de skäl som bestämt utgången anges i ett till- stånd, se 30 § andra stycket förvaltningsprocesslagen (1971:291).

Ändring av tillstånd

7 § Domstolen får besluta om ändring av vad som föreskrivits i ett till- stånd.

Paragrafen innehåller bestämmelser om ändring i tillstånd som med- delats. I avsnitt 9.8.8 finns allmänna överväganden i denna del.

Ändring i tillstånd sker efter ansökan eller om domstolen upp- märksammas på någon mindre felaktighet som inte är möjlig att åtgärda genom rättelse. Av 4 § förvaltningsprocesslagen framgår vad en ansökan om ändring ska innehålla.

Domstolen får bedöma om ändringen är av sådant slag att det ska anses kräva ett nytt tillstånd eller om det som föreskrivits i ett befintligt tillstånd kan ändras. Det kan exempelvis röra sig om min- dre tillägg avseende sökbegrepp. Det kan också handla om att tiden förlängs för ett tillstånd som är på väg att löpa ut, exempelvis om en förnyad ansökan inte hunnit prövas.

828

SOU 2025:49

Författningskommentar

Om en fråga uppmärksammas i ett visst mål, kan domstolen enligt förevarande paragraf justera motsvarande fråga i andra till- stånd, även om dessa tillstånd inte varit föremål för prövningen.

Av 9 § följer att en ordförande ensam kan besluta om ändring i enklare fall.

Domstolen

8 § I fråga om domförhet gäller 9 § lagen (2009:966) om Försvarsunder- rättelsedomstol.

Paragrafen innehåller en hänvisning till lagen om Försvarsunder- rättelsedomstol gällande domstolens sammansättning och dom- förhet. Övervägandena finns i avsnitt 9.8.1.

Försvarsunderrättelsedomstolen är den domstol som prövar ansökningar om framtagning av uppgifter från särskilda uppgifts- samlingar, se 1 §. Hänvisningen till lagen om Försvarsunderrättelse- domstol klargör att samma regler om sammansättning och dom- förhet som gäller för domstolens verksamhet enligt den lagen även ska tillämpas vid handläggning av ärenden enligt denna lag.

Av 9 § lagen om Försvarsunderrättelsedomstol framgår att vid avgörandet ska domstolen som huvudregel bestå av en ordförande och två särskilda ledamöter.

9 § En ordförande eller en vice ordförande får ensam

1.företa förberedande åtgärder och besluta om avskrivning,

2.fatta beslut enligt 3 § tredje stycket, och

3.besluta om ändring enligt 7 §, om ändringen är av enkel beskaffenhet. Ordföranden får förordna en lagfaren tjänsteman vid domstolen att ensam

på domstolens vägnar vidta förberedande åtgärder.

Paragrafen reglerar vilka åtgärder och beslut som kan vidtas av en ensam domare i domstolen, samt möjligheten för ordföranden att delegera vissa uppgifter till en lagfaren tjänsteman. De allmänna övervägandena finns i avsnitt 9.8.1.

Av första stycket framgår att en ordförande eller vice ordförande får avgöra vissa frågor utan medverkan av särskilda ledamöter.

Enligt första punkten får en ensam domare vidta förberedande åtgärder och besluta om avskrivning. Med förberedande åtgärder

829

Författningskommentar

SOU 2025:49

avses handläggningsbeslut som inte innebär ett avgörande i sak, till exempel beslut om att inhämta yttranden eller kompletteringar.

Enligt andra punkten får en ensam domare med stöd av 3 § tredje stycket tillfälligt förbjuda verkställigheten av beslut som anmälts. Se kommentaren till den paragrafen.

I tredje punkten ges en ensam domare rätt att besluta om änd- ringar i ett redan meddelat tillstånd, förutsatt att ändringen är av enkel beskaffenhet. Detta kan exempelvis avse en kortare förläng- ning av tillståndets giltighetstid för att medge framtagningar till dess att domstolen kunnat pröva en förnyad ansökan.

I andra stycket ges ordföranden möjlighet att delegera förbere- dande åtgärder till en lagfaren tjänsteman vid domstolen. Detta avser endast rent processuella åtgärder som inte innebär något ställningstagande i sakfrågan.

10 § Om inte annat följer av denna lag, gäller 3–5, 8, 14, 17–26, 29–32 och 38–53 §§ förvaltningsprocesslagen (1971:291) i tillämpliga delar vid förfarandet i domstolen.

Paragrafen reglerar förhållandet mellan denna lag och förvaltnings- processlagen. Bestämmelsen klargör att vissa delar av förvaltnings- processlagen ska tillämpas vid handläggningen i domstolen, om inte annat följer av förevarande lag. De allmänna övervägandena finns i avsnitt 9.8.1.

Genom paragrafen blir bland annat följande bestämmelser i för- valtningsprocesslagen tillämpliga: anhängiggörande av mål (3–5 §§), rättens utredningsskyldighet (8 §), kallelser till sammanträde (14 §), anteckningar vid sammanträde och kommunikation med parter

(17–19 §§), vissa bevismedel (20–26 §§), krav på domstolens avgöran- den (29–32 §§) samt ett antal övriga bestämmelser om ordning vid förhandling, jäv, laga förfall, ombud, med mera (38–53 §§).

Hänvisningen avser tillämpliga delar av de angivna paragraferna, vilket innebär att bestämmelserna ska tillämpas med beaktande av de särskilda förhållanden som gäller för Försvarsunderrättelsedom- stolens verksamhet och de särskilda regler som finns i förevarande lag. Det gäller t.ex. den särskilda tillsynsmyndighetens roll i pro- cessen.

Bestämmelsen motsvarar i huvudsak vad som enligt 28 § lagen (2009:966) om Försvarsunderrättelsedomstol gäller för domsto- lens handläggning av mål om signalspaning.

830

SOU 2025:49

Författningskommentar

11 § Muntliga förhandlingar i domstolen är inte offentliga.

Rätten får besluta att en förhandling ska vara offentlig i de delar där det är uppenbart att inga sekretessbelagda uppgifter enligt offentlighets- och sekretesslagen (2009:400) kommer att avslöjas.

Paragrafen reglerar offentligheten vid muntliga förhandlingar i dom- stolen. De allmänna övervägandena finns i avsnitt 9.8.6.

Av första stycket framgår huvudregeln att muntliga förhandlingar i domstolen inte är offentliga. Bestämmelsen avviker från vad som normalt gäller för domstolsförhandlingar, där huvudregeln är att förhandlingar är offentliga. Detta motiveras av att ärendena enligt denna lag typiskt sett rör uppgifter som omfattas av sekretess med hänsyn till rikets säkerhet.

I andra stycket ges domstolen möjlighet att besluta om att en förhandling ska vara offentlig i de delar där det är uppenbart att inga sekretessbelagda uppgifter kommer att avslöjas. Kravet på att det ska vara uppenbart innebär i praktiken att det ytterst sällan kan bli aktuellt att tillämpa undantaget.

12 § Domstolens avgörande av saken sker genom dom. Andra avgöran- den sker genom beslut.

Paragrafen reglerar formen för domstolens avgöranden. De allmänna övervägandena finns i avsnitt 9.8.7.

Av bestämmelsen följer att när domstolen slutligt avgör – det vill säga om tillstånd till framtagning ska meddelas – ska detta ske genom dom. Andra avgöranden, såsom inhibition (se 3 § tredje stycket), processuella beslut eller avskrivning, ska ske genom beslut.

Skiljelinjen mellan dom och beslut har främst betydelse för dom- stolens handläggning och dokumentation, men påverkar inte möj- ligheten att överklaga. Enligt 14 § finns nämligen inte någon möjlighet att överklaga domstolens avgöranden.

13 § I fråga om omröstning gäller 16 kap. rättegångsbalken i tillämpliga delar.

Paragrafen reglerar hur omröstning ska ske i domstolen. Bestäm- melsen motsvarar vad som enligt 15 § lagen om Försvarsunder- rättelsedomstol gäller för domstolens handläggning av mål om signalspaning. De allmänna övervägandena finns i avsnitt 9.8.1.

831

Författningskommentar

SOU 2025:49

Genom hänvisningen till 16 kap. rättegångsbalken ska reglerna om omröstning i tvistemål tillämpas i tillämpliga delar. Formuler- ingen ”i tillämpliga delar” innebär att bestämmelserna ska anpassas till de särskilda förhållanden som gäller i domstolen, där rätten enligt 8 §, jämfört med 9 § lagen (2009:966) om Försvarsunderrättelsedom- stol normalt består av en ordförande och två särskilda ledamöter.

Överklagandeförbud

14 § Domstolens avgöranden enligt denna lag får inte överklagas.

Paragrafen innehåller ett förbud mot att överklaga domstolens avgöranden enligt denna lag. Bestämmelsen motsvarar vad som gäller enligt 16 § lagen om Försvarsunderrättelsedomstol. De all- männa övervägandena finns i avsnitt 9.8.1.

Överklagandeförbudet innebär att varken domar eller beslut som meddelas av domstolen enligt denna lag kan överklagas. Detta gäller såväl beslut om tillstånd till framtagning av uppgifter som interimistiska beslut, processuella beslut och andra avgöranden.

