sfs-2019-118220192019:1182sfssfstJustitiedepartementet L4118202019-11-28 00:00:002025-10-17 04:37:472025-10-17 04:37:47Lag (2019:1182) om Säkerhetspolisens behandling av personuppgiftert.o.m. SFS 2025:2221 kap. Allmänna bestämmelser
Syftet med lagen
1 § Syftet med lagen är att skydda fysiska personers
grundläggande rättigheter och friheter i samband med
behandling av personuppgifter och att säkerställa att
Säkerhetspolisen kan behandla och utbyta personuppgifter på
ett ändamålsenligt sätt.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter som rör
nationell säkerhet i Säkerhetspolisens brottsbekämpande och
lagförande verksamhet.
Lagen gäller vid Polismyndighetens behandling av
personuppgifter när myndigheten har övertagit en arbetsuppgift
som rör nationell säkerhet från Säkerhetspolisen.
3 § Lagen gäller vid sådan behandling av personuppgifter som
är helt eller delvis automatiserad och för annan behandling av
personuppgifter som ingår i eller är avsedda att ingå i en
strukturerad samling av personuppgifter som är tillgängliga
för sökning eller sammanställning enligt särskilda kriterier.
Avvikande bestämmelser i annan författning
4 § Om en annan lag eller en förordning innehåller någon
bestämmelse som avviker från denna lag, tillämpas den
bestämmelsen.
Definitioner
5 § I denna lag används följande uttryck med nedan angiven
betydelse.
Uttryck Betydelse
Behandling av personuppgifter En åtgärd eller kombination av
åtgärder som vidtas i fråga om
personuppgifter eller
uppsättningar av personuppgifter,
oavsett om det görs automatiserat
eller inte, t.ex. insamling,
registrering, organisering,
strukturering, lagring,
bearbetning eller ändring,
framtagning, läsning, användning,
utlämnande, spridning eller
tillhandahållande på annat sätt,
justering, sammanföring,
begränsning, radering eller
förstöring.
Biometriska uppgifter Personuppgifter som rör en
persons fysiska, fysiologiska
eller beteendemässiga
kännetecken, som tagits fram
genom särskild teknisk
behandling och som möjliggör
eller bekräftar unik
identifiering av personen.
Dataskyddsombud Den fysiska person som utses
av den personuppgiftsansvarige
för att självständigt
kontrollera att personuppgifter
behandlas författningsenligt
och på ett korrekt sätt enligt
vad som närmare anges i lagen.
Genetiska uppgifter Personuppgifter som rör en
persons nedärvda eller
förvärvade genetiska kännetecken
och som härrör från analys av
ett spår av eller ett prov från
personen.
Internationell organisation En organisation och dess
underställda organ som lyder
under folkrätten eller ett annat
organ som inrättats genom eller
på grundval av en överenskommelse
mellan två eller flera stater.
Mottagare Den till vilken personuppgifter
lämnas ut, med undantag av en
myndighet som med stöd av
författning utövar tillsyn,
kontroll eller revision.
Personuppgift Varje upplysning om en
identifierad eller identifierbar
fysisk person som är i livet.
Personuppgiftsansvarig Den som ensam eller tillsammans
med andra bestämmer ändamålen
med och medlen för behandlingen
av personuppgifter.
Personuppgiftsbiträde Den som behandlar personuppgifter
för den personuppgiftsansvariges
räkning.
Registrerad Den fysiska person som
personuppgiften gäller.
Tredjeland En stat som inte är medlem i
Europeiska unionen eller
Europeiska ekonomiska
samarbetsområdet och som inte
heller på grund av avtal med
Europeiska unionen har en
motsvarande ställning.
Tredje man Någon annan än den registrerade,
den personuppgiftsansvarige,
dataskyddsombudet,
personuppgiftsbiträdet och
sådana personer som under den
personuppgiftsansvariges eller
personuppgiftsbiträdets direkta
ansvar har rätt att behandla
personuppgifter.
Uppgift som rör hälsa Personuppgift som rör en persons
fysiska eller psykiska hälsa,
inklusive information om
tillhandahållande av hälso- och
sjukvårdstjänster som ger
upplysning om personens
hälsostatus.
Personuppgiftsansvar
6 § Säkerhetspolisen respektive Polismyndigheten är
personuppgiftsansvarig för den behandling av personuppgifter
som myndigheten utför.
Den personuppgiftsansvarige är ansvarig för all behandling av
personuppgifter som utförs under dennes ledning eller på
dennes vägnar.
Behandling av uppgifter om juridiska personer
7 § Bestämmelserna om personuppgifter i följande paragrafer
gäller också vid behandling av uppgifter om juridiska
personer:
1. 6 § om personuppgiftsansvar,
2. 2 kap. 1 och 2 §§ om rättsliga grunder för behandling av
personuppgifter,
3. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,
4. 4 kap. 1-4 och 6-10 §§ om längsta tid som personuppgifter
får behandlas, och
5. 5 kap. 5 § om tillgången till personuppgifter.
2 kap. Behandling av personuppgifter
Grundläggande krav på behandlingen
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet
som innefattar
a) brott mot Sveriges säkerhet,
b) terrorbrott, eller
c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska
eller främlingsfientliga motiv,
2. utreda eller lagföra sådana brott som avses i 1, eller,
efter särskilt beslut, annat brott,
3. fullgöra uppgifter
a) i samband med personskydd av den centrala statsledningen
och andra som regeringen eller Säkerhetspolisen bestämmer,
b) enligt säkerhetsskyddslagen (2018:585), eller
c) enligt utlännings- och medborgarskapslagstiftningen,
4. fullgöra någon annan uppgift som rör nationell säkerhet och
som anges i lag eller förordning eller särskilt beslut av
regeringen, eller
5. fullgöra förpliktelser som följer av internationella
åtaganden.
2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om
1. det är nödvändigt för diarieföring, eller
2. uppgifterna har lämnats till Säkerhetspolisen i en anmälan,
ansökan eller liknande och behandlingen är nödvändig för
handläggningen.
Ändamål
3 § Personuppgifter får behandlas bara för särskilda,
uttryckligt angivna och berättigade ändamål. De får inte
behandlas för något ändamål som är oförenligt med det ändamål
de ursprungligen behandlades för.
4 § Personuppgifter som behandlas med stöd av 1 § får även
behandlas om det är nödvändigt för att tillhandahålla
information som behövs
1. för något av de syften som anges i 1 kap. 2 §
brottsdatalagen (2018:1177) hos Polismyndigheten,
Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket,
Kustbevakningen eller Skatteverket,
2. i en myndighets verksamhet, om informationen tillhandahålls
inom ramen för myndighetsöverskridande samverkan mot brott,
3. i Försvarsmaktens försvarsunderrättelseverksamhet och
militära säkerhetstjänst och i Försvarets radioanstalts
försvarsunderrättelseverksamhet, om det finns särskilda skäl
att tillhandahålla informationen,
4. i en myndighets verksamhet om Säkerhetspolisen enligt lag
eller förordning ska bistå myndigheten med en viss uppgift,
5. i brottsbekämpande verksamhet hos en utländsk myndighet
eller mellanfolklig organisation, eller
6. i verksamhet hos utländsk underrättelse- eller
säkerhetstjänst.
Personuppgifter som behandlas med stöd av 1 § får även
behandlas om det är nödvändigt för att tillhandahålla
information till riksdagen eller regeringen och, i den
utsträckning skyldighet att lämna uppgifter följer av lag
eller förordning, till andra.
I ett enskilt fall får personuppgifter som behandlas med stöd
av 1 § även behandlas för att tillhandahålla information för
något annat ändamål än de som anges i första och andra
styckena, under förutsättning att ändamålet inte är oförenligt
med det ändamål som uppgifterna samlades in för.
5 § Säkerhetspolisen får behandla personuppgifter för
vetenskapliga, statistiska eller historiska ändamål inom denna
lags tillämpningsområde.
Författningsenlig och korrekt behandling
6 § Personuppgifter ska behandlas författningsenligt och på
ett korrekt sätt.
Personuppgifternas kvalitet
7 § Personuppgifter som behandlas ska vara korrekta och, om
det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på
ett objektivt sätt med respekt för människovärdet.
8 § Personuppgifter som behandlas ska vara adekvata och
relevanta i förhållande till ändamålen med behandlingen. Fler
personuppgifter får inte behandlas än vad som är nödvändigt
med hänsyn till ändamålen med behandlingen.
Känsliga personuppgifter
9 § Personuppgifter som avslöjar ras, etniskt ursprung,
politiska åsikter, religiös eller filosofisk övertygelse eller
medlemskap i fackförening eller som rör hälsa, sexualliv eller
sexuell läggning får inte behandlas.
Om uppgifter om en person behandlas får de dock kompletteras
med sådana uppgifter som anges i första stycket om det är
absolut nödvändigt för ändamålet med behandlingen.
10 § Säkerhetspolisen får behandla biometriska uppgifter om
det är absolut nödvändigt för ändamålet med behandlingen.
Genetiska uppgifter får inte behandlas.
11 § Personuppgifter som avses i 9 och 10 §§ (känsliga
personuppgifter) får alltid behandlas med stöd av 2 §.
12 § Det är förbjudet att utföra sökningar i syfte att få fram
ett urval av personer grundat på känsliga personuppgifter.
Första stycket hindrar inte att brottsrubriceringar, uppgifter
om tillvägagångssätt vid brott eller uppgifter som beskriver
en persons utseende används som sökbegrepp.
Första stycket hindrar inte heller sökningar i syfte att få
fram ett urval av personer grundat på etniskt ursprung,
politiska åsikter, religiös eller filosofisk övertygelse eller
uppgifter som rör hälsa, sexualliv eller sexuell läggning, om
sökningen är absolut nödvändig för något av de syften som
anges i 1 §.
Första stycket hindrar inte heller sökningar i
biometriregister som förs enligt lagen (2018:1693) om polisens
behandling av personuppgifter inom brottsdatalagens område i
syfte att få fram ett urval av personer grundat på biometriska
uppgifter, om sökningen är absolut nödvändig för något av de
syften som anges i 1 §. Lag (2025:139).
Rättelse, uppdatering och radering
13 § Alla rimliga åtgärder ska vidtas för att personuppgifter
som med hänsyn till ändamålet med behandlingen är felaktiga
eller ofullständiga utan onödigt dröjsmål rättas och för att
förhindra att sådana uppgifter lämnas ut eller görs
tillgängliga. Personuppgifter som är inaktuella ska uppdateras
om det är nödvändigt.
