Regeringskansliets rättsdatabaser

1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:1177) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter: 1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet, 2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och 3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 kap. och 7 kap. Lag (2019:435). 2 § /Upphör att gälla U:den dag som regeringen bestämmer/ Denna lag gäller inte vid behandling av personuppgifter enligt 1. vapenlagen (1996:67), 2. lagen (1998:620) om belastningsregister, 3. lagen (1998:621) om misstankeregister, 4. lagen (2006:444) om passagerarregister, 5. lagen (2014:400) om Polismyndighetens elimineringsdatabas, 6. Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, 7. Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006, 8. Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU, eller 9. lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen. Lag (2021:1192). 2 § /Träder i kraft I:den dag som regeringen bestämmer/ Denna lag gäller inte vid behandling av personuppgifter enligt 1. vapenlagen (1996:67), 2. lagen (1998:620) om belastningsregister, 3. lagen (1998:621) om misstankeregister, 4. lagen (2006:444) om passagerarregister, 5. lagen (2014:400) om Polismyndighetens elimineringsdatabas, 6. Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, 7. Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006, 8. Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU, 9. lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen, eller 10. Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011. Lag (2022:244). 2 § /Träder i kraft I:den dag som regeringen bestämmer/ Denna lag gäller inte vid behandling av personuppgifter enligt 1. vapenlagen (1996:67), 2. lagen (1998:620) om belastningsregister, 3. lagen (1998:621) om misstankeregister, 4. lagen (2006:444) om passagerarregister, 5. lagen (2014:400) om Polismyndighetens elimineringsdatabas, 6. Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna, 7. Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006, 8. Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU, 9. lagen (2021:1187) med kompletterande bestämmelser till EU:s förordningar om Schengens informationssystem och föreskrifter som har meddelats i anslutning till den lagen, 10. Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011, eller 11. Europaparlamentets och rådets förordning (EU) 2018/1240 av den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226. Lag (2023:339). 3 § Särskilda bestämmelser om behandling av personuppgifter finns 1. i lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, 2. i lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen, 3. i lagen (2022:613) om finansiell information i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen, och 4. i lagen (2023:474) om polisiära befogenheter i gränsnära områden. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Lag (2023:478). Personuppgiftsansvar 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten, som inte är åklagarverksamhet, i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott. Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Definitioner 5 § I denna lag avses med dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material, dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och fingeravtryck: avtryck av finger eller hand. Behandling av uppgifter om juridiska personer 6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 4 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, 4. 4 kap. 1-4 och 5 a-11 §§ om längsta tid som personuppgifter får behandlas, 5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och 6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:1177) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. Lag (2019:435). Lagens uppbyggnad 7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. I 4 kap. finns bestämmelser om längsta tid för behandling av personuppgifter. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap. I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2–4 kap. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. verkställa uppbörd, 4. upprätthålla allmän ordning och säkerhet, eller 5. fullgöra förpliktelser som följer av internationella åtaganden. Lag (2019:435). Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:1177) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till 1. Interpol, 2. Europol, eller 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Europeiska åklagarmyndigheten har enligt 4 § lagen (2024:461) om Sveriges deltagande i Europeiska åklagarmyndigheten rätt att ta del av uppgifterna enligt första stycket. Denna rätt inskränks inte av vad som anges i 18 kap. 1 och 17 §§ offentlighets- och sekretesslagen. Första och andra styckena gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. Lag (2024:466). 9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Europeiska åklagarmyndigheten har enligt 4 § lagen (2024:461) om Sveriges deltagande i Europeiska åklagarmyndigheten rätt att ta del av uppgifterna enligt första stycket. Denna rätt inskränks inte av vad som anges i 18 kap. 1 och 17 §§ offentlighets- och sekretesslagen. Lag (2024:466). 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där. 11 § En idrottsorganisation har, trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud. 12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§. Personuppgifter från transportföretag 13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 § 1 och 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:1177). 14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller bearbetas på annat sätt. Rätt att meddela föreskrifter 15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7–11 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177). Personuppgifter som får göras gemensamt tillgängliga 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som förekommer i ett ärende om uppbörd. 5. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd. 6. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler. 7. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 8. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. Lag (2019:435). Särskilda upplysningar 3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 6. Lag (2019:435). 4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. Sökning 5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende, 8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 9. har gett in eller tillhandahållits en handling, 10. är anmäld som försvunnen, 11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 12. är efterlyst. 6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Direktåtkomst 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av 6 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas: 1. 5 kap. 7 § om uppgifter i register över dna-profiler, 2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister, 3. 5 kap. 20 § om uppgifter i penningtvättsregister, 4. 5 kap. 22 § om uppgifter i det internationella registret, 5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och 6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. 5 a § Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes. Personuppgifter som avser värdeförverkande eller företagsbot får dock behandlas i tio år. Lag (2019:435). Övriga gemensamt tillgängliga uppgifter 6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 5-8 får som längst behandlas under den tid som anges i 7-11 §§. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 7-11 §§. Lag (2019:435). 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. Lag (2019:435). 10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 eller 7 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Lag (2019:435). 11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 8 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Lag (2019:435). Rätt att meddela föreskrifter 12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7–11 §. 13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7–11 §, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Register Register över dna-profiler Rätten att föra register 1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet,2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, och 4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen. Dna-registret 2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som 1. genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller 2. har godkänt strafföreläggande som avser villkorlig dom. 3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper. Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod. Utredningsregistret 4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse. Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret. Spårregistret 5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod. 6 § Dna-profiler i spårregistret får jämföras med dna-profiler 1. som inte kan hänföras till en identifierbar person, 2. som finns i dna-registret, eller 3. som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt. Längsta tid som personuppgifter får behandlas 7 § Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister. Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter. Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Uppgifter i registret får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Prover för dna-analys 8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för. 9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs. Direktåtkomst 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel. Fingeravtrycks- och signalementsregister Rätten att föra register 11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, 4. underlätta identifiering av okända personer, och 5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716). Innehåll i registren 12 § /Upphör att gälla U:den dag som regeringen bestämmer/ I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som 1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller 2. har lämnat fingeravtryck enligt 5 kap. 3 § andra stycket lagen (2022:700) om särskild kontroll av vissa utlänningar. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott. Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister. Lag (2022:709). 12 § /Träder i kraft I:den dag som regeringen bestämmer/ I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som 1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller 2. har lämnat fingeravtryck enligt 5 kap. 3 § andra stycket lagen (2022:700) om särskild kontroll av vissa utlänningar, 8 a § lagen (1994:451) om intensivövervakning med elektronisk kontroll eller 8 kap. 7 a § fängelselagen (2010:610). Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott. Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister. Lag (2022:738). 13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller mer och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år. 14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om 1. fingeravtryck, 2. signalement, 3. fotografi, 4. videoupptagning, 5. identifieringsuppgifter, 6. ärendenummer, och 7. brottskod. Längsta tid som personuppgifter får behandlas 15 § Uppgifter i fingeravtrycks- och signalementsregister om en misstänkt eller dömd person får inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister. Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Lag (2022:738). 16 § Uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande får inte behandlas längre än vad som behövs för det ändamålet. Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (2022:700) om särskild kontroll av vissa utlänningar får inte behandlas längre än tio år efter det att utvisningsbeslutet verkställdes eller upphörde. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Lag (2022:709). Direktåtkomst 17 § /Upphör att gälla U:den dag som regeringen bestämmer/ Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister. 17 § /Träder i kraft I:den dag som regeringen bestämmer/ Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen, Skatteverket och Kriminalvården får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister. Lag (2022:738). Penningtvättsregister Rätten att föra register 18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet 1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller 2. som innefattar finansiering av terrorism. 19 § I penningtvättsregister får personuppgifter behandlas som 1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §, 2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller 3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §. Längsta tid som personuppgifter får behandlas 20 § Personuppgifter i penningtvättsregister får inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Det internationella registret Rätten att föra register 21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete. Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten. Längsta tid som personuppgifter får behandlas 22 § Personuppgifter i det internationella registret får inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Personuppgifter i registret får dock behandlas i fem år efter registreringen om uppgifterna avser en begäran enligt artikel 12 i Europaparlamentets och rådets direktiv (EU) 2019/1153 av den 20 juni 2019 om fastställande av bestämmelser för att underlätta användning av finansiell information och andra uppgifter för att förebygga, upptäcka, utreda eller lagföra vissa brott och om upphävande av rådets beslut 2000/642/RIF, i den ursprungliga lydelsen. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Lag (2022:615). Tillträdesförbudsregistret Rätten att föra register 23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Innehåll i registret 24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud: 1. namn, 2. personnummer eller samordningsnummer, 3. folkbokföringsadress och annan stadigvarande adress, 4. alias, 5. fotografi, 6. anknytning till idrott och idrottsorganisation, 7. omfattningen och giltighetstiden av beslut om tillträdesförbud, och 8. överträdelse av gällande tillträdesförbud. 25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud. Längsta tid som personuppgifter får behandlas 26 § Uppgifter i tillträdesförbudsregistret får endast behandlas så länge tillträdesförbudet gäller. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. Rätt att meddela föreskrifter 27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst, 2. tillgången till personuppgifter i penningtvättsregister och det internationella registret, och 3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 15, 16, 20, 22 och 26 §§. 6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål Ändamål 1 § Vid Nationellt forensiskt centrum får personuppgifter behandlas om det behövs för att 1. sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 2 ska kunna utföras, 2. utföra forensiska analyser, undersökningar eller jämförelser åt den egna myndigheten eller åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket eller allmän domstol, 3. begära forensiska analyser, undersökningar eller jämförelser av eller utföra sådana åtgärder åt a) Rättsmedicinalverket, b) ett utländskt forensiskt laboratorium, eller c) en utländsk brottsbekämpande myndighet eller en mellanfolklig organisation eller ett EU-organ med brottsbekämpande uppgifter, 4. begära forensiska analyser eller undersökningar av andra svenska expertorgan, eller 5. ta fram uppslag i syfte att underlätta arbetet med att förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott, genom att använda resultat från sådana åtgärder som anges i 2 eller i 2 § andra stycket. Personuppgifter får också behandlas vid Nationellt forensiskt centrum om det behövs för 1. forskning och statistik, eller 2. kvaliteten i den forensiska verksamheten. 2 § Vid en annan enhet inom Polismyndigheten än Nationellt forensiskt centrum får personuppgifter behandlas om enheten behöver det för att sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 1 § första stycket 2 ska kunna utföras av centrumet. Personuppgifter får även behandlas vid en sådan annan enhet om enheten behöver det för att utföra forensiska analyser, undersökningar eller jämförelser. 3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas för nya ändamål inom tillämpningsområdet för brottsdatalagen (2018:1177). I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brottsdatalagen. Känsliga personuppgifter 4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Längsta tid som personuppgifter får behandlas 6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. Utlämnande av personuppgifter 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §. 10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering. 7 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-4, 5 a eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Lag (2019:435). Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:1177). Övergångsbestämmelser 2018:1693 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs polisdatalagen (2010:361). 3. En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 4. Har upphävts genom lag (2019:1188). 2022:709 1. Denna lag träder i kraft den 1 juli 2022. 2. Bestämmelsen i 5 kap. 16 § i den nya lydelsen tillämpas även vid ett beslut om utvisning som har meddelats före ikraftträdandet enligt 1 § och 2 § första stycket i den upphävda lagen (1991:572) om särskild utlänningskontroll. 2022:738 Denna lag träder i kraft den 28 juni 2022 i fråga om 5 kap. 15 § och i övrigt den dag som regeringen bestämmer.