5 kap. Tillsyn

Radering

1 § Den särskilda tillsynsmyndigheten får besluta att framtagna uppgif- ter ska raderas, om det kan konstateras att framtagningen inte har varit förenlig med ett tillstånd enligt denna lag.

Paragrafen ger den särskilda tillsynsmyndigheten korrigerande befogenheter avseende personuppgifter som har tagits fram i strid med tillstånd. De allmänna övervägandena finns i avsnitt 10.7.3.

Om Säkerhets- och integritetsskyddsnämnden kan konstatera att registrerade personuppgifter behandlas på ett sätt som utgör en framtagning trots att det saknas tillstånd, eller att uppgifter behand- las på ett sätt som inte är förenligt med ett meddelat tillstånd, får nämnden besluta om radering. Ett sådant beslut kan inte överklagas och ska verkställas omedelbart, eller vid den senare tidpunkt som nämnden bestämmer.

832

SOU 2025:49

Författningskommentar

Bestämmelsen är fakultativ och nämnden kan avstå från att med- dela ett beslut, bland annat om Säkerhetspolisen har vidtagit åtgär- der enligt 5 kap. 1 § lagen (2026:000) om Säkerhetspolisens behand- ling av personuppgifter. Detsamma gäller om tillsynsmyndigheten har meddelat ett föreläggande eller beslut enligt 7 kap. 5 § samma lag.

Framtagning för tillsyn

2 § Den särskilda tillsynsmyndigheten har rätt att ansöka om tillstånd till framtagning för tillsynsändamål. I ett enskilt fall har också tillsyns- myndigheten rätt att ansöka om framtagning för ett sådant ändamål.

Säkerhetspolisen ska ges tillfälle att yttra sig över ansökan.

Paragrafen innehåller bestämmelser som medger att den särskilda tillsynsmyndigheten får ansöka om tillstånd till framtagning för tillsynsändamål. De allmänna övervägandena finns i avsnitt 10.4.6.

Av första stycket följer, i första meningen, att den särskilda till- synsmyndigheten Säkerhets- och integritetsskyddsnämnden får ansöka om tillstånd till framtagning enligt denna lag. Ändamålet för en sådan framtagning måste vara att utöva tillsyn över Säker- hetspolisens personuppgiftsbehandling. Av andra meningen fram- går att även tillsynsmyndigheten, Integritetsskyddsmyndigheten, har rätt att ansöka om framtagning i ett enskilt fall.

Ansökan sker enligt bestämmelserna i 4 kap. Det innebär bland annat att det ställs samma krav på en ansökan om framtagning för tillsynsändamål som för andra ändamål.

Av andra stycket framgår att Säkerhetspolisen ska ges tillfälle att yttra sig innan ett tillstånd för tillsynsändamål prövas. Enligt 4 kap. 4 § ska Säkerhetspolisen kallas till sammanträde om domstolen beslutar om det. Genom yttrandet har Säkerhetspolisen möjlighet att reagera på exempelvis om de sökningar eller de urval som nämn- den ansökt om är tekniskt möjliga att utföra eller om det finns andra hinder mot att utföra de framtagningar som ansökan avser.

Säkerhets- och integritetsskyddsnämndens rätt, enligt 4 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, att få de uppgifter som den begär av förvaltningsmyndigheter som omfattas av tillsynen, kan inte tillämpas för de uppgifter som är registrerade i en särskild uppgiftssamling. Säkerhetspolisen har

833

Författningskommentar

SOU 2025:49

enligt denna lag inte rätt att ta fram uppgifterna utan tillstånd av domstolen. Rätten till biträde omfattar dock rätt till hjälp att utföra de framtagningar som omfattas av ett tillstånd.

Av 1 kap. 1 § andra stycket framgår bland annat att 7 kap. 2 § 1 lagen (2026:000) om Säkerhetspolisens behandling av personuppgif- ter, om tillsynsmyndighetens tillgång till de personuppgifter som behandlas, inte är tillämplig. Möjligheten att ansöka om tillstånd syftar till att ge undersökningsbefogenheter som är anpassade för tillsyn över denna lag. Av 5 kap. 10 § lagen om Säkerhetspolisens behandling av personuppgifter framgår att Säkerhetspolisen ska samarbeta med tillsynsmyndigheterna. Det innebär att Säkerhets- polisen måste vara behjälplig med att bland annat bistå i att utforma sökbegrepp som är relevanta för tillsynsändamål.

13.3Förslaget till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet

1 §

Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över

1.brottsbekämpande myndigheters användning av hemliga tvångs- medel och kvalificerade skyddsidentiteter,

2.brottsbekämpande myndigheters användning av andra tvångsmedel enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvar- liga brott än de som avses i 1, om inte den som åtgärden utförts hos eller annars riktats mot har närvarat vid åtgärden,

3.Säkerhetspolisens användning av hemliga tvångsmedel vid särskild kontroll av vissa utlänningar, och

4.därmed sammanhängande verksamhet.

Nämnden ska även utöva tillsyn över den behandling av personupp- gifter som utförs av Polismyndigheten, Säkerhetspolisen och Ekobrotts- myndigheten enligt brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen, och lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter. Till- synen ska särskilt avse behandling enligt 2 kap. 11 § brottsdatalagen.

Nämnden ska också utöva tillsyn över Polismyndighetens och Säker- hetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Nämnden ska även utöva tillsyn över Säkerhetspolisens behandling av personuppgifter enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

834

SOU 2025:49

Författningskommentar

Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första–tredje styckena bedrivs i enlighet med lag eller annan författning.

Paragrafen ändras på så sätt att hänvisningen i andra stycket till lagen om Säkerhetspolisens behandling av personuppgifter avser den nya lagen. Sista meningen i stycket ändras på så sätt att det inte längre anges att tillsynen över Säkerhetspolisens behandling av person- uppgifter särskilt ska avse behandling av känsliga personuppgifter. De allmänna övervägandena i denna del görs i avsnitt 10.8.

Tredje stycket ändras på så sätt att tillsynsuppdraget nu omfattar Säkerhetspolisens behandling av personuppgifter enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar. Tillsynen över behandling i särskilda uppgiftssamlingar är särpräglad, bland annat genom att nämnden får söka tillstånd för att kunna ta del av personuppgifter för till- synsändamål. Se avsnitt 10.4.6. Av tredje stycket följer även att nämnden ska utöva tillsyn över Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Den lagen omfattar numera även personuppgifter som tagits fram från en särskild uppgiftssamling.

13.4Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

18 kap. Sekretess till skydd främst för intresset av att förebygga eller beivra brott

2 a §

Sekretess gäller för uppgift i särskilda uppgiftssamlingar, enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssam- lingar, som lämnar eller kan bidra till upplysning om Säkerhetspolisens verk- samhet att förebygga, förhindra och upptäcka brottslig verksamhet.

För uppgift i allmän handling gäller sekretessen i sjuttio år.

Sekretess enligt första stycket hindrar inte en framtagning enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar.

Paragrafen, som är ny, reglerar sekretess för uppgifter i särskilda uppgiftssamlingar som förs enligt lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssamlingar. De allmänna övervägandena görs i avsnitt 9.9.4. Sekretessen omfattar

835

Författningskommentar

SOU 2025:49

uppgifter som lämnar eller kan bidra till upplysning om Säkerhets- polisens underrättelseverksamhet.

Av andra stycket framgår att sekretessen gäller i sjuttio år. Tredje stycket upplyser om att sekretessen inte hindrar framtag-

ningar enligt lagen om Säkerhetspolisens behandling av personupp- gifter i särskilda uppgiftssamlingar. Framtagningar får som huvud- regel endast ske efter att domstolen lämnat tillstånd. Uppgifter som tagits fram ur en särskild uppgiftssamling med stöd av ett sådant tillstånd omfattas därefter inte av denna paragraf.

35 kap. Sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott, m.m.

1 a §

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhål- landen i särskilda uppgiftssamlingar enligt lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssamlingar.

För uppgift i allmän handling gäller sekretessen i sjuttio år.

Sekretess enligt första stycket hindrar inte en framtagning enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar

Av andra stycket framgår att sekretessen gäller i sjuttio år. Tredje stycket upplyser om att sekretessen inte hindrar framtag-

836

SOU 2025:49

Författningskommentar

42 kap. Riksdagens ombudsmän, Justitiekanslern, Säkerhets- och integritetsskyddsnämnden och undersökningskommissioner, m.m.

4 d §

Om Säkerhets- och integritetsskyddsnämnden får en sekretessreglerad uppgift från en myndighet i ett mål om tillstånd enligt lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssamlingar, blir sekretessbestämmelsen tillämplig på uppgiften även hos nämnden.

Paragrafen, som är ny, reglerar sekretess hos nämnden i särskilda fall. De allmänna övervägandena görs i avsnitt 9.8.5.

Paragrafen innebär att nämnden i mål om tillstånd enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar får en sekretessreglerad uppgift från en annan myndighet, så överförs den sekretessen. Detta gäller oavsett vilken myndighet som lämnat uppgiften och i vilket skede av målet.