14 § Alla rimliga åtgärder ska vidtas för att personuppgifter
som behandlas i strid med någon av 1-6, 8-10 eller 12 §§, 4
kap. 1 § första stycket eller någon av 2-4 eller 7-10 §§ utan
onödigt dröjsmål raderas och för att förhindra att sådana
uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller
om radering krävs för att utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera
personuppgifter är uppfyllda men uppgifterna behöver finnas
kvar av bevisskäl, ska behandlingen av uppgifterna i stället
utan onödigt dröjsmål begränsas.
Utlämnande av personuppgifter
15 § Personuppgifter som är nödvändiga för att framställa
rättsstatistik ska lämnas till den myndighet som ansvarar för
att framställa sådan statistik.
16 § Om det är förenligt med svenska intressen får
personuppgifter lämnas ut till
1. Interpol eller Europol, eller till en polismyndighet eller
åklagarmyndighet i en stat som är ansluten till Interpol, om
det behövs för att mottagaren ska kunna förebygga, förhindra
eller upptäcka brottslig verksamhet eller utreda eller lagföra
brott, eller
2. en utländsk underrättelse- eller säkerhetstjänst.
Personuppgifter får vidare lämnas ut till en utländsk
myndighet eller mellanfolklig organisation, om utlämnandet
följer av en internationell överenskommelse som Sverige har
tillträtt efter riksdagens godkännande.
17 § Polismyndigheten har, trots sekretess enligt 21 kap. 3 §
första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och
sekretesslagen (2009:400), rätt att ta del av personuppgifter
som har gjorts gemensamt tillgängliga och som behandlas med
stöd av 1 § 1-3 a och c, om myndigheten behöver uppgifterna
för ett syfte som anges i 2 kap. 1 § 1 eller 2 lagen
(2018:1693) om polisens behandling av personuppgifter inom
brottsdatalagens område eller för att fullgöra uppgifter
enligt utlänningslagen (2005:716) eller lagen (2022:700) om
särskild kontroll av vissa utlänningar. Lag (2022:710).
18 § Försvarsmakten har, trots sekretess enligt 21 kap. 3 §
första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och
sekretesslagen (2009:400), rätt att ta del av personuppgifter
som har gjorts gemensamt tillgängliga och som behandlas med
stöd av 1 § 1 eller 2, om myndigheten behöver uppgifterna i
sin försvarsunderrättelseverksamhet eller militära
säkerhetstjänst. Detsamma gäller Försvarets radioanstalt, om
myndigheten behöver uppgifterna i sin försvarsunderrättelse-
verksamhet.
19 § Personuppgifter får lämnas ut elektroniskt på annat sätt
än genom direktåtkomst om det inte är olämpligt.
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i
den utsträckning som anges i 3 kap. 5-7 §§.
Personuppgifter från transportföretag
20 § Personuppgifter som tillhandahålls av transportföretag
enligt 25 § polislagen (1984:387) får behandlas för att utföra
en uppgift som anges i 1 §.
Personuppgifter som avses i första stycket får endast i ett
enskilt fall behandlas för nya ändamål.
21 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får
personuppgifterna inte ändras eller bearbetas på annat sätt.
Behandling av vissa personuppgifter som rör motorfordon
22 § Personuppgifter som rör motorfordon och som samlas in vid
sådan bevakning som avses i 14 c § 4 kamerabevakningslagen
(2018:1200) får alltid behandlas i sex månader.
Uppgifterna får endast användas för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet
som innefattar brott för vilket det är föreskrivet fängelse i
två år eller mer, eller
2. utreda eller lagföra ett sådant brott.
Om det kommer fram misstankar om ett brott för vilket det inte
är föreskrivet fängelse i två år eller mer i samband med att
en brotts-bekämpande åtgärd vidtas till följd av användning av
uppgifter enligt andra stycket, får uppgifterna även användas
för att förhindra, utreda eller lagföra det brottet.
Paragrafen gäller inte för behandling av personuppgifter i
form av bilder på enskilda. Lag (2025:222).
Rätt att meddela föreskrifter
23 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen
meddela föreskrifter om
1. att personuppgifter får lämnas ut i andra fall än som anges
i 15-18 §§, och
2. begränsning av möjligheten att lämna ut personuppgifter
elektroniskt enligt 19 § första stycket. Lag (2025:222).
3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för
behandling av personuppgifter som görs eller har gjorts
gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast
ett fåtal personer har rätt att ta del av anses inte som
gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med
stöd av 2 kap. 2 §.
Personuppgifter som får göras gemensamt tillgängliga
2 § Personuppgifter får göras gemensamt tillgängliga om det
behövs för att utföra någon av de uppgifter som anges i 2 kap.
1 §.
Särskilda upplysningar
3 § Om det ändamål som de gemensamt tillgängliga
personuppgifterna behandlas för inte framgår av sammanhanget
eller på något annat sätt, ska det tydliggöras genom en
särskild upplysning.
4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt
kan hänföras till en person som inte är misstänkt för brott
eller för att ha utövat eller komma att utöva brottslig
verksamhet som avses i 2 kap. 1 § 1 eller 2, ska det genom en
särskild upplysning eller på något annat sätt framgå att
personen inte är misstänkt.
Uppgifter om en person som kan antas ha direkt samband med
sådan brottslig verksamhet som avses i 2 kap. 1 § 1 ska förses
med en upplysning om uppgiftslämnarens trovärdighet och upp-
gifternas riktighet i sak, om det inte på grund av
omständigheterna är onödigt.
Någon upplysning enligt andra stycket behöver inte heller
lämnas om
1. uppgifterna ingår i en uppgiftssamling som har skapats för
att bearbeta och analysera information och som enbart särskilt
angivna tjänstemän har åtkomst till, och
2. bearbetningen av uppgifterna inte har genomförts.
Direktåtkomst
5 § Polismyndigheten får för något av de syften som anges i
2 kap. 1 § 1 eller 2 lagen (2018:1693) om polisens behandling
av personuppgifter inom brottsdatalagens område eller för att
fullgöra uppgifter enligt utlänningslagen (2005:716) eller
lagen (2022:700) om särskild kontroll av vissa utlänningar
medges direktåtkomst till personuppgifter som behandlas med
stöd av 2 kap. 1 § 1-3 a och c. Direktåtkomsten får endast
avse personuppgifter som har gjorts gemensamt tillgängliga.
Lag (2022:710).
6 § Försvarsmakten får i försvarsunderrättelseverksamheten och
den militära säkerhetstjänsten medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 1 § 1 eller
2. Detsamma gäller Försvarets radioanstalt i
försvarsunderrättelseverksamheten. Direktåtkomsten får endast
avse personuppgifter som har gjorts gemensamt tillgängliga.
7 § En underrättelse- eller säkerhetstjänst i en stat som
omfattas av avtalet om Europeiska ekonomiska samarbetsområdet,
i Förenade kungariket eller i Schweiz får medges direktåtkomst
till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 b
om det behövs för samarbetet mot terrorism. Direktåtkomsten
får endast avse personuppgifter som har gjorts gemensamt
tillgängliga.
Innan direktåtkomst medges en utländsk underrättelse- eller
säkerhetstjänst ska Säkerhetspolisen informera regeringen.
Lag (2023:562).
Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer
kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om omfattningen av direktåtkomst enligt 5-7 §§
och om behörighet och säkerhet vid sådan åtkomst.
4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Personuppgifter får inte behandlas under längre tid än vad
som är nödvändigt med hänsyn till ändamålet med behandlingen.
Bestämmelsen i första stycket hindrar inte att
Säkerhetspolisen arkiverar och bevarar allmänna handlingar
eller att arkivmaterial lämnas till en arkivmyndighet.
Vid automatiserad behandling gäller också de begränsningar som
följer av 2-10 §§.
Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga
får inte behandlas längre än
1. ett år efter det att ärendet avslutades, om de behandlas i
ett ärende, eller
2. ett år efter det att de behandlades automatiserat första
gången, om de inte kan hänföras till ett ärende.
Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen
av denna paragraf.
Första stycket gäller inte personuppgifter i ärenden om
utredning av eller lagföring för brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av
eller lagföring för brott
3 § Om en brottsanmälan avskrivs på grund av att den påstådda
gärningen inte utgör brott, får personuppgifter som finns i
anmälan och som har gjorts gemensamt tillgängliga inte längre
behandlas för ändamål inom denna lags tillämpningsområde. Om
en brottsanmälan i annat fall inte har lett till för-
undersökning eller annan motsvarande utredning, får
personuppgifter som har gjorts gemensamt tillgängliga inte
behandlas för ändamål inom denna lags tillämpningsområde när
åtal inte längre får väckas för brottet.
4 § Om en förundersökning har lett till åtal eller annan
domstolsprövning, får personuppgifter som finns i
förundersökningen och som har gjorts gemensamt tillgängliga
inte behandlas för ändamål inom denna lags tillämpningsområde
längre än fem år efter utgången av det kalenderår då dom-
stolens avgörande fick laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat
sätt än genom åtal, får personuppgifter i förundersökningen
inte behandlas för ändamål inom denna lags tillämpningsområde
längre än fem år efter utgången av det kalenderår då
åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra
utredningar som handläggs enligt bestämmelser i 23 kap.
rättegångsbalken.
5 § Om en förundersökning mot en person har lagts ner, om ett
åtal har lagts ner eller om en frikännande dom har fått laga
kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
6 § Andra personuppgifter än de som anges i 3 eller 4 § och
som har gjorts gemensamt tillgängliga får som längst behandlas
under den tid som anges i 7-10 §§.
Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen
av 7-10 §§.
7 § Personuppgifter får inte behandlas längre än tio år efter
utgången av det kalenderår då den senaste registreringen
gjordes avseende personen.
Uppgifter om en person som vid tiden för registreringen inte
fyllt 18 år får dock inte behandlas längre än fem år efter
utgången av det kalenderår då den senaste registreringen
gjordes avseende den unge. Om en ny registrering avseende
personen görs efter det att han eller hon fyllt 18 år, gäller
i stället den tidsfrist som anges i första stycket för
samtliga personuppgifter.
Första och andra styckena gäller inte sådana personuppgifter
som avses i 8 och 9 §§.
8 § Personuppgifter som behandlas i en sådan uppgiftssamling
som anges i 3 kap. 4 § tredje stycket får inte behandlas
längre än tre år efter utgången av det kalenderår då den
senaste registreringen gjordes avseende personen.