Huvudregeln om konkurrens mellan olika sekretessbestämmel- ser i 7 kap. 3 § gäller sekretess enligt paragrafen.

4 e §

Sekretess som gäller hos Säkerhets- och integritetsskyddsnämnden enligt 4 d §, 6–8 §§, 15 kap. eller 18 kap. hindrar inte att en uppgift lämnas till en domstol, om uppgiften behövs för en prövning enligt lagen (2026:000) om Säkerhets- polisens behandling av personuppgifter i särskilda uppgiftssamlingar.

Paragrafen, som är ny, reglerar sekretessgenombrott för uppgift hos nämnden som behövs för tillståndsprövning enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar. De allmänna övervägandena görs i avsnitt 9.8.5.

Bestämmelsen bryter sekretess för uppgifter i nämndens tillsyns- verksamhet och sådan sekretess som gäller hos alla myndigheter enligt 15 och 18 kap.

Sekretessen bryts endast om den sekretessbelagda uppgiften

behövs för tillståndsprövningen. Det är nämnden som bedömer om uppgiften behövs för domstolens prövning. Uppgiften behöver inte direkt omfattas av ansökan för att kunna vara relevant. Det kan exem- pelvis handla om att nämndens iakttagelser från framtagningar med

837

Författningskommentar

SOU 2025:49

stöd av tidigare tillstånd kan behövas för att belysa frågor som rör en aktuell ansökan.

13.5Förslaget till lag om ändring i lagen (2009:966) om Försvarsunderrättelsedomstol

1 §

Försvarsunderrättelsedomstolen ska pröva frågor om tillstånd till signal- spaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelse- verksamhet.

Försvarsunderrättelsedomstolen ska även

1.pröva frågor om tillstånd till framtagning enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar,

2.pröva beslut som ska överklagas till domstolen enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter.

Paragrafen reglerar Försvarsunderrättelsedomstolens uppgifter. Genom det nya andra stycket tillförs Försvarsunderrättelsedom- stolen två nya uppgifter. Tidigare hade domstolen endast till upp- gift att pröva frågor om tillstånd till signalspaning. De allmänna övervägandena görs i avsnitt 9.6.3 respektive 10.7.2.

Av andra stycket framgår, i punkten 1, att Försvarsunderrättelse- domstolen ska pröva frågor om framtagning enligt lagen om Säker- hetspolisens behandling av personuppgifter i särskilda uppgiftssam- lingar. Ändringen är en följd av att domstolen i 4 kap. 1 § pekats ut som exklusivt forum för ansökningar om tillstånd till framtagning.

I normalfallet prövas frågan om tillstånd efter en ansökan från Säkerhetspolisen. Handläggningsreglerna för mål om tillstånd till framtagning finns i lagen om Säkerhetspolisens behandling av per- sonuppgifter i särskilda uppgiftssamlingar.

Av punkten 2 framgår att domstolen även ska pröva beslut som ska överklagas till Försvarsunderrättelsedomstolen enligt lagen om Säkerhetspolisens behandling av personuppgifter. Det avser tillsyns- myndighetens överklagbara beslut om förelägganden eller förbud enligt 7 kap. 5 § i den lagen.

838

SOU 2025:49

Författningskommentar

2 §

Försvarsunderrättelsedomstolen består av högst två ordförande, högst två vice ordförande samt minst två och högst tio särskilda ledamöter. En av ordförandena ska vara chef för domstolen.

I lagen (2010:1390) om utnämning av ordinarie domare finns bestämmel- ser om utnämning av ordförande tillika chef och övriga ordförande i dom- stolen. Vice ordförande och särskilda ledamöter förordnas av regeringen för fyra år.

Paragrafen reglerar Försvarsunderrättelsedomstolens sammansätt- ning. Ändringen innebär att antalet ordförande och särskilda leda- möter har utökats. De allmänna övervägandena finns i avsnitt 9.6.5.

Enligt den tidigare lydelsen bestod domstolen av en ordförande, en eller högst två vice ordförande samt minst två och högst sex särskilda ledamöter. Genom ändringen kan domstolen nu ha högst två ordförande, högst två vice ordförande samt minst två och högst tio särskilda ledamöter. Dessutom anges uttryckligen att en av ord- förandena ska vara chef för domstolen.

Utökningen av antalet möjliga ordförande och särskilda leda- möter är en konsekvens av att domstolens verksamhet har utökats med ytterligare arbetsuppgifter enligt 1 §. Med fler ledamöter kan domstolen handlägga både mål om signalspaning och mål om fram- tagning enligt lagen om särskilda uppgiftssamlingar på ett effektivt sätt utan att handläggningstiderna blir för långa.

Det har också förtydligats att en av ordförandena ska vara chef för domstolen, vilket är naturligt när antalet ordförande kan vara fler än en. I tredje stycket tydliggörs att lagen (2010:1390) om utnämning av ordinarie domare ska tillämpas både på ordförande tillika chef för domstolen och på övriga ordförande.

4 §

Är en ordförande förhindrad att tjänstgöra, får en vice ordförande inträda i ordförandens ställe.

839

Författningskommentar

SOU 2025:49

Paragrafen reglerar möjligheten för vice ordförande att träda in vid ordförandes förhinder. Ändringen innebär en anpassning till den nya ordningen med möjlighet till flera ordförande. De allmänna övervägandena finns i avsnitt 9.6.5.

Ändringen från ordföranden till en ordförande är en följdändring med anledning av att domstolen enligt 2 § numera kan ha upp till två ordförande. När någon av dessa är förhindrad att tjänstgöra ska bestämmelsen kunna tillämpas.

Inträder har ersatts med får inträda. Genom denna ändring blir det inte längre obligatoriskt för en vice ordförande att träda in vid en ordförandes förhinder, utan det blir i stället en möjlighet som kan utnyttjas efter behov. Detta ger större flexibilitet i domstolens organisation och arbetssätt, vilket är särskilt viktigt när domstolens uppgifter har utökats enligt 1 §.

Den nya konstruktionen innebär att det kan finnas situationer där en ordförande är förhindrad men där arbetsuppgifterna kan omfördelas inom domstolen utan att en vice ordförande behöver träda in. Till exempel kan en annan ordförande ta över, eftersom domstolen nu kan ha två ordförande. Detta bidrar till ett effekti- vare resursutnyttjande och en mer ändamålsenlig arbetsfördelning inom domstolen.

5 §

Ett integritetsskyddsombud ska bevaka enskildas integritetsintresse i mål vid domstolen om tillstånd till signalspaning. Ombudet har rätt att ta del av det som förekommer i målet och att yttra sig.

Paragrafen innehåller bestämmelser om integritetsskyddsombud. Övervägandena finns i avsnitt 9.6.5.

Ändringen innebär ett förtydligande om att regleringen om integritetsskyddsombud avser mål som rör tillstånd till signalspa- ning och inte mål om tillstånd enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar. Enligt den lagen gäller i stället att den särskilda tillsynsmyndigheten har rätt att närvara och ska kallas till domstolens sammanträden.

840

SOU 2025:49

Författningskommentar

9 §

Försvarsunderrättelsedomstolen är domför med en ordförande och två särskilda ledamöter. Fler än tre ledamöter får inte delta i ett avgörande.

Paragrafen reglerar domförheten hos domstolen. Ändringen inne- bär en anpassning till den nya ordningen med möjlighet till flera ordförande. Bestämmelsen är tillämplig vid domstolens prövning av en ansökan om framtagning enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar. Det framgår av en hänvisning i 4 kap. 8 § i den lagen. De allmänna över- vägandena finns i avsnitt 9.6.5.

10 a §

I lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i sär- skilda uppgiftssamlingar finns regler om handläggningen av mål enligt den lagen.

Paragrafen är ny och innehåller en upplysning om att det finns sär- skilda handläggningsregler för mål enligt lagen om Säkerhetspoli- sens behandling av personuppgifter i särskilda uppgiftssamlingar. De allmänna övervägandena finns i avsnitt 9.6.5.

Bestämmelsen har tillkommit som en följd av att Försvarsunder- rättelsedomstolen enligt 1 § 2 nu även ska pröva frågor om tillstånd till framtagning enligt lagen om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar. Upplysningsbestäm- melsen syftar till att klargöra att 4 kap. i den lagen innehåller sär- skilda processregler för handläggningen av dessa mål. Dessa special- regler gäller i stället för de allmänna handläggningsbestämmelserna i 11–16 §§ i förevarande lag.

841

Författningskommentar

SOU 2025:49

13.6Förslaget till lag om ändring i lagen (2010:1390) om utnämning av ordinarie domare

1 §

Denna lag avser utnämning av ordinarie domare. Dessa är

1.justitieråd tillika ordförande, justitieråd tillika avdelningsordförande och övriga justitieråd i Högsta domstolen och Högsta förvaltningsdom- stolen,

2.president, lagman samt råd tillika vice ordförande på avdelning och övriga råd i hovrätt och kammarrätt,

3.lagman, chefsrådman och rådman i tingsrätt och förvaltningsrätt,

4.tekniska råd,

5.patentråd,

6.ordförande tillika chef och övriga ordförande i Arbetsdomstolen,

7.ordförande tillika chef och övriga ordförande i Försvarsunderrättelse- domstolen.

Paragrafens sjunde punkt ändras för att möjliggöra att antalet leda- möter i Försvarsunderrättelsedomstolen utökas. De allmänna moti- ven finns i avsnitt 9.6.5. I 2 § lagen (2009:966) om Försvarsunder- rättelsedomstol finns regler om Försvarsunderrättelsedomstolens sammansättning.

13.7Förslaget till lag om ändring i lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott

1 §

Uppgifter i underrättelser som Försvarets radioanstalt rapporterat till en annan myndighet i enlighet med lagen (2000:130) om försvarsunderrät- telseverksamhet får inte användas för att utreda brott.

Uppgifter som Säkerhetspolisen tagit fram från en särskild uppgiftssamling enligt lagen (2026:000) om Säkerhetspolisens behandling av personuppgifter i särskilda uppgiftssamlingar får inte användas för att utreda brott.

Paragrafen anger att vissa uppgifter inte får användas för att utreda brott. Bestämmelsen ändras genom att den tillförs ett nytt andra stycke. De allmänna motiven finns i avsnitt 9.10.2.

842

SOU 2025:49

Författningskommentar

Av andra stycket framgår att uppgifter som tagits fram från en särskild uppgiftssamling enligt lagen (2026:000) om Säkerhetspoli- sens behandling av personuppgifter i särskilda uppgiftssamlingar inte får användas för att utreda brott.

Det nya andra stycket ska tillämpas på samma sätt som när det gäller uppgifter i underrättelser från Försvarets radioanstalt (se prop. 2018/19:96). Förbudet gäller hos alla brottsbekämpande myndigheter, inte endast hos Säkerhetspolisen.

Enligt paragrafen får de aktuella uppgifterna över huvud taget inte användas för att utreda brott. Förbudet omfattar både använd- ning för att inleda (eller återuppta) en förundersökning och använd- ning i en pågående förundersökning. När det gäller användning i en pågående förundersökning är det otillåtet inte bara att lägga uppgifter till grund för ett beslut, utan också att i brottsutredande syfte till exempel använda uppgifter som utgångspunkt för frågor under ett förhör. Förbudet gäller inte användning av uppgifter för andra syften än att utreda brott, till exempel användning för att förebygga, för- hindra och upptäcka brottslig verksamhet (se a. prop. s. 38).

843

Bilaga 1

Kommittédirektiv 2023:64

Säkerhetspolisens informationshantering

Beslut vid regeringssammanträde den 11 maj 2023

Sammanfattning

En särskild utredare ska göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Syftet är att skapa ändamålsenliga regler som är an- passade efter dagens behov och möjligheter. Reglerna bör som ut- gångspunkt ge Säkerhetspolisen ökade möjligheter att behandla per- sonuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information med hjälp av tekniska hjälpmedel.

Utredaren ska noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag.

Inom ramen för en översyn av regleringen ska utredaren bl.a.

•beskriva dagens rättsliga möjligheter för Säkerhetspolisen att be- handla personuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information med hjälp av tekniska hjälp- medel,

•undersöka i vilken utsträckning dagens regelverk försvårar en effek- tiv informationshantering i Säkerhetspolisens verksamhet,

845

Bilaga 1

SOU 2025:49

•lämna förslag som gör att information kan hanteras av Säkerhets- polisen på ett mer ändamålsenligt sätt än i dag, och

•lämna nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 15 november 2024.

Varför behövs det en utredning?

Teknik- och samhällsutvecklingen kräver nya åtgärder

Till Säkerhetspolisens uppgifter hör bland annat att förebygga, för- hindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott samt att utreda och beivra sådana brott.

Samhället står ständigt inför stora och föränderliga säkerhets- utmaningar. Hotbilden mot Sverige blir alltmer komplex och det ställer förändrade krav på Säkerhetspolisens förmåga. Digitaliseringen och den tekniska utvecklingen har förändrat samhället i grunden. För- ändringen har inneburit att det produceras enorma mängder infor- mation. Digitalisering och teknikutveckling har också bidragit till att utveckla hotaktörernas förmåga. Enligt Säkerhetspolisen sker varje dag försök att stjäla uppgifter av betydelse för Sveriges säkerhet och försök att påverka svenskt beslutsfattande på olovliga sätt. Samtidigt bedrivs annan säkerhetshotande verksamhet riktad mot Sverige. Ett förstörande cyberangrepp från främmande makt kan få mycket all- varliga konsekvenser för Sveriges säkerhet och hota jobb, välfärd och konkurrenskraft. Angreppen kan också påverka våra grundläggande fri- och rättigheter, vårt politiska oberoende och vår territoriella suveränitet. Vidare har digitaliseringen gjort extremistmiljöerna glo- bala och tillgängliga för många. Nya digitala plattformar ger förbätt- rade förutsättningar för kommunikation och möjligheter att hitta och påverka likasinnade.

De möjligheter som teknikutvecklingen innebär behöver tas till- vara också i Säkerhetspolisens arbete. Säkerhetspolisen arbetar ofta initialt utifrån ofullständig information. För att kunna upptäcka okända säkerhetshot måste Säkerhetspolisen samla in stora mängder infor- mation, som många gånger är helt öppen, för att analysera vilka upp- gifter som kan vara relevanta att agera utifrån, exempelvis för att upp-

846

SOU 2025:49

Bilaga 1

täcka spioneribrottslighet och förhindra terroristattentat. Säkerhets- polisen måste ha förutsättningar och förmåga att snabbt anpassa sig och utveckla nya metoder och lösningar. Myndighetens uppdrag att bedriva underrättelse- och säkerhetsarbete innebär att huvudfokus ligger på att förebygga, förhindra och upptäcka säkerhetshotande verksamhet. För att lösa uppdraget behöver myndigheten ha tillgång till relevant information och på ett effektivt sätt kunna hantera och bearbeta de stora informationsmängderna. Detta ställer nya krav på Säkerhetspolisens arbetsmetoder och den lagstiftning som reglerar myndighetens informationshantering.

I egenskap av totalförsvarsmyndighet ska Säkerhetspolisen dess- utom kunna fullgöra sitt uppdrag vid höjd beredskap och i krig. Det innebär att förutsättningarna för Säkerhetspolisens informations- hantering även påverkar myndighetens möjligheter att utföra sina uppgifter inom totalförsvaret. Det försämrade säkerhetsläget i Europa efter Rysslands invasion av Ukraina och Sveriges Natoansökan har ytterligare tydliggjort behovet av att prioritera förmågan inom total- försvaret. Säkerhetspolisens informationshantering är därför central även utifrån ett totalförsvarsperspektiv.

Stora informationsmängder kan hanteras med tekniska hjälpmedel

Säkerhetspolisen framhåller att det inte längre är möjligt att manuellt granska och strukturera uppgifter med hänsyn till den enorma mäng- den information som kan vara av intresse för myndighetens verk- samhet. Med en sådan ordning kan endast en bråkdel av relevant information analyseras och bedömas. Till skillnad mot tidigare finns det i dag effektiv programvara som kan automatisera informations- hanteringen och generera snabbare och mer träffsäkra resultat. Sådan programvara kan exempelvis göra en initial ytlig granskning av stora datamängder och flagga upp information som sannolikt är relevant. En manuell granskning behöver då endast göras av en mindre mängd information som har mer direkt relevans för Säkerhetspolisens upp- drag.

847

Bilaga 1

SOU 2025:49

Dagens regelverk behöver ses över

Under 2016 enades EU om en genomgripande dataskyddsreform som skulle vara genomförd under våren 2018. Reformen omfattade dels dataskyddsförordningen ((EU) 2016/679), dels dataskyddsdirektivet (EU) 2016/680). Dataskyddsdirektivet gäller behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Dataskyddsdirektivet har i svensk rätt i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Verksamhet som rör nationell säkerhet omfattas däremot inte av unionsrätten. Säkerhetspolisens behandling av person- uppgifter som rör nationell säkerhet omfattas alltså inte av dataskydds- direktivet och har mot den bakgrunden också undantagits från brotts- datalagens tillämpningsområde (1 kap. 4 § brottsdatalagen).

Jämfört med Polismyndigheten har Säkerhetspolisen en betydligt mer begränsad verksamhet, inriktad på några få områden. Tyngdpunk- ten ligger på att förebygga, förhindra och upptäcka brottslig verksam- het. Den brottsutredande verksamheten är mer begränsad. Säkerhets- polisen har i uppdrag att skydda Sveriges demokratiska system, medborgarnas fri- och rättigheter och den nationella säkerheten. Säkerhetspolisens verksamhet rör därmed i princip uteslutande natio- nell säkerhet. Den absoluta merparten av Säkerhetspolisens person- uppgiftsbehandling ligger alltså utanför brottsdatalagens tillämpnings- område. I dessa fall gäller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter (Säkerhetspolisens datalag) och för- ordningen (2019:1235) om Säkerhetspolisens behandling av person- uppgifter. Trots de olikheter i fråga om myndigheternas verksamhet som nämns ovan har Säkerhetspolisens datalag utformats med brotts- datalagens systematik och innehåll som utgångspunkt.