9 § Personuppgifter som hänför sig till sådan säkerhetshotande
verksamhet som avses i 18 och 19 kap. brottsbalken och som
utövas av främmande makt, får inte behandlas längre än 40 år
efter utgången av det kalenderår då den senaste registreringen
gjordes avseende personens anknytning till brott eller
brottslig verksamhet. För personuppgifter som behandlas i en
sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket
gäller 8 §.
10 § Om det finns särskilda skäl får Säkerhetspolisen besluta
att personuppgifter får behandlas under längre tid än vad som
anges i 7-9 §§, om uppgifterna fortfarande behövs för det
ändamål som de behandlas för. Om personuppgifter behandlas med
stöd av ett sådant beslut ska frågan om fortsatt behandling
prövas på nytt senast vid utgången av det tionde kalenderåret
efter beslutet eller, om det är fråga om uppgifter som avses i
8 §, senast vid utgången av det tredje kalenderåret efter
beslutet. Tiden som personuppgifterna får behandlas får vid
varje tillfälle förlängas med längst tio år eller, om det är
fråga om uppgifter som avses i 8 §, med längst tre år.
Rätt att meddela föreskrifter
11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen
meddela föreskrifter om att vissa kategorier av
personuppgifter får fortsätta att behandlas för ändamål inom
denna lags tillämpningsområde under längre tid än vad som
anges i 3 och 4 §§.
12 § Regeringen eller den myndighet som regeringen bestämmer
kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om
1. att personuppgifter får behandlas för arkivändamål av
allmänt intresse eller vetenskapliga, statistiska eller
historiska ändamål under längre tid än vad som anges i 2 §
första stycket eller någon av 7-10 §§, och
2. begränsning av behandlingen av personuppgifter för ändamål
inom denna lags tillämpningsområde vid digital arkivering.
5 kap. Skyldigheter som personuppgiftsansvarig
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
1 § Säkerhetspolisen ska, genom lämpliga tekniska och
organisatoriska åtgärder, säkerställa och kunna visa att
behandlingen av personuppgifter är författningsenlig och att
registrerades rättigheter skyddas.
2 § Säkerhetspolisen ska när medlen för behandlingen bestäms
och vid behandlingen, genom lämpliga tekniska och
organisatoriska åtgärder, se till att nödvändiga
skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).
3 § Säkerhetspolisen ska se till att det i automatiserade
behandlingssystem som regel inte är möjligt att behandla andra
personuppgifter än de som är nödvändiga för varje särskilt
angivet ändamål med behandlingen (dataskydd som standard).
4 § Säkerhetspolisen ska säkerställa att det i automatiserade
behandlingssystem förs loggar över personuppgiftsbehandling i
den utsträckning det är särskilt föreskrivet.
Tillgången till personuppgifter
5 § Säkerhetspolisen ska se till att tillgången till
personuppgifter begränsas till vad var och en behöver för att
kunna fullgöra sina arbetsuppgifter.
Konsekvensbedömning och förhandssamråd
6 § Om en ny typ av behandling, eller betydande förändringar
av redan pågående behandling, kan antas medföra särskild risk
för intrång i den registrerades personliga integritet, ska
Säkerhetspolisen innan behandlingen påbörjas eller
förändringen genomförs bedöma konsekvenserna för skyddet av
personuppgifter.
Om konsekvensbedömningen visar att det finns särskild risk för
intrång i registrerades personliga integritet eller om typen
av behandling innebär särskild risk för intrång, ska
Säkerhetspolisen samråda med tillsynsmyndigheten i god tid
innan behandlingen påbörjas eller betydande förändringar
genomförs (förhandssamråd).
Säkerhetsåtgärder
7 § Säkerhetspolisen ska vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som
behandlas, särskilt mot obehörig eller otillåten behandling
och mot förlust, förstöring eller annan oavsiktlig skada.
Samarbete med tillsynsmyndigheten
8 § Säkerhetspolisen ska samarbeta med tillsynsmyndigheten när
den utför uppgifter enligt denna lag och föreskrifter som har
meddelats i anslutning till lagen.
Dataskyddsombud
9 § Säkerhetspolisen ska inom myndigheten utse ett eller flera
dataskyddsombud och anmäla till tillsynsmyndigheten när
dataskyddsombud utses och entledigas.
10 § Dataskyddsombud ska
1. självständigt kontrollera att Säkerhetspolisen behandlar
personuppgifter författningsenligt och på ett korrekt sätt och
i övrigt fullgör sina skyldigheter,
2. informera och ge råd till Säkerhetspolisen och de som
behandlar personuppgifter under myndighetens ledning om deras
skyldigheter vid behandling av personuppgifter,
3. på begäran ge Säkerhetspolisen råd vid en
konsekvensbedömning och kontrollera att den genomförs på
korrekt sätt,
4. vara kontaktpunkt för enskilda i frågor som rör behandling
av personuppgifter, och
5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för
den vid förhandssamråd och andra frågor som rör behandling av
personuppgifter.
Personuppgiftsbiträden
11 § Säkerhetspolisen får, om det är lämpligt, anlita
personuppgiftsbiträden för behandling av personuppgifter på
myndighetens vägnar. Innan ett personuppgiftsbiträde anlitas
ska Säkerhetspolisen försäkra sig om att biträdet kommer att
vidta de lämpliga tekniska och organisatoriska åtgärder som
krävs för att behandlingen av personuppgifter ska vara
författningsenlig och för att skydda registrerades
rättigheter.
Personuppgiftsbiträdets behandling av personuppgifter ska
regleras i ett skriftligt avtal eller annan skriftlig
överenskommelse.
12 § Ett personuppgiftsbiträde får inte anlita ett annat
personuppgiftsbiträde utan skriftligt tillstånd från
Säkerhetspolisen.
13 § Ett personuppgiftsbiträde och de som arbetar under
biträdets ledning ska behandla personuppgifter i enlighet med
instruktioner från Säkerhetspolisen.
Om ett personuppgiftsbiträde bestämmer ändamålen med och
medlen för behandlingen, ska biträdet anses vara
personuppgiftsansvarig för den behandlingen.
14 § Det som sägs om Säkerhetspolisens skyldigheter i 4, 5, 7
och 8 §§ gäller även för personuppgiftsbiträden.
6 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 § Säkerhetspolisen ska göra följande allmänna information
tillgänglig för den registrerade:
1. myndighetens identitet och kontaktuppgifter,
2. dataskyddsombudets kontaktuppgifter,
3. kategorier av ändamål för behandlingen,
4. rätten enligt 2 § att begära att få information om
behandling av personuppgifter och att få del av uppgifterna,
och
5. rätten att begära rättelse, radering eller begränsning av
behandlingen enligt 6 och 7 §§.
Personrelaterad information
2 § Säkerhetspolisen ska till den som begär det utan onödigt
dröjsmål lämna skriftligt besked om huruvida personuppgifter
som rör honom eller henne behandlas. Om sådana uppgifter
behandlas, ska sökanden få del av dem och få följande
skriftliga information:
1. vilka personuppgifter om sökanden som behandlas,
2. varifrån personuppgifterna kommer,
3. den rättsliga grunden för behandlingen,
4. ändamålen med behandlingen,
5. mottagare eller kategorier av mottagare av
personuppgifterna, även i tredjeland eller internationella
organisationer,
6. hur länge personuppgifterna får behandlas eller, om det
inte är möjligt att ange, kriterierna för att fastställa det,
och
7. rätten att begära rättelse, radering eller begränsning av
behandlingen enligt 6 och 7 §§.
Utlämnande av personuppgifter enligt första stycket behöver
inte omfatta sådana personuppgifter som sökanden har tagit del
av, om inte han eller hon begär det. Det ska dock framgå av
informationen att personuppgifterna i fråga behandlas.
Begränsning av rätten till information
3 § Informationsskyldigheten i 2 § gäller inte i den
utsträckning det är särskilt föreskrivet i lag eller annan
författning eller annars framgår av beslut som har meddelats
med stöd av författning att uppgifter inte får lämnas ut till
den registrerade.
Om förutsättningarna i första stycket är uppfyllda, är
Säkerhetspolisen inte skyldig att lämna ut skälen för beslut
enligt första stycket eller beslut i fråga om rättelse,
radering eller begränsning av behandlingen enligt 6 eller 7 §.
4 § Informationsskyldigheten i 2 § gäller inte personuppgifter
i löpande text som inte fått sin slutliga utformning när
begäran gjordes eller som utgör minnesanteckning eller
liknande.
Informationsskyldigheten gäller dock om uppgifterna
1. har lämnats ut till tredje man, med undantag för en
myndighet som med stöd av författning utövar tillsyn, kontroll
eller revision,
2. behandlas enbart för vetenskapliga, statistiska eller
historiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text
som inte har fått sin slutliga utformning.
5 § Om en begäran enligt 2 § är orimlig eller uppenbart
ogrundad får Säkerhetspolisen avslå den.
Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall
får ta ut avgift i stället för att avslå begäran.
Rätten till rättelse, radering och begränsning av behandlingen
6 § Säkerhetspolisen ska på begäran av den registrerade utan
onödigt dröjsmål rätta eller komplettera personuppgifter som
rör honom eller henne, om de är felaktiga eller ofullständiga
med hänsyn till ändamålet med behandlingen.
Om Säkerhetspolisen inte kan fastställa att personuppgifterna
är korrekta, ska behandlingen av uppgifterna i stället utan
onödigt dröjsmål begränsas.
7 § Säkerhetspolisen ska på begäran av den registrerade utan
onödigt dröjsmål radera personuppgifter som rör honom eller
henne, om de behandlas i strid med någon av 2 kap. 1-6, 8-10
eller 12 §§, 4 kap. 1 § första stycket eller någon av 2-4
eller 7-10 §§. Detsamma gäller om det krävs radering för att
Säkerhetspolisen ska utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera
personuppgifter är uppfyllda men uppgifterna behöver finnas
kvar av bevisskäl, ska Säkerhetspolisen på begäran av den
registrerade i stället utan onödigt dröjsmål begränsa
behandlingen av uppgifterna.
8 § Säkerhetspolisen avgör vilken åtgärd som ska vidtas med
anledning av en begäran om rättelse, radering eller
begränsning av behandlingen.
Avgiftsfri information
9 § Information enligt 1 § ska lämnas utan avgift. Information
och uppgifter enligt 2 § ska lämnas utan avgift en gång per
år.