Säkerhetspolisens datalag är visserligen ganska ny men många av bestämmelserna har överförts mer eller mindre oförändrade från tidigare lagstiftning. Det innebär att stora delar av det regelverk som påverkar möjligheterna att behandla personuppgifter kommer från en tid då inte bara hoten mot Sveriges säkerhet utan också de tek- niska möjligheterna att behandla personuppgifter var annorlunda än i dag. Regelverket är alltså inte fullt ut anpassat till dagens förhål- landen. Vidare står det klart att den tekniska utvecklingen har inne- burit att det produceras enorma mängder information och att det

848

SOU 2025:49

Bilaga 1

samtidigt har skapats nya möjligheter för Säkerhetspolisen att med hjälp av automatiserade processer behandla stora informations- mängder. Det finns dock enligt nuvarande regelverk tydliga begräns- ningar för Säkerhetspolisens möjligheter att analysera stora data- mängder med hjälp av tekniska hjälpmedel. Säkerhetspolisen anser att förbättrade möjligheter att hantera stora informationsmängder är en förutsättning för att myndigheten ska kunna lösa sitt uppdrag på ett effektivt och framgångsrikt sätt (Säkerhetspolisens hemställan Säkerhetspolisens informationshantering, Ju2022/02624). Samman- taget finns det starka skäl för en översyn av den reglering som styr Säkerhetspolisens behandling av personuppgifter.

Närmare om dagens regelverk och de begränsningar det medför

Regleringen av Säkerhetspolisens personuppgiftshantering fanns tidi- gare i den numera upphävda polisdatalagen (2010:361). Många av bestämmelserna togs i princip oförändrade in i Säkerhetspolisens data- lag och har därför inte fullt ut anpassats till de behov som Säkerhets- polisen har i dag. Dagens regelverk och några av de begränsningar det medför beskrivs nedan.

Rättslig grund och ändamålsbestämmelser

Av 2 kap. 1 § Säkerhetspolisens datalag framgår att personuppgifter får behandlas om det är nödvändigt för att Säkerhetspolisen ska kunna utföra vissa i paragrafen uppräknade uppgifter. Uppgifterna korrespon- derar i princip med 3 § polislagen (1984:387) som anger Säkerhets- polisens huvudsakliga uppgifter, bl.a. att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot rikets säker- het och terrorbrott samt för att utreda eller lagföra sådana brott. Nöd- vändighetsrekvisitet innebär i detta sammanhang att personuppgifts- behandlingen ska behövas för att uppgiften ska gå att fullgöra på ett effektivt sätt (prop. 2018/19:163 s. 65 och 217). När det gäller känsliga personuppgifter krävs dessutom att behandlingen är absolut nödvän- dig i förhållande till ändamålet (2 kap. 9 § Säkerhetspolisens datalag).

Säkerhetspolisen får bara behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (2 kap. 3 § Säkerhets- polisens datalag). Att ändamålen ska vara särskilda innebär att de

849

Bilaga 1

SOU 2025:49

måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella be- handlingen och för att det ska kunna avgöras att inte för många upp- gifter behandlas. Att ändamålen ska vara berättigade innebär en kopp- ling till den rättsliga grunden.

Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden. I Säkerhetspolisens underrättelseverksamhet, där personuppgifter behöver behandlas på ett tidigt stadium i processen, är det långt ifrån alltid möjligt att ange ändamålen med behandlingen lika tydligt och detaljerat som i annan brottsbekämpande verksamhet. I förarbetena till Säkerhetspolisens datalag framfördes mot den bakgrunden att det får accepteras att beskrivningen av ändamålen inte alltid kan ha samma precision som i annan brottsbekämpande verksamhet. Det finns vidare inget som hindrar att det närmare ändamålet med behandlingen inledningsvis är detsamma som det som anges i bestämmelsen om rättslig grund. Ändamålet får sedan preciseras mer när det är möjligt (prop. 2018/19:163 s. 68).

Trots att Säkerhetspolisens datalag alltså är avsedd att ge gene- rösare ramar för personuppgiftsbehandlingen än brottsdatalagen kan regleringen försvåra en effektiv informationshantering. Bestämmel- serna om rättslig grund och ändamål innebär i praktiken att Säkerhetspolisen inte i alla situationer kan inhämta och på annat sätt behandla uppgifter som kan vara avgörande för att till exempel iden- tifiera en okänd terrorist, spion eller annan antagonist eller för att hindra ett attentat. Skälet är att vissa uppgiftssamlingar som Säkerhets- polisen skulle vilja inhämta till stor del innehåller uppgifter om en- skilda som inte har eller kan antas ha en klar koppling till Säkerhets- polisens brottsbekämpande verksamhet, men där en delmängd av informationen kan vara avgörande. För att kunna hitta den värdefulla informationen skulle myndigheten behöva inhämta och behandla per- sonuppgifter från hela uppgiftssamlingen, även om det på förhand står klart att majoriteten av uppgifterna inte uppfyller kravet på nöd- vändighet om man ser på varje uppgift för sig. Om det till exempel kan förmodas att ett attentat planeras eller kan komma att planeras i en viss miljö, digital eller fysisk, kan Säkerhetspolisen behöva in- hämta och bearbeta information från hela miljön. Det kan handla om att inhämta informationsmängder från öppna källor, till exempel sådan information som är tillgänglig för var och en via internet. För

850

SOU 2025:49

Bilaga 1

att kunna utnyttja den information som finns tillgänglig på ett effektivt sätt skulle Säkerhetspolisen behöva rättsliga förutsättningar för att till exempel samla in och göra jämförelser av fenomen och begrepp som förekommer i sociala medier med hjälp av automatiska processer.

Granskning av uppgifter och kravet på särskilda upplysningar

Om det behövs för att utföra någon av de uppgifter som anges i

2kap. 1 § Säkerhetspolisens datalag, får personuppgifter göras gemen- samt tillgängliga i Säkerhetspolisens verksamhet (3 kap. 2 §). För ge- mensamt tillgängliga uppgifter ska det genom en särskild upplysning anges för vilket ändamål uppgifterna behandlas om det inte framgår av sammanhanget eller på något annat sätt (3 kap. 3 §). Att en sådan upplysning om ändamålet ska anges har motiverats både av hänsyn till verksamheten och till den personliga integriteten. En upplysning om ändamålet kan också vara en förutsättning för att tillsyns- myndigheten ska kunna kontrollera att viss behandling är berättigad och görs i enlighet med lagens bestämmelser (prop. 2018/19:163 s. 88).

Att tillföra upplysningar om ändamålet med behandlingen av upp- gifterna är mycket resurskrävande när det handlar om stora informa- tionsmängder. Samtidigt som sådana upplysningar behöver tillföras måste Säkerhetspolisen också granska om det förekommer känsliga personuppgifter i materialet. Det sker i dag genom att handläggare granskar materialet manuellt. I många fall är det inte möjligt att ge- nomföra en sådan kontroll när det handlar om större informations- mängder. Det kan exempelvis handla om hela trådar i ett forum eller aktiviteter kopplade till en viss person. Det leder i sin tur till att den här typen av inhämtning inte utförs, trots att det skulle kunna vara av stor vikt för Säkerhetspolisens arbete.

Behandling i syfte att utveckla datasystem m.m.

För att på bästa sätt kunna utnyttja de tekniska möjligheter som numera finns att behandla stora informationsmängder automatiskt måste programvarans förmåga utvecklas. För att kunna utveckla pro- gramvarans förmåga på ett ändamålsenligt sätt krävs behandling av stora datamängder av olika uppgiftsslag. Med nuvarande regelverks

851

Bilaga 1

SOU 2025:49

krav på att behandlingen av personuppgifter ska vara nödvändig i för- hållande till den rättsliga grunden är det osäkert om behandling av personuppgifter över huvud taget kan ske i syfte att utveckla data- system och träna upp modeller för maskininlärning. Enligt Säkerhets- polisen är det viktigt att myndigheten får möjlighet att behandla stora mängder relevanta data i syfte att utveckla tekniska lösningar så att de fungerar på bästa sätt.

Längsta tid för behandling

I 4 kap. Säkerhetspolisens datalag finns bestämmelser om hur länge personuppgifter får behandlas. Syftet med bestämmelserna är att skydda den personliga integriteten. Allmänt gäller att personuppgif- ter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (4 kap. 1 §). Därutöver finns särskilda regler för olika situationer. Personuppgifter som inte har gjorts gemensamt tillgängliga får till exempel inte behandlas längre än ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Personuppgifter som gjorts gemensamt tillgängliga får inte behandlas längre än tio år efter ut- gången av det kalenderår då den senaste registreringen gjordes avse- ende personen.