Om någon begär information och uppgifter enligt 2 § oftare än
en gång per år, får Säkerhetspolisen ta ut en rimlig avgift
eller avslå begäran enligt 5 § första stycket.
7 kap. Tillsyn
Tillsynsmyndighetens uppgifter
1 § Tillsynsmyndigheten ska
1. utöva allmän tillsyn över personuppgiftsbehandling, och
2. vid förhandssamråd enligt 5 kap. 6 § och när det i övrigt
är påkallat ge råd och stöd till Säkerhetspolisen och
personuppgiftsbiträden om deras skyldigheter enligt lag eller
annan författning.
2 § Bestämmelser om tillsyn över Säkerhetspolisens behandling
av personuppgifter finns även i lagen (2007:980) om tillsyn
över viss brottsbekämpande verksamhet.
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
3 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen och
personuppgiftsbiträdet på begäran få
1. tillgång till alla personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av
personuppgifter och säkerhets- och skyddsåtgärder,
3. tillträde till lokaler som Säkerhetspolisen eller
personuppgiftsbiträdet disponerar samt tillgång till
utrustning och andra medel för behandling av personuppgifter,
och
4. den hjälp och den information som behövs för tillsynen.
Förebyggande befogenheter
4 § Om tillsynsmyndigheten bedömer att det finns risk för att
personuppgifter kan komma att behandlas i strid med lag eller
annan författning, ska myndigheten genom råd, rekommendationer
eller påpekanden försöka förmå Säkerhetspolisen eller
personuppgiftsbiträdet att vidta åtgärder för att motverka den
risken.
Tillsynsmyndigheten får utfärda en skriftlig varning för att
planerad behandling av personuppgifter riskerar att stå i
strid med lag eller annan författning. Detsamma gäller om
pågående behandling riskerar att stå i strid med lag eller
annan författning.
Korrigerande befogenheter
5 § Om tillsynsmyndigheten konstaterar att personuppgifter
behandlas i strid med lag eller annan författning eller att
Säkerhetspolisen eller personuppgiftsbiträdet på något annat
sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten
1. genom sådana åtgärder som anges i 4 § första stycket
försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet
att vidta åtgärder för att behandlingen ska bli
författningsenlig, eller att uppfylla andra skyldigheter,
2. förelägga Säkerhetspolisen eller personuppgiftsbiträdet att
vidta åtgärder för att behandlingen ska bli författningsenlig
eller att uppfylla andra skyldigheter, eller
3. förbjuda fortsatt behandling om bristen är allvarlig.
Om ett föreläggande utfärdas ska det av föreläggandet framgå
när åtgärderna senast ska vara genomförda och, om det är
lämpligt, vilka åtgärder som ska vidtas.
Verkställighet av beslut
6 § Tillsynsmyndighetens beslut får inte verkställas
omedelbart.
8 kap. Skadestånd och överklagande
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade
för den skada och kränkning av den personliga integriteten som
orsakats av behandling av personuppgifter i strid med denna
lag, eller föreskrifter som har meddelats i anslutning till
den.
Överklagande
Överklagande av den personuppgiftsansvariges beslut
2 § Beslut i fråga om rättelse eller komplettering enligt
6 kap. 6 § första stycket, radering enligt 6 kap. 7 § första
stycket, eller begränsning av behandlingen enligt 6 kap. 6 §
andra stycket eller 6 kap. 7 § andra stycket, som har
meddelats av den personuppgiftsansvarige, får överklagas till
allmän förvaltningsdomstol. Detsamma gäller beslut att inte
lämna information enligt 6 kap. 2 § eller att ta ut avgift
enligt 6 kap. 9 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt denna lag får
överklagas till allmän förvaltningsdomstol. När ett beslut
överklagas är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§
får inte överklagas.
9 kap. Överföring av personuppgifter till tredjeland och
internationella organisationer
Förutsättningar för överföring
1 § Säkerhetspolisen får överföra personuppgifter till ett
tredjeland eller en internationell organisation, om
personuppgifterna behandlas i Sverige eller är avsedda att
behandlas i ett tredjeland eller av en internationell organi-
sation. Personuppgifterna får dock endast överföras om
överföringen
1. riktas till en brottsbekämpande myndighet eller en
underrättelse- eller säkerhetstjänst i ett tredjeland eller en
internationell organisation med brottsbekämpande uppdrag och
2. omfattas av
a) ett beslut om adekvat skyddsnivå enligt 2 §,
b) tillräckliga skyddsåtgärder enligt 3 §, eller
c) ett undantag för särskilda situationer enligt 4 §.
Beslut om adekvat skyddsnivå
2 § Om Europeiska kommissionen har beslutat att det finns en
adekvat nivå för skyddet av personuppgifter i ett tredjeland,
eller en viss geografisk eller på annat sätt angiven del av
det, får personuppgifter överföras dit under de
förutsättningar som anges i 1 §. Detsamma gäller om det finns
ett sådant beslut avseende en internationell organisation.
Tillräckliga skyddsåtgärder
3 § Om det inte finns något beslut om adekvat skyddsnivå
enligt 2 §, får personuppgifter, under de förutsättningar som
anges i 1 §, ändå överföras till ett tredjeland eller en
internationell organisation om
1. skyddsåtgärder för personuppgifter har fastställts i ett
avtal som ger tillräckliga garantier till skydd för den
registrerade, eller
2. mottagaren på annat sätt garanterar tillräckligt skydd för
personuppgifterna.
Överföring i särskilda situationer
4 § Om det inte finns något beslut om adekvat skyddsnivå
enligt 2 § eller tillräckliga skyddsåtgärder enligt 3 §, får
en överföring eller en samling av överföringar av
personuppgifter, under de förutsättningar som anges i 1 §,
göras till ett tredjeland eller en internationell organisation
endast om överföringen är nödvändig för att
1. värna den registrerades eller någon annan fysisk persons
vitala intressen eller andra berättigade intressen som den
registrerade har,
2. i ett enskilt fall förebygga, förhindra eller upptäcka
brottslig verksamhet eller utreda eller lagföra brott,
3. i ett enskilt fall kunna fastställa, göra gällande eller
försvara ett rättsligt anspråk som hänför sig till ett sådant
syfte som anges i 2, eller
4. avvärja en omedelbar och allvarlig fara för allmän
säkerhet.
Personuppgifter får inte överföras till ett tredjeland eller
en internationell organisation om den registrerades intresse
av skydd mot kränkning av rättigheter och friheter väger
tyngre än det allmännas intresse av en sådan överföring som
avses i första stycket 2 eller 3.
Överföring till andra mottagare
5 § Säkerhetspolisen får i ett enskilt fall överföra
personuppgifter till en annan mottagare i ett tredjeland än
som anges i 1 § 1. Personuppgifterna får överföras endast om
de övriga förutsättningarna i 1 § är uppfyllda och om
1. det är absolut nödvändigt för att Säkerhetspolisen ska
kunna utföra en uppgift enligt 2 kap. 1 §, och
2. det skulle vara ineffektivt eller olämpligt att överföra
dem till en mottagare som anges i 1 § 1 i det tredjelandet.
Personuppgifter får inte överföras enligt första stycket om
den registrerades intresse av skydd mot kränkning av
rättigheter och friheter väger tyngre än det allmännas
intresse av att överföringen görs.
Övergångsbestämmelser
2019:1182
1. Denna lag träder i kraft den 1 januari 2020.
2. Bestämmelsen i 5 kap. 4 § om loggning tillämpas från och
med den 1 oktober 2024 i fråga om automatiserade
behandlingssystem som inrättats före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av
beslut som har meddelats före ikraftträdandet.
<style>
.document div {
overflow: visible !important;
width: 550px !important;
}
</style>
<b>SFS nr</b>:
2019:1182<br />
<b>Departement/myndighet</b>:
Justitiedepartementet L4 <br />
<b>Utfärdad</b>:
2019-11-28 <br />
<b>Ändrad</b>:
t.o.m. SFS 2025:222<br />
<b>Ändringsregister</b>:
<a href="http://rkrattsbaser.gov.se/sfsr?bet=2019:1182">SFSR (Regeringskansliet)</a> <br />
<b>Källa</b>:
<a href="http://rkrattsbaser.gov.se/sfst?bet=2019:1182">Fulltext (Regeringskansliet)</a>
<br />
<hr />
<style><!--
div.sfstoc {padding:10px;position:relative;width:90%;border-bottom:#ccc 1px solid;font-size:85%;}
--></style>
<div class="sfstoc"><h3>Innehåll:</h3>
<ul>
<li><a href="#K1">1 kap. Allmänna bestämmelser
</a></li>
<li><a href="#K2">2 kap. Behandling av personuppgifter
</a></li>
<li><a href="#K3">3 kap. Gemensamt tillgängliga uppgifter
</a></li>
<li><a href="#K4">4 kap. Längsta tid som personuppgifter får behandlas
</a></li>
<li><a href="#K5">5 kap. Skyldigheter som personuppgiftsansvarig
</a></li>
<li><a href="#K6">6 kap. Enskildas rättigheter
</a></li>
<li><a href="#K7">7 kap. Tillsyn
</a></li>
<li><a href="#K8">8 kap. Skadestånd och överklagande
</a></li>
<li><a href="#K9">9 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
</a></li>
<li><a href="#overgang">Övergångsbestämmelser</a></li>
</ul>
</div>
<div><p><a name="S1"></a></p><br /><h3 name="K1"><a name="K1">1 kap. Allmänna bestämmelser
</a></h3><p><a name="S2"></a></p><h4 name="Syftet med lagen"><a name="Syftet med lagen">Syftet med lagen</a></h4><p><a name="S3"></a></p><a class="paragraf" name="K1P1"><b>1 §</b></a> Syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.<p><a name="K1P1S2"></a></p><h4 name="Lagens tillämpningsområde"><a name="Lagens tillämpningsområde">Lagens tillämpningsområde</a></h4><p><a name="K1P1S3"></a></p><a class="paragraf" name="K1P2"><b>2 §</b></a> Denna lag gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.<p><a name="K1P2S2"></a></p>
Lagen gäller vid Polismyndighetens behandling av personuppgifter när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.<p><a name="K1P2S3"></a></p><a class="paragraf" name="K1P3"><b>3 §</b></a> Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.<p><a name="K1P3S2"></a></p><h4 name="Avvikande bestämmelser i annan författning"><a name="Avvikande bestämmelser i annan författning">Avvikande bestämmelser i annan författning</a></h4><p><a name="K1P3S3"></a></p><a class="paragraf" name="K1P4"><b>4 §</b></a> Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.<p><a name="K1P4S2"></a></p><h4 name="Definitioner"><a name="Definitioner">Definitioner</a></h4><p><a name="K1P4S3"></a></p><a class="paragraf" name="K1P5"><b>5 §</b></a> I denna lag används följande uttryck med nedan angiven betydelse.<p><a name="K1P5S2"></a></p><pre>Uttryck Betydelse
</pre><pre>Behandling av personuppgifter En åtgärd eller kombination av
</pre><pre> åtgärder som vidtas i fråga om
</pre><pre> personuppgifter eller
</pre><pre> uppsättningar av personuppgifter,
</pre><pre> oavsett om det görs automatiserat
</pre><pre> eller inte, t.ex. insamling,
</pre><pre> registrering, organisering,
</pre><pre> strukturering, lagring,
</pre><pre> bearbetning eller ändring,
</pre><pre> framtagning, läsning, användning,
</pre><pre> utlämnande, spridning eller
</pre><pre> tillhandahållande på annat sätt,
</pre><pre> justering, sammanföring,
</pre><pre> begränsning, radering eller
</pre><pre> förstöring.