På grund av den långsiktighet som präglar framför allt kontra- spionageverksamheten förlängdes tiden som den typen av uppgifter får behandlas när Säkerhetspolisens datalag infördes. Personuppgif- ter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt, får behandlas högst 40 år efter utgången av det kalenderår då den sen- aste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet. Säkerhetspolisen ansåg i samband med lagstiftningsärendet att sådana personuppgifter borde få behandlas som längst i 70 år. Säkerhetspolisen har nu framfört synpunkter på att bestämmelserna i kapitlet medför att uppgifter som i ett senare skede skulle kunna vara avgörande i t.ex. arbetet med kontraspionage eller kontraterrorism inte får behandlas tillräckligt länge. Säkerhets- polisen behöver kunna behandla uppgifterna över tid för att bearbeta informationen och därmed kunna upptäcka mönster eller samband.

852

SOU 2025:49

Bilaga 1

Uppdraget att se över Säkerhetspolisens personuppgiftsreglering i syfte att skapa ändamålsenliga regler som är anpassade

efter dagens behov

Säkerhetspolisen har pekat på att regelverket som styr myndighetens personuppgiftshantering inte alltid ger förutsättningar för att samla in och behandla uppgifter som kan vara avgörande i verksamheten. Det är mycket angeläget att Säkerhetspolisen har ändamålsenliga be- stämmelser i detta avseende. Den nuvarande lagstiftningen fungerar i vissa avseenden väl. Samtidigt stöter Säkerhetspolisen i dag på pro- blem bland annat vid tillämpningen av de i Säkerhetspolisens datalag fundamentala bestämmelserna om rättslig grund och ändamål för behandlingen. Utredarens övergripande uppdrag är därför att göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behand- ling av personuppgifter som rör nationell säkerhet. Syftet är att skapa ändamålsenliga regler som är anpassade efter dagens behov och möj- ligheter. De författningar som står i fokus är Säkerhetspolisens data- lag med tillhörande förordning. Ovan har några av de begränsningar som Säkerhetspolisen lyft fram beskrivits. Uppdraget att göra en över- syn av regleringen gäller emellertid inte endast dessa begränsningar.

Beträffande flera andra myndigheter finns förslag eller pågående lagstiftningsarbete som tar sikte på ökade möjligheter att använda dataanalyser och urval för att effektivisera informationshanteringen i verksamheten (se t.ex. dir. 2021:104, En modern dataskyddsregler- ing för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet). Utifrån Säkerhetspolisens uppdrag som nationell säkerhetstjänst och med tanke på Säkerhetspolisens underrättelse- och säkerhets- arbete finns det goda skäl för att myndigheten bör ha ett mer gene- röst regelverk kring personuppgiftsbehandlingen än många andra myndigheter. I Norge pågår också lagstiftningsarbete för att ge ökade möjligheter för säkerhetstjänsten (Politiets sikkerhetstjeneste) att behandla stora informationsmängder med hjälp av tekniska hjälpmedel.

Mot den bakgrunden bör en utgångspunkt för översynen vara att Säkerhetspolisen ska få ökade möjligheter att behandla person- uppgifter, t.ex. genom att samla in, sortera, lagra, bearbeta och ana- lysera information med hjälp av tekniska hjälpmedel. Detta är också utredningens huvudfokus. Reglerna behöver vara teknikneutrala och

853

Bilaga 1

SOU 2025:49

flexibla samt ge Säkerhetspolisen möjlighet att utveckla och anpassa arbetet efter samhällsutvecklingen.

Uppdraget omfattar endast Säkerhetspolisens behandling av per- sonuppgifter som rör nationell säkerhet, och alltså inte den behand- ling som ligger inom brottsdatalagens tillämpningsområde. Det ligger heller inte inom ramen för utredarens uppdrag att se över sekretess- regleringen som kan påverka vilka uppgifter Säkerhetspolisen har möjlighet att ta del av. Däremot kan det finns behov av sekretess- regler för att skydda den informationshantering som utredarens för- slag kan medföra.

Utredaren ska

•göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet,

•undersöka i vilken utsträckning dagens regelverk försvårar en effektiv informationshantering i Säkerhetspolisens verksamhet,

•lämna förslag som gör att information kan hanteras av Säkerhets- polisen på ett mer ändamålsenligt sätt än i dag, och

•lämna nödvändiga författningsförslag.

Utredaren ska noga väga Säkerhetspolisens behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. Särskilda integritetsskyddande åtgärder bör därvid över- vägas.

Utredaren ska också vid utformningen av förslagen beakta att till- synsmyndigheterna ska ges förutsättningar att kunna fullgöra sin upp- gift att utöva tillsyn över personuppgiftsbehandlingen på ett effek- tivt sätt. Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.

854

SOU 2025:49

Bilaga 1

Grundläggande fri- och rättigheter ska beaktas

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga in- tegriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap. 20–22 och 25 §§ regerings- formen.

Rätten till respekt för privat- och familjelivet och för korrespon- dens skyddas också av bl.a. artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande fri- heterna (Europakonventionen) och artikel 16 i FN:s konvention om barnets rättigheter (barnkonventionen). Vidare framgår det av artikel 3 i barnkonventionen att vid samtliga åtgärder och beslut som rör barn ska i första hand vad som bedöms vara barnets bästa beaktas.

Detta grundläggande skydd för enskildas integritet är inte absolut. Av såväl regeringsformen som Europakonventionen framgår att skyddet under vissa förutsättningar får begränsas. En begränsning i utövande av rättigheten får göras endast om det sker i enlighet med lag och det är nödvändigt för att tillgodose ändamål som är godtag- bara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den.

Att föreslå grundlagsändringar ingår inte i utredarens uppdrag. De förslag som utredaren lämnar måste alltså vara förenliga med regeringsformen och naturligtvis också med Europakonventionen, barnkonventionen och Sveriges internationella förpliktelser i övrigt.

Dataskyddskonventionen måste beaktas

Eftersom varken dataskyddsdirektivet eller dataskyddsförordningen omfattar behandling av personuppgifter som utförs i verksamhet som rör nationell säkerhet finns det ur EU-rättslig synvinkel inte något som hindrar att regleringen som styr Säkerhetspolisens person- uppgiftsbehandling i den delen utformas på ett annat sätt än det EU- rättsliga regelverket. Europarådets ministerkommitté antog 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionen

855

Bilaga 1

SOU 2025:49

var en av de viktigaste inspirationskällorna vid utformningen av EU:s regelverk för dataskydd. Konventionen gäller även i verksamhet som rör nationell säkerhet och Sverige är folkrättsligt bundet av konven- tionen med dess tilläggsprotokoll. En särreglering av Säkerhetspolisens personuppgiftsbehandling får alltså inte strida mot bestämmelserna i dataskyddskonventionen (se t.ex. prop. 2018/19:163 s. 50).

Eftersom det EU-rättsliga regelverket bygger på och vidare- utvecklar dataskyddskonventionen liknar många bestämmelser var- andra. I dataskyddskonventionen finns det exempelvis bestämmelser om att personuppgifter ska behandlas på ett korrekt och lagligt sätt och att de ska lagras för särskilt angivna och lagliga ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål samt att de ska bevaras på ett sådant sätt att de registrerade personerna inte kan identifieras under längre tid än vad som är nödvändigt med hänsyn till det ändamål för vilket dessa uppgifter lagras (artikel 5). Till skill- nad från i det EU-rättsliga regelverket finns dock möjligheter att göra undantag från de grundläggande bestämmelserna. Undantag får göras endast om en sådan avvikelse medges i nationell lagstiftning och den är nödvändig i ett demokratiskt samhälle för att skydda statens säkerhet, den allmänna säkerheten, statens penningintresse eller brotts- bekämpning samt för att skydda den registrerade personen eller andra personers fri- och rättigheter (artikel 9).

Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör behandling av stora datamängder (Council of Europe, Guidelines on the Protection of Individuals with regard to the Processing of Personal Data in a World of Big Data, 17 January 2017). I syfte att modernisera konven- tionen har en översyn av den pågått inom Europarådet. Förhand- lingarna resulterade i maj 2018 i att ett ändringsprotokoll antogs. Ändringsprotokollet innebär bland annat att möjligheterna att göra undantag från de grundläggande principerna om dataskydd blir mindre än i nuvarande utformning. Sverige tillhörde de första konventions- staterna att underteckna protokollet. Ändringsprotokollet träder dock inte i kraft förrän alla parter har ratificerat protokollet (eller om minst 38 parter har gjort det den 11 oktober 2023).

Utredarens förslag måste anpassas till bestämmelserna i data- skyddskonventionen med ändringsprotokoll.

856

SOU 2025:49

Bilaga 1

Konsekvensbeskrivningar

Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) noga analysera vilka konsekvenser de förslag som läm- nas har för den personliga integriteten. Utredaren ska också bedöma hur förslagen förhåller sig till Sveriges internationella åtaganden om mänskliga rättigheter.

Kontakter och redovisning av uppdraget

Utredaren ska under arbetet samråda med och hämta in synpunkter och upplysningar från Säkerhetspolisen. Vid behov ska utredaren hämta in synpunkter och upplysningar även från andra myndigheter och aktörer som kan vara berörda. Utredaren ska också följa utveck- lingen beträffande de rättsliga förutsättningarna för säkerhetstjänstens informationshantering i Norge, och vid behov även i andra länder. Utredaren ska också hålla sig informerad om och ta hänsyn till rele- vant arbete som pågår inom Regeringskansliet och kommittéväsen- det samt inom ramen för Sveriges internationella åtaganden.