</pre><pre>Biometriska uppgifter Personuppgifter som rör en
</pre><pre> persons fysiska, fysiologiska
</pre><pre> eller beteendemässiga
</pre><pre> kännetecken, som tagits fram
</pre><pre> genom särskild teknisk
</pre><pre> behandling och som möjliggör
</pre><pre> eller bekräftar unik
</pre><pre> identifiering av personen.
</pre><pre>Dataskyddsombud Den fysiska person som utses
</pre><pre> av den personuppgiftsansvarige
</pre><pre> för att självständigt
</pre><pre> kontrollera att personuppgifter
</pre><pre> behandlas författningsenligt
</pre><pre> och på ett korrekt sätt enligt
</pre><pre> vad som närmare anges i lagen.
</pre><pre>Genetiska uppgifter Personuppgifter som rör en
</pre><pre> persons nedärvda eller
</pre><pre> förvärvade genetiska kännetecken
</pre><pre> och som härrör från analys av
</pre><pre> ett spår av eller ett prov från
</pre><pre> personen.
</pre><pre>Internationell organisation En organisation och dess
</pre><pre> underställda organ som lyder
</pre><pre> under folkrätten eller ett annat
</pre><pre> organ som inrättats genom eller
</pre><pre> på grundval av en överenskommelse
</pre><pre> mellan två eller flera stater.
</pre><pre>Mottagare Den till vilken personuppgifter
</pre><pre> lämnas ut, med undantag av en
</pre><pre> myndighet som med stöd av
</pre><pre> författning utövar tillsyn,
</pre><pre> kontroll eller revision.
</pre><pre>Personuppgift Varje upplysning om en
</pre><pre> identifierad eller identifierbar
</pre><pre> fysisk person som är i livet.
</pre><pre>Personuppgiftsansvarig Den som ensam eller tillsammans
</pre><pre> med andra bestämmer ändamålen
</pre><pre> med och medlen för behandlingen
</pre><pre> av personuppgifter.
</pre><pre>Personuppgiftsbiträde Den som behandlar personuppgifter
</pre><pre> för den personuppgiftsansvariges
</pre><pre> räkning.
</pre><pre>Registrerad Den fysiska person som
</pre><pre> personuppgiften gäller.
</pre><pre>Tredjeland En stat som inte är medlem i
</pre><pre> Europeiska unionen eller
</pre><pre> Europeiska ekonomiska
</pre><pre> samarbetsområdet och som inte
</pre><pre> heller på grund av avtal med
</pre><pre> Europeiska unionen har en
</pre><pre> motsvarande ställning.
</pre><pre>Tredje man Någon annan än den registrerade,
</pre><pre> den personuppgiftsansvarige,
</pre><pre> dataskyddsombudet,
</pre><pre> personuppgiftsbiträdet och
</pre><pre> sådana personer som under den
</pre><pre> personuppgiftsansvariges eller
</pre><pre> personuppgiftsbiträdets direkta
</pre><pre> ansvar har rätt att behandla
</pre><pre> personuppgifter.
</pre><pre>Uppgift som rör hälsa Personuppgift som rör en persons
</pre><pre> fysiska eller psykiska hälsa,
</pre><pre> inklusive information om
</pre><pre> tillhandahållande av hälso- och
</pre><pre> sjukvårdstjänster som ger
</pre><pre> upplysning om personens
</pre><pre> hälsostatus.
</pre>
Personuppgiftsansvar<p><a name="K1P5S3"></a></p><a class="paragraf" name="K1P6"><b>6 §</b></a> Säkerhetspolisen respektive Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. <p><a name="K1P6S2"></a></p>
Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.<p><a name="K1P6S3"></a></p><h4 name="Behandling av uppgifter om juridiska personer"><a name="Behandling av uppgifter om juridiska personer">Behandling av uppgifter om juridiska personer</a></h4><p><a name="K1P6S4"></a></p><a class="paragraf" name="K1P7"><b>7 §</b></a> Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:<br />
1. 6 § om personuppgiftsansvar,<br />
2. 2 kap. 1 och 2 §§ om rättsliga grunder för behandling av personuppgifter,<br />
3. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,<br />
4. 4 kap. 1-4 och 6-10 §§ om längsta tid som personuppgifter får behandlas, och <br />
5. 5 kap. 5 § om tillgången till personuppgifter.<p><a name="K1P7S2"></a></p><br /><h3 name="K2"><a name="K2">2 kap. Behandling av personuppgifter
</a></h3><p><a name="K1P7S2"></a></p><h4 name="Grundläggande krav på behandlingen"><a name="Grundläggande krav på behandlingen">Grundläggande krav på behandlingen</a></h4><p><a name="K1P7S3"></a></p><h4 name="Rättsliga grunder"><a name="Rättsliga grunder">Rättsliga grunder</a></h4><p><a name="K1P7S4"></a></p><a class="paragraf" name="K2P1"><b>1 §</b></a> Personuppgifter får behandlas om det är nödvändigt för att <br />
1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar<br />
a) brott mot Sveriges säkerhet,<br />
b) terrorbrott, eller<br />
c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,<br />
2. utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,<br />
3. fullgöra uppgifter<br />
a) i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,<br />
b) enligt säkerhetsskyddslagen (2018:585), eller<br />
c) enligt utlännings- och medborgarskapslagstiftningen,<br />
4. fullgöra någon annan uppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller<br />
5. fullgöra förpliktelser som följer av internationella åtaganden.<p><a name="K2P1S2"></a></p><a class="paragraf" name="K2P2"><b>2 §</b></a> Utöver vad som sägs i 1 § får personuppgifter behandlas om<br />
1. det är nödvändigt för diarieföring, eller<br />
2. uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande och behandlingen är nödvändig för handläggningen.<p><a name="K2P2S2"></a></p><h4 name="Ändamål"><a name="Ändamål">Ändamål</a></h4><p><a name="K2P2S3"></a></p><a class="paragraf" name="K2P3"><b>3 §</b></a> Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. De får inte behandlas för något ändamål som är oförenligt med det ändamål de ursprungligen behandlades för.<p><a name="K2P3S2"></a></p><a class="paragraf" name="K2P4"><b>4 §</b></a> Personuppgifter som behandlas med stöd av 1 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs<br />
1. för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:1177) hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket,<br />
2. i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott,<br />
3. i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrättelseverksamhet, om det finns särskilda skäl att tillhandahålla informationen,<br />
4. i en myndighets verksamhet om Säkerhetspolisen enligt lag eller förordning ska bistå myndigheten med en viss uppgift,<br />
5. i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation, eller<br />
6. i verksamhet hos utländsk underrättelse- eller säkerhetstjänst.<p><a name="K2P4S2"></a></p>
Personuppgifter som behandlas med stöd av 1 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen och, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.<p><a name="K2P4S3"></a></p>
I ett enskilt fall får personuppgifter som behandlas med stöd av 1 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.<p><a name="K2P4S4"></a></p><a class="paragraf" name="K2P5"><b>5 §</b></a> Säkerhetspolisen får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.<p><a name="K2P5S2"></a></p><h4 name="Författningsenlig och korrekt behandling"><a name="Författningsenlig och korrekt behandling">Författningsenlig och korrekt behandling</a></h4><p><a name="K2P5S3"></a></p><a class="paragraf" name="K2P6"><b>6 §</b></a> Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.<p><a name="K2P6S2"></a></p><h4 name="Personuppgifternas kvalitet"><a name="Personuppgifternas kvalitet">Personuppgifternas kvalitet</a></h4><p><a name="K2P6S3"></a></p><a class="paragraf" name="K2P7"><b>7 §</b></a> Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.<p><a name="K2P7S2"></a></p>
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.<p><a name="K2P7S3"></a></p><a class="paragraf" name="K2P8"><b>8 §</b></a> Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.<p><a name="K2P8S2"></a></p><h4 name="Känsliga personuppgifter"><a name="Känsliga personuppgifter">Känsliga personuppgifter</a></h4><p><a name="K2P8S3"></a></p><a class="paragraf" name="K2P9"><b>9 §</b></a> Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.<p><a name="K2P9S2"></a></p>
Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket om det är absolut nödvändigt för ändamålet med behandlingen.<p><a name="K2P9S3"></a></p><a class="paragraf" name="K2P10"><b>10 §</b></a> Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Genetiska uppgifter får inte behandlas.<p><a name="K2P10S2"></a></p><a class="paragraf" name="K2P11"><b>11 §</b></a> Personuppgifter som avses i 9 och 10 §§ (känsliga personuppgifter) får alltid behandlas med stöd av 2 §.<p><a name="K2P11S2"></a></p><a class="paragraf" name="K2P12"><b>12 §</b></a> Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.<p><a name="K2P12S2"></a></p>
Första stycket hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp.<p><a name="K2P12S3"></a></p>
Första stycket hindrar inte heller sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för något av de syften som anges i 1 §.<p><a name="K2P12S4"></a></p>
Första stycket hindrar inte heller sökningar i biometriregister som förs enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område i syfte att få fram ett urval av personer grundat på biometriska uppgifter, om sökningen är absolut nödvändig för något av de syften som anges i 1 §. <i>Lag (2025:139)</i>.<p><a name="K2P12S5"></a></p><h4 name="Rättelse, uppdatering och radering"><a name="Rättelse, uppdatering och radering">Rättelse, uppdatering och radering</a></h4><p><a name="K2P12S6"></a></p><a class="paragraf" name="K2P13"><b>13 §</b></a> Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.<p><a name="K2P13S2"></a></p><a class="paragraf" name="K2P14"><b>14 §</b></a> Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med någon av 1-6, 8-10 eller 12 §§, 4 kap. 1 § första stycket eller någon av 2-4 eller 7-10 §§ utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.<p><a name="K2P14S2"></a></p>
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.<p><a name="K2P14S3"></a></p><h4 name="Utlämnande av personuppgifter"><a name="Utlämnande av personuppgifter">Utlämnande av personuppgifter</a></h4><p><a name="K2P14S4"></a></p><a class="paragraf" name="K2P15"><b>15 §</b></a> Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.<p><a name="K2P15S2"></a></p><a class="paragraf" name="K2P16"><b>16 §</b></a> Om det är förenligt med svenska intressen får personuppgifter lämnas ut till<br />
1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att mottagaren ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott, eller<br />
2. en utländsk underrättelse- eller säkerhetstjänst.<p><a name="K2P16S2"></a></p>
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.<p><a name="K2P16S3"></a></p><a class="paragraf" name="K2P17"><b>17 §</b></a> Polismyndigheten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § 1-3 a och c, om myndigheten behöver uppgifterna för ett syfte som anges i 2 kap. 1 § 1 eller 2 lagen
(2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller för att fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar. <i>Lag (2022:710)</i>.<p><a name="K2P17S2"></a></p><a class="paragraf" name="K2P18"><b>18 §</b></a> Försvarsmakten har, trots sekretess enligt 21 kap. 3 § första stycket, 35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som behandlas med stöd av 1 § 1 eller 2, om myndigheten behöver uppgifterna i sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst. Detsamma gäller Försvarets radioanstalt, om myndigheten behöver uppgifterna i sin försvarsunderrättelse-
verksamhet.<p><a name="K2P18S2"></a></p><a class="paragraf" name="K2P19"><b>19 §</b></a> Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.<p><a name="K2P19S2"></a></p>
Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5-7 §§.<p><a name="K2P19S3"></a></p><h4 name="Personuppgifter från transportföretag"><a name="Personuppgifter från transportföretag">Personuppgifter från transportföretag</a></h4><p><a name="K2P19S4"></a></p><a class="paragraf" name="K2P20"><b>20 §</b></a> Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 §.<p><a name="K2P20S2"></a></p>
Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål.<p><a name="K2P20S3"></a></p><a class="paragraf" name="K2P21"><b>21 §</b></a> Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller bearbetas på annat sätt.<p><a name="K2P21S2"></a></p><h4 name="Behandling av vissa personuppgifter som rör motorfordon"><a name="Behandling av vissa personuppgifter som rör motorfordon">Behandling av vissa personuppgifter som rör motorfordon</a></h4><p><a name="K2P21S3"></a></p><a class="paragraf" name="K2P22"><b>22 §</b></a> Personuppgifter som rör motorfordon och som samlas in vid sådan bevakning som avses i 14 c § 4 kamerabevakningslagen
(2018:1200) får alltid behandlas i sex månader. <p><a name="K2P22S2"></a></p>
Uppgifterna får endast användas för att <br />
1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, eller <br />
2. utreda eller lagföra ett sådant brott. <p><a name="K2P22S3"></a></p>
Om det kommer fram misstankar om ett brott för vilket det inte är föreskrivet fängelse i två år eller mer i samband med att en brotts-bekämpande åtgärd vidtas till följd av användning av uppgifter enligt andra stycket, får uppgifterna även användas för att förhindra, utreda eller lagföra det brottet. <p><a name="K2P22S4"></a></p>
Paragrafen gäller inte för behandling av personuppgifter i form av bilder på enskilda. <i>Lag (2025:222)</i>.<p><a name="K2P22S5"></a></p><h4 name="Rätt att meddela föreskrifter"><a name="Rätt att meddela föreskrifter">Rätt att meddela föreskrifter</a></h4><p><a name="K2P22S6"></a></p><a class="paragraf" name="K2P23"><b>23 §</b></a> Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om<br />
1. att personuppgifter får lämnas ut i andra fall än som anges i 15-18 §§, och<br />
2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 19 § första stycket. <i>Lag (2025:222)</i>.<p><a name="K2P23S2"></a></p><br /><h3 name="K3"><a name="K3">3 kap. Gemensamt tillgängliga uppgifter
</a></h3><p><a name="K2P23S2"></a></p><h4 name="Allmän bestämmelse"><a name="Allmän bestämmelse">Allmän bestämmelse</a></h4><p><a name="K2P23S3"></a></p><a class="paragraf" name="K3P1"><b>1 §</b></a> Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.<p><a name="K3P1S2"></a></p>
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 §.<p><a name="K3P1S3"></a></p><h4 name="Personuppgifter som får göras gemensamt tillgängliga"><a name="Personuppgifter som får göras gemensamt tillgängliga">Personuppgifter som får göras gemensamt tillgängliga</a></h4><p><a name="K3P1S4"></a></p><a class="paragraf" name="K3P2"><b>2 §</b></a> Personuppgifter får göras gemensamt tillgängliga om det behövs för att utföra någon av de uppgifter som anges i 2 kap.
1 §.<p><a name="K3P2S2"></a></p><h4 name="Särskilda upplysningar"><a name="Särskilda upplysningar">Särskilda upplysningar</a></h4><p><a name="K3P2S3"></a></p><a class="paragraf" name="K3P3"><b>3 §</b></a> Om det ändamål som de gemensamt tillgängliga personuppgifterna behandlas för inte framgår av sammanhanget eller på något annat sätt, ska det tydliggöras genom en särskild upplysning.<p><a name="K3P3S2"></a></p><a class="paragraf" name="K3P4"><b>4 §</b></a> Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet som avses i 2 kap. 1 § 1 eller 2, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt.<p><a name="K3P4S2"></a></p>
Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 kap. 1 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och upp-
gifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. <p><a name="K3P4S3"></a></p>
Någon upplysning enligt andra stycket behöver inte heller lämnas om<br />
1. uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har åtkomst till, och<br />
2. bearbetningen av uppgifterna inte har genomförts.<p><a name="K3P4S4"></a></p><h4 name="Direktåtkomst"><a name="Direktåtkomst">Direktåtkomst</a></h4><p><a name="K3P4S5"></a></p><a class="paragraf" name="K3P5"><b>5 §</b></a> Polismyndigheten får för något av de syften som anges i
2 kap. 1 § 1 eller 2 lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller för att fullgöra uppgifter enligt utlänningslagen (2005:716) eller lagen (2022:700) om särskild kontroll av vissa utlänningar medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1-3 a och c. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.<br /><i>Lag (2022:710)</i>.<p><a name="K3P5S2"></a></p><a class="paragraf" name="K3P6"><b>6 §</b></a> Försvarsmakten får i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 eller
2. Detsamma gäller Försvarets radioanstalt i försvarsunderrättelseverksamheten. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.<p><a name="K3P6S2"></a></p><a class="paragraf" name="K3P7"><b>7 §</b></a> En underrättelse- eller säkerhetstjänst i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet, i Förenade kungariket eller i Schweiz får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 b om det behövs för samarbetet mot terrorism. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.<p><a name="K3P7S2"></a></p>
Innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst ska Säkerhetspolisen informera regeringen.<br /><i>Lag (2023:562)</i>.<p><a name="K3P7S3"></a></p><h4 name="Rätt att meddela föreskrifter "><a name="Rätt att meddela föreskrifter ">Rätt att meddela föreskrifter </a></h4><p><a name="K3P7S4"></a></p><a class="paragraf" name="K3P8"><b>8 §</b></a> Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomst enligt 5-7 §§ och om behörighet och säkerhet vid sådan åtkomst.<p><a name="K3P8S2"></a></p><br /><h3 name="K4"><a name="K4">4 kap. Längsta tid som personuppgifter får behandlas
</a></h3><p><a name="K3P8S2"></a></p><h4 name="Allmän bestämmelse"><a name="Allmän bestämmelse">Allmän bestämmelse</a></h4><p><a name="K3P8S3"></a></p><a class="paragraf" name="K4P1"><b>1 §</b></a> Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.<p><a name="K4P1S2"></a></p>
Bestämmelsen i första stycket hindrar inte att Säkerhetspolisen arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.<p><a name="K4P1S3"></a></p>
Vid automatiserad behandling gäller också de begränsningar som följer av 2-10 §§.<p><a name="K4P1S4"></a></p><h4 name="Personuppgifter som inte har gjorts gemensamt tillgängliga"><a name="Personuppgifter som inte har gjorts gemensamt tillgängliga">Personuppgifter som inte har gjorts gemensamt tillgängliga</a></h4><p><a name="K4P1S5"></a></p><a class="paragraf" name="K4P2"><b>2 §</b></a> Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än<br />
1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller<br />
2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende.<p><a name="K4P2S2"></a></p>
Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av denna paragraf.<p><a name="K4P2S3"></a></p>
Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott.<p><a name="K4P2S4"></a></p><h4 name="Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott"><a name="Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott">Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott</a></h4><p><a name="K4P2S5"></a></p><a class="paragraf" name="K4P3"><b>3 §</b></a> Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till för-
undersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet.<p><a name="K4P3S2"></a></p><a class="paragraf" name="K4P4"><b>4 §</b></a> Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då dom-
stolens avgörande fick laga kraft.<p><a name="K4P4S2"></a></p>
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifter i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.<p><a name="K4P4S3"></a></p>
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.<p><a name="K4P4S4"></a></p><a class="paragraf" name="K4P5"><b>5 §</b></a> Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.<p><a name="K4P5S2"></a></p><h4 name="Övriga gemensamt tillgängliga uppgifter"><a name="Övriga gemensamt tillgängliga uppgifter">Övriga gemensamt tillgängliga uppgifter</a></h4><p><a name="K4P5S3"></a></p><a class="paragraf" name="K4P6"><b>6 §</b></a> Andra personuppgifter än de som anges i 3 eller 4 § och som har gjorts gemensamt tillgängliga får som längst behandlas under den tid som anges i 7-10 §§.<p><a name="K4P6S2"></a></p>
Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av 7-10 §§.<p><a name="K4P6S3"></a></p><a class="paragraf" name="K4P7"><b>7 §</b></a> Personuppgifter får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.<p><a name="K4P7S2"></a></p>
Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år får dock inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes avseende den unge. Om en ny registrering avseende personen görs efter det att han eller hon fyllt 18 år, gäller i stället den tidsfrist som anges i första stycket för samtliga personuppgifter.<p><a name="K4P7S3"></a></p>