Uppdraget ska redovisas senast den 15 november 2024.

(Justitiedepartementet)

857

Statens offentliga utredningar 2025

Kronologisk förteckning

1.Skärpta krav för svenskt medborgar- skap. Ju.

2.Några frågor om grundläggande fri- och rättigheter. Ju.

3.Skatteincitament för forskning och utveckling. En översyn av FoU-avdraget och expertskatte- reglerna. Fi.

4.Moderna och enklare skatteregler för arbetslivet. Fi.

5.Avgift för områdessamverkan

– och andra åtgärder för trygghet

i byggd miljö. LI.

6.Plikten kallar! En modern personal- försörjning av det civila försvaret. Fö.

7.Ny kärnkraft i Sverige – effektivare tillståndsprövning och ändamålsenliga avgifter. KN.

8.Bättre förutsättningar för trygghet och studiero i skolan. U.

9.På språklig grund. U.

10.En förändrad abortlag – för en god, säker och tillgänglig abortvård. S.

11.Straffbarhetsåldern. Ju.

12.AI-kommissionens Färdplan för Sverige. Fi.

13.En effektivare organisering av mindre myndigheter – analys och förslag. Fi.

14.En skärpt miljöstraffrätt och

ett effektivt sanktionssystem. KN.

15.Stärkta drivkrafter och möjligheter för biståndsmottagare. Volym 1 och 2. S.

16.Ett nytt regelverk för uppsikt och förvar. Ju.

17.Anpassning av svensk rätt till EU:s avskogningsförordning. LI.

18.Ett likvärdigt betygssystem. Volym 1 och 2. U.

19.Kunskap för alla – nya läroplaner med fokus på undervisning och lärande. U.

20.Kommunal anslutning till Utbetal- ningsmyndighetens verksamhet. Fi.

21.Miljömålsberedningens förslag om en strategi för hur Sverige ska leva upp till EU:s åtaganden inom biologisk mångfald respektive nettoupptag av växthusgaser från markanvändnings- sektorn (LULUCF). KN.

22.Förbättrad konkurrens i offentlig och privat verksamhet. KN.

23.Ersättningsregler med brottsoffret i fokus. Ju.

24.Publiken i fokus

– reformer för ett starkare filmland. Ku.

25.Arbetslivskriminalitet – upplägg, verktyg och åtgärder, fortsatt arbete. A.

26.Tid för undervisningsuppdraget – åtgärder för god undervisning och läraryrkenas attraktivitet. U.

27.En socionomutbildning i tiden. U.

28.Frihet från våld, förtryck och utnytt- jande. En jämställdhetspolitisk strategi mot våld och en stärkt styrning av centrala myndigheter. A.

29.Ökad kvalitet hos Samhall

och fler vägar till skyddat arbete. A.

30.Enklare mervärdesskatteregler vid försäljning av begagnade varor och donation av livsmedel. Fi.

31.Utmönstring av permanent uppehålls- tillstånd och vissa anpassningar till miniminivån enligt EU:s migrations- och asylpakt. Ju.

32.Vissa förändringar av jaktlagstiftningen. LI.

33.Skärpta och tydligare krav på vandel för uppehållstillstånd. Ju.

34.Ett modernare konsumentskydd vid distansavtal. Ju.

35.Etableringsboendelagen

– ett nytt system för bosättning för vissa nyanlända. A.

36.Skydd för biologisk mångfald i havs- områden utanför nationell jurisdiktion. UD.

37.Skärpta villkor för friskolesektorn. U.

38.Att omhänderta barn och unga. S.

39.Digital teknik på lika villkor.

En reglering för socialtjänsten och verksamhet enligt LSS. S.

40.Säkrare tivoli. Ju.

41.Pensionsnivåer och pensionsavgiften

–analyser på hundra års sikt. S.

42.Säkerhetsskyddslagen – ytterligare kompletteringar. Ju.

43.Säkerställ tillgången till läkemedel

–förordnande och utlämnande

i bristsituationer. S.

44.Förbättrat stöd i skolan. U.

45.Ökat informationsutbyte mellan myndigheter – några anslutande frågor. Ju.

46.Tryggare idrottsarrangemang. Ju.

47.Spänning i tillvaron – hur säkrar vi vår framtida elförsörjning? KN.

48.Stärkt pandemiberedskap. S.

49.Säkerhetspolisens behandling av personuppgifter. Ju.

Statens offentliga utredningar 2025

Systematisk förteckning

Arbetsmarknadsdepartementet

Arbetslivskriminalitet – upplägg, verktyg och åtgärder, fortsatt arbete. [25]

Frihet från våld, förtryck och utnyttjande. En jämställdhetspolitisk strategi mot våld och en stärkt styrning av centrala myndigheter. [28]

Ökad kvalitet hos Samhall och fler vägar till skyddat arbete. [29]

Etableringsboendelagen – ett nytt system för bosättning för vissa nyanlända. [35]

Finansdepartementet

Skatteincitament för forskning och utveckling. En översyn av FoU-avdraget och expertskatte- reglerna. [3]

Moderna och enklare skatteregler för arbetslivet. [4]

AI-kommissionens Färdplan för Sverige. [12]

En effektivare organisering av mindre myndigheter – analys och förslag. [13]

Kommunal anslutning till Utbetalnings- myndighetens verksamhet. [20]

Enklare mervärdesskatteregler vid försäljning av begagnade varor och donation av livsmedel. [30]

Försvarsdepartementet

Plikten kallar! En modern personal- försörjning av det civila försvaret. [6]

Justitiedepartementet

Skärpta krav för svenskt medborgarskap. [1]

Några frågor om grundläggande fri- och rättigheter. [2]

Straffbarhetsåldern. [11]

Ett nytt regelverk för uppsikt och förvar. [16]

Ersättningsregler med brottsoffret i fokus. [23]

Utmönstring av permanent uppehålls- tillstånd och vissa anpassningar till miniminivån enligt EU:s migrations- och asylpakt. [31]

Skärpta och tydligare krav på vandel för uppehållstillstånd. [33]

Ett modernare konsumentskydd vid distansavtal. [34]

Säkrare tivoli. [40]

Säkerhetsskyddslagen – ytterligare kompletteringar. [42]

Ökat informationsutbyte mellan myndigheter – några anslutande frågor. [45]

Tryggare idrottsarrangemang. [46]

Säkerhetspolisens behandling av personuppgifter. [49]

Klimat- och näringslivsdepartementet

Ny kärnkraft i Sverige – effektivare tillståndsprövning och ändamålsenliga avgifter. [7]

En skärpt miljöstraffrätt och

ett effektivt sanktionssystem. [14]

Miljömålsberedningens förslag om en strategi för hur Sverige ska leva upp till EU:s åtaganden inom biologisk mångfald respektive nettoupptag av växthusgaser från markanvändnings- sektorn (LULUCF). [21]

Förbättrad konkurrens i offentlig och privat verksamhet [22]

Spänning i tillvaron – hur säkrar vi vår framtida elförsörjning? [47]

Kulturdepartementet

Publiken i fokus – reformer för ett star- kare filmland. [24]

Landsbygds- och infrastrukturdepartementet

Avgift för områdessamverkan

–och andra åtgärder för trygghet i byggd miljö. [5]

Anpassning av svensk rätt till EU:s avskogningsförordning. [17]

Vissa förändringar av jaktlagstiftningen. [32]

Socialdepartementet

En förändrad abortlag

–för en god, säker och tillgänglig abortvård. [10]

Stärkta drivkrafter och möjligheter för biståndsmottagare Volym 1 och 2. [15]

Att omhänderta barn och unga. [38]

Digital teknik på lika villkor.