Första och andra styckena gäller inte sådana personuppgifter som avses i 8 och 9 §§.<p><a name="K4P7S4"></a></p><a class="paragraf" name="K4P8"><b>8 §</b></a> Personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket får inte behandlas längre än tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.<p><a name="K4P8S2"></a></p><a class="paragraf" name="K4P9"><b>9 §</b></a> Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken och som utövas av främmande makt, får inte behandlas längre än 40 år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personens anknytning till brott eller brottslig verksamhet. För personuppgifter som behandlas i en sådan uppgiftssamling som anges i 3 kap. 4 § tredje stycket gäller 8 §.<p><a name="K4P9S2"></a></p><a class="paragraf" name="K4P10"><b>10 §</b></a> Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får behandlas under längre tid än vad som anges i 7-9 §§, om uppgifterna fortfarande behövs för det ändamål som de behandlas för. Om personuppgifter behandlas med stöd av ett sådant beslut ska frågan om fortsatt behandling prövas på nytt senast vid utgången av det tionde kalenderåret efter beslutet eller, om det är fråga om uppgifter som avses i
8 §, senast vid utgången av det tredje kalenderåret efter beslutet. Tiden som personuppgifterna får behandlas får vid varje tillfälle förlängas med längst tio år eller, om det är fråga om uppgifter som avses i 8 §, med längst tre år.<p><a name="K4P10S2"></a></p><h4 name="Rätt att meddela föreskrifter"><a name="Rätt att meddela föreskrifter">Rätt att meddela föreskrifter</a></h4><p><a name="K4P10S3"></a></p><a class="paragraf" name="K4P11"><b>11 §</b></a> Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3 och 4 §§.<p><a name="K4P11S2"></a></p><a class="paragraf" name="K4P12"><b>12 §</b></a> Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om<br />
1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller någon av 7-10 §§, och<br />
2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering.<p><a name="K4P12S2"></a></p><br /><h3 name="K5"><a name="K5">5 kap. Skyldigheter som personuppgiftsansvarig
</a></h3><p><a name="K4P12S2"></a></p><h4 name="Åtgärder för att säkerställa författningsenlig behandling"><a name="Åtgärder för att säkerställa författningsenlig behandling">Åtgärder för att säkerställa författningsenlig behandling</a></h4><p><a name="K4P12S3"></a></p><h4 name="Tekniska och organisatoriska åtgärder"><a name="Tekniska och organisatoriska åtgärder">Tekniska och organisatoriska åtgärder</a></h4><p><a name="K4P12S4"></a></p><a class="paragraf" name="K5P1"><b>1 §</b></a> Säkerhetspolisen ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.<p><a name="K5P1S2"></a></p><a class="paragraf" name="K5P2"><b>2 §</b></a> Säkerhetspolisen ska när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).<p><a name="K5P2S2"></a></p><a class="paragraf" name="K5P3"><b>3 §</b></a> Säkerhetspolisen ska se till att det i automatiserade behandlingssystem som regel inte är möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).<p><a name="K5P3S2"></a></p><a class="paragraf" name="K5P4"><b>4 §</b></a> Säkerhetspolisen ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.<p><a name="K5P4S2"></a></p><h4 name="Tillgången till personuppgifter"><a name="Tillgången till personuppgifter">Tillgången till personuppgifter</a></h4><p><a name="K5P4S3"></a></p><a class="paragraf" name="K5P5"><b>5 §</b></a> Säkerhetspolisen ska se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.<p><a name="K5P5S2"></a></p><h4 name="Konsekvensbedömning och förhandssamråd"><a name="Konsekvensbedömning och förhandssamråd">Konsekvensbedömning och förhandssamråd</a></h4><p><a name="K5P5S3"></a></p><a class="paragraf" name="K5P6"><b>6 §</b></a> Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska Säkerhetspolisen innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.<p><a name="K5P6S2"></a></p>
Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (förhandssamråd).<p><a name="K5P6S3"></a></p><h4 name="Säkerhetsåtgärder"><a name="Säkerhetsåtgärder">Säkerhetsåtgärder</a></h4><p><a name="K5P6S4"></a></p><a class="paragraf" name="K5P7"><b>7 §</b></a> Säkerhetspolisen ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.<p><a name="K5P7S2"></a></p><h4 name="Samarbete med tillsynsmyndigheten"><a name="Samarbete med tillsynsmyndigheten">Samarbete med tillsynsmyndigheten</a></h4><p><a name="K5P7S3"></a></p><a class="paragraf" name="K5P8"><b>8 §</b></a> Säkerhetspolisen ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.<p><a name="K5P8S2"></a></p><h4 name="Dataskyddsombud"><a name="Dataskyddsombud">Dataskyddsombud</a></h4><p><a name="K5P8S3"></a></p><a class="paragraf" name="K5P9"><b>9 §</b></a> Säkerhetspolisen ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.<p><a name="K5P9S2"></a></p><a class="paragraf" name="K5P10"><b>10 §</b></a> Dataskyddsombud ska<br />
1. självständigt kontrollera att Säkerhetspolisen behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,<br />
2. informera och ge råd till Säkerhetspolisen och de som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,<br />
3. på begäran ge Säkerhetspolisen råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,<br />
4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och<br />
5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.<p><a name="K5P10S2"></a></p><h4 name="Personuppgiftsbiträden"><a name="Personuppgiftsbiträden">Personuppgiftsbiträden</a></h4><p><a name="K5P10S3"></a></p><a class="paragraf" name="K5P11"><b>11 §</b></a> Säkerhetspolisen får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på myndighetens vägnar. Innan ett personuppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.<p><a name="K5P11S2"></a></p>
Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.<p><a name="K5P11S3"></a></p><a class="paragraf" name="K5P12"><b>12 §</b></a> Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd från Säkerhetspolisen.<p><a name="K5P12S2"></a></p><a class="paragraf" name="K5P13"><b>13 §</b></a> Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från Säkerhetspolisen.<p><a name="K5P13S2"></a></p>
Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.<p><a name="K5P13S3"></a></p><a class="paragraf" name="K5P14"><b>14 §</b></a> Det som sägs om Säkerhetspolisens skyldigheter i 4, 5, 7 och 8 §§ gäller även för personuppgiftsbiträden.<p><a name="K5P14S2"></a></p><br /><h3 name="K6"><a name="K6">6 kap. Enskildas rättigheter
</a></h3><p><a name="K5P14S2"></a></p><h4 name="Rätten till information"><a name="Rätten till information">Rätten till information</a></h4><p><a name="K5P14S3"></a></p><h4 name="Allmän information"><a name="Allmän information">Allmän information</a></h4><p><a name="K5P14S4"></a></p><a class="paragraf" name="K6P1"><b>1 §</b></a> Säkerhetspolisen ska göra följande allmänna information tillgänglig för den registrerade:<br />
1. myndighetens identitet och kontaktuppgifter,<br />
2. dataskyddsombudets kontaktuppgifter,<br />
3. kategorier av ändamål för behandlingen,<br />
4. rätten enligt 2 § att begära att få information om behandling av personuppgifter och att få del av uppgifterna, och<br />
5. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§.<p><a name="K6P1S2"></a></p><h4 name="Personrelaterad information"><a name="Personrelaterad information">Personrelaterad information</a></h4><p><a name="K6P1S3"></a></p><a class="paragraf" name="K6P2"><b>2 §</b></a> Säkerhetspolisen ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och få följande skriftliga information:<br />
1. vilka personuppgifter om sökanden som behandlas,<br />
2. varifrån personuppgifterna kommer,<br />
3. den rättsliga grunden för behandlingen,<br />
4. ändamålen med behandlingen,<br />
5. mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,<br />
6. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och<br />
7. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 och 7 §§.<p><a name="K6P2S2"></a></p>
Utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.<p><a name="K6P2S3"></a></p><h4 name="Begränsning av rätten till information"><a name="Begränsning av rätten till information">Begränsning av rätten till information</a></h4><p><a name="K6P2S4"></a></p><a class="paragraf" name="K6P3"><b>3 §</b></a> Informationsskyldigheten i 2 § gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.<p><a name="K6P3S2"></a></p>
Om förutsättningarna i första stycket är uppfyllda, är Säkerhetspolisen inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 6 eller 7 §.<p><a name="K6P3S3"></a></p><a class="paragraf" name="K6P4"><b>4 §</b></a> Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.<p><a name="K6P4S2"></a></p>
Informationsskyldigheten gäller dock om uppgifterna <br />
1. har lämnats ut till tredje man, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision,<br />
2. behandlas enbart för vetenskapliga, statistiska eller historiska ändamål, eller <br />
3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.<p><a name="K6P4S3"></a></p><a class="paragraf" name="K6P5"><b>5 §</b></a> Om en begäran enligt 2 § är orimlig eller uppenbart ogrundad får Säkerhetspolisen avslå den.<p><a name="K6P5S2"></a></p>
Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall får ta ut avgift i stället för att avslå begäran.<p><a name="K6P5S3"></a></p><h4 name="Rätten till rättelse, radering och begränsning av behandlingen"><a name="Rätten till rättelse, radering och begränsning av behandlingen">Rätten till rättelse, radering och begränsning av behandlingen</a></h4><p><a name="K6P5S4"></a></p><a class="paragraf" name="K6P6"><b>6 §</b></a> Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne, om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.<p><a name="K6P6S2"></a></p>
Om Säkerhetspolisen inte kan fastställa att personuppgifterna är korrekta, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.<p><a name="K6P6S3"></a></p><a class="paragraf" name="K6P7"><b>7 §</b></a> Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne, om de behandlas i strid med någon av 2 kap. 1-6, 8-10 eller 12 §§, 4 kap. 1 § första stycket eller någon av 2-4 eller 7-10 §§. Detsamma gäller om det krävs radering för att Säkerhetspolisen ska utföra en rättslig förpliktelse.<p><a name="K6P7S2"></a></p>
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska Säkerhetspolisen på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.<p><a name="K6P7S3"></a></p><a class="paragraf" name="K6P8"><b>8 §</b></a> Säkerhetspolisen avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.<p><a name="K6P8S2"></a></p><h4 name="Avgiftsfri information"><a name="Avgiftsfri information">Avgiftsfri information</a></h4><p><a name="K6P8S3"></a></p><a class="paragraf" name="K6P9"><b>9 §</b></a> Information enligt 1 § ska lämnas utan avgift. Information och uppgifter enligt 2 § ska lämnas utan avgift en gång per år.<p><a name="K6P9S2"></a></p>
Om någon begär information och uppgifter enligt 2 § oftare än en gång per år, får Säkerhetspolisen ta ut en rimlig avgift eller avslå begäran enligt 5 § första stycket.<p><a name="K6P9S3"></a></p><br /><h3 name="K7"><a name="K7">7 kap. Tillsyn
</a></h3><p><a name="K6P9S2"></a></p><h4 name="Tillsynsmyndighetens uppgifter"><a name="Tillsynsmyndighetens uppgifter">Tillsynsmyndighetens uppgifter</a></h4><p><a name="K6P9S3"></a></p><a class="paragraf" name="K7P1"><b>1 §</b></a> Tillsynsmyndigheten ska<br />
1. utöva allmän tillsyn över personuppgiftsbehandling, och<br />
2. vid förhandssamråd enligt 5 kap. 6 § och när det i övrigt är påkallat ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.<p><a name="K7P1S2"></a></p><a class="paragraf" name="K7P2"><b>2 §</b></a> Bestämmelser om tillsyn över Säkerhetspolisens behandling av personuppgifter finns även i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.<p><a name="K7P2S2"></a></p><h4 name="Tillsynsmyndighetens befogenheter"><a name="Tillsynsmyndighetens befogenheter">Tillsynsmyndighetens befogenheter</a></h4><p><a name="K7P2S3"></a></p><h4 name="Undersökningsbefogenheter"><a name="Undersökningsbefogenheter">Undersökningsbefogenheter</a></h4><p><a name="K7P2S4"></a></p><a class="paragraf" name="K7P3"><b>3 §</b></a> Tillsynsmyndigheten har rätt att av Säkerhetspolisen och personuppgiftsbiträdet på begäran få<br />
1. tillgång till alla personuppgifter som behandlas,<br />
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,<br />
3. tillträde till lokaler som Säkerhetspolisen eller personuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och<br />
4. den hjälp och den information som behövs för tillsynen.<p><a name="K7P3S2"></a></p><h4 name="Förebyggande befogenheter"><a name="Förebyggande befogenheter">Förebyggande befogenheter</a></h4><p><a name="K7P3S3"></a></p><a class="paragraf" name="K7P4"><b>4 §</b></a> Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.<p><a name="K7P4S2"></a></p>
Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.<p><a name="K7P4S3"></a></p><h4 name="Korrigerande befogenheter"><a name="Korrigerande befogenheter">Korrigerande befogenheter</a></h4><p><a name="K7P4S4"></a></p><a class="paragraf" name="K7P5"><b>5 §</b></a> Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att Säkerhetspolisen eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten<br />
1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,<br />
2. förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller<br />
3. förbjuda fortsatt behandling om bristen är allvarlig.<p><a name="K7P5S2"></a></p>
Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.<p><a name="K7P5S3"></a></p><h4 name="Verkställighet av beslut"><a name="Verkställighet av beslut">Verkställighet av beslut</a></h4><p><a name="K7P5S4"></a></p><a class="paragraf" name="K7P6"><b>6 §</b></a> Tillsynsmyndighetens beslut får inte verkställas omedelbart.<p><a name="K7P6S2"></a></p><br /><h3 name="K8"><a name="K8">8 kap. Skadestånd och överklagande
</a></h3><p><a name="K7P6S2"></a></p><h4 name="Skadestånd"><a name="Skadestånd">Skadestånd</a></h4><p><a name="K7P6S3"></a></p><a class="paragraf" name="K8P1"><b>1 §</b></a> Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.<p><a name="K8P1S2"></a></p><h4 name="Överklagande"><a name="Överklagande">Överklagande</a></h4><p><a name="K8P1S3"></a></p><h4 name="Överklagande av den personuppgiftsansvariges beslut"><a name="Överklagande av den personuppgiftsansvariges beslut">Överklagande av den personuppgiftsansvariges beslut</a></h4><p><a name="K8P1S4"></a></p><a class="paragraf" name="K8P2"><b>2 §</b></a> Beslut i fråga om rättelse eller komplettering enligt
6 kap. 6 § första stycket, radering enligt 6 kap. 7 § första stycket, eller begränsning av behandlingen enligt 6 kap. 6 § andra stycket eller 6 kap. 7 § andra stycket, som har meddelats av den personuppgiftsansvarige, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 6 kap. 2 § eller att ta ut avgift enligt 6 kap. 9 § andra stycket.<p><a name="K8P2S2"></a></p>
Prövningstillstånd krävs vid överklagande till kammarrätten.<p><a name="K8P2S3"></a></p><h4 name="Överklagande av tillsynsmyndighetens beslut"><a name="Överklagande av tillsynsmyndighetens beslut">Överklagande av tillsynsmyndighetens beslut</a></h4><p><a name="K8P2S4"></a></p><a class="paragraf" name="K8P3"><b>3 §</b></a> Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.<p><a name="K8P3S2"></a></p>
Prövningstillstånd krävs vid överklagande till kammarrätten.<p><a name="K8P3S3"></a></p><h4 name="Överklagandeförbud"><a name="Överklagandeförbud">Överklagandeförbud</a></h4><p><a name="K8P3S4"></a></p><a class="paragraf" name="K8P4"><b>4 §</b></a> Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.<p><a name="K8P4S2"></a></p><br /><h3 name="K9"><a name="K9">9 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
</a></h3><p><a name="K8P4S2"></a></p><h4 name="Förutsättningar för överföring"><a name="Förutsättningar för överföring">Förutsättningar för överföring</a></h4><p><a name="K8P4S3"></a></p><a class="paragraf" name="K9P1"><b>1 §</b></a> Säkerhetspolisen får överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organi-
sation. Personuppgifterna får dock endast överföras om överföringen<br />
1. riktas till en brottsbekämpande myndighet eller en underrättelse- eller säkerhetstjänst i ett tredjeland eller en internationell organisation med brottsbekämpande uppdrag och<br />
2. omfattas av<br />
a) ett beslut om adekvat skyddsnivå enligt 2 §, <br />
b) tillräckliga skyddsåtgärder enligt 3 §, eller<br />
c) ett undantag för särskilda situationer enligt 4 §.<p><a name="K9P1S2"></a></p><h4 name="Beslut om adekvat skyddsnivå"><a name="Beslut om adekvat skyddsnivå">Beslut om adekvat skyddsnivå</a></h4><p><a name="K9P1S3"></a></p><a class="paragraf" name="K9P2"><b>2 §</b></a> Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit under de förutsättningar som anges i 1 §. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.<p><a name="K9P2S2"></a></p><h4 name="Tillräckliga skyddsåtgärder"><a name="Tillräckliga skyddsåtgärder">Tillräckliga skyddsåtgärder</a></h4><p><a name="K9P2S3"></a></p><a class="paragraf" name="K9P3"><b>3 §</b></a> Om det inte finns något beslut om adekvat skyddsnivå enligt 2 §, får personuppgifter, under de förutsättningar som anges i 1 §, ändå överföras till ett tredjeland eller en internationell organisation om<br />
1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller <br />
2. mottagaren på annat sätt garanterar tillräckligt skydd för personuppgifterna.<p><a name="K9P3S2"></a></p><h4 name="Överföring i särskilda situationer"><a name="Överföring i särskilda situationer">Överföring i särskilda situationer</a></h4><p><a name="K9P3S3"></a></p><a class="paragraf" name="K9P4"><b>4 §</b></a> Om det inte finns något beslut om adekvat skyddsnivå enligt 2 § eller tillräckliga skyddsåtgärder enligt 3 §, får en överföring eller en samling av överföringar av personuppgifter, under de förutsättningar som anges i 1 §, göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att<br />
1. värna den registrerades eller någon annan fysisk persons vitala intressen eller andra berättigade intressen som den registrerade har,<br />
2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott,<br />
3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller<br />
4. avvärja en omedelbar och allvarlig fara för allmän säkerhet.<p><a name="K9P4S2"></a></p>
Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.<p><a name="K9P4S3"></a></p><h4 name="Överföring till andra mottagare"><a name="Överföring till andra mottagare">Överföring till andra mottagare</a></h4><p><a name="K9P4S4"></a></p><a class="paragraf" name="K9P5"><b>5 §</b></a> Säkerhetspolisen får i ett enskilt fall överföra personuppgifter till en annan mottagare i ett tredjeland än som anges i 1 § 1. Personuppgifterna får överföras endast om de övriga förutsättningarna i 1 § är uppfyllda och om<br />
1. det är absolut nödvändigt för att Säkerhetspolisen ska kunna utföra en uppgift enligt 2 kap. 1 §, och<br />
2. det skulle vara ineffektivt eller olämpligt att överföra dem till en mottagare som anges i 1 § 1 i det tredjelandet.<p><a name="K9P5S2"></a></p>
Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs.<p><a name="K9P5S3"></a></p><br /><h3 name="overgang"><a name="overgang">Övergångsbestämmelser</a></h3>
2019:1182<br />
1. Denna lag träder i kraft den 1 januari 2020.<br />
2. Bestämmelsen i 5 kap. 4 § om loggning tillämpas från och med den 1 oktober 2024 i fråga om automatiserade behandlingssystem som inrättats före ikraftträdandet.<br />
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.</div>Svensk författningssamlingdokumentartalartal2019utfardadutfardad2019-11-28andrattillochmedandrattillochmedt.o.m. SFS 2025:222utdragutdrag1 kap. Allmänna bestämmelser
Syftet med lagen
1 § Syftet med lagen är att skydda fysiska personers
grundläggande rättigheter och friheter i samband med
behandling av personuppgifter och att säkerställa att
Säkerhetspolisen kan behandla och utbyta personuppgifter påartalartal2019utfardadutfardad2019-11-28andrattillochmedandrattillochmedt.o.m. SFS 2025:222utdragutdrag1 kap. Allmänna bestämmelser
Syftet med lagen
1 § Syftet med lagen är att skydda fysiska personers
grundläggande rättigheter och friheter i samband med
behandling av personuppgifter och att säkerställa att
Säkerhetspolisen kan behandla och utbyta personuppgifter på