En reglering för socialtjänsten och verksamhet enligt LSS. [39]

Pensionsnivåer och pensionsavgiften

– analyser på hundra års sikt. [41 Säkerställ tillgången till läkemedel

–förordnande och utlämnande i bristsituationer. [43]

Stärkt pandemiberedskap. [48]

Utbildningsdepartementet

Bättre förutsättningar för trygghet och studiero i skolan. [8]

På språklig grund. [9]

Ett likvärdigt betygssystem Volym 1 och 2. [18]

Kunskap för alla – nya läroplaner med fokus på undervisning och lärande. [19]

Tid för undervisningsuppdraget – åtgärder för god undervisning och läraryrkenas attraktivitet. [26]

En socionomutbildning i tiden [27] Skärpta villkor för friskolesektorn. [37] Förbättrat stöd i skolan [44]

Utrikesdepartementet

Skydd för biologisk mångfald i havsområden utanför nationell jurisdiktion. [36]

personuppgifter i större utsträckning än i dag ....	432
8.15 Hur bör behandling av känsliga
personuppgifter regleras?.....................................................	438
8.15.1 Bör samtliga känsliga personuppgifter

Sammanfattning ................................................................		23
Summary ..........................................................................		35
1	Författningsförslag.....................................................	47

1.10 Förslag till lag om ändring i kamerabevakningslagen
(2018:1200) .............................................................................	88

	för att utreda brott .................................................................	89
1.12	Förslag till förordning om Säkerhetspolisens
	behandling av personuppgifter ..............................................	90
1.13	Förslag till förordning om Säkerhetspolisens
	behandling av personuppgifter i särskilda
	uppgiftssamlingar .................................................................	100

	Integritetsskyddsmyndigheten ............................................	105
1.16	Förslag till förordning om ändring i förordningen
	(2007:1141) med instruktion för Säkerhets- och
	integritetsskyddsnämnden ...................................................	107
1.17	Förslag till förordning om ändring i offentlighets-
	och sekretessförordningen (2009:641) ...............................	108
1.18	Förslag till förordning om ändring i förordningen
	(2009:968) med instruktion för
	Försvarsunderrättelsedomstolen .........................................	111
1.19	Förslag till förordning om ändring
	i utlänningsdataförordningen (2016:30) .............................	114
1.20	Förslag till förordning om ändring i förordningen
	(2023:363) om samordningsnummer ..................................	115
2	Utredningens uppdrag och arbete ..............................	117
2.1	Utredningsuppdraget ...........................................................	117
2.2	Uppdragets genomförande ..................................................	118

2.3	Betänkandets disposition......................................................		119
3	Bakgrund................................................................		121
3.1	Inledning................................................................................		121
3.2	Säkerhetspolisens uppdrag ...................................................		122
	3.2.1	Rättslig reglering av Säkerhetspolisens
		uppgifter.................................................................	122

	verksamhet som innefattar brott mot rikets
	säkerhet eller terrorbrott.......................................	124
3.2.3	Utreda och beivra sådana brott.............................	125

		konsekvenser för nationell säkerhet.....................	125
3.3	Säkerhetspolisens verksamhet och arbetsmetoder..............		127
	3.3.1	Säkerhetspolisens verksamhetsområden ..............	127
	3.3.2	Säkerhetspolisens underrättelseverksamhet.........	134
	3.3.3	Säkerhetspolisens brottsutredande verksamhet ..	142
3.4	Nationellt och internationellt samarbete ............................		144
	3.4.1	Nationellt samarbete .............................................	144
	3.4.2	Internationellt samarbete ......................................	146

av personuppgifter ................................................................		147
3.5.1	Bakgrund till säpodatalagen ..................................	147
3.5.2	Allmänt om personuppgiftsbehandling ...............	149
3.5.3	Säpodatalagens tillämpningsområde.....................	151
3.5.4	Rättslig grund och ändamål ..................................	154
3.5.5	Känsliga personuppgifter ......................................	161

	tillgängliga personuppgifter ..................................	166
3.5.7	Längsta tid för personuppgiftsbehandling ...........	171
3.5.8	Enskildas rättigheter..............................................	175
3.5.9	Tillsyn.....................................................................	177

5	En komplex hotbild mot Sverige................................		235
5.1	Inledning................................................................................		235
5.2	Hotbilden i dag .....................................................................		235
	5.2.1	Allmänt om säkerhetsläget....................................	235

		verksamhet .............................................................	237
	5.2.3	Cyberangrepp ........................................................	239
	5.2.4	Subversiv verksamhet i Sverige .............................	239
	5.2.5	Radikalisering.........................................................	240
	5.2.6	Terrorism ...............................................................	241
5.3	Hotbilden i framtiden...........................................................		241
6	Reformbehoven .......................................................		243

	av information........................................................	245
6.1.3	Varje enskild personuppgift bedöms....................	247

uppgifter om brott och brottslig verksamhet
som finns öppet tillgängliga ..................................	260

	ett grundläggande demokratiskt värde ................	264
6.3.2	Den personliga integriteten påverkas
	av Säkerhetspolisens
	personuppgiftsbehandling ....................................	265

		att påverkas av en utökad möjlighet till
		behandling av personuppgifter .............................	267
	6.3.4	Förutsättningar för att inskränka de
		grundläggande fri- och rättigheterna ...................	269
7	Inriktningen för en reform.........................................		271
7.1	En ny säpodatalag bör införas..............................................		272

	Europakonventionen ............................................	275
7.1.3	En proportionerlig lag...........................................	277
7.1.4	En proportionerlig tillämpning ............................	283

8	En ny lag om Säkerhetspolisens
	behandling av personuppgifter ..................................		297
8.1	Lagens syfte och tillämpningsområde .................................		297
	8.1.1	Lagens syfte ...........................................................	297
	8.1.2	Lagens tillämpningsområde ..................................	298
	8.1.3	Förhållandet till annan lagstiftning ......................	310

ska vara proportionell ...........................................................		311
8.2.1	Dataskyddskonventionens bestämmelser ............	311
8.2.2	Den nuvarande regleringen ...................................	312

	proportionalitetsprincip i säpodatalagen? ............	313
8.2.4	Det bör införas en uttrycklig
	proportionalitetsprincip i säpodatalagen..............	320
8.3 Rättslig grund för personuppgiftsbehandling .....................		329
8.3.1	Dataskyddskonventionens bestämmelser ............	329
8.3.2	Den nuvarande regleringen ...................................	329

	i säpodatalagen .......................................................	330
8.4 Verksamheter för behandling av personuppgifter ..............		333
8.4.1	Dataskyddskonventionens bestämmelser ............	333

	som rör nationell säkerhet.....................................	346
8.5 Författningsenlig och korrekt behandling ..........................		349
8.5.1	Dataskyddskonventionens bestämmelse .............	349
8.5.2	Den nuvarande regleringen ...................................	350
8.5.3	Den nuvarande bestämmelsen bör överföras.......	350

8.6 Inledande behandling av personuppgifter...........................		351
8.6.1	Dataskyddskonventionens bestämmelser............	351
8.6.2	Den nuvarande regleringen...................................	352
8.6.3	Särskilt angående underrättelseinhämtning.........	353
8.6.4	Insamling och inhämtning bör särregleras ..........	355

	Säkerhetspolisen tillgång till personuppgifter
	bör betecknas som inledande behandling .............	357
8.6.6	Inledande behandling bör kunna
	ske för ett brett formulerat ändamål ....................	358

är nödvändiga och proportionerliga .....................	365
8.7 Efterföljande behandlingsåtgärder ......................................	367

	inom underrättelseverksamheten .........................	369
8.8 Finalitetsprincipen................................................................		373
8.8.1	Dataskyddskonventionens bestämmelser............	373
8.8.2	Den nuvarande regleringen...................................	374

	för utvecklingsändamål .........................................	376
8.9 Behandlingströskeln .............................................................		377
8.9.1	Behovsprincipen måste uppfyllas.........................	377
8.9.2	Dataskyddskonventionens bestämmelser............	378
8.9.3	Den nuvarande regleringen...................................	378

SOU 2025:49		Innehåll
8.9.6	Vad avses med behövs ? ..........................................	384
8.10 Personuppgifters kvalitet......................................................		385
8.10.1	Dataskyddskonventionens bestämmelser ............	385
8.10.2	Uppgiftsminimering..............................................	386
8.10.3	Korrekta och uppdaterade uppgifter ....................	389
8.11 Det nuvarande begreppet gemensamt tillgängliga
uppgifter ska inte användas i den nya lagen.........................		392
8.11.1	Den nuvarande regleringen är svårmotiverad ......	392
8.11.2	Begreppet gemensamt tillgängliga uppgifter
	bör inte användas i säpodatalagen.........................	393
8.12 Den inledande granskningen av insamlade
personuppgifter.....................................................................		396
8.12.1	Olika krav på insamling och vidarebehandling ....	396
8.12.2	Den nuvarande regleringen av inledande
	granskning..............................................................	398
8.12.3	Det behövs tydligare regler för inledande
	granskning och behandling av insamlade
	personuppgifter .....................................................	399
8.12.4	Hur bör reglerna utformas? ..................................	402

	till särskilda uppgiftssamlingar?............................	411
8.13 Särskilda upplysningar ..........................................................		412
8.13.1	Den nuvarande regleringen ...................................	412
8.13.2	Behövs särskilda upplysningar? ............................	413
8.13.3 Upplysning om ändamål med behandlingen........		414
8.13.4 I underrättelseverksamheten bör det inte
	längre uppställas krav på att personer som inte
	är misstänkta ska särskiljas genom en särskild
	upplysning..............................................................	417
8.13.5	Upplysning om uppgiftslämnarens
	trovärdighet och uppgifternas riktighet i sak
	bör inte vara ett krav i lagen..................................	420
8.13.6 Vid brottsutredning och lagföring bör det
	framgå om en person är misstänkt eller tillhör
	någon annan kategori ............................................	423

8.14 Särskilda bestämmelser om känsliga personuppgifter........		426
8.14.1	Dataskyddskonventionens bestämmelser............	426
8.14.2	Europakonventionen och regeringsformen.........	428
8.14.3 Känsliga personuppgifter i EU-rätten .................		429

personuppgifter .....................................................	430
8.14.5 Den nuvarande regleringen...................................